《信息安全导论》 课件 第5章 公钥密码基础设施.pptx

第五章公钥密码基础设施

1PKI数字证书管理2PKI体系结构1了解PKI的原理和体系结构2理解PKE的信任模型主要内容学习目标3信任模型

Certmgr.msc

1.数字证书的生命周期44证书从产生到撤销具有一定的生命周期

2.注册和颁发证书

3.数字证书的使用

验证证书3.数字证书的使用

8指CA需要临时限制证书的使用，但又不需要撤销证书。1）证书的挂起2）证书的撤销CA签发的证书捆绑了用户的身份和公钥，在生命周期里都是有效的。由于用户身份的改变、对密钥的怀疑（丢失或泄露）、用户工作的变动、认为CA证书已泄露等。必须存在一种机制撤销这种认可，将该证书作废。4.证书的挂起与撤销

102）证书的撤销证书吊销列表(CertificateRevocationList，CRL)是结构化数据文件。包含证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期、吊销列表失效时间和下一次更新时间，以及采用的签名算法等。4.证书的挂起与撤销

112）证书的撤销证书吊销列表最短的有效期为一个小时，一般为1天，甚至一个月不等由各个证书颁发机构在设置其证书颁发系统时设置4.证书的挂起与撤销

122）证书的撤销针对CRL发布撤销列表有时间间隔的问题，提出了证书状态在线查询协议（OnlineCertificateStatusProtocol）4.证书的挂起与撤销

哪些证书的序列号应该出现在CRL上（）有效期内的正常证书过期的证书尚未生效的证书私钥泄露的、有效期内的CA证书ABCD

部分用户丢失他们的私钥，可能有如下的原因：（1）遗失加密私钥的保护口令；（2）存放私钥的媒体被损坏，如硬盘、软盘或IC卡遭到破坏。通行的办法是备份并能恢复私钥。5.密钥的备份与恢复

在证书的生命周期中，每个用户在享受PKI服务期间会使用很多不同的密钥或证书。如果没有密钥的历史档案管理，用户无法查询或恢复以前的密钥或证书加密信息，因此必须对密钥历史档案进行管理。6.数字证书的档案管理密钥文档管理

1616证书从产生到撤销具有一定的生命周期证书生命的周期

张三李四张三和李四如何通过PKI进行身份的验证？

张三李四

张三注册授权中心RA①发起注册请求李四

张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求李四

张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四

张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书

张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书⑤发送李四的数字证书⑥使用李四证书中的公钥加密会话密钥

张三注册授权中心RA①发起注册请求认证授权中心CA②转发用户请求数字证书库③产生、存储张三的数字证书李四④请求李四的数字证书⑤发送李四的数字证书⑥使用李四证书中的公钥加密会话密钥⑦李四查看张三证书

PKI的重要组成部分包括注册授权中心RA（RegistrationAuthority）、认证授权中心CA（CertificateAuthority，也称为证书颁发机构）和数字证书库。1）数字证书（也称作公钥证书）。是由权威的第三方认证授权中心CA颁发的，用于标识用户身份的文件。2）注册授权中心RA是负责证书注册任务的可信机构（或服务器）。3）认证授权中心CA是PKI中存储、管理、发布数字证书的可信机构（或服务器）。4）数字证书库是存储数字证书的部分。

26CA负责管理密钥和数字证书的整个生命周期，属于可信任的第三方，其作用类似颁发身份证的机构。CA可以具有层次结构，除直接管理一些具体的证书之外，还管理一些下级CA，同时又接受上级CA的管理，是PKI系统的最核心部件。1.认证中心CA

主要功能包括：（1）颁发证书，用数字签名绑定用户或系统的识别号和公钥。（2）提供目录服务，可以查询用户证书相关信息。（3）产生和发布证书撤销列表(CRL)，验证证书状态。（4）下级认证机构证书及帐户管理（5）数字证书归档（6）历史数据归档健壮的数据

库系统无缝的目录接口CA硬件管理和运

行平台安全的审计密钥CA1.认证中心CA

数字证书的颁发1）由权威的第三方认证授权中心CA颁发的，用于标识用户身份的文件。2）除了根证书，其他证书都要从上一级证明自己3）谁来证明根证书？ 根证书自己证明自己，用户选择是否相信 CA需要足够权威

发布数字证书的权威机构CA应该具备什么条件？

依法成立的合法组织具有与认证服务相适应的专业技术人员和管理人员具有与提供认证阿服务相适应的资金和经营场所，具备为用户提供认证服务和承担凤险、责任的能力具有符合国