版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
信息安全第四章密鑰管理與分配技術(shù)10/11/20221信息安全10/10/20221本章主要內(nèi)容
4.1密鑰管理的內(nèi)容4.2密鑰分配技術(shù)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.4Windows2000的PKI10/11/20222本章主要內(nèi)容10/10/20222本章學(xué)習(xí)目標(biāo)本章介紹密鑰的分類(lèi),密鑰管理內(nèi)容,密鑰的生成、存儲(chǔ),密鑰分配技術(shù)的原理,公開(kāi)密鑰體系結(jié)構(gòu)(PKI)以及密鑰分配技術(shù)的應(yīng)用。通過(guò)本章的學(xué)習(xí),學(xué)生掌握以下內(nèi)容:(1)了解密鑰的分類(lèi)、密鑰管理內(nèi)容;(2)掌握密鑰分配方法,如對(duì)稱(chēng)密碼體制和非對(duì)稱(chēng)密碼體制的密鑰分配方案;(3)理解X.509協(xié)議內(nèi)容;(4)理解和使用公開(kāi)密鑰體系結(jié)構(gòu)(PKI)必備技術(shù)。(5)掌握在Windows2000上安裝和配置證書(shū)服務(wù)。10/11/20223本章學(xué)習(xí)目標(biāo)本章介紹密鑰的分類(lèi),密鑰管理內(nèi)容,密鑰的生4.1.1密鑰的種類(lèi)密鑰的種類(lèi)多而繁雜,從一般通信網(wǎng)絡(luò)的應(yīng)用來(lái)看可分為以下幾種:基本密鑰會(huì)話密鑰密鑰加密密鑰主機(jī)主密鑰4.1密鑰管理的內(nèi)容10/11/202244.1.1密鑰的種類(lèi)密鑰的種類(lèi)多而繁雜,從一般4.1.1密鑰的種類(lèi)
4.1密鑰管理的內(nèi)容基本密鑰KP數(shù)據(jù)加密密鑰KD混合器密鑰產(chǎn)生器會(huì)話密鑰KS幾種密鑰之間的關(guān)系10/11/202254.1.1密鑰的種類(lèi)4.1密鑰管理的內(nèi)容基本4.1.2密鑰的生成1.密鑰的長(zhǎng)度與安全性
4.1密鑰管理的內(nèi)容數(shù)據(jù)類(lèi)型保密期長(zhǎng)最小密鑰長(zhǎng)軍事戰(zhàn)術(shù)產(chǎn)品公告貿(mào)易秘密氫彈秘密間諜身份個(gè)人事務(wù)外交使團(tuán)事務(wù)人口數(shù)據(jù)分/小時(shí)天/周數(shù)十年>40年>50年>50年>65年100年56bit56-64bit64bit128bit128bit128bit128bit≥128bit10/11/202264.1.2密鑰的生成1.密鑰的長(zhǎng)度與安全性4.1密鑰管4.1.2密鑰的生成2.好密鑰特征真正隨機(jī)、等概;避免使用特定算法的弱密鑰;雙鑰系統(tǒng)的密鑰更難產(chǎn)生,因?yàn)楸仨殱M足一定的數(shù)學(xué)關(guān)系;為了便于記憶,密鑰不能選得過(guò)長(zhǎng),而且不可能選完全隨機(jī)的數(shù)字串,要選用易記而難猜中的密鑰;采用散列函數(shù)。
密鑰的生成與算法有關(guān),如果生成的密鑰強(qiáng)度不一致,則稱(chēng)該算法構(gòu)成的是非線性密鑰空間;否則稱(chēng)為線性密鑰空間。4.1密鑰管理的內(nèi)容10/11/202274.1.2密鑰的生成2.好密鑰特征4.1密鑰管理的內(nèi)容14.1.2密鑰的生成3.生成密鑰的方式
