江西师范大学商学院电子商务系
陈建 副教授
E-mail,88888k@gmail.com
博客, http://unclear.blogchina.com
第 6章
公钥基础设施 PKI
6.1 PKI概述
6.2 CA的结构
6.3 CA的证书策略
6.4 CP和 CPS的主题内容
6.5 PKI中的不可否认机制
6.6 几类不同的 PKI
目录
6.1 PKI概述
?6.1.1 PKI简介
?6.1.2 PKI的核心 —— CA
?6.1.1 PKI简介
公钥基础设施 PKI (public key
infrastructure)又叫公钥体系,是一种利用公
钥加密技术为电子商务的开展提供一套安全基础
平台的技术和规范,用户可利用 PKI平台提供的
服务进行安全通信。
? PKI应用系统的功能,
?公钥数字证书的管理
?证书撤销表的发布和管理
?密钥的备份和恢复
?自动更新密钥
?自动管理历史密钥
?支持交叉认证
6.1 PKI概述
?6.1.2 PKI的核心 —— CA
认证机构 CA (certificate authority)
又叫认证中心,是一个网上各方都信任的机构,专
门负责数字证书的发放和管理。
? CA的功能,
?接收验证用户数字证书的申请
?确定是否接收用户数字证书的申请
?向申请者颁发数字证书
?接收、处理用户的数字证书更新请求
?接收用户数字证书的查询、撤销
?产生和发布数字证书撤销表( CRL)
?数字证书的归档
?密钥归档
?历史数据归档
6.1 PKI概述
6.2 CA的结构
?6.1.1 认证路径
?6.2.2 树型层次结构
?6.2.3 森林型层次结构
?6.2.4 通用结构
?6.2.1 认证路径
? 交叉认证数字证
书,是由一个认证
机构对另一个认证
机构签发的包含了
该 CA的签名密钥的
数字证书。
? 认证路径,
6.2 CA的结构
?6.2.2 树型层次结构
6.2 CA的结构
?6.2.3 森林型层次结构
6.2 CA的结构
?6.2.4 通用结构
? 寻找认证路径
? 确认认证路径
?步骤,
6.2 CA的结构
6.3 CA的证书策略
?6.3.1 证书策略 CP与证书实施说明 CPS
?6.3.2 保证等级与证书等级
?6.3.3 证书策略的内容
?6.3.1 证书策略 CP与证书实施说明 CPS
证书策略 CP, 是一套制定的规则,用于说
明满足一般安全性要求的数字证书在某个特定的
团体里和(或)某一类应用中的应用能力。
证书实施说明 CPS, 规定了在认证过程中
要遵循的操作程序。
6.3 CA的证书策略
?6.3.2 保证等级与证书等级
? 保证等级,
?初级
?基本级
?中级
?高级
? 证书等级,
?验证要求
?私钥保护要求
?操作、管理和物理控制方面的要求
6.3 CA的证书策略
?6.3.3 证书策略的内容
? 介绍
? 一般规定
? 识别与数字证书策略
? 操作要求
? 物理、过程、与人员的安全控制
? 技术安全控制
? 数字证书及数字证书撤销表文件
? 管理规范
6.3 CA的证书策略
6.4 CP和 CPS的主题内容
?6.4.1 第一部分:介绍
?6.4.2 第二部分:一般规定
?6.4.3 第三部分:身份识别和身份验证
?6.4.4 第四部分:操作要求
?6.4.5 第五部分:物理、过程和人员的安全控制
?6.4.6 第六部分:技术安全控制
?6.4.7 第七部分:证书和证书撤消表
?6.4.8 第八部分:规范管理
?6.4.1 第一部分:介绍
? 社团成员
? 证书使用
? 数字签名验证过程
? 记录和签名
? 标识符
6.4 CP和 CPS的主题内容
?6.4.2 第二部分:一般规定
