公开密钥设施.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * CRL（Certificate Revocation List) 证书废止列表 LDAP (lightweight Directory Access Protocol * * * * * * * * PAA(Policy Approval Authority)策略机构是PKI核心和基础，为所有的用户、用户组织和CA制定指南，监管所有制定策略的机构。 PCA(Policy Creation Authority)是整个PKI的二级CA，开发安全策略。 * * * * * * * 证书废止列表（CRL） * * * * ORA(Organization Registration Authority)鉴别个人身份，确认用户与单位的隶属关系。 * * * * * * * * * 4)以用户为中心的信任模型 ----每个用户自己决定信任哪些证书。通常，用户的最初信任对象包括用户的朋友、家人或同事，但是否信任某证书则被许多因素所左右。 ----在PGP中，一个用户通过担当CA（签署其他实体的公钥）并使其公钥被其他人所认证来建立“信任网”。例如，当A收到一个据称属于B的证书时，她将发现这个证书是由她不认识的D签署的，但是D的证书是由她认识并且信任的C签署的。在这种情况下，A可以决定信任B的密钥（即信任从C到D再到B的密钥链），也可能不信任B的密钥（认为“未知的” B与“已知的”C之间的“距离太远”）。 此模型依赖于用户行为、决策，不适于普通群体。 公开密钥设施PKI * 实施PKI应考虑的因素 关键：商业驱动，而不是以技术为中心 1)好处：安全的E-mail、EDI、内(外)部网、实体访问控制、Web应用、客户签名、简化登录。 提高工作效率、节省劳动力、减少风险、降低通信费用等。 2)成本因素 3)实施步骤 * 三、X.509标准 相关国际标准 PKI (Public-Key Infrastructure)公钥体系基础框架。 PKIX (Public-Key Infrastructure Using X.509)使用X.509的公钥体系基础框架。 X.500 由ISO和ITU提出的为大型网络提供目录服务的标准体系。 X.509 为X.500提供验证(Authenticating)体系的标准。 PKCS(Public Key Cryptography Standards)公钥加密标准，为PKI提供一套完善的标准体系。 公开密钥设施PKI * X.509是X.500推荐系列的一部分，提供安全目录服务。目录是维护用户信息数据库的服务器或一组分布式服务器。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息的通用证书格式，所有的证书都符合X.509标准。X.509最初是1988年发布，此后针对安全问题作了改进。1995年发布V3版本，它在原有版本基础上进行功能的扩充。 X.509是重要的标准，它定义的证书结构、身份验证协议已经用于S/MIME、IPSEC、SSL/TLS、SET协议等。 公开密钥设施PKI * 公开密钥设施PKI X.509 PKI 主要特性 　 X.509 v1 2? ?X.509 v3 证书信息 只有X.500 实体名，包括CA、证主(subject)名，证主公钥及其有效期。? 充分扩展，可包含任何信息。? CA 规范? CA体系鼓励带交叉的层状树型结构，无信任限制规范。? CA体系鼓励带交叉的层状树型结构，有信任限制规范。? CA、证主 、用户? CA、证主、用户在概念上严格区分? CA、证主、用户?信任关系 认为每个用户至少信任一个CA。CA无法操纵与其它CA、证主及用户间的信任关系。 认为每个用户至少信任一个CA。CA可以规范与其它CA及证主间的信任关系。? * 公开密钥设施PKI 证书有效性验证方式 离线方式，通过检查证书有效期及是否出现在最近的CRL（证书吊销表）上。 支持离线与在线方式。 证书吊销方法 简单CRL。 复杂的CRL，通过功能扩展支持在线方式。 证书形式特点 身份形式的证书。 主要还是身份形式的证书，但支持信任委托形式的证书。? 匿名性 匿名程度依赖于 X.500 条目的匿名程度。 扩展功能支持彻底的匿名服务。 * 各版本必须包含下列信息： 　　(1) 用来区分X.509的不同版本号既版本号 　　(2) 由CA给每个证书的分配的编号即序列号； 　　(3) 产生证书签名所用的算法及参数 　　(4) CA的x.500名字即发出该证书的认证机构 　　(