- 1、本文档共51页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
第五章公钥密码基础设施
1PKI数字证书管理2PKI体系结构1了解PKI的原理和体系结构2理解PKE的信任模型主要内容学习目标3信任模型
Certmgr.msc
1.数字证书的生命周期44证书从产生到撤销具有一定的生命周期
2.注册和颁发证书
3.数字证书的使用
验证证书3.数字证书的使用
8指CA需要临时限制证书的使用,但又不需要撤销证书。1)证书的挂起2)证书的撤销CA签发的证书捆绑了用户的身份和公钥,在生命周期里都是有效的。由于用户身份的改变、对密钥的怀疑(丢失或泄露)、用户工作的变动、认为CA证书已泄露等。必须存在一种机制撤销这种认可,将该证书作废。4.证书的挂起与撤销
102)证书的撤销证书吊销列表(CertificateRevocationList,CRL)是结构化数据文件。包含证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。4.证书的挂起与撤销
112)证书的撤销证书吊销列表最短的有效期为一个小时,一般为1天,甚至一个月不等由各个证书颁发机构在设置其证书颁发系统时设置4.证书的挂起与撤销
122)证书的撤销针对CRL发布撤销列表有时间间隔的问题,提出了证书状态在线查询协议(OnlineCertificateStatusProtocol)4.证书的挂起与撤销
哪些证书的序列号应该出现在CRL上()有效期内的正常证书过期的证书尚未生效的证书私钥泄露的、有效期内的CA证书ABCD
部分用户丢失他们的私钥,可能有如下的原因:(1)遗失加密私钥的保护口令;(2)存放私钥的媒体被损坏,如硬盘、软盘或IC卡遭到破坏。通行的办法是备份并能恢复私钥。5.密钥的备份与恢复
在证书的生命周期中,每个用户在享受PKI服务期间会使用很多不同的密钥或证书。如果没有密钥的历史档案管理,用户无法查询或恢复以前的密钥或证书加密信息,因此必须对密钥历史档案进行管理。6.数字证书的档案管理密钥文档管理
1616证书从产生到撤销具有一定的生命周期证书生命的周期
张三李四张三和李四如何通过PKI进行身份的验证?
张三李四
张三注册授权中心RA①发起注册请求李四
张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求李四
张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四
张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书
张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书⑤发送李四的数字证书⑥使用李四证书中的公钥加密会话密钥
张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书⑤发送李四的数字证书⑥使用李四证书中的公钥加密会话密钥⑦李四查看张三证书
PKI的重要组成部分包括注册授权中心RA(RegistrationAuthority)、认证授权中心CA(CertificateAuthority,也称为证书颁发机构)和数字证书库。1)数字证书(也称作公钥证书)。是由权威的第三方认证授权中心CA颁发的,用于标识用户身份的文件。2)注册授权中心RA是负责证书注册任务的可信机构(或服务器)。3)认证授权中心CA是PKI中存储、管理、发布数字证书的可信机构(或服务器)。4)数字证书库是存储数字证书的部分。
26CA负责管理密钥和数字证书的整个生命周期,属于可信任的第三方,其作用类似颁发身份证的机构。CA可以具有层次结构,除直接管理一些具体的证书之外,还管理一些下级CA,同时又接受上级CA的管理,是PKI系统的最核心部件。1.认证中心CA
主要功能包括:(1)颁发证书,用数字签名绑定用户或系统的识别号和公钥。(2)提供目录服务,可以查询用户证书相关信息。(3)产生和发布证书撤销列表(CRL),验证证书状态。(4)下级认证机构证书及帐户管理(5)数字证书归档(6)历史数据归档健壮的数据
库系统无缝的目录接口CA硬件管理和运
行平台安全的审计密钥CA1.认证中心CA
数字证书的颁发1)由权威的第三方认证授权中心CA颁发的,用于标识用户身份的文件。2)除了根证书,其他证书都要从上一级证明自己3)谁来证明根证书? 根证书自己证明自己,用户选择是否相信 CA需要足够权威
发布数字证书的权威机构CA应该具备什么条件?
依法成立的合法组织具有与认证服务相适应的专业技术人员和管理人员具有与提供认证阿服务相适应的资金和经营场所,具备为用户提供认证服务和承担凤险、责任的能力具有符合国
您可能关注的文档
- 《信息安全导论》 课件 第7章 软件安全与病毒防护.pptx
- 《信息安全导论》 课件 第3章 密码学基础.pptx
- 《信息安全导论》 课件 第6章 网络安全.pptx
- 《信息安全导论》 课件 第4章 身份认证技术.pptx
- 《信息安全导论》 课件 第2章 信息安全数学基础.pptx
- 《信息安全导论》 课件 第10章 信息安全法律法规.pptx
- 《信息安全导论》 课件 第9章 信息安全管理.pptx
- 2023年辽宁省鞍山市中考生物一模试卷+答案解析.pdf
- 2023年江苏省盐城市建湖县海南中学中考数学仿真试卷+答案解析.pdf
- 2023年江苏省苏州市中考数学考前模拟预测卷+答案解析.pdf
- 2023年江苏省镇江市润州区中考生物二模试卷+答案解析.pdf
- 2023年江苏省徐州市邳州市运河中学中考生物二模试卷+答案解析.pdf
- 2023年江苏省苏州市吴中区中考冲刺数学模拟预测卷+答案解析.pdf
- 2023年江苏省南通市崇川区田家炳中学中考数学四模试卷+答案解析.pdf
- 2023年江西省吉安市中考物理模拟试卷(一)+答案解析.pdf
- 2023年江苏省泰州市海陵区九年级(下)中考三模数学试卷+答案解析.pdf
- 2023年江苏省苏州市高新二中中考数学二模试卷+答案解析.pdf
- 2023年江苏省南通市九年级数学中考复习模拟卷+答案解析.pdf
- 2023年江苏省南通市海安市九年级数学模拟卷+答案解析.pdf
- 2023年江苏省泰州市靖江外国语学校中考数学一调试卷+答案解析.pdf
文档评论(0)