資源描述:
《《密鑰管理與證書》PPT課件》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�����、PKI數(shù)據(jù)結(jié)構(gòu):eCommCA采用三種基于X.509定義的數(shù)據(jù)結(jié)構(gòu):證書�;交叉證書;證書廢止表或黑表�。為什么需要證書����?安全服務(wù)依賴于:自己擁有秘密密鑰其伙伴是否擁有你的公開密鑰通信伙伴采用你的公鑰來核實(shí)你是否擁有秘密密鑰問題:通信伙伴如何能肯定所使用的公鑰屬于你?解決:讓第三方即CA對(duì)公鑰進(jìn)行公正.公正后的公鑰就是證書。X.509證書CA的簽名保證證書的真實(shí)性證書已一種可信方式將密鑰“捆綁”到唯一命名持有人:ZhangMin公開密鑰:9f0a34...序列號(hào):123465有效期:2/9/1997-1/9/1998發(fā)布人:CA-名簽名:CA數(shù)字簽名證書可能存放到文件��、
2�、軟盤、智能卡����、數(shù)據(jù)庫?證書持有人證書頒發(fā)人證書序列號(hào)證書有限期公鑰消息摘要簽名算法散列證書持有人證書頒發(fā)人證書序列號(hào)證書有限期公鑰消息數(shù)字簽名CA的私鑰待簽名消息用戶證書CA生成用戶證書流程用戶證書鑒別機(jī)制用戶CA的公鑰說明:如果用戶的CA是相同的,則鑒別工程結(jié)束�,否則CA的證書還需用該CA的上級(jí)CA之公鑰來進(jìn)行驗(yàn)證,直至采用可信CA的公鑰驗(yàn)證后才結(jié)束。結(jié)果否定肯定停止CA可信����?用該CA頒發(fā)者的證書驗(yàn)證它是否證書驗(yàn)證流程X.509證書要求CA認(rèn)證公鑰對(duì)應(yīng)于名字證書格式的標(biāo)準(zhǔn)就是X.509X.509可廣泛用于基于公鑰體制的應(yīng)用如:PEM,MOSS,S/MIMESSL,
3、SETPKIX,GSS-APIX.400,X.500X.509v3證書X.509證書將公鑰“捆綁”到所有者名在,X.509V3證書語法出現(xiàn)以前���,只能采用X.500形式的命名V3證書允許在其中進(jìn)行擴(kuò)展尤其是其他命名形式可以出現(xiàn)在擴(kuò)展字段中證書:X509V3格式擴(kuò)展版本號(hào)序列號(hào)簽名算法標(biāo)識(shí)符發(fā)行者名有效期持有者名持有者公鑰信息發(fā)行者唯一ID持有者唯一ID簽名值值值字段1字段2字段3關(guān)鍵性標(biāo)志證書標(biāo)準(zhǔn)擴(kuò)展-密鑰和策略信息-證書主體和頒發(fā)者屬性-證書路徑限制-CRL識(shí)別結(jié)構(gòu)密鑰標(biāo)識(shí)符主體密鑰標(biāo)識(shí)符密鑰用途證書策略���。。���。主體備用名頒發(fā)者備用名����。�����。�����?;鞠拗泼拗?。���。����。CRL
4���、發(fā)布點(diǎn)撤消原因發(fā)行CRL者名�����。�����。。交叉證書:-CA之間可能需要相互認(rèn)證�����,即每個(gè)CA都為對(duì)方發(fā)行一個(gè)證書����,組合成交叉證書對(duì)-成交叉證書對(duì)支持雙向可信鏈,主要用于節(jié)省CA節(jié)點(diǎn)方式的可信模型-成交叉證書對(duì)包括兩個(gè)證書,分別為:前向證書�,它是反向證書的頒發(fā)者;反向證書它是前向證書的頒發(fā)者���。用戶的私鑰可能已泄露�,相應(yīng)的公鑰將不再有效����;用戶可區(qū)分名被改變;CA不再認(rèn)證用戶����;CA的私鑰可能已泄露;用戶違反了CA的安全策略����。證書取消的主要原因主要有:CA取消證書的方法是將該證書標(biāo)記為“無效”并放入到取消證書的表中(黑表)。黑表要公開發(fā)布���。X509定義的證書黑表包含了所有由CA撤消的
