公钥基础设施PKI和授权管理基础设施PMI.pptVIP

树层次结构森林型结构证书链的验证示例CA认证模型如果用户i和j都属于CA111，那么i和j之间的密钥交换，只需要持有CA111开具的证明书就可以，即：对用户i和j的公钥PKi和PKj分别盖章，如(Pki)ca111,(Pkj)ca111,那么用户i和j就能证明密钥是对方的密钥。CA认证模型如果用户j的证明书是CA122开具的，那么情况就复杂了，各自具有：i方：(Pki)ca111,(CA111)CA11,(CA11)CA1j方：(Pkj)ca122,(CA122)CA12,(CA12)CA1这就形成了层层证明的证明链（certificationchain）。这里，符号(CA11)CA1是CA1对C11的公钥盖章，只是证明本公钥是C11的。CA证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书（PKI）CA11，（PKCA11）CA1，（PKCA1）CA（PKJ）CA21，（PKCA21）CA2，（PKCA2）CAij交叉认证是一种把以前无关的CA连接在一起的有用机制，从而使得在它们各自主体群之间的安全通信成为可能。1两个CA安全地交换密钥信息,这样每个CA都可以有效地验证另一方密钥的可信任性,这个过程称为交叉认证;2两个不同的CA层次结构之间可以建立信任关系单向交叉认证3一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证4交叉认证交叉认证交叉认证可以分为域内交叉认证：如果两个CA属于相同的域域间交叉认证：如果两个CA属于不同的域(例如，当在一家公司中的CA认证了在另一家公司中的CA)。交叉认证的约束名字约束:一个CA信任另一个CA在给定的一部分名字空间内的以其为主体颁发的证书路径长度约束:限制可以出现在一个有效的证书路径中的交叉认证的数目策略约束:提供一种方法来限制一个证书使用,如使用EMAIL,这样除EMAIL以外的任意证书为非法例如假设A已经被CA1认证并持有可信的一份CA1的公钥,并且B已经被CA2认证并持有可信的一份CA2的公钥,最初A只信任其证书由CA1签署的实体,因为他能够验证这些证书(使用CA1的公钥),但不能验证B的证书,因为他没有持可信的一份CA2的密钥,类似的在B身上发生,如果CA1和CA2交叉认证后,双方都获得了对方的公钥,这样A的信任就能扩展到CA2的主体群,如B;子层次型结构网状交叉认证结构混合结构桥认证结构信任列表交叉认证不同的交叉认证信任模型PKI中的CA关系控制了PKI的可扩展性。:CA：最终用户010203子层次型交叉认证信任模型分布式信任结构把信任分散在两个或多个CA上，相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA。如果这些严格层次结构都是可信颁发者层次结构，那么该总体结构被称作完全同位结构（fullypeeredarchitecture)。如果所有的严格层次结构都是多层结构（multi-levelhierarchy），那么最终的结构就被叫作满树结构（fullytreedarchitecture)。一般来说，完全同位结构部署在某个组织内部，而满树结构和混合结构则是在原来相互独立的PKI系统之间进行互联的结果。分布式信任结构模型网状交叉认证信任模型网状型：相互独立的CA之间可以交叉认证，从而形成CA之间的信任关系网络。网状配置中，所有的CA之间都可以进行交叉认证。灵活，便于建立特殊信任关系，也符合商贸中的双边信任关系任何PKI中，用户至少要信任其证书颁发CA允许用户频繁通信的CA之间直接交叉认证，以降低认证路径处理量CA私钥泄露引起的恢复仅仅涉及到该CA的证书用户密钥和证书的生成证书发放证书废止证书存储/目录服务密钥备份和恢复密钥更新时间戳交叉认证密码学已在前面介绍过，这里只介绍数字证书可以说，目录服务是管理目录的服务，它把身份和各种网络对象以及他们间的关系统一到一个数据库中，为操作系统、应用程序和硬件设备提供集中的身份服务。建立一个因特网身份世界的关键在于建立能够胜过于让个人用户创建管理和保护用户身份的网络环境。一个基于目录服务的网络也即是一个“有身份”的网络。目录服务能恰当的处理各种关联关系，并可以对各种关联关系进行复杂的运算，这有助于实现对网络的策略管理。X.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准；定义了一个机构如何在全局范围内共享其名字和与之相关的对象；（LightweightDirectoryAccessProtocol,轻量级目录访问协