4.1密鑰管理的內(nèi)容方式代表生產(chǎn)者用戶(hù)數(shù)量特點(diǎn)安全性適用范圍集中式傳統(tǒng)的密鑰分發(fā)中心KDC和證書(shū)分發(fā)中心CDC等方案在中心統(tǒng)一進(jìn)行生產(chǎn)有邊界,邊界以所能配置的密鑰總量定義,其用戶(hù)數(shù)量受限密鑰的認(rèn)證協(xié)議簡(jiǎn)潔交易中的安全責(zé)任由中心承擔(dān)網(wǎng)絡(luò)邊界確定的有中心系統(tǒng)分散式由個(gè)人產(chǎn)生
密鑰生產(chǎn)無(wú)邊界,其用戶(hù)數(shù)量不受限制密鑰變量中的公鑰必須公開(kāi),需經(jīng)第三方認(rèn)證。交易中安全責(zé)任由個(gè)人承擔(dān)無(wú)邊界的和無(wú)中心系統(tǒng)10/11/202284.1.2密鑰的生成3.生成密鑰的方式4.1密鑰管理的內(nèi)4.1.3密鑰的注入主機(jī)主密鑰:直接或間接注入,注入時(shí)須有電磁屏蔽,注入后不能再讀出(但可間接驗(yàn)證)。密鑰加密密鑰:直接或間接注入,注入時(shí)須有電磁屏蔽,裝入后不能再讀出,可聯(lián)機(jī)或者間接驗(yàn)證。初始密鑰:直接或間接注入,注入后不能再讀出,可聯(lián)機(jī)驗(yàn)證。
4.1密鑰管理的內(nèi)容10/11/202294.1.3密鑰的注入主機(jī)主密鑰:直接或間接注入,注入時(shí)須4.1.4密鑰的分配密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過(guò)程。由于任何密鑰都有使用期限,因此密鑰的定期(或不定期)更換是密鑰管理的一個(gè)基本任務(wù)。為了盡可能地減少人的參與,密鑰的分配需要盡可能地自動(dòng)進(jìn)行。密鑰的傳遞分為集中傳送和分散傳送兩類(lèi)。集中傳送是指將密鑰整體傳送,這時(shí)需要使用主密鑰來(lái)保護(hù)會(huì)話密鑰的傳遞,并通過(guò)安全渠道傳遞主密鑰。分散傳送是指將密鑰分解成多個(gè)部分,用秘密分享(secretsharing)的方法傳遞,而且只要有一部分到達(dá)即可復(fù)原。分散傳送方式適用于在不安全信道中傳遞密鑰的情形。
4.1密鑰管理的內(nèi)容10/11/2022104.1.4密鑰的分配密鑰的分配是指產(chǎn)生并使使用者獲得密鑰4.1.5密鑰的存儲(chǔ)
密鑰在多數(shù)時(shí)間處于靜態(tài),因此對(duì)密鑰的保存是密鑰管理重要內(nèi)容。密鑰可以作為一個(gè)整體進(jìn)行保存,也可化為部分進(jìn)行保存。密鑰的硬件存儲(chǔ)使用門(mén)限方案的密鑰保存公鑰在公用媒體中存儲(chǔ)
4.1密鑰管理的內(nèi)容10/11/2022114.1.5密鑰的存儲(chǔ)密鑰在多數(shù)時(shí)間處于靜4.1.5密鑰的存儲(chǔ)1.密鑰的硬件存儲(chǔ)
4.1密鑰管理的內(nèi)容好處:是攻擊者無(wú)法接觸它們。因?yàn)榱钆仆ǔ14嬖趥€(gè)人手中,并不連接到網(wǎng)絡(luò)上。只有當(dāng)用戶(hù)要使用他的令牌時(shí),才將其連接到他的計(jì)算機(jī)上,這最終也會(huì)連接到網(wǎng)絡(luò)。因此在這短暫的一刻,他的秘密是脆弱的。但是幾秒鐘的脆弱性顯然沒(méi)有一天24小時(shí)之內(nèi)都脆弱的網(wǎng)絡(luò)那樣危險(xiǎn)。這種方案可以使遠(yuǎn)程攻擊受挫。10/11/2022124.1.5密鑰的存儲(chǔ)1.密鑰的硬件存儲(chǔ)4.1密鑰管理4.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
