《信息安全导论》_第5章 公钥密码基础设施.pptxVIP

了解PKI的原理和体系结构

理解PKE的信任模型;

certmgr-证书·当前用户\受信任的根证书颁发机构证书]□×

文件(日操作(A查看(V帮助(H);

1.数字证书的生命周期

证书从产生到撤销具有一定的生命周期

公钥/私钥

生成;

用户产生一对私钥/公钥

2用户填写证书申请表

3发证机构(CA)验证核实后，用自己的私钥签发电子证书;

百度一下，你就知道×;

3.数字证书的使用

证书

主体身份信息Hash;

4.证书的挂起与撤销

1)证书的挂起

口指CA需要临时限制证书的使用，但又不需要撤销证书。

2)证书的撤销

□CA签发的证书捆绑了用户的身份和公钥，在生命周期里都是有效的。

口由于用户身份的改变、对密钥的怀疑(丢失或泄露)、用户工作的变动、认为CA证书已泄露等。必须存在一种机制撤销这种认可，将该证书作废。;

certmgr-[证书-当前用户\不信任的证书\证书信任列表]□×

文件(日操作(A)查看(V帮助(H);

口证书吊销列表(Certificate

RevocationList,CRL)是结构化数据文件。

口包含证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期、吊销列表失效时间和下一次更新时间，以及采用的签名算法等。;

2)证书的撤销

口证书吊销列表最短的有效期为一个小时，一般为1天，甚至一个月不等

口由各个证书颁发机构在设置其证书颁发系统时设置;

2)证书的撤销

针对CRL发布撤销列表有时间间隔的问题，提出了证书状态在线查询协议(OnlineCertificateStatusProtocol);

5.密钥的备份与恢复

口部分用户丢失他们的私钥，可能有如下的原因：

(1)遗失加密私钥的保护口令；

(2)存放私钥的媒体被损坏，如硬盘、软盘或IC卡遭到破坏。

口通行的办法是备份并能恢复私钥。;

6.数字证书的档案管理□密钥文档管理

口在证书的生命周期中，每个用户在享受PKI服务期间会使用很多

不同的密钥或证书。

口如果没有密钥的历史档案管理，用户无法查询或恢复以前的密钥

??证书加密信息，因此必须对密钥历史档案进行管理。;

口证书生命的周期

证书从产生到撤销具有一定的生命周期

公钥/私钥

生成;

张三和李四如何通过PKI进行

身份的验证?;

张三李四;

①发起注册请求

张三注册授权

中心RA李四;

①发起注册请求

张三;

②转发用户请求

注册授权认证授权

中心RA中心CA

①发起注册请求③产生、存储张三的数字证书

张三李四

数字证书库;

认证授权

中心CA

③产生、存储张

三的数字证书

李四;

⑤发送李四的

数字证书数字证书库

⑥使用李四证书中的公钥加密会话密钥;

⑤发送李四的

数字证书数字证书库

⑥使用李四证书中的公钥加密会话密钥;

PKI的重要组成部分包括注册授权中心RA(RegistrationAuthority)、认证授

权中心CA(CertificateAuthority,也称为证书颁发机构)和数字证书库。

1)数字证书(也称作公钥证书)。是由权威的第三方认证授权中心CA颁发的，用于标识用户身份的文件。

2)注册授权中心RA是负责证书注册任务的可信机构(或服务器)。

3)认证授权中心CA是PKI中存储、管理、发布数字证书的可信机构(或服务器)。

4)数字证书库是存储数字证书的部分。;

□CA负责管理密钥和数字证书的整个生命周期，属于可信任的第三方，其作用类似颁发身份证的机构。

□CA可以具有层次结构，除直接管理一些具体的证书之外，还管理一些下级CA,