返回
公钥基础设施PKI和授权管理基础设施PMI

公钥基础设施PKI和授权管理基础设施PMI

ID:39136829

大小:2.64 MB

页数:48页

时间:2019-06-25

公钥基础设施PKI和授权管理基础设施PMI_第1页
公钥基础设施PKI和授权管理基础设施PMI_第2页
公钥基础设施PKI和授权管理基础设施PMI_第3页
公钥基础设施PKI和授权管理基础设施PMI_第4页
公钥基础设施PKI和授权管理基础设施PMI_第5页
资源描述:

《公钥基础设施PKI和授权管理基础设施PMI》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络信息安全基础授课教师:张全海qhzhang@sjtu.edu.cn5.3公钥基础设施PKI和授权管理基础设施PMI公开密钥基础设施PKIPKI(PublicKeyInfrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI的主要任务是在开放环境中为开放性业务提供网上身份认证、信息完整性和数字签名服务。PKI是一种标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。PKI的主要功能密钥和证书

2、的生成证书存储/目录服务密钥备份和恢复支持不可抵赖服务证书废止证书发放交叉认证时间戳从功能上讲,一个完整的PKI系统必须具备如下一些主要功能:密钥更新PKI的构成从总体上讲,PKI由如下四个方面的部件构成:认证中心CAPKI的应用PKI策略注册机构RA证书发布系统软硬件系统PKI中的可信第三方——证书认证中心(CA),可以解决无边界用户的身份确定问题,提供了信任的基础。因此基于Internet的应用需要PKI。PKI作为一种支撑性基础设施,其本身并不能直接为用户提供安全服务,但PKI是其他安全应用的基础。PKI基本组成PKI由以下几个基本部分组成:证书库证书作废处理系统认证机构(CACer

3、tificateAuthority)注册机构(RARegistrationAuthority)密钥备份与恢复系统PKI应用接口PKI基本组成注册机构(RA)负责记录和验证部分或所有有关信息(特别是主体的身份),这些信息用于CA发行证书和CLR以及证书管理中。认证机构与其用户或证书申请人间的交互是由被称为注册机构(RA)的中介机构来管理;注册机构本身并不发放证书,但注册机构可以确认、批准或拒绝证书申请人,随后由认证机构给经过批准的申请人发放证书。PKI基本组成认证机构(CA)一个可信实体,发放和作废公钥证书,并对各作废证书列表签名。CA是PKI系统的核心,包含以下功能:接受用户的请求(由RA

4、负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表证书材料信息的管理PKI理论基础密码学(略)目录服务数字证书目录服务目的是建立全局/局部统一的命令方案,它从技术的角度定义了人的身份和网络对象的关系;目录服务是规范网络行为和管理网络的一种重要手段;X.500时一套已经被国际标准化组织(ISO)接受的目录服务系统标准;LDAP(轻量级目录访问协议)最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集X.500目录服务一个完整的X.500系统称为一个”目录”。X.500目录服务是一个复杂的信息存储机制,包括客户机-目录服务器访问协议、服务

5、器-服务器通信协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等.X.500目录服务可以向需要访问网络任何地方资源的电子函件系统和应用,或需要知道在网络上的实体名字和地点的管理系统提供信息。LDAP的英文全称是LightweightDirectoryAccessProtocol,轻量级目录访问协议。它是基于X.500标准的,但是简单并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP不是数据库而是用来访问存储在信息目录(也就是LDAP目录)中的信息的协议。也就是说“通过使用LDAP,可以在信息目录的正确位置读取

6、(或存储)数据”,LDAP主要是优化数据读取的性能。LDAP协议是跨平台的和标准的协议。LDAP最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。PKI中使用LDAP服务主要是用于CA证书库、CRL库(证书注销库)的发布,应用软件可以通过访问LADP来获取公开证书和CRLLDAP协议PKI中的证书PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性一个证书中,最重要的信息是个体名字、个体的公钥、机构的

7、签名、算法和用途最常用的证书格式为X.509v3PKI的构建自建模式(In-houseModel)是指用户购买整套的PKI软件和所需的硬件设备,按照PKI的构建要求自行建立起一套完整的服务体系。托管模式是指用户利用现有的可信第三方—认证中心CA提供的PKI服务,用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系,对内对外提供全部的PKI服务。与PKI有关的标准情况Certificates——X.509

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。