返回
《密钥管理与证书》PPT课件

《密钥管理与证书》PPT课件

ID:39490167

大小:266.10 KB

页数:32页

时间:2019-07-04

《密钥管理与证书》PPT课件_第1页
《密钥管理与证书》PPT课件_第2页
《密钥管理与证书》PPT课件_第3页
《密钥管理与证书》PPT课件_第4页
《密钥管理与证书》PPT课件_第5页
资源描述:

《《密钥管理与证书》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、PKI数据结构:eCommCA采用三种基于X.509定义的数据结构:证书;交叉证书;证书废止表或黑表。为什么需要证书?安全服务依赖于:自己拥有秘密密钥其伙伴是否拥有你的公开密钥通信伙伴采用你的公钥来核实你是否拥有秘密密钥问题:通信伙伴如何能肯定所使用的公钥属于你?解决:让第三方即CA对公钥进行公正.公正后的公钥就是证书。X.509证书CA的签名保证证书的真实性证书已一种可信方式将密钥“捆绑”到唯一命名持有人:ZhangMin公开密钥:9f0a34...序列号:123465有效期:2/9/1997-1/9/1998发布人:CA-名签名:CA数字签名证书可能存放到文件、

2、软盘、智能卡、数据库?证书持有人证书颁发人证书序列号证书有限期公钥消息摘要签名算法散列证书持有人证书颁发人证书序列号证书有限期公钥消息数字签名CA的私钥待签名消息用户证书CA生成用户证书流程用户证书鉴别机制用户CA的公钥说明:如果用户的CA是相同的,则鉴别工程结束,否则CA的证书还需用该CA的上级CA之公钥来进行验证,直至采用可信CA的公钥验证后才结束。结果否定肯定停止CA可信?用该CA颁发者的证书验证它是否证书验证流程X.509证书要求CA认证公钥对应于名字证书格式的标准就是X.509X.509可广泛用于基于公钥体制的应用如:PEM,MOSS,S/MIMESSL,

3、SETPKIX,GSS-APIX.400,X.500X.509v3证书X.509证书将公钥“捆绑”到所有者名在,X.509V3证书语法出现以前,只能采用X.500形式的命名V3证书允许在其中进行扩展尤其是其他命名形式可以出现在扩展字段中证书:X509V3格式扩展版本号序列号签名算法标识符发行者名有效期持有者名持有者公钥信息发行者唯一ID持有者唯一ID签名值值值字段1字段2字段3关键性标志证书标准扩展-密钥和策略信息-证书主体和颁发者属性-证书路径限制-CRL识别结构密钥标识符主体密钥标识符密钥用途证书策略。。。主体备用名颁发者备用名。。。基本限制命名限制。。。CRL

4、发布点撤消原因发行CRL者名。。。交叉证书:-CA之间可能需要相互认证,即每个CA都为对方发行一个证书,组合成交叉证书对-成交叉证书对支持双向可信链,主要用于节省CA节点方式的可信模型-成交叉证书对包括两个证书,分别为:前向证书,它是反向证书的颁发者;反向证书它是前向证书的颁发者。用户的私钥可能已泄露,相应的公钥将不再有效;用户可区分名被改变;CA不再认证用户;CA的私钥可能已泄露;用户违反了CA的安全策略。证书取消的主要原因主要有:CA取消证书的方法是将该证书标记为“无效”并放入到取消证书的表中(黑表)。黑表要公开发布。X509定义的证书黑表包含了所有由CA撤消的

5、证书。证书黑表认证路径体系结构eCommCA用户X用户Y证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户层次型结构-用户X的证书认证路径为CA4CA2CA1(ROOT)-优点:类似政府之类的组织其管理结构大部分都是层次型的,而信任关系也经常符合组织结构,因此,层次型认证结构就成为一种常规体系结构。分级方法可基于层次目录名认证路径搜索策略为“前向直通”每个用户都有返回到根的认证路径。根为所有用户熟知并信任,因此,任一用户可向对方提供认证路径,而验证方也能核实该路径。-缺点世界范围内不可能只有单个根CA商业和贸易等信任关系不必要采用层次型结构根CA私钥的泄露

6、的后果非常严重,恢复也十分困难。国家级CA地区级CA地区级CA组织级CA组织级CA证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户-用户X到用户Y的认证路径有多条,最短路径是CA4CA5CA3用户X用户Y-优点:很灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系任何PKI中,用户至少要信任其证书颁发CA,所以,建立这种信任网也很合理允许用户频繁通信的CA之间直接交叉认证,以降低认证路径处理量CA私钥泄露引起的恢复仅仅涉及到该CA的证书用户-缺点:认证路径搜索策略可能很复杂用户仅提供单个认证路径不能保证PKI的所有用户能验证他的签名网络型结构证书(从

7、颁发者到持有者)交叉证书认证结构(CA)证书用户用户X用户Y-eCommCA采用混合结构:层次型和网络型-根CA的主要职责是认证下级CA而不是为端用户颁发证书可能会和其他政府根CA或非政府CA之间进行交叉认证-每个非根CA都有源于根CA的层次认证路径,所以,每个端实体都有一个证书其认证路径源于根CA-除了根CA外,每个CA都有单个父CA,在CA的目录属性中,属性证书存放父CA发行的层次型证书,而其他属性交叉证书则提供网络型的认证路径混合型结构国家级CA地区级CA地区级CA组织级CA组织级CA仓库和目录:-采用公钥体制的关键是一方可以获取并信任另一方的公开密钥。-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。