网络管理与信息安全

网络管理与信息安全

ID:40003430

大小:242.50 KB

页数:16页

时间:2019-07-17

网络管理与信息安全_第1页
网络管理与信息安全_第2页
网络管理与信息安全_第3页
网络管理与信息安全_第4页
网络管理与信息安全_第5页
资源描述:

《网络管理与信息安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、8.4数字证书与公钥基础设施8.4.1数字证书8.4.2公钥基础设施8.4.1数字证书数字证书,即数字ID,是一种由证书权威机构CA(certificateauthority)签发用于识别的电子形式的个人证书。这里,数字证书指X.809公钥证书,即数字证书的一个标准格式。数字证书可以用于身份验证,方便地保证由鲜为人知的网络发来信息的可靠性,同时建立收到信息的拥有权及完整性。1.证书结构尽管X.809已经定义了证书的标准字段和扩展字段的具体要求,仍有很多的证书在颁发时需要一个专门的协议子集来进一步定义说明。Internet工程任务组公钥基础设施PKI(publi

2、ckeyinfrastructure)X.809工作组就制定了这样一个协议子集,即RFC2489。图8.10给出了第3版的证书结构。除了X.809格式的证书外,还有SPKI、PGP、SET和属性证书等形式。8.4.1数字证书图8.10X.809版本3的证书格式版本号表示证书的版本,如版本1,版本3等;序列号是由证书颁发者分配给证书的惟一标识符;签名算法是由对象标识符加上相关参数组成的标识符,用于说明证书所用的数字签名算法;颁发者是证书颁发者的可识别名;有效期是证书有效的时间段;主体是证书拥有者的可识别名,此字段必须为非空;主体公钥信息是对主体的公钥以及算法标识

3、符进行说明;颁发者惟一标识符是证书颁发者的惟一标识符,仅在版本2和版本3中要求,属于可选项;主体惟一标识符是证书拥有者惟一标识符,仅在版本2和版本3中要求,属于可选项;扩展是专用的标准和专用功能字段;签名是认证机构的数字签名。8.4.1数字证书2.证书的用途和功能从证书的用途上看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保护认证信息以及公开密钥的文件。3.认证机构系统CA系统为实现其功能,主要由3部分组成:认证机构注册机构证书目录服务器8.4.1数字证书下面以Ope

4、nCA身份认证系统为例说明CA系统的工作流程。整个CA采用图8.11所示的体系结构模型。图8.11CA系统结构在OpenCA认证系统当中,整个CA系统由注册机构RA、认证机构CA、CA管理员平台、访问控制系统以及目录服务器组成。8.8.1数字证书4.数字认证数字认证是检查一份给定的证书是否可用的过程,也称为证书验证。数字认证引入了一种机制来确保证书的完整性和证书颁发者的可信赖性。在考虑证书的有效性或可用性时,除了简单的完整性检查还需要其他的机制。数字认证包括确定如下主要内容:一个可信的CA已经在证书上签名。证书有良好的完整性。证书处在有效期内。证书没有被撤消。

5、证书的使用方式与任何声明的策略和/或使用限制相一致。8.4.2公钥基础设施PKI(publickeyinfrastructure)的组成一个实用的PKI体系应该是安全的、易用的、灵活的和经济的,它必须充分考虑互操作性和可扩展性。从系统构建的角度,PKI由三个层次构成,如图8.13所示。PKI系统的最底层位于操作系统之上,为密码技术、网络技术和通信技术等,包括各种硬件和软件;中间层为安全服务API和CA服务,以及证书、CRL和密钥管理服务;最高层为安全应用API,包括数字信封、基于证书的数字签名和身份认证等API,为上层各种业务应用提供标准的接口。一个完整的PK

6、I系统具体包括认证机构CA、数据证书库、密钥备份及恢复系统、证书作废处理系统和客户端证书处理系统等部分。8.4.2公钥基础设施图8.13PKI系统应用框架8.4.2公钥基础设施认证机构。认证机构CA是证书的签发机构,是保证电子商务、电子政务等交易的权威性、可信任性和公正性的第三方机构。数据证书库。证书库是CA颁发证书和撤消证书的集中存放地,可供用户进行开放式查询,获得其他用户的证书和公钥。密钥备份及恢复系统。PKI提供的密钥备份和恢复解密密钥机制是为了解决用户丢失了密钥使得密文数据无法被解密的情形。证书作废处理系统。证书的有效期是有限的,证书和密钥必须由PKI

7、系统自动进行定期的更换,超过其有效期限就要被作废处理。客户端证书处理系统。为了方便客户操作,在客户端装有软件,申请人通过浏览器申请、下载证书,并可以查询证书的各种信息,对特定的文档提供时间戳请求等。8.4.2公钥基础设施2.PKI的运行模型在PKI的基本框架中,具体包括管理实体、端实体和证书库三类实体,其功能如下:管理实体。它包括证书签发机构CA和注册机构RA,是PKI的核心,是PKI服务的提供者。CA和RA以证书方式向端实体提供公开密钥的分发服务。端实体。它包括证书持有者和验证者,它们是PKI服务的使用者。持有者向管理实体申请并获得证书,也可以在需要时请求撤

8、销或更新证书;验证者通常是授权方,确认

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。