第5讲 密码技术应用.pptVIP

* * * * * * * * * * * * * * * * * 前面介绍了实现PKI的公钥加密技术，接下来讲解使用PKI的协议 对于SSL的实现过程暂时不要进行详细讲解，因过程中涉及到证书，而证书还在后面介绍 所以本页只需要让学员明白哪些协议可以使用PKI。 * * * * * * * * * * * * * * * * * * * * * * * * * * * 数字证书的内容 证书有效期：证书有效时间包括两个日期：证书开始有效期和证书失效期。 密钥/证书用法：描述该主体的公/私密钥对的合法用途。 扩展：说明该证书的附加信息。 认证机构签名：用认证机构的私钥生成的数字签名。 数字证书的安全性 证书是公开的，可复制的。 任何具有CA公钥（根证书/CA证书，自签名证书）的用户都可以验证证书有效性。 除了CA以外，任何人都无法伪造、修改证书。 证书的安全性依赖于CA的私钥。 PKI主要组件 PKI主要组件的简介 公钥证书：由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 根CA：一个单独的、可信任的根CA是PKI的基础，生成一个自签名证书，亦称CA证书或根证书。 注册机构和本地注册机构：接受个人申请，检查其中信息并发送给CA。RA可设计成CA的代理处，分担CA的一定功能以增强可扩展性。 PKI主要组件的简介 目录服务（证书库）：PKI的一个重要组成部分，主要用于发布用户的证书和证书作废列表（黑名单）。 PKI应用接口系统：为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可靠，并降低管理成本。 CA的简介 CA机构，又称为证书授证(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。 认证中心（CA）组成 签名和加密服务器 对于数字证书和被撤销的数字证书，应有认证机构的数字签名。 密钥管理服务器 与签名加密服务器连接，按配置生成密钥、撤销密钥、恢复密钥和查询密钥。 证书管理服务器 主要完成证书的生成、作废等操作控制。 认证中心（CA）组成 证书发布和CRL发布服务器 用于将证书信息按一定时间间隔对外发布，为客户提供证书下载和CRL下载等服务。 在线证书状态查询服务器 证书用户随时都知道某个证书的最新状态。 Web服务器 用于证书发布和有关数据认证系统政策的发布。 CA的核心功能 接受验证最终用户数字证书的申请。 证书审批。 证书发放。 证书更新。 CA的核心功能 接受最终用户数字证书的查询、撤销。 产生和发布证书注销列表（CRL）。 数字证书的归档。 密钥归档。 历史数据归档。 注册中心（RA） 注册中心是数字证书注册审批机构。 RA 系统是CA系统的证书发放、管理的延伸，是整个CA中心得以正常运营不可缺少的一部分。 但有的系统中，将RA合并在CA中。 一般而言，注册中心控制注册、证书传递、其他密钥和证书生命周期管理过程中主体和PKI间的交换。 在任何环境下，RA都不发起关于主体的可信声明。 RA的功能 主体注册证书的个人认证。 确定主体所提供信息的有效性。 对被请求证书属性确定主体的权利。 在需要撤销时报告报告密钥泄露或终止事件。 为识别身份的目的分配名字。 RA的功能 在注册初始化和证书获得阶段产生共享秘密。 产生公私钥对。 认证机构代表主体开始注册过程。 私钥归档。 开始密钥恢复处理。 包含私钥的物理设备的分发。 密钥生命周期 密钥产生 证书签发 Bob 密钥使用 Bob 证书检验 密钥过期 密钥更新 证书管理 证书注册 证书存放 证书撤销 证书验证 证书状态查询 证书注册 8.证书响应 7.证书请求 4.注册建立请求 5.注册建立结果 6.注册结果 3.注册表格提交 2.注册表格应答 终端 实体 RA CA 1.注册表格请求 证书库 9.证书发布 证书的更新 最终实体证书更新 证书过期 一些属性的改变 发放新证书 CA证书更新 旧用新证书 新用旧证书 证书存放 使用IC卡存放 直接存放在磁盘或自己的终端上 USB Key 证书库 证书撤销 当条件（雇佣关系结束、证书中信息修改等）要求证书的有效期在证书结束日期之前终止，或者要求用户与私钥分离时（私钥可能以某种方式泄露），证书被撤销。 2.证书撤销响应 1.证书撤销请求 2.证书撤销响应