该【密钥管理与证书 】是由【165456465】上传分享,文档一共【32】页,该文档可以免费在线阅读,需要了解更多关于【密钥管理与证书 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。eCommCA :
证书;
交叉证书;
证书废止表或黑表。
202X
PKI 数据结构:
安全服务依赖于:
自己拥有秘密密钥
其伙伴是否拥有你的公开密钥
问题:通信伙伴如何能肯定所使用的公钥属于你?
通信伙伴采用你的公钥来核实你是否拥有秘密密钥
解决: 让第三方即 CA 对公钥进行公正. 公正后的公钥就是证书。
为什么需要证书 ?
证书
CA 的签名保证证书的真实性
证书已一种可信方式将密钥“捆绑”到唯一命名
持有人: Zhang Min
公开密钥: 9f 0a 34 ...
序列号: 123465
有效期: 2/9/1997- 1/9/1998
发布人: CA-名
签名: CA 数字签名
证书可能存放到文件、软盘、智能卡、数据库 ?
证书持有人
证书颁发人
证书序列号
证书有限期
公钥消息
摘要
签名算法
散列
证书持有人
证书颁发人
证书序列号
证书有限期
公钥消息
数字签名
CA的私钥
待签名消息
用户证书
CA生成用户证书流程
用户证书
鉴别机制
用户CA的
公钥
说明:
如果用户的CA是相同的,则鉴别工程结束,否则 CA 的证书还需用
该 CA的上级 CA之公钥来进行验证,直至采用可信 CA的公钥验证后才结束。
结果
否定
肯定
停止
CA可信?
用该CA颁发
者的证书验证它
是
否
证书验证流程
证书
要求CA认证公钥对应于名字
可广泛用于基于公钥体制的应用如:
PEM, MOSS, S/MIME
SSL, SET
PKIX, GSS-API
,
01
在, V3 证书语法出现以前,只能采用
证书将公钥“捆绑”到所有者名
02
V3 证书允许在其中进行扩展
尤其是其他命名形式可以出现在扩展字段中
v3 证书
证书:X509V3格式
扩展
版本号
序列号
签名算法标识符
发行者名
有效期
持有者名
持有者公钥信息
发行者唯一ID
持有者唯一ID
签名
值
值
值
字段1
字段2
字段3
关键性标志
证书标准扩展
- 密钥和策略信息
- 证书主体和颁发者属性
- 证书路径限制
- CRL 识别
结构密钥标识符
主体密钥标识符
密钥用途
证书策略
。。。
主体备用名
颁发者备用名
。。。
基本限制
命名限制
。。。
CRL发布点
撤消原因
发行CRL者名
。。。
CA 之间可能需要相互认证,即每个CA都为对方
成交叉证书对支持双向可信链,主要用于节省CA
发行一个证书,组合成交叉证书对
节点方式的可信模型
成交叉证书对包括两个证书,分别为:
前向证书,它是反向证书的颁发者;
反向证书它是前向证书的颁发者。
交叉证书:
用户的私钥可能已泄露,相应的公钥将不再有效;
用户可区分名被改变;
CA不再认证用户;
CA的私钥可能已泄露;
用户违反了CA的安全策略。
证书取消的主要原因主要有:
CA取消证书的方法是将该证书标记为“无效”并放入到取
消证书的表中(黑表)。黑表要公开发布。X509定义的证书
黑表包含了所有由CA撤消的证书。
证书黑表
密钥管理与证书 来自淘豆网m.daumloan.com转载请标明出处.
