PKI技术 教学课件 荆继武 第3讲 PKI基本概念.pdfVIP

PKI技术 第三讲 PKI基本概念 本节内容  IETF PKIX工作组的PKI系统结构模型以 及在此模型下的一些基本概念  主要包括：  数字证书Certificate  CA，Certification Authority  RA，Registration Authority  证书撤销和CRL  后面课程都是围绕本节的基本概念展开 基本概念来源1  发布订户的公钥  数字证书  由谁发布  CA  在哪里发布  资料库  CA如何获得订户信息（包括公钥）  RA  如何确认订户信息的真实性  认证和CPS 基本概念来源2  对不同订户，CA在签发过程中，使用严格程度不同的 认证过程  证书策略CP、认证业务声明CPS  订户密钥丢失、泄漏怎么办？  证书撤销  撤销信息如何公开？  CRL/OCSP/证书查询  1个CA如何管理大量的订户？  分级、CA的层次结构  分属于多个CA的订户/用户如何相互通信？  信任模型/交叉认证 基本概念来源3  有了层次结构/信任模型/交叉认证之后，如何 验证数字证书的有效性？  证书认证路径  用于机密性的数字证书，是否符合相关法律条 文？  双密钥/双证书  对双密钥/双证书，如何标识？  证书扩展  注：证书扩展也可用于标识其它内容 PKI的最基本功能  签发数字证书并发布，包括：  生成公私密钥对  认证用户信息  签发数字证书  发布证书  维护证书状态  为达到以上目标，如何很好地进行功能分配、 由不同的部件来协同工作  重点介绍IETF PKIX的模型 PKIX Working Group  PKIX  IETF下属的一个工作组，最初的任务是制定 适用于Internet的、基于ITU-T X.509的各种 PKI标准。  ITU-T X.509标准，描述在X.500 目录上面如何用 公钥技术来进行鉴别（Authentication ）；因为 Authentication过程中需要使用证书，从而有大 量的篇幅在描述证书格式。  1995年开始工作 PKIX的工作任务  最初任务：说明在Internet上面，如何使用 兼容X.509标准的PKI系统。  注：X.509标准的本意是在X.500 目录上面使用  随着时间发展，PKIX工作组的有些标准已 经超出X.509 的范围  例如，OCSP协议，在X.509 中并没有描述 终端实体 PKIX模型 End Entity PKI用户 PKI user 证书/CRL RA 资料库 注册机构 CA 认证机构 CRL Issuer CRL签发