信息安全第3讲-认证经典教程.ppt

第3讲 信息认证技术与应用;主要内容;PKI 是什么?;PKI 是什么?;为什么需要PKI?;主要内容;PKI组成部分;PKI组成部分;证书签发机构（CA）;证书注册机构（RA）;证书库;密钥备份及恢复系统;证书废除处理系统;PKI应用系统接口;PKI的功能;PKI的性能要求;PKI的运营考虑;PKI应用;一般结构;一般结构;CASigner CA的签发服务器，负责证书和CRL的签发。 PM（PriviledgeManager） 特权管理中心，提供属性权限的分发和验证。 KMC（KeyManageCenter） 提供密钥备份、密钥恢复、密钥历史。 TimeStamp 提供时间戳的签发和验证。 CAInterface CA的接口服务器，负责RA、EndUser、CAO等部件和CA的通信。 ;一个典型全国CA建设案例;主要内容;PKI标准化;ITU-T X.509;PKIX系列文档;PKCS系列标准;其他标准化活动;小结;七、PKI 关键技术;主要内容;什么是证书;数字证书的作用;数字证书的结构;证书的版本号：0表示X.509 V1 证书标准；1表示X.509 V2 证书标准；2表示X.509 V3 证书标准，CPCA所签发的证书此项全为2。 证书序列号：签发机构分配给证书的一个唯一标识号，同一机构签发的证书不会有相同的序列号。 签名算法：包含算法标识和算法参数，标明证书签发机构用来对证书内容进行签名的算法。 证书签发机构名：签发机构的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名。 证书有效期：包含两个日期，一个是证书开始生效的日期，一个是证书有效的截止日期。当前日期在证书有效期之内时，证书的有效性验证才能通过。 证书用户名：证书所有者的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名，还可包含email地址。 证书用户公钥信息：包含用户公钥算法和公钥的值。 证书扩展域：证书的扩展部份，可根据具体需求进行扩展，填写相应的扩展值。 签名算法：同证书内容中的签名算法。 签名值：证书签发机构对证书内容的签名值。 ;数字证书的结构;数字证书的存储标准;;主要内容;CA的作用;CA的层次结构;CA提供的服务;CA的安全措施;颁发证书;证书介质;废除证书;废除证书;证书黑名单（CRL）;更新证书;管理密钥;密钥备份与恢复;验证证书;证书链;验证证书;验证证书;主要内容;证书撤销机制;CRL数据格式;CRL的版本号：0表示X.509 V1 CRL标准；1表示X.509 V2 CRL标准； CPCA所签发的CRL此项全为1。 签名算法：包含算法标识和算法参数，标明证书签发机构用来对CRL内容进行签名的算法。 证书签发机构名：签发机构的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名。 此次签发时间：此次CRL签发时间，遵循ITU X.509 V2 CRL标准的CA在2049年之前这个域编码为UTCTime数据类型，在2050或2050年之后这个域编码为GeneralizedTime数据类型。 下次签发时间：下次CRL签发时间，遵循ITU X.509 V2 CRL标准的CA在2049年之前把这个域编码为UTCTime数据类型，在2050或2050年之后把这个域编码为GeneralizedTime数据类型。 废除的证书序列号：要废除的由同一个CA签发的证书的一个唯一标识号，同一机构签发的证书不会有相同的序列号。 废除时间：证书的废除时间。 CRL条目扩展域：提供与CRL条目有关的额外信息部份，允许团体和组织定义私有的CRL条目扩展域来传送他们独有的信息。 CRL扩展域：提供与CRL有关的额外信息部份，允许团体和组织定义私有的CRL扩展域来传送他们独有的信息。 签名算法：同上面所述的签名算法。 签名值：证书签发机构对CRL内容的签名值。 ;CRL的结构;CRL的结构;CRL改进机制;在线查询机制;OCSP机制;信任词典机制;短期证书机制;主要内容;PKI信任模式;PKI信任模式;PKI信任模式;级连模式;网状模式;混合模式;桥接模式;多根模式;PKI信任模式比较;PKI交叉认证;小结;八、PKI 发展与应用;主要内容;国外PKI发展现状;美国PKI发展现状;美国PKI发展现状;加拿大PKI发展现状;欧洲PKI发展现状;亚太PKI发展现状;国内PKI发展现状;国内PKI发展现状;国内PKI发展现状;国内PKI发展现状;国内PKI发展现状;国内现状－服务提供商;主要内容;PKI的应用实例;演示;;CA系统实例;;;PKI的应用实例;SSL安全协议;SSL协议安全功能;SSL协议网络层次;SSL协议功能简述;SSL协议流程;SSL协议说明和演示;;;;;工商银行的网上银行 安全WEB服务器的配置 根证书的说明 安全客户端的配置