密鑰門(mén)限方案(也稱(chēng)秘密共享或秘密分享)。通常將秘密(比如密鑰)被分割成幾份,某些份額必須結(jié)合在一起才能恢復(fù)秘密。例如,一個(gè)秘密可以分成5份,任何3份都可以結(jié)合以重新產(chǎn)生該值。10/11/2022134.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
Shamir建議了一種可達(dá)到理論上無(wú)條件保密的密鑰分散保存方案,把主密鑰按下列方法分為W個(gè)子密鑰K1、K2、…、KW,并把子密鑰分發(fā)給W個(gè)有合法權(quán)力的人,并做到:用W個(gè)子密鑰中的任意t個(gè)的知識(shí)計(jì)算主密鑰K容易;用W個(gè)子密鑰中的任意少于t個(gè)的知識(shí)確定主密鑰理論上不可解的問(wèn)題,因?yàn)槿鄙傩畔ⅰ?0/11/2022144.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
10/11/2022154.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
10/11/2022164.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
門(mén)限方案10/11/2022174.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
10/11/2022184.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存
4.1密鑰管理的內(nèi)容
10/11/2022194.1.5密鑰的存儲(chǔ)2.使用門(mén)限方案的密鑰保存密鑰的存儲(chǔ)3.公鑰在公用媒體中存儲(chǔ)
將公鑰存儲(chǔ)在公用媒體中,以保證能方便獲得公鑰,公用媒體首先是可信的第三方。但在公用媒體中存儲(chǔ)的方法需要解決密鑰傳遞技術(shù),以獲取對(duì)方的公鑰。還要解決公用媒體的安全技術(shù),即數(shù)據(jù)庫(kù)的安全問(wèn)題。4.1密鑰管理的內(nèi)容10/11/2022204.1.5密鑰的存儲(chǔ)3.公鑰在公用媒體中存儲(chǔ)4.1密鑰4.1.6密鑰的壽命密鑰不能無(wú)限期使用。密鑰使用時(shí)間越久,泄露的機(jī)會(huì)已越大,由泄露造成的損失就越大。用同一個(gè)密鑰對(duì)多個(gè)明文加密,被破譯的機(jī)會(huì)就大。密鑰必須定期更換。更換時(shí)間取決于給定時(shí)間內(nèi)待加密數(shù)據(jù)的數(shù)量、加密的次數(shù)和密鑰的種類(lèi)。例如,會(huì)話密鑰應(yīng)當(dāng)頻繁更換以便達(dá)到一次一密。密鑰的加密密鑰無(wú)需頻繁更換。主密鑰可有更長(zhǎng)的更換時(shí)間。用于存儲(chǔ)加密密鑰的密鑰則有更長(zhǎng)的更換時(shí)間。公開(kāi)密鑰密碼體制的私鑰的壽命,根據(jù)應(yīng)用的不同有很大變化,如用做數(shù)字簽名和身份認(rèn)證的私鑰可持續(xù)數(shù)年或一生。4.1密鑰管理的內(nèi)容10/11/2022214.1.6密鑰的壽命密鑰不能無(wú)限期使用。密鑰使用時(shí)間越久,4.1.8密鑰的銷(xiāo)毀加密設(shè)備應(yīng)能對(duì)設(shè)備內(nèi)的所有明文、密鑰及其他沒(méi)受保護(hù)的重要保密參數(shù)“清零”。即清除一個(gè)密鑰的所有蹤跡。一個(gè)密鑰的值在被停止使用后可能還要持續(xù)一段時(shí)間。必須禁止攻擊者通過(guò)觀察的數(shù)據(jù)文件中存儲(chǔ)的內(nèi)容或從拋棄的設(shè)備來(lái)確定舊密鑰值。若設(shè)備內(nèi)密鑰已加密或在邏輯上以及物理上已采取了保護(hù)措施,“清零”可不做要求。