? 义务
? 责任
? 支付能力
? 解释和实施
? 证书发行和证书库
? 符合性审计
? 机密性
? 调查损害的权利
? 犯罪活动
6.4 CP和 CPS的主题内容
?6.4.3 第三部分:身份识别和身份验证
? 初始注册:命名
? 初始注册:身份验证
? 个人到场
? 带外验证
? 个人数据的第三方验证
6.4 CP和 CPS的主题内容
?6.4.4 第四部分:操作要求
? 证书申请
? 证书发行
? 证书接收
? 证书中止和撤销
? 记录归档
? 灾难及灾难恢复
? 认证机构终止服务
6.4 CP和 CPS的主题内容
?6.4.5 第五部分:物理、过程和人员
的安全控制
? 物理控制
? 过程控制
? 人员控制
6.4 CP和 CPS的主题内容
?6.4.6 第六部分:技术安全控制
? 密钥对的产生和安装
? 私钥保护
? 其他技术安全控制
6.4 CP和 CPS的主题内容
?6.4.7 第七部分:证书和证书撤消表
主要描述了与认证机构签发的
数字证书及数字证书撤销表内容有关的
需求 。
6.4 CP和 CPS的主题内容
?6.4.8 第八部分:规范管理
? 规范改变程序
? 发行和通知程序
? CPS批准程序
6.4 CP和 CPS的主题内容
6.5 PKI中的不可否认机制
?6.5.1 基本概念
?6.5.2 三种不可否认机制
?6.5.3 不可否认机制所涉及的活动
?6.5.4 可信任的第三方的作用
?6.5.5 不可否认机制的实施
?6.5.1 基本概念
在电子商务中,不可否认机制 被定义
为一种通信属性,它保护通信的一方不受
另一方谎称通信没有发生而导致的损害。
6.5 PKI中的不可否认机制
?6.5.2 三种不可否认机制
? 来源的不可否认机制
?主要解决是否某一方生成了特定消息、生成的时间如
何等问题。
? 送递的不可否认机制
?主要解决是否某一方受到了特定的数据消息、收到的
时间如何等问题。
? 提交的不可否认机制
?主要解决是否某一方传送或提交了特定数据消息,提
交的时间如何等问题。
6.5 PKI中的不可否认机制
?6.5.3 不可否认机制所涉及的活动
? 不可否认的请求
? 记录的生成
? 记录的分发
? 记录的核实
? 记录的保存
6.5 PKI中的不可否认机制
? 6.5.4 可信任的第三方的作用
可信任第三方,就是指一个能够帮助实现基于
计算机的信息传送的安全性和可信性的独立和中立
的第三方。
? 作用,
?公钥认证
?身份确认
?时间戳
? 影响因素:防伪性、耐久性、可审核性、独立性、
精确性、间隔
?记录的保存
?送递中介
?争议解决
6.5 PKI中的不可否认机制
?6.5.5 不可否认机制的实施
? 来源不可否认机制的实施
?由发送方进行数字签名
?由可信任的第三方进行数字签名
?由可信任的第三方对摘要进行数字签名
?内嵌可信任的第三方
? 送递不可否认机制的实施
?由接收方发送数字签名回执
?利用可信任的送递代理
?生成分段送递报告
? 提交不可否认机制的实施
6.5 PKI中的不可否认机制
6.6 几类不同的 PKI
?6.6.1 基于 PEM的 PKI
?6.6.2 基于 SET的 PKI
?6.6.3 VeriSign信任网络
?6.6.1 基于 PEM的 PKI
6.6几类不同的 PKI
?6.6.2 基于 SET的 PKI
6.6几类不同的 PKI
?6.6.3 VeriSign信任网络
VeriSign信任网络, 是世界上最大的商业认
证机构网络,由 VeriSign在美国和世界范围内逐渐
扩展的附属网络构成的,包括了英国电信,KPN电
信,Telia和 CIBC这些主要的服务提供商。