5��、證書����。證書黑表認(rèn)證路徑體系結(jié)構(gòu)eCommCA用戶X用戶Y證書(從頒發(fā)者到持有者)交叉證書認(rèn)證結(jié)構(gòu)(CA)證書用戶層次型結(jié)構(gòu)-用戶X的證書認(rèn)證路徑為CA4?CA2?CA1(ROOT)-優(yōu)點(diǎn):類似政府之類的組織其管理結(jié)構(gòu)大部分都是層次型的,而信任關(guān)系也經(jīng)常符合組織結(jié)構(gòu)�����,因此����,層次型認(rèn)證結(jié)構(gòu)就成為一種常規(guī)體系結(jié)構(gòu)。分級(jí)方法可基于層次目錄名認(rèn)證路徑搜索策略為“前向直通”每個(gè)用戶都有返回到根的認(rèn)證路徑��。根為所有用戶熟知并信任�,因此,任一用戶可向?qū)Ψ教峁┱J(rèn)證路徑��,而驗(yàn)證方也能核實(shí)該路徑�。-缺點(diǎn)世界范圍內(nèi)不可能只有單個(gè)根CA商業(yè)和貿(mào)易等信任關(guān)系不必要采用層次型結(jié)構(gòu)根CA私鑰的泄露
6、的后果非常嚴(yán)重���,恢復(fù)也十分困難。國家級(jí)CA地區(qū)級(jí)CA地區(qū)級(jí)CA組織級(jí)CA組織級(jí)CA證書(從頒發(fā)者到持有者)交叉證書認(rèn)證結(jié)構(gòu)(CA)證書用戶-用戶X到用戶Y的認(rèn)證路徑有多條�����,最短路徑是CA4?CA5?CA3用戶X用戶Y-優(yōu)點(diǎn):很靈活����,便于建立特殊信任關(guān)系����,也符合商貿(mào)中的雙邊信任關(guān)系任何PKI中����,用戶至少要信任其證書頒發(fā)CA,所以�����,建立這種信任網(wǎng)也很合理允許用戶頻繁通信的CA之間直接交叉認(rèn)證����,以降低認(rèn)證路徑處理量CA私鑰泄露引起的恢復(fù)僅僅涉及到該CA的證書用戶-缺點(diǎn):認(rèn)證路徑搜索策略可能很復(fù)雜用戶僅提供單個(gè)認(rèn)證路徑不能保證PKI的所有用戶能驗(yàn)證他的簽名網(wǎng)絡(luò)型結(jié)構(gòu)證書(從
7、頒發(fā)者到持有者)交叉證書認(rèn)證結(jié)構(gòu)(CA)證書用戶用戶X用戶Y-eCommCA采用混合結(jié)構(gòu):層次型和網(wǎng)絡(luò)型-根CA的主要職責(zé)是認(rèn)證下級(jí)CA而不是為端用戶頒發(fā)證書可能會(huì)和其他政府根CA或非政府CA之間進(jìn)行交叉認(rèn)證-每個(gè)非根CA都有源于根CA的層次認(rèn)證路徑�����,所以��,每個(gè)端實(shí)體都有一個(gè)證書其認(rèn)證路徑源于根CA-除了根CA外�,每個(gè)CA都有單個(gè)父CA,在CA的目錄屬性中�����,屬性證書存放父CA發(fā)行的層次型證書,而其他屬性交叉證書則提供網(wǎng)絡(luò)型的認(rèn)證路徑混合型結(jié)構(gòu)國家級(jí)CA地區(qū)級(jí)CA地區(qū)級(jí)CA組織級(jí)CA組織級(jí)CA倉庫和目錄:-采用公鑰體制的關(guān)鍵是一方可以獲取并信任另一方的公開密鑰���。-