4.1密鑰管理的內(nèi)容10/11/2022224.1.8密鑰的銷(xiāo)毀加密設(shè)備應(yīng)能對(duì)設(shè)備內(nèi)的所有明文、密鑰4.2.1基本方法能使通信雙方共享密鑰的基本方法有三種。利用人工信道實(shí)現(xiàn)、網(wǎng)內(nèi)利用碼密技術(shù)實(shí)現(xiàn)密鑰分配、量子密碼學(xué)分配。1.利用人工信道實(shí)現(xiàn)2.網(wǎng)內(nèi)分配密鑰方式3.利用物理現(xiàn)象實(shí)現(xiàn)4.2密鑰分配技術(shù)10/11/2022234.2.1基本方法能使通信雙4.2.1基本方法1.利用人工信道實(shí)現(xiàn)4.2密鑰分配技術(shù)K1K2K3K4K5密鑰分路遞送K1K2K3K4K5密鑰接收重組送K2K1K3K4K5信使掛號(hào)函件特快專(zhuān)遞電話信鴿10/11/2022244.2.1基本方法1.利用人工信道實(shí)現(xiàn)4.2密鑰分配4.2.1基本方法2.網(wǎng)內(nèi)分配密鑰方式網(wǎng)內(nèi)分配方式是利用密碼技術(shù)自動(dòng)分配密鑰方式。它又可分為兩種:一種是在用戶(hù)之間直接分配密鑰,即一個(gè)通信主體可向另一個(gè)通信主體傳送在一次對(duì)話中要使用的會(huì)話密鑰。另一種是設(shè)立一個(gè)密鑰分配中心(KDC-KeyDistributeCenter),通過(guò)KDC來(lái)分配密鑰,這種方法使用得較多。
4.2密鑰分配技術(shù)10/11/2022254.2.1基本方法2.網(wǎng)內(nèi)分配密鑰方式4.2密鑰分配4.2.1基本方法3.利用物理現(xiàn)象實(shí)現(xiàn)基于量子密碼的密鑰分配方法,它是利用物理現(xiàn)象實(shí)現(xiàn)的。密碼學(xué)的信息理論研究指出,通信雙方A到B可通過(guò)先期精選、信息協(xié)調(diào)、保密增強(qiáng)等密碼技術(shù)實(shí)現(xiàn)使A和B共享一定的秘密信息,而竊聽(tīng)者對(duì)其一無(wú)所知。
4.2密鑰分配技術(shù)10/11/2022264.2.1基本方法3.利用物理現(xiàn)象實(shí)現(xiàn)4.2密鑰分配4.2.2密鑰分配中心方案
網(wǎng)內(nèi)KDC方式的幾種密鑰分配方案。一種是對(duì)稱(chēng)密鑰分配方案,另一種是公開(kāi)密鑰分配方案,這幾種方案實(shí)際也就是網(wǎng)絡(luò)的密鑰分配協(xié)議。4.2密鑰分配技術(shù)10/11/2022274.2.2密鑰分配中心方案網(wǎng)內(nèi)KD4.2.2密鑰分配中心方案1.對(duì)稱(chēng)密鑰分配方案4.2密鑰分配技術(shù)用戶(hù)A③EKB[IDA,KS,T]②EKA[IDB,KS,T,EKB[IDA,KS,T]]①I(mǎi)DA‖IDBKDC
用戶(hù)專(zhuān)用基本密鑰文件用戶(hù)B
AKA
BKB....10/11/2022284.2.2密鑰分配中心方案1.對(duì)稱(chēng)密鑰分配方案密鑰分配中心方案2.公開(kāi)密鑰分配方案4.2密鑰分配技術(shù)①I(mǎi)DA||IDB②CA||CB
③CA||CBKDC公開(kāi)密鑰文件用戶(hù)A用戶(hù)BAKPABKPB....CA=DKRAS(IDA,KPA,T1),CB=DKRAS(IDB,KPB,T2)
