网络安全原理与应用 教学课件 ppt 作者 Sec-ch3.5 PKI.ppt

第三章身份验证技术及应用?如何权威地发布和获取公钥?如何权威地管理和维护密钥?2关键知识点公钥基础设施(PKI)是一套公钥权威发布和更新的系统。公钥的发布和更新必须基于一套严格的身份验证系统。PKI可以作为一种身份验证系统。公钥一般与该公钥持有者标识符、公钥的有效期、公钥的发行方标识符等数据一起封装成一个数据单元,构成“证书”。再由某个公钥发布的权威机构进行签名之后,再向公众发布。:M1:AB:PKB{订单,VKA{签名}}M2:BA:PKA{回执,VKB{签名}}M3:AB:PKB{确认,VKA{签名}}这是否一定能够保证交易双方身份可信?通过公钥PKA和PKB才能保证交易的可信。必须设计一套公钥权威发布和更新的系统:公钥基础设施(英文缩写PKI)5PKI的结构PKI通常采用信任金字塔(POT)结构。最简单的POT只有两层结构,CA处于POT的塔尖,而由该CA签署发布的EE证书处于POT的塔底。这种基本的POT结构就构成了PKI中一个基本的信任域。(POT)结构6PKI的结构(续1)在PKI具体实现结构中,通常需要涉及到多个信任域之间的证书获取和验证,单个信任域的PKI结构就无法满足要求。这时,可以通过多层POT结构,实现跨信任域的证书获取和验证。(POT),它是由使用该证书的实体信任的认证中心CA签署发布的。目前常用的证书一般包括以下几类信息(1)证书编号,这是CA中唯一的编号。(2)证书发布方名字。(3)证书持有者名字。(4)证书持有者的公钥。(5)计算该证书数字签名的算法。(6)证书有效期。(7)扩展项,证书选项。(续1)以上这种证书的结构实际上是国际电信联盟(ITU-T),这是目前国际上标准的证书格式。-T正式批准的文本。,它包括用于描述证书的数据对象规范,以及对已经发行的证书不再信任的作废公告规范。(续2):其一,任何能够获取某个认证中心公钥的用户,都可以从该认证中心发行的证书中获取公钥;其二,除发行证书的认证中心之外,任何个人或机构都无法修改证书而不被察觉。10