公钥基础设施:1 为什么引入 PKI:PKI 是一种比较完整的网络安全解决方案,能够全面保证信息的完整性,真实性,机密性和不可否认性。2 什么是 PKI:PKI 是一种运用弓公钥密码的概念与技术,是一种实施并提供安全服务的具有普适性的网络安全基础设施。3 信任类型(服务):(1)身份认证(2)机密性(3)完整性(4)不可抵赖性(5)支持密钥管理4 PKI 组成(系统结构)5 认证中心 CA:CA 是 PKI 体系的核心,是 PKI 的主要组成实体,由可信第三方充当,负责管理密钥和数字证书的整个生命周期。6 CA 的核心功能:(1)证书审批:接收并验证最终用户数字证书的申请,确定是否接收(2)证书颁发:向申请者颁发、拒绝颁发数字证书。(3)证书更新:接收、处理最终用户的数字证书更新请求。(4)证书查询:接收用户对数字证书的查询;提供目录服务,可以查询相关信息。(5)证书撤销:产生和发布证书吊销列表,验证证书状态;(6)证书归档:数字证书归档及历史数据归档。(7)各级 CA 管理7 注册中心 RA:RA 是 PKI 信任体系的重要组成部分,是用户和 CA 之间的一个接口,是认证机构信任范围的一种延伸。RA 接受用户的注册申请,猎取并认证用户的身份,主要完成收集用户信息和确认用户身份的功能。8 数字证书:数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即在 Internet 上解决“我是谁"的问题。9 证书的操作流程图 P6210 证书管理(构建 PKI 的核心工作):1. 用户申请2。 证书生成3. 证书发布4。 证书验证5。 证书撤销6. 证书更新7。 证书归档8. 证书存储9 .证书使用11 证书的申请方式:证书的申请有离线申请方式和在线申请方式两种12 密钥管理:密钥管理也是 PKI(主要指 CA)中的一个核心问题,主要是指密钥对的安全管理,包括密钥产生、密钥备份、密钥恢复和密钥更新等。13 信任模型:1)实际网络环境中不可能只有一个 CA,2)多个认证机构之间的信任关系必须保证:原有的 PKI 用户不必依赖和信任专一的 CA,否则将无法进行扩展、管理和包含.3)信任模型建立的目的是确保一个认证机构签发的证书能够被另一个认证机构的用户所信任。14 常见的信任模型:1)严格层次结构模型2)分布式信任结构模型3)基于 Web 模型的信任模型4)以用户为中心的信任模型15 层次结构信任模型:图 P6616 层次结构模型的建立规则:1)根 CA 具有一个自签名的证书...
