PKI-CA数字证书、SSL信息安全密码技术.ppt

PKI原理与应用

PKI目录PKI的相关理论PKI是一种利用公钥加密技术为用户提供平安通信的技术。PKI的组成PKI由认证机构、注册机构、证书库、密钥备份及恢复系统、证书撤销处理系统、PKI应用接口系统组成CA及证书公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心来确认公钥拥有人的真正身份。PKI的应用S/MIMESSLSET

PKIApplicationsandotherusers1PKI的相关理论

PKIPKI的相关理论PublicKeyInfrastructure又称“公钥根底设施”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码效劳及所必需的密钥和证书管理体系。简单来说，PKI是一种利用公钥加密技术为用户提供平安通信的技术。包括加密、数字签名(公钥数字签名)、数据完整性机制、数字信封、双重数字签名等根底技术。PKI技术是信息平安技术的核心，也是电子商务的关键和根底技术。

PKIPKI系统如何工作一个新用户申请证书发送注册信息给RARARA系统审核用户身份RA将证书下载凭证发放给用户审核通过的注册请求发送给CACA为用户签发证书下载凭证CA提交证书下载申请请求证书下载到用户本地证书同时要被发布出去ApplicationsandotheruserPKIPKI系统如何工作Applicationsandotherusers应用程序通过证书：获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据使用数字证书的用户之间通过CA〔一个可信的第三方〕来建立信任关系

PKI加密Applicationsandotherusers加密使用密码算法对数据做变换，使得只有密码才能恢复数据原貌。对称密码算法·加密与解密的密钥相同·加密方式：DES/3DES和AES等非对称密码算法加密使用的公钥与私钥不同公钥就是在信息团体内公开私钥是用户自己保存加密方式：算法有RSA/DSA等

PKI对称加密Applicationsandotherusers发送方接收方明文对称密钥加密密文密文对称密钥解密明文传送加密和解密用的密钥相同

PKI非对称加密Applicationsandotherusers发送方接收方明文接收方的公钥加密密文密文接收方的私钥解密明文传送接收方的密钥对公钥私钥多个用户加密的信息只能由一个用户解读

PKI非对称加密〔Cont.〕Applicationsandotherusers发送方接收方明文接收方的公钥加密密文密文接收方的私钥解密明文传送接收方的密钥对公钥私钥一个用户加密的信息，多个用户解读

PKIApplicationsandotherusers2PKI的组成

PKIPKI的组成Applicationsandotherusers认证机构注册机构证书库密钥备份及恢复系统证书撤销处理系统PKI应用接口系统

PKI注册机构及认证机构ApplicationsandotherusersRA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA系统是整个CA中心得以正常运营不可缺少的一局部。注册机构RA认证中心CACA负责管理PKI结构下所有用户的证书，把用户的公钥和用户的其他信息捆绑在一起在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。

PKIPKI的信任模型根CACA1CA2CA3终端用户终端用户终端用户终端用户终端用户终端用户

PKIPKI的信任模型CA1CA2CA3终端用户终端用户终端用户终端用户

PKIPKI的信任模型CA1CA2CA11终端用户桥CACA12CA12CA12终端用户终端用户终端用户终端用户终端用户终端用户终端用户

PKI证书库证书库是一种网上公共信息库，用于证书的发布和集中存放，用户可以从此处获得其他用户的证书和公钥。证书库是CA所签发的证书和CRL的集中存放地。系统必须确保证书库的完整性，防止伪造、篡改证书和CRL。证书主体的身份信息主体的公钥CA名称其他附加信息CA签名签字

PKI密钥备份及恢复系统Applicationsandotherusers初始化阶段颁发阶段(1)终端实体注册;(2)密钥对产生;(3)证书创立;(4)证书分发;(5)证书备份；假设注册时说明该密钥对用于数据加密，CA即对该用户的密钥和证书进行备份；(1)证书检索；(2)证书验证；(3)密钥恢复，不能正常解读加密文件时，从CA中恢复;(4)密钥更新，当一个合法的密钥对将要过期时，新的密钥对产生并颁发。

PKI证书撤销处理系统Applicationsa