第8章 网络安全基础设施
第8章 网络安全基础设施
主要内容 PKI的组件 PKI信任框架 认证标准与认证过程 PM介绍
主要内容 • PKI的组件 • PKI信任框架 • 认证标准与认证过程 • PMI介绍
主要内容 PKI的组件 PKI信任框架 认证标准与认证过程 PM介绍
主要内容 • PKI的组件 • PKI信任框架 • 认证标准与认证过程 • PMI介绍
PK|的组件 >数字证书 >证书签发机构(CA) 注册权威机构(RA) 证书管理协议 证书的注销 目录服务与证书存储库 时间戳颁发机构
PKI的组件 ➢ 数字证书 ➢ 证书签发机构(CA) ➢ 注册权威机构(RA) ➢ 证书管理协议 ➢ 证书的注销 ➢ 目录服务与证书存储库 ➢ 时间戳颁发机构
数字证书 目前使用的是X509v3标准的证书样式。证书标准的确定 经历了一个较长的过程。早在1988年,|S0/IEC/TU 9594-8发布了X509v1证书标准,到1993年又修订为 X-509V2,同年, nternet增强型私用电子邮件小组 (PEM)发布了基于X509v1证书的PK规范,针对该标准 中的不足,lS0/EC/TU和ANS|X9小组在1996年6月正式 发布了X509V3的标准证书格式,PK|X小组以此为标准创 建了 Internet上的配置文件
数字证书 • 目前使用的是X·509 v3标准的证书样式。证书标准的确定 经历了一个较长的过程。早在1988年,ISO/IEC/ITU 9594-8发布了X·509 v1证书标准,到1993年又修订为 X·509 v2,同年,Internet增强型私用电子邮件小组 (PEM)发布了基于X·509 v1证书的PKI规范,针对该标准 中的不足,ISO/IEC/ITU和ANSI X9小组在1996年6月正式 发布了X·509 v3的标准证书格式,PKIX小组以此为标准创 建了Internet上的配置文件
数字证书 表7-1X509数字证书内容 项数 证书项φ 含义 14 version证书版本号,(如v31等)中 2+ Serial Numbere 序列号,证书的序列号在本CA范围内是唯一的 3 Signature Algorithm签名算法,CA使用的签名算法 4+ Issuer+ 证书发行者 p validity 证书有效期 Subject+ 证书拥有者(主体)名字φ 7 Subject Public Key Info主体使用的公开密钥及其加密算法 8+ Issuer Unique ID+ 发行者唯一标识(通常空)φ 9 Subject Unique l主体唯一标识(通常空)心 10 Extensions 版本证书的任选项 11 Signature CA对本证书的签名算法和签名结果(保障本证书的真 实性)
数字证书
证书签发机构(GA 证书签发机构(GA)是公钥基础设施中受信任的第三方实 体,0A负责向主体发行证书,并通过主体亲自签署的证书 表明主体的身份和主体使用的公开密钥的真实性,这在使 用公钥基础设施的网络环境中是至关重要的措施。QA是实 现PKI的核心组件,负责证书的发行、注销、更新和续用 等管理任务,证书与CRL的发布、以及围绕证书的签发与 维护管理过程中的事件的日志工作
证书签发机构(CA) • 证书签发机构(CA)是公钥基础设施中受信任的第三方实 体,CA负责向主体发行证书,并通过主体亲自签署的证书 表明主体的身份和主体使用的公开密钥的真实性,这在使 用公钥基础设施的网络环境中是至关重要的措施。CA是实 现PKI的核心组件,负责证书的发行、注销、更新和续用 等管理任务,证书与CRL的发布、以及围绕证书的签发与 维护管理过程中的事件的日志工作
注册权威机构(RA) ·在某些实现中,0A将某些责任委派给注册权威机构RA ( Registry Author ity)担负。根据RFG2510的 Internet 公钥基础设施证书管理协议( CMP--Certificate Management Protocols)规定的RA功能包括个人认证、令 牌分发、注销报告、名称指定、密钥生成、存储密钥对等 内容,在多数情况下,RA负责在证书登记过程中核实证书 申请者的身份
注册权威机构(RA) • 在某些实现中,CA将某些责任委派给注册权威机构RA (Registry Authority)担负。根据RFC 2510的Internet 公钥基础设施证书管理协议(CMP——Certificate Management Protocols)规定的RA功能包括个人认证、令 牌分发、注销报告、名称指定、密钥生成、存储密钥对等 内容,在多数情况下,RA负责在证书登记过程中核实证书 申请者的身份
证书管理协议 ·证书管理协议包括公钥加密系统标准PKCS、证书管理协议 CMP和证书管理消息M0等协议,这几个证书管理协议定义 了证书登记的某些细节(如加密算法),在某些情况下, 这些协议也有助于定义证书注销过程,有一些供应商甚至 提供了诸如密钥恢复和证书自动续用等附加能力,更加扩 展了这些协议的作用。 公钥加密系统标准PKcS 证书管理协议CMP 证书管理消息CMc
证书管理协议 • 证书管理协议包括公钥加密系统标准PKCS、证书管理协议 CMP和证书管理消息CMC等协议,这几个证书管理协议定义 了证书登记的某些细节(如加密算法),在某些情况下, 这些协议也有助于定义证书注销过程,有一些供应商甚至 提供了诸如密钥恢复和证书自动续用等附加能力,更加扩 展了这些协议的作用。 ➢ 公钥加密系统标准PKCS ➢ 证书管理协议CMP ➢ 证书管理消息CMC
公钥加密系统标准PKCS ·公钥加密系统标准PKcS( Publ ic Key Cryptographic Standards)是由 RSA Secur ity开发的一组标准协议,用 以定义安全信息交换的方法。这一族协议的编号为从PKcS #1到PKS#15,其中除PKCS#13和PKCS#14是已提交待批 的标准外,其他几个标准都已经正式发布,而PKS#和 PKCS#4两个协议都包含在PKCS#1中
公钥加密系统标准PKCS • 公钥加密系统标准PKCS(Public Key Cryptographic Standards)是由RSA Security开发的一组标准协议,用 以定义安全信息交换的方法。这一族协议的编号为从PKCS #1到PKCS #15,其中除PKCS #13和PKCS #14是已提交待批 的标准外,其他几个标准都已经正式发布,而PKCS #2和 PKCS #4两个协议都包含在PKCS #1中
