网络安全原理与应用 教学课件 作者 沈苏彬 NetSec-ch3.5 PKI.pptVIP

2007-10-17 第三章 身份验证技术及应用公钥基础设施PKI与X.509建议 沈苏彬 南京邮电大学 信息网络技术研究所 主要解决的问题 如何可信地验证数字签名？ 如何权威地发布和获取公钥？ 如何权威地管理和维护密钥？ 关键知识点 公钥基础设施(PKI)是一套公钥权威发布和更新的系统。公钥的发布和更新必须基于一套严格的身份验证系统。 PKI可以作为一种身份验证系统。 公钥一般与该公钥持有者标识符、公钥的有效期、公钥的发行方标识符等数据一起封装成一个数据单元， 构成“证书”。再由某个公钥发布的权威机构进行签名之后，再向公众发布。 X.509定义了标准证书的格式 主要内容 PKI的必要性 PKI的结构 证书与X.509建议 PKI的实现模型 PKI的设计建议 PKI的必要性 有一个典型的电子商务交易过程： M1: A ? B: PKB{订单，VKA{签名}} M2: B ? A: PKA{回执，VKB{签名}} M3: A ? B: PKB{确认，VKA{签名}} 这是否一定能够保证交易双方身份可信？ 通过公钥PKA和PKB 才能保证交易的可信。 必须设计一套公钥权威发布和更新的系统：公钥基础设施(英文缩写PKI) PKI的结构 PKI通常采用信任金字塔(POT)结构。最简单的POT只有两层结构，CA处于POT的塔尖，而由该CA签署发布的EE证书处于POT的塔底。 这种基本的