10/11/2022294.2.2密鑰分配中心方案2.公開(kāi)密鑰分配方案Diffie-Hellman密鑰交換方案讓A和B兩個(gè)陌生人之間建立共享秘密密鑰的公開(kāi)密鑰算法是由W.Diffie和M.E.Hellman于1976年提出,稱(chēng)為Diffie-Hellman算法,它定義了公開(kāi)密鑰密碼體制。它的目的是使得兩個(gè)用戶(hù)安全地交換一個(gè)密鑰以便用于以后的報(bào)文加密,這個(gè)算法本身限于密鑰交換的用途。許多商用產(chǎn)品都使用這種密鑰交換技術(shù)。
在Diffie-Hellman密鑰交換算法中的單向函數(shù)是模指數(shù)運(yùn)算。它的逆過(guò)程是離散對(duì)數(shù)問(wèn)題,其Diffie-Hellman算法的保密性基于求modp解離散對(duì)數(shù)問(wèn)題的困難。4.2密鑰分配技術(shù)10/11/2022304.2.3Diffie-Hellman密鑰交換方案4.2.3Diffie-Hellman密鑰交換方案1.基本原理4.2密鑰分配技術(shù)XAXBYAYBKA計(jì)算KB計(jì)算用戶(hù)A用戶(hù)B公開(kāi)公開(kāi)秘密秘密會(huì)話秘密會(huì)話秘密密鑰交換過(guò)程
10/11/2022314.2.3Diffie-Hellman密鑰交換方案1.基4.2.3Diffie-Hellman密鑰交換方案2.交換示例
為了計(jì)算簡(jiǎn)單,使用很小數(shù)字。設(shè)P=47和47的一個(gè)原元,a=3。A選擇秘密密鑰XA=8,B選擇秘密密鑰XB=10,各自計(jì)算其公開(kāi)密鑰。(1)雙方各自計(jì)算用戶(hù)A計(jì)算:YA=38mod47=6561mod47=28mod47用戶(hù)B計(jì)算:YB=310mod47=59049mod47=17mod47(2)交換YA和YB;(3)交換密鑰后,A、B分別計(jì)算共享的秘密會(huì)話密鑰KA、KB:用戶(hù)A計(jì)算:KA=YBXAmod47=178mod47=4
mod47用戶(hù)B計(jì)算:KB=YAXBmod47=2810mod47=4
mod47A和B雙方獨(dú)立地決定采用4作為會(huì)話密鑰。
4.2密鑰分配技術(shù)10/11/2022324.2.3Diffie-Hellman密鑰交換方案2.交4.2.5組播密鑰分配組播報(bào)文涉及一個(gè)發(fā)送者和多個(gè)接收者,而且接收者和發(fā)送者都可能變化,組播成員之間不能使用固定的對(duì)稱(chēng)密鑰,所以對(duì)組播報(bào)文的加密是一個(gè)較為困難的問(wèn)題。幾種可能的方案(1)可以使每個(gè)會(huì)話的成員使用一個(gè)共享會(huì)話密鑰,要解決將會(huì)話密鑰傳遞到本次會(huì)話的各個(gè)成員手中;(2)在非對(duì)稱(chēng)密鑰體制中各個(gè)成員使用自己固定的密鑰,發(fā)送者用會(huì)話密鑰加密報(bào)文后,再根據(jù)各個(gè)接收者的公開(kāi)密鑰進(jìn)行加密,附在密文中傳送給各個(gè)接收者。4.2密鑰分配技術(shù)10/11/2022334.2.5組播密鑰分配組播報(bào)文涉及一個(gè)發(fā)送者和多個(gè)接收者為管理公開(kāi)密鑰(生成、認(rèn)證、存儲(chǔ)、安裝),須建立一套公鑰基礎(chǔ)設(shè)施(PKI-PublicKeyInfrastructure)。PKI的基本組成元素是證書(shū)頒發(fā)機(jī)構(gòu)(CA-CertificateAuthority),PKI主要完成功能:①為用戶(hù)生成一對(duì)密鑰(公開(kāi)密鑰,私有密鑰),并通過(guò)一定的途徑分發(fā)給用戶(hù);②CA為用戶(hù)簽發(fā)數(shù)字證書(shū),形成用戶(hù)的公開(kāi)密鑰信息,并通過(guò)一定的途徑分發(fā)給用戶(hù);③對(duì)用戶(hù)證書(shū)的有效性進(jìn)行驗(yàn)證;④對(duì)用戶(hù)的數(shù)字證書(shū)進(jìn)行管理。