公钥基础设施的应用.pptxVIP

第6章公钥根底设施的应用

孟显勇

清华大学出版社;PKI(PublicKeyInfrastructure，公钥根底设施)是一个基于公钥加密体制的网络平安认证体系，能够为所有的网络应用提供加密和数字签名等密码效劳，并为网络通信实体提供一套完善的基于数字证书的身份认证体系。PKI是利用公钥加密技术来实现网络通信的保密性、完整性以及身份可认证性，是电子商务平安技术的核心，主要功能包括数据加密、数字签名、数据完整性校验以及网络通信实体身份认证等。;PKI的信任模型是网络通信实体之间建立信任关系和实现实体身份认证的结构框架，主要描述的是如何在不同认证机构之间建立认证路径以及如何构建和寻找认证路径的规那么，即定义通信实体之间如何建立信任和如何控制信任的相关规那么，为了便于理解PKI信任模型，下面引入几个与信任相关的根本概念：

·信任。在ITU-T的X.509标准给出的定义中，信任是指实体A认定实体B将严格地按A所期待的那样行动，那么叫A信任B。在这种关系中，A称为信任者，B称为被信任者。

·信任域。信任域是在一组公共的平安策略控制下相互信任的网络通信实体所组成的集合，其中公共平安策略是指系统颁发、管理、验证和撤销证书所依据的一系列标准和规定的集合。

·信任水平。用来度量网络通信过程中信任者与被信任者之间的信任程度，通常在PKI系统中要借助像认证机构CA这样的可信第三方来提高认证系统中信任者与被信任者之间的信任水平。;1.严格层次信任模型;2.网状信任模型;3.桥接信任模型;4.以用户为中心的信任模型

在以用户为中心的信任模型中，由用户为所信任的其他用户发放数字证书，并建立信任关系，因此这种信任模型不需要专门的CA，用户完全决定与其他用户之间的信任关系。

5.信任列表信任模型

信任列表信任模型是利用动态的二维列表来存储所有信任的CA的根证书，所信任的CA的类型可以是层次结构、网状结构或混合结构。;PKI系统中的实体主要包括管理实体、端实体和证书库。PKI系统通过管理实体、端实体和证书库来管理和使用证书，负责证书的申请、发放、管理、存档和撤销等。管理实???主要负责证书的申请、发放以及密钥对更新等，端实体作为证书的使用者主要利用数字证书验证实体身份，证书库主要为用户存储和恢复证书，并提供证书撤销表。这三种实体的主要功能分别是：

·管理实体。

·端实体。

·证书库。;认证机构CA，也称认证中心，是PKI的核心管理机构，主要负责数字证书的申请、发放、更新及注销等。PKI为电子商务交易提供了一个平安的认证平台，CA作为电子商务系统的可信第三方，为电子交易各参与实体签发和管理数字证书，并验证各交易实体的真实身份。数字证书是网络通信实体身份认证的主要电子凭证，是实现电子商务平安交易的根底。CA是电子商务交易实体所信赖的具有权威性和公正性的第三方机构，主要功能包括证书发放、证书更新、证书撤销和证书验证等功能，其中最核心的功能是发放与管理数字证书。CA签发数字证书前，首先验证用户的真实身份，对通过验证的用户提供各项证书效劳。;数字证书又称数字凭证、公钥证书、数字标识，是PKI的核心产品，是应用公钥加密体制实现网络通信实体身份认证的电子证明文件。数字证书由权威认证机构CA颁发，主要内容包含证书持有者的根本信息、密钥对以及公钥加密算法等，此外，证书上还附有认证机构的数字签名。在电子商务交易中，交易双方可以通过交换数字证书来验证对方身份的有效性，也可以利用数字证书对交易数据进行加密和解密，以实现交易信息的保密性、完整性和身份可认证性。;PKI的标准可以分为两个局部，一局部是关于PKI的根本协议标准，而另外一局部是关于PKI的应用协议标准。

PKI系统几个较为常用和重要的标准如下：

〔1〕PKCS〔PublicKeyCryptographyStandards，公钥加密标准〕。

〔2〕X.509标准是由国际电信联盟ITU制定的数字证书标准。

〔3〕OCSP〔OnlineCertificationStatusProtocol，在线证书状态协议〕。

〔4〕LDAP〔LightDirectoryAccessProtocol，轻量级目录访问协议〕。

〔5〕WPKI〔WirelessPublicKeyInfrastructure，无线公钥根底设施〕。

〔6〕XKMS〔XMLKeyManagementSpecification，XML密钥管理标准〕。;政策批准机构

策略证书机构

认证机构

注册机构

验证机构

目录效劳;在PKI体系结构中，有多种成员组织方式，其中最主要的三种方式：第一种是按照日常职能分类的COI(CommunityOfInterest，共同权益)方式；第二种是建立在现有政府