第3讲 数字证书与公钥基础设施-2学时.pptxVIP

第3讲 数字证书与公钥基础设施本讲内容概要第3讲数字证书与公钥基础设施1 PKI的基本概念2数字证书3 PKI体系结构——PKIX模型4 PKI实例5 授权管理设施——PMI什么是PKI？数字证书与公钥基础设施PKI：公钥基础设施(Public Key Infrastructure)就是一种用公钥密码理论和技术实施和提供安全服务的、具有普适性的安全基础设施。PKI的基本概念PKI的目的解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题，为网络应用提供可靠安全服务。PKI的任务在电子商务和电子政务中，它可以为网络用户提供可信的数字身份认证。什么是证书？证明证书中所列用户身份与证书所列公钥是合法且一致数字证书与公钥基础设施PKI的基本概念PKI的组成数字证书与公钥基础设施证书机构CA注册机构RA12PKI的基本概念证书发布库密钥备份与恢复43证书撤销PKI应用接口65证书机构CA数字证书与公钥基础设施PKI的基本概念CA证书机构CA的功能数字证书与公钥基础设施负责发放和管理数字证书。1PKI的基本概念提供网络身份认证、负责证书签发及证书的管理。跟踪证书状态在证书需要撤销时发布证书撤销通知2维护证书档案和证书相关的审计。3注册机构RA数字证书与公钥基础设施注册机构（RA）是数字证书注册审批机构，是认证中心的延伸。RA按照政策与管理规范对用户的资格进行审查，并执行“是否同意给该申请者发放证书、撤销证书”等操作。PKI的基本概念注册机构RA的功能数字证书与公钥基础设施PKI的基本概念填写用户注册信息 提交用户注册信息发送生成证书申请 证书撤销列表管理 审核发送证书登记黑名单日志审计自身安全保证证书发布库数字证书与公钥基础设施PKI的基本概念LDAP协议是创建高效的大规模PKI认证的关键技术。用于集中存放CA颁发证书和证书撤销列表。支持分布式存放，以提高查询效率。密钥备份和恢复数字证书与公钥基础设施密钥的备份仅备份和恢复CA的公钥/私钥对，而不备份用户的签名密钥。PKI的基本概念密钥的恢复若用户声明公钥/私钥对是用于数据加密的，则CA即可对该用户的私钥进行备份。当用户丢失密钥后，可通过可信任的密钥恢复中心完成密钥恢复。证书撤销的两种实现方法数字证书与公钥基础设施 在线证书状态协议OCSP（Online Certificate Status Protocol） 证书撤销列表CRL（Certificate Revocation List）（2）在线证书查询机制（1）周期性发布机制PKI的基本概念PKI的应用数字证书与公钥基础设施认证服务1PKI的基本概念数据完整性服务2数据保密性服务3不可否认服务4公证服务5包含的信息数字证书的概念数字证书与公钥基础设施数字证书的概念：将用户身份ID与其所持有的公钥PK绑定，再由CA对该用户身份及对应公钥的组合{ID||PK}进行数字签名得到S，然后将{签名S||身份ID||公钥PK}加以存储，即数字证书。数字证书主体名公钥序号有效期签发者名数字证书的结构数字证书与公钥基础设施版本Version证书序号Certificate Serial Number签名算法标识符Signature Algorithm Identifier签名者Issuer Name有效期（之前/之后）Validity(Not Before/Not After)主体名Subject Name主体公钥信息Subject Public Key Information签名者唯一标识符Issuer Unique Identifier主体唯一标识符Subject Unique Identifier扩展信息Extensions认证机构数字签名CA’s Digital Signature第一版数字证书第二版第三版数字证书的生成数字证书与公钥基础设施最终用户与RA和CA的关系最终用户证书机构CA数字证书注册机构RA…最终用户注意：注册机构主要帮助证书机构与最终用户交互，注册机构不能签发数字证书，证书只能由证书机构签发。数字证书的生成数字证书与公钥基础设施注册机构提供的服务接受与验证最终用户的注册信息为最终用户生成密钥接收与授权证书撤销请求CSR证书请求文件数字证书证书结构提供的服务负责为用户生成数字证书负责为用户颁发数字证书CSR证书请求文件CS证书文件数字证书的生成步骤数字证书与公钥基础设施1.密钥生成数字证书4. 证书生成2.用户注册3.验证信息第一步：密钥生成有2种方式数字证书与公钥基础设施由用户自己生成公钥/私钥对注册机构为用户生成公钥/私钥对数字证书第二步：注册（CSR）数字证书与公钥基础设施用户将公钥和证明材料发送给注册机构 证书申请证书申请信息1. 版本2. 主体名3. 公开密钥信息4. 属性签名算法签名数字证书第三步：验证信息