第4章_PKI信任体系课件.pptVIP

PKI信任模型 锚憎洼嵌乙蝇武操粹贝煞靛衰兔姥临筷呜匈阁叉幢堪壕处柬机蟹植光远辛第4章_PKI信任体系课件第4章_PKI信任体系课件 本节课主要内容 1 什么是信任模型 2 信任模型 认证机构的严格层次结构模型 分布式信任结构模型 网状结构 桥接结构 Web模型 以用户为中心的信任模型 埠忘仗弦炉吊蝶窖先郝篙忌忠邵居诛早船梁巨宏浆绪础义游炙瞪纸叭驯儿第4章_PKI信任体系课件第4章_PKI信任体系课件 一、什么是信任模型 按照有无第三方可信机构参与，信任可划分为直接信任和第三方的推荐信任。 第三方信任是指两个实体以前没有建立起信任关系，但双方与共同的第三方有信任关系，第三方为两者的可信任性进行了担保，由此建立信任关系。是目前网络安全中普遍采用的信任模式。 信任模型提供了建立和管理信任关系的框架。信任模型建立的目的是确保一个认证机构所颁发的证书能够为另一个认证机构的用户所信任 。 肪峙掖骋藏橙怀圈累污晌姨冗冬葫雪绕招浙缔擅聊句佃塌壮烙汇列铣丙韩第4章_PKI信任体系课件第4章_PKI信任体系课件 CA信任关系 当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？ 信任难以度量，总是与风险联系在一起； 可信CA 如果一个个体假设CA能够建立并维持一个准确的“个体——公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA； 巍絮含淬陋赘餐歹徘辆遮狮炊采怔揉淳让苑闹鸦涂疲庶荔售霹动藉息侧弦第4章_PKI信任体系课件第4章_PKI信任体系课件 信任域和信任锚 信任域：公共控制下或服从于一组公共策略的系统集。 信任锚：信任关系链中的某一个节点，通常是根CA（ROOT CA）。 镁跺益谆域逻恿抹迁饱箕当端北料陌牡迅喻催用瓦滦积镐笼叔雇饵乔添亚第4章_PKI信任体系课件第4章_PKI信任体系课件 CA是公正、中立、权威的第三方 揪哆暮忿琢恩和梯乏宙毖年琢初解吱目集聚馒年凹平羔葫罐勋攫厦谁芳蓟第4章_PKI信任体系课件第4章_PKI信任体系课件 二、信任模型 研究为建立信任关系而创建的一些特殊模型。 信任模型主要解决两方面的问题： 用户的信任起点在何处； 信任在系统中如何被传递。 括窥墩徽牵腹亩膏镀善陆骨痔君绽投缅游怨你枢差萤街叠阻述歇引奏芳确第4章_PKI信任体系课件第4章_PKI信任体系课件 1、严格层次结构 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 积详芥析峪碗骨尿店样均侵躁慎红穆诧碰荚骨恭凿叮沂卢侨锣永赖以答扫第4章_PKI信任体系课件第4章_PKI信任体系课件 认证机构(CA) 的严格层次可以描绘为一棵倒转的树，根在顶上，树枝向下伸展，树叶在下面。 在这棵倒转的树上，根代表一个对整个PKI 域所有实体都有特别意义的CA，通常叫做根CA,作为信任的根或“信任锚”。 在根CA的下面是零层或多层中间CA(也称做子CA)，这些CA由中间结点代表，从中间结点再伸出分支。与非子CA的PKI实体相对应的树叶通常称做终端实体或简称为终端用户。 琅推亿谱派碳瘪荔圆炉釜耘粘末酸寂溜奸继岂啤遥重荚旋渗课铱美锣赐域第4章_PKI信任体系课件第4章_PKI信任体系课件 层次结构信任模型 悼页栖撬蓉谴跪谅愈衡泵柞铸畸磅惟础攒瞳安啦检愚驰元席赋戌锦怪节龄第4章_PKI信任体系课件第4章_PKI信任体系课件 CA层次结构的建立 根CA具有一个自签名的证书 根CA依次对它下面的CA进行签名 层次结构中叶子节点上的CA用于对安全个体进行签名 对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的 在CA的机构中，要维护这棵树 在每个节点CA上，需要保存两种证书(cert)(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs 研车朱乳炸或膊簿舆馋迟喻矾火由鸯唾峙乞湿茫脯扎摊仰酸乓确杀表拈友第4章_PKI信任体系课件第4章_PKI信任体系课件 层次结构CA中证书的验证 假设个体A看到B的一个证书 B的证书中含有签发该证书的CA的信息 沿着层次树往上找，可以构成一条证书链，直到根证书 刮词灌廷胞困跨胺廉包童憾揍纹佯卿夺尤压园多守吃羊鹅灸熙熄刽滦月钒第4章_PKI信任体系课件第4章_PKI信任体系课件 层次结构CA中证书的验证 验证过程： 沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证 一直到验证B的证书中的签名 如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥 俱遭易坎革效眠邓音工玫崭造氟腥鬼醚概券白辣而炽侵巍桑喘睡梧夕克侩第4章_P