公钥基础架构.pptVIP

第九章 公鑰基礎架構 9-1 公鑰基礎架構簡介 9-2 PKI 憑證標準 9-3 PKIX 系統架構 9-4 X.509 v3 憑證 9-5 X.509 v3 憑證註銷列表 9-6 PKIX 授信模式 9-7 PKIX 憑證認證 9-8 PKIX 認證路徑 9-9 X.500 目錄服務 9-10 X.500 運作模式 9-11 LDAP 協定 9-12 LDAP 運作程序 9-13 OCSP 協定 9-14 OCSP 命令封裝 9-1 公鑰基礎架構簡介 公鑰基礎架構簡介 (Public-Key Infrastructure, PKI) 解決公開鑰匙分配問題 (公開鑰匙憑證)。 憑證授權 (CA) 中心： 負責發行數位憑證 (公開鑰匙) 負責認證憑證的真偽 CA 中心之間所建立的基礎架構。 發行公開鑰匙的重點： 必須以數位憑證方式散播。 必須由 CA 簽署保證。 必須可隨時認證憑證的真偽。 CA 中心也需要另一個更具有權威的 CA 簽署保證。 如何認證憑證的真偽： 建立公鑰基礎架構： 整合相關聯之 CA 所建構而成。 認證路徑 (Validation Path) 任何一個 CA 必須有相關聯的其他 CA 之間互相信任。 9-2 PKIX 憑證標準 X.509 v3 憑證 (RFC 2459, 3280)： 合法憑證 憑證註銷列表 (Certificate Revocation List, CRL) X.500 目錄服務 (ITU 標準)： 目錄儲存 辨別名稱 (Distinguished Name, DN) LDAP (Lightweigh Directory Access Protocol) 協定 LADP Server X.500 的實作 OCSP (Online Certificate Status Protocol) 協定 OCSP Server 查詢憑證狀態 (合法或註銷) HTTP 實作 9-3 PKIX 系統架構 (1) 系統架構 9-3 PKIX 系統架構 (2) PKIX 元件 端點實體 (End Entity) 憑證授權 (Certificate Authority, CA) 中心 註冊授權 (Registration Authority, RA) 中心 CRL 發佈者 (CRL Issuers) 儲藏庫 (Repositories) PKIX 管理項目 註冊 (Registration) 起始 (Initilization) 憑證授與 (Certification) 鑰匙配對回復 (Key Pair Recovery) 鑰匙配對更新 (Key Pair Update) 註銷申請 (Revocation Request) 交叉憑證授與 (Cross-certificate) 公告註銷憑證 9-4 X.509 v3 憑證 (一) X.509 命名格式 X.500 目錄服務 目錄資訊樹 (Directory Information Tree, DIT) 關聯性辨別名稱 (Relative Distinguished Name, RDN) 辨別名稱 (Distinguished Name, DN) 9-4 X.509 v3 憑證 (二) X.509 v3 憑證格式 version serialNumber signature issuer validaty subject subjectPublicKeyInfo issuerUniqueID Extensions signatureAlgorithm signatureValue 9-4 X.509 v3 憑證 (三) X.509 v3 延伸欄位 授權中心鑰匙識別 keyIdentifier authorityCertIssure authorityCerSerialNumber 主體鑰匙識別碼 keyIdentifier 鑰匙用途： digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAggreement keyCerySign cRLSign encipherOnly decipherOnly 私有鑰匙使用期限： privateKeyUsagePeriod 憑證政策 certificationPolicies 政策對應 policyMapping 主體別名 dNSName iPAddress , ,? 9-5 X.509 v3 憑證註銷列表 (一) X.509 v3 憑證註銷列表 (Certificate Re