文档介绍:1
第九章网络加密与认证
2
Public Key Infrastructure
3
数字证书
version (v3)
serial number
signature algorithm id
issuer name
validity period
subject name
subject public key info
issuer unique identifier
{extensions}
signature
证书:
4
数字证书
证书分类: ID/认证分级
证书重要性是不一样的
PKI通常支持不同类型的证书,可以(1)用于不同的功能(2)建立不同级别的身份认证机制.
证书分类没有标准
5
数字证书
1. 最低级
确保用户名和e-mail地址.,无第三方认证
用途:Web浏览
2. 基础级
由第三方(RA)验证姓名,地址和其他注册的个人信息。
可能应用: 小额 EDI, 在线支付。
6
数字证书
3. 中级
注册过程需要个人当面认定,高强度的密码模块和访问控制
典型应用: 敏感的公司间邮件或 EDI
4. 高级
需要个人当面以及详细调查最强的计算安全控制
7
Certificate Authority (CA) 对给定的安全域产生和发布证书。
控制政策,相对其他用户具有绝对的权威.
数字证书
8
Principal/
Applicant
Registration
Authority
Certificate
Authority
Repository
Application
or other entity
1. Users apply for certification
2. RA verifies identity
3. RA requests cert
for user
Cert and CRL Repository
(LDAP Directory)
4. CA issues cert
5. CA publishes certs and CRLs
5a. CA pushes CRL info to client based on policy
6. Apps and other systems use certs.
数字证书
9
Certificate Authority
Local Area
Network
Wide Area
Network
Local Area
Network
Local Area
Network
Registration
Authority
Principal/
Applicant
Repository
数字证书
10
CA 信任模型
任何支持超出单个安全域的PKI必须考虑:
如何建立对 CA本身的信任??
问: 谁是CA的可信第三方?
谁签发它的数字证书? (分层)
它和谁共享信任? (交叉证书)