6.6几类不同的 PKI
陈建 副教授
E-mail,88888k@gmail.com
博客, http://unclear.blogchina.com
第 6章
公钥基础设施 PKI
6.1 PKI概述
6.2 CA的结构
6.3 CA的证书策略
6.4 CP和 CPS的主题内容
6.5 PKI中的不可否认机制
6.6 几类不同的 PKI
目录
6.1 PKI概述
?6.1.1 PKI简介
?6.1.2 PKI的核心 —— CA
?6.1.1 PKI简介
公钥基础设施 PKI (public key
infrastructure)又叫公钥体系,是一种利用公
钥加密技术为电子商务的开展提供一套安全基础
平台的技术和规范,用户可利用 PKI平台提供的
服务进行安全通信。
? PKI应用系统的功能,
?公钥数字证书的管理
?证书撤销表的发布和管理
?密钥的备份和恢复
?自动更新密钥
?自动管理历史密钥
?支持交叉认证
6.1 PKI概述
?6.1.2 PKI的核心 —— CA
认证机构 CA (certificate authority)
又叫认证中心,是一个网上各方都信任的机构,专
门负责数字证书的发放和管理。
? CA的功能,
?接收验证用户数字证书的申请
?确定是否接收用户数字证书的申请
?向申请者颁发数字证书
?接收、处理用户的数字证书更新请求
?接收用户数字证书的查询、撤销
?产生和发布数字证书撤销表( CRL)
?数字证书的归档
?密钥归档
?历史数据归档
6.1 PKI概述
6.2 CA的结构
?6.1.1 认证路径
?6.2.2 树型层次结构
?6.2.3 森林型层次结构
?6.2.4 通用结构
?6.2.1 认证路径
? 交叉认证数字证
书,是由一个认证
机构对另一个认证
机构签发的包含了
该 CA的签名密钥的
数字证书。
? 认证路径,
6.2 CA的结构
?6.2.2 树型层次结构
6.2 CA的结构
?6.2.3 森林型层次结构
6.2 CA的结构
?6.2.4 通用结构
? 寻找认证路径
? 确认认证路径
?步骤,
6.2 CA的结构
6.3 CA的证书策略
?6.3.1 证书策略 CP与证书实施说明 CPS
?6.3.2 保证等级与证书等级
?6.3.3 证书策略的内容
?6.3.1 证书策略 CP与证书实施说明 CPS
证书策略 CP, 是一套制定的规则,用于说
明满足一般安全性要求的数字证书在某个特定的
团体里和(或)某一类应用中的应用能力。
证书实施说明 CPS, 规定了在认证过程中
要遵循的操作程序。
6.3 CA的证书策略
?6.3.2 保证等级与证书等级
? 保证等级,
?初级
?基本级
?中级
?高级
? 证书等级,
?验证要求
?私钥保护要求
?操作、管理和物理控制方面的要求
6.3 CA的证书策略
?6.3.3 证书策略的内容
? 介绍
? 一般规定
? 识别与数字证书策略
? 操作要求
? 物理、过程、与人员的安全控制
? 技术安全控制
? 数字证书及数字证书撤销表文件
? 管理规范
6.3 CA的证书策略
6.4 CP和 CPS的主题内容
?6.4.1 第一部分:介绍
?6.4.2 第二部分:一般规定
?6.4.3 第三部分:身份识别和身份验证
?6.4.4 第四部分:操作要求
?6.4.5 第五部分:物理、过程和人员的安全控制
?6.4.6 第六部分:技术安全控制
?6.4.7 第七部分:证书和证书撤消表
?6.4.8 第八部分:规范管理
?6.4.1 第一部分:介绍
? 社团成员
? 证书使用
? 数字签名验证过程
? 记录和签名
? 标识符
6.4 CP和 CPS的主题内容
?6.4.2 第二部分:一般规定
? 义务
