公钥基础设施PKI 信息安全概论课件与复习提纲.pptVIP

* 6.9 数字证书的验证 数字证书的验证分为以下3步。 第一步： 验证真实性。证书是否为可信任的CA认证中心签发？证书真实性的验证是基于证书链验证机制的。 第二步： 验证有效性。证书是否在证书的有效使用期之内？证书有效性的验证是通过比较当前时间与证书截止时间来进行的。 第三步： 验证可用性。证书是否已废除？证书可用性的验证是通过查询CRL或OCSP服务器来进行的。 * 公钥基础设施 PKI 1 PKI概述 2 PKI技术的信任服务及意义 3 PKI的标准 4 PKI的组成 5 PKI的体系结构 6 数字证书 7 PKI的应用与发展 * 7 PKI的应用与发展 应用: 1、虚拟专用网络(VPN) 2、安全电子邮件 3、Web安全 4、电子商务的应用 5、电子政务应用 ?6、网上银行 ???? 7、网上证券 * 7.2 PKI的技术趋势 1、属性证书 X.509 v4增加了属性证书的概念。提起属性证书就不能不提起授权管理基础设施（PMI，Privilege Management Infrastructure）。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。 在许多应用领域，比如电子政务、电子商务应用中，需要的信息远不止是身份信息，关于一个人的权限或者属性信息远比其身份信息更为重要。为了使附加信息能够保存在证书中，X.509 v4中引入了公钥证书扩展项，这种证书扩展项可以保存任何类型的附加数据。随后，各个证书系统纷纷引入自己的专有证书扩展项，以满足各自应用的需求。  * 7.2 PKI的技术趋势 2、漫游证书 证书应用的普及自然产生了证书的便携性需要，而到目前，能提供证书和其对应私钥移动性的实际解决方案只有两种：第一种是智能卡技术。在该技术中，公钥／私钥对存放在卡上，但这种方法存在缺陷，如易丢失和损坏，并且依赖读卡器；第二种选择是将证书和私钥复制到一张软盘备用，但软盘不仅容易丢失和损坏。 一个新的解决方案就是使用漫游证书，它通过第三方软件提供，只需在任何系统中正确地配置，该软件就可以允许用户访问自己的公钥/私钥对。它的基本原理很简单，即将用户的证书和私钥放在一个安全的中央服务器上，当用户登录到一个本地系统时，从服务器安全地检索出公钥/私钥对，并将其放在本地系统的内存中以备后用，当用户完成工作并从本地系统注销后，该软件自动删除存放在本地系统中的用户证书和私钥。 * 7.2 PKI的技术趋势 3、无线PKI（WPKI） 随着无线通信技术的广泛应用，无线通信领域的安全问题也引起了广泛的重视。将PKI技术直接应用于无线通信领域存在两方面的问题：其一是无线终端的资源有限（运算能力、存储能力、电源等）；其二是通信模式不同。为适应这些需求，目前已公布了WPKI草案，其内容涉及WPKI的运作方式、WPKI如何与现行的PKI服务相结合等。 * 7.3 PKI的国内外发展 ?世界各地，尤其是发达国家，已充分认识到PKI对国家利益的重要。它是互联技术的制高点，是互联网发展和安全的保证。????(1) 美国代表发达国家PKI发展的主流，在研究各联邦政府已建成的PKI体系的基础上，于1998年提出桥接CA的方案，联邦桥接CA由联邦策略管理机构控制，其目的是在联邦不同的PKI域中提供可信任路径。????(2) 欧盟于1997年发表了“欧洲电子商务的主导权”报告，为促进PKI建设提供了良好的法律保障。欧盟为了解决各国的PKI协同工作问题，在信息社会理事会设立项目以资助研究PKI技术。 * 7.3 PKI的国内外发展 (3) 日本政府将PKI管理分为两大部分，即公众和私人两大领域。日本PKI组织架构包括：策略批准机构、策略执行机构、认证机构、注册机构和证书使用者。2000年由日本、韩国、新加坡等国家发起了“亚洲PKI论坛”，中国、台湾地区、香港也参加了“亚洲PKI论坛”。 (4) 在国内，自从1998年第一个认证中心建立以来，截至目前已建设了70几家CA，人们过高地估计了中国电子商务对CA 的需求，CA建设显得过热。目前在电子商务、电子政务中起不同作用的有中国金融CA（CFCA）、中国电信CA、外经贸CA和地方上海CA。其中中国金融CA是国家级CA，由人民银行牵头，十三家商业银行参加联合公建的。 * 7.3 PKI的国内外发展 ?我国PKI * 概括地说，认证中心CA的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下： 　　（1）接收验证最终用户数字证书的申请； 　　（2）确定是否接受最终用户数字证书的申请； 　　（3）向申请者颁发、拒绝颁发数字