資源描述:
《公鑰基礎(chǔ)設(shè)施PKI介紹1》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、公鑰基礎(chǔ)設(shè)施PKI介紹1.PKI基本概念2.PKI體系結(jié)構(gòu)與功能操作3.PKI體系的互通性與標準化4.X.509標準5.認證機構(gòu)CA系統(tǒng)6.PKI的應(yīng)用之一——安全電子交易協(xié)議-SET1.PKI基本概念什么是PKI呢?公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)PKI是一個用非對稱密碼算法原理和技術(shù)來實現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。能夠為所有網(wǎng)絡(luò)應(yīng)用提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。為什么需要PKI?電子政務(wù)、電子商務(wù)對信息傳輸?shù)陌踩枨笤谑瞻l(fā)雙方建立信任關(guān)系,提供身份認證、數(shù)字簽名、加密等安全服務(wù)收發(fā)雙方不需要共享密鑰,通過公
2、鑰加密傳輸會話密鑰1.PKI基本概念非對稱密碼體制C7D08FF私有密鑰KPV明文+密文公開密鑰KPB密文+明文摘要+簽名簽名+摘要COMMONACCESSCARD-DRAFTLAYOUTGenevaConv.Cat.VIDateofBirth19XXJAN00SocialSecurityNumber000-12-3456DDFormXXXXXX2000PropertyoftheU.S.GovernmentIntegratedCircuitChipLocationArmyanticipatesa32KChip.PKICertificateswilltake9.9Kto12.9Kof
3、theChip.Futureresidualspaceforotherfunctionalandserviceapplications.BarcodeforPersonnelDataIssueDate2000OCT23Keane,JohnM.ArmyActiveDutyExpirationDate2003OCT22PayGradeO10ArmedForcesoftheUnitedStatesRankGENGenevaConventionsIdentificationCardSAMPLEBarcodeforFunctionalApplicationsCurrentUsesInclud
4、e:ArmyFoodManagementInformationSystem(AFMIS)--3sitesUSAREUR(Army/USAF)--MotorVehicleRegistration--26workstationsUSMCFlightlineAccessControlSystem--8sitesUSAFMilitaryImmunizationTrackingSystem--26workstationsLittleCreekNavalStationVOQ/BOQCheck-in--1siteSAMPLEMedicalBloodType:O+OrganDonor:YesMed
5、icalDataShowstheBloodTypeandOrganDonorStatus.MagneticStripeProposeduseisforbuildingandfacilityAccess.NavycurrentlyusesonetrackforATMaccess證書的結(jié)構(gòu)PKI的組成認證機構(gòu)CA證書的簽發(fā)機構(gòu),它是PKI的核心,是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機構(gòu)。注冊機構(gòu)RA注冊功能也可以由CA直接實現(xiàn),但隨著用戶的增加,多個RA可以分擔CA的功能,增強可擴展性,應(yīng)注意的是RA不容許頒發(fā)證書或CRL.證書庫證書的集中存放地,提供公眾查詢,常用目錄服務(wù)器提
6、供服務(wù),采用LDAP目錄訪問協(xié)議。密鑰備份及恢復(fù)系統(tǒng)簽名密鑰對:簽名私鑰相當于日常生活中的印章效力,為保證其唯一性,簽名私鑰不作備份。簽名密鑰的生命期較長。加密密鑰對:加密密鑰通常用于分發(fā)會話密鑰,為防止密鑰丟失時丟失數(shù)據(jù),解密密鑰應(yīng)進行備份。這種密鑰應(yīng)頻繁更換。PKI的組成(續(xù))證書作廢處理系統(tǒng)證書由于某種原因需要作廢,終止使用,這將通過證書作廢列表(CRL)來完成。自動密鑰更新無需用戶干預(yù),當證書失效日期到來時,啟動更新過程,生成新的證書密鑰歷史檔案由于密鑰更新,每個用戶都會擁有多個舊證書和至少一個當前證書,這一系列證書及相應(yīng)私鑰(除簽名私鑰)組成密鑰歷史檔案。PKI應(yīng)用接口系
7、統(tǒng)是為各種各樣的應(yīng)用提供安全、一致、可信任的方式與PKI交互,確保所建立起來的網(wǎng)絡(luò)環(huán)境安全可信,并降低管理成本。交叉認證多個PKI獨立地運行,相互之間應(yīng)建立信任關(guān)系公鑰基礎(chǔ)設(shè)施PKI1.PKI基本概念2.PKI體系結(jié)構(gòu)與功能操作3.PKI體系的互通性與標準化4.X.509標準5.認證機構(gòu)CA系統(tǒng)6.PKI的應(yīng)用之一——安全電子交易協(xié)議-SET2.PKI體系結(jié)構(gòu)與功能PKI體系結(jié)構(gòu)PKI功能操作PKI的服務(wù)2.1PKI體系結(jié)構(gòu)政策批準機構(gòu)PAA創(chuàng)建整個PKI系統(tǒng)的方針、