公钥基础建设PKI课件.pptVIP

讲义VII：公基建(PKI)因特网安全：理论与实作JohnK.Zao,PhDSMIEEE国立交通大学2011/06/01

InternetSecurity-PKI2Fall2005问题与公钥密码系统a在哪里怎么样可以找到ㄧ个单位的公钥？a应该怎么做才能够确认一把公钥真的是属于某人？a怎样使用一把给定的公钥算是合理的？(例如，签署支票，签署合约)a什么时候公钥会永久失效？a你要怎么保护相对应的私钥？a当私钥遗失的时候会发生什么事情？v解法a使用公钥证书和公钥基础建设(PKI)

InternetSecurity-PKI3Fall2005公钥证书a证书是在公钥和一个主体(例如，个人，员工，教职员，公司，机构，授权管理机构)之间建立一个连结关系a经由一个授权管理机构所签署过的证书，可以保证连结关系和主体身分是完整未经窜改的a证书中包含有一个序号，用来协助侦测未经授权或假造的证书a当证书将过期时会有特别的规定a指示在怎样的政策下，证书是受到承认的，以及政策它用的政策是什么a提供其它关于主体或证书的使用的有用信息

InternetSecurity-PKI4Fall2005X.509公钥证书Version:1Serial#:0x0273000007SignatureAlgorithm:RSAwithMD5Issuer:/C=US/O=BBN,Inc./OU=BBNPKIServices/NotValidBefore:NotValidAfter:Sep3199520:00:00Sep14199620:00:00Subject:/C=US/O=BBN,Inc./CN=SteveCohn/PublicKeyAlgorithm:RSAPublicKey:100001,bb226db7496397756bcafda48c40c9f7873a627de4a4533adcf18bb768877f0552ff8a202f3c064e406e49d1f22e9e2cc2efa1b7155c5181f8fdb60d35f08d281040b1fea073a502d22337c35e7c94f5cc1a6d194f33dc517234175a4a9b49848302e062848eee4a3bd6a4ced748e3d544deb265ba832aadbe7517SignatureAlgorithm:RSAwithMD5Signature:42ab3847920c08fdb60d35f08ddc4a91fea073a502d9bc76435e7c94f5cccafda48c40c9f7873a627de4a4533adcf18bb768877f0552ff8a209023bcd84572ca12342e9e2cc2efa1b7155c175a4a9b49848302e062848eee4a3bd6a4ced748e3d544deb265ba832aadbebc06

InternetSecurity-PKI5Fall2005证书的功能建立身分v用在识别主体身分(认证身分)v也许是一个“匿名的”身分指定授权管理机构v通常又称之为“证书归属”v详细说明哪个“授权管理机构”授权给这个相对应密钥的持有者v在许多的情况下，没有办法直接识别主体保密机密信息v只有用来加密对称式钥匙，让主体可以读取机密的信息v为了让其它的团体能取得主体的公钥，证书必须具有能立即被访问的能力

InternetSecurity-PKI6Fall2005公钥基础建设(PKI)用公钥和所定义的信赖关系，让散布的应用能够用秘密的方式运作主要构成组件v凭证授权管理v信赖关系v发布机制v管理协议

InternetSecurity-PKI7Fall2005证书授权管理机构(CAs)传统授权管理机构来源的概念(例如，经理，教职员，官员)v负责产生凭证和更新过期的凭证v设定凭证产生与使用的政策v撤销凭证v建立用来产生、更新、和撤销凭证的运作政策和程序

InternetSecurity-PKI8Fall2005谁能够提供CA的服务？a政府机关a邮局a雇主a医院，HMOsa财务机构a零售商a出版商，娱乐服务提供者a因特网服务提供者

InternetSecurity-PKI9Fall2005信赖关系a其设计是让CAs彼此相互授权a让经过特定CA验证的因特网也能够验证由其它的CAs所产生的证书a让CAs能够产生证书，以提供给终端因特网或