信息安全导论第12章PKIPMI技术.pptVIP

12.3.2 交叉认证 每个CA只能覆盖一定的作用范围（域）。 两个CA安全地交换密钥信息，这样每个CA都可以有效地验证另一方密钥的可信任性，我们称这样的过程为交叉认证。 事实上，交叉认证是第三方信任的扩展，即一个CA的网络用户信任其他所有自己CA交叉认证的CA用户。 返回本节 交叉认证的操作 （1）两个域之间信任关系的建立，在双边交叉认证的情况下，两个CA安全地交换他们的验证密钥。这些密钥用于验证他们在证书上的签名。为了完成这个操作，每个CA签发一张包含自己公钥（这个公钥用于对方验证自己的签名）的证书，该证书称为交叉证书。 返回本节 （2）由客户端软件来做。这个操作包含了验证由已经交叉认证的CA签发的用户证书的可信赖性，这个操作需要经常执行。这个操作常常被称为跟踪信任链。 链指的是交叉证书确认列表，沿着这个列表可以跟踪所有验证用户证书的CA密钥。 12.3.3 其他一些功能 1．加密密钥和签名密钥的分隔 如前所述，加密和签名密钥的密钥管理需求是相互抵触的，因此PKI应该支持加密和签名密钥的分隔使用。 2．支持对数字签名的不可抵赖 任何类型的电子商务都离不开数字签名，因此PKI必须支持数字签名的不可抵赖性，而数字签名的不可抵赖性依赖于签名私钥的惟一性和机密性，为确保这一点，PKI必须保证签名密钥与加密密钥的分隔使用。 3．密钥历史的管理 每次更新加密密钥后，相应的解密密钥都应该存档，以便将来恢复用旧密钥加密的数据。每次更新签名密钥后，旧的签名私钥应该妥善销毁，防止破坏其惟一性；相应的旧验证公钥应该进行存档，以便将来用于验证旧的签名。 12.3.4 对PKI的性能要求 1．透明性和易用性 2．可扩展性 3．互操作性 4．支持多应用 5. 支持多平台 12.4 PKI相关协议 12.4.1 X.500目录服务 12.4.2 X.509 12.4.3 公开秘钥证书的标准扩展 12.4.4 LDAP协议 返回本章首页 12.4.1 X.500目录服务 1. 定义 X.500是一种CCITT（ITU）针对已经被国际标准化组织（ISO）接受的目录服务系统的建议，它定义了一个机构如何在一个企业的全局范围内共享名字和与它们相关的对象。 返回本节 2. 作用 X.500目录服务可以向需要访问网络任何地方资源的电子函件系统和应用，或需要知道在网络上的实体名字和地点的管理系统提供信息。 这个目录是一个数据库，或在X.500描述中称为目录信息数据库（DIB）。在数据库中的实体称为对象。 12.4.2 X.509 X.509是一种行业标准或者行业解决方案。 在X.509方案中，默认的加密体制是公钥密码体制。为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。 每一版本包含的信息： 版本号：用来区分X.509的不同版本号。 序列号：由CA给予每一个证书的分配惟一的数字型编号。 签名算法标识符：用来指定用CA签发证书时所使用的签名算法。 认证机构：即发出该证书的机构惟一的CA的X.500名字。 有效期限：证书有效的时间包括两个日期：证书开始生效期和证书失效的日期和时间，在所指定的这两个时间之间有效。 主题信息：证书持有人的姓名、服务处所等信息。 认证机构的数字签名：以确保这个证书在发放之后没有被改过。 公钥信息：包括被证明有效的公钥值和加上使用这个公钥的方法名称。 12.4.3 公开秘钥证书的标准扩展 1. 密钥和政策信息，包括： 机构密钥识别符； 主体密钥识别符； 密钥用途（如数字签字，不可否认性、密钥加密、数据加密、密钥协商、证书签字、CRL签字等）； 密钥使用期限等。 返回本节 2. 主体和发证人属性，包括： 主体代用名； 发证者代用名； 主体检索属性等。 3.证书通路约束，包括： 基本约束，指明是否可以做证书机构。 4. 与CRL有关的补充。 12.4.4 LDAP协议 LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密钥、联系人列表等。 通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。 返回本节 LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如，可以把数据“推”到远程的办公室，以增加数据的安全性。 复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要用户支付额外的费用，而且也很难管理。 第12章 PKI／PMI技术 第12章 PKI／PMI技术 第12章 PKI