? 责任
? 支付能力
? 解释和实施
? 证书发行和证书库
? 符合性审计
? 机密性
? 调查损害的权利
? 犯罪活动
6.4 CP和 CPS的主题内容
?6.4.3 第三部分:身份识别和身份验证
? 初始注册:命名
? 初始注册:身份验证
? 个人到场
? 带外验证
? 个人数据的第三方验证
6.4 CP和 CPS的主题内容
?6.4.4 第四部分:操作要求
? 证书申请
? 证书发行
? 证书接收
? 证书中止和撤销
? 记录归档
? 灾难及灾难恢复
? 认证机构终止服务
6.4 CP和 CPS的主题内容
?6.4.5 第五部分:物理、过程和人员
的安全控制
? 物理控制
? 过程控制
? 人员控制
6.4 CP和 CPS的主题内容
?6.4.6 第六部分:技术安全控制
? 密钥对的产生和安装
? 私钥保护
? 其他技术安全控制
6.4 CP和 CPS的主题内容
?6.4.7 第七部分:证书和证书撤消表
主要描述了与认证机构签发的
数字证书及数字证书撤销表内容有关的
需求 。
6.4 CP和 CPS的主题内容
?6.4.8 第八部分:规范管理
? 规范改变程序
? 发行和通知程序
? CPS批准程序
6.4 CP和 CPS的主题内容
6.5 PKI中的不可否认机制
?6.5.1 基本概念
?6.5.2 三种不可否认机制
?6.5.3 不可否认机制所涉及的活动
?6.5.4 可信任的第三方的作用
?6.5.5 不可否认机制的实施
?6.5.1 基本概念
在电子商务中,不可否认机制 被定义
为一种通信属性,它保护通信的一方不受
另一方谎称通信没有发生而导致的损害。
6.5 PKI中的不可否认机制
?6.5.2 三种不可否认机制
? 来源的不可否认机制
?主要解决是否某一方生成了特定消息、生成的时间如
何等问题。
? 送递的不可否认机制
?主要解决是否某一方受到了特定的数据消息、收到的
时间如何等问题。
? 提交的不可否认机制
?主要解决是否某一方传送或提交了特定数据消息,提
交的时间如何等问题。
6.5 PKI中的不可否认机制
?6.5.3 不可否认机制所涉及的活动
? 不可否认的请求
? 记录的生成
? 记录的分发
? 记录的核实
? 记录的保存
6.5 PKI中的不可否认机制
? 6.5.4 可信任的第三方的作用
可信任第三方,就是指一个能够帮助实现基于
计算机的信息传送的安全性和可信性的独立和中立
的第三方。
? 作用,
?公钥认证
?身份确认
?时间戳
? 影响因素:防伪性、耐久性、可审核性、独立性、
精确性、间隔
?记录的保存
?送递中介
?争议解决
6.5 PKI中的不可否认机制
?6.5.5 不可否认机制的实施
? 来源不可否认机制的实施
?由发送方进行数字签名
?由可信任的第三方进行数字签名
?由可信任的第三方对摘要进行数字签名
?内嵌可信任的第三方
? 送递不可否认机制的实施
?由接收方发送数字签名回执
?利用可信任的送递代理
?生成分段送递报告
? 提交不可否认机制的实施
6.5 PKI中的不可否认机制
6.6 几类不同的 PKI
?6.6.1 基于 PEM的 PKI
?6.6.2 基于 SET的 PKI
?6.6.3 VeriSign信任网络
?6.6.1 基于 PEM的 PKI
6.6几类不同的 PKI
?6.6.2 基于 SET的 PKI
6.6几类不同的 PKI
?6.6.3 VeriSign信任网络
VeriSign信任网络, 是世界上最大的商业认
证机构网络,由 VeriSign在美国和世界范围内逐渐
扩展的附属网络构成的,包括了英国电信,KPN电
信,Telia和 CIBC这些主要的服务提供商。
6.6几类不同的 PKI