网络安全-证书的注销机制.pdf

上海交通大学网络教育学院 网络安全 证书的注销机制 由于各种原因，证书需要被注销 －比如：私钥泄漏、密钥更换、用户变化 PKI中注销的方法 －CA维护一个CRL(Certificate Revocation List) 基于Web的CRL服务 －检查CRL的URL应该内嵌在用户的证书中 －可以提供安全途径(SSL)访问URL －返回注销状态信息 －其他的用法由浏览器决定 PKI应用接口系统 透明性：PKI必须尽可能地向上层应用屏蔽密码实现服务的 实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对 用户而言简单易用，并且便于单位、企业完全控制其信息资 源。 可扩展性：满足系统不断发展的需要，证书库和CRL有良好 的可扩展性。 支持多种用户：提供文件传送、文件存储、电子邮件、电子 表单、WEB应用等的安全服务。 互操作性：不同企业、不同单位的PKI实现可能是不同的， 必须支持多环境、多操作系统的PKI的互操作性。 与PKI有关的标准情况 Certificates —— X.509 v.3 PKCS系列 OCSP在线证书状态协议 目录服务LDAP PKCS系列标准 PKCS #1 －定义RSA公开密钥算法加密和签名机制 PKCS #3 －定义Diffie-Hellman密钥交换协议 PKCS # 5 －描述一种利用从口令派生出来的安全密钥加密字符串的方法 PKCS #6 －描述公钥证书的标准语法（主要是X.509证书的扩展格式） PKCS #7 －定义一种通用的消息语法 PKCS #8 －描述私有密钥信息格式 PKCS系列标准(续) PKCS #9 －定义可选信息属性类型 PKCS #10 －描述证书请求语法 PKCS #11 －定义一套独立于技术的程序设计接口 PKCS #12 －描述个人信息交换语法标准 PKCS #13 －椭圆曲线密码体制标准 PKCS #15 －密码令牌信息格式标准 PKI应用 基本的应用 －文件保护 －E-mail －Web应用 其他 －VPN －SSL/TLS －XML/e-business －WAP －…… 3.4 应用举例 3.4 1 查看数字证书的内容 2 国内外CA简介 3 数字证书的申请及应用操作实例 4 SSL购物流程 数字证书的内容 数字证书包括以下内容： 证书拥有者的姓名； 证书拥有者的公钥； 公钥的有限期； 颁发数字证书的单位； 颁发数字证书单位的数字签名； 数字证书的序列号等。 查看证书内容（1） 查看证书内容（2） 查看证书内容（3） 国内外CA简介 国 外 常 见 的 CA 有 ： VeriSign 、 Entrust 、 Thawte 、 Baltimore、RSA等。 国内常见的CA有： －中国数字认证网 （）：数字认证，数字签 名，CA认证，CA证书，数字证书，安全电子商务。 －北京数字证书认证中心 （）：为网上电子 政务和电子商务活动提供数字证书服务。 数字证书的申请 ① 下载并安装根证书 ② 申请证书 ③ 将个人身份信息连同证书序列