這些管理包括有效證書(shū)的公布、撤銷(xiāo)證書(shū)的公布(有時(shí)也稱(chēng)證書(shū)黑名單表的維護(hù))、證書(shū)歸檔等。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/202234為管理公開(kāi)密鑰(生成、認(rèn)證、存儲(chǔ)、安裝),須建立4.數(shù)字證書(shū)是網(wǎng)絡(luò)用戶(hù)的身份證明,相當(dāng)于現(xiàn)實(shí)生活中的個(gè)人身份證。數(shù)字證書(shū)提供了一種系統(tǒng)化的、可擴(kuò)展的、統(tǒng)一的、容易控制的公鑰分發(fā)方法。是一個(gè)防篡改的數(shù)據(jù)集合,它可以證實(shí)一個(gè)公開(kāi)密鑰與某一最終用戶(hù)之間的捆綁。為了提供這種捆綁關(guān)系,需要一組可信第三方實(shí)體來(lái)?yè)?dān)保用戶(hù)的身份。第三方實(shí)體稱(chēng)為證書(shū)頒發(fā)機(jī)構(gòu)CA,它向用戶(hù)頒發(fā)數(shù)字證書(shū),證書(shū)中含有用戶(hù)名、公開(kāi)密鑰以及其他身份信息。由于這些信息都由證書(shū)頒發(fā)機(jī)構(gòu)對(duì)之進(jìn)行了數(shù)字簽名,就形成一個(gè)證明這個(gè)公開(kāi)密鑰可靠性的證書(shū),因而現(xiàn)在就可以傳輸和存儲(chǔ)這些證書(shū)了。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.1數(shù)字證書(shū)10/11/202235數(shù)字證書(shū)是網(wǎng)絡(luò)用戶(hù)的身份證明,相當(dāng)于現(xiàn)實(shí)生活中的個(gè)人身份證。在大型網(wǎng)絡(luò)中,這樣的證書(shū)頒發(fā)機(jī)構(gòu)(CA)有多個(gè)。如果這些CA之間存在信賴(lài)關(guān)系,則用戶(hù)就可通過(guò)一個(gè)簽名鏈去設(shè)法認(rèn)證其中任一CA所簽發(fā)的證書(shū)。概括地說(shuō),PKI就是對(duì)這些公開(kāi)密鑰證書(shū)的管理體制。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.1數(shù)字證書(shū)10/11/202236在大型網(wǎng)絡(luò)中,這樣的證書(shū)頒發(fā)機(jī)構(gòu)(CA)有多個(gè)。如果這些CA基于PKI的數(shù)字證書(shū)將公鑰與其用戶(hù)的身份捆綁在一起,證書(shū)必須要有一定的標(biāo)準(zhǔn)格式。目前廣泛采用的證書(shū)格式是國(guó)際電信聯(lián)盟(ITU)提出的X.509v3格式4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.2基于X.509數(shù)字證書(shū)
內(nèi)容說(shuō)明版本VX.509版本號(hào)序號(hào)證書(shū)序列號(hào):用于標(biāo)識(shí)證書(shū)算法識(shí)別符AIAI:產(chǎn)生證書(shū)算法的識(shí)別符參數(shù)算法規(guī)定的參數(shù)發(fā)文者CA:是建立和簽署文件CA的ID超始時(shí)間證書(shū)的有效期終止時(shí)間TA持證書(shū)人名
算法簽字用的公鑰算法參數(shù)算法的參數(shù)持證書(shū)人公鑰證實(shí)簽字用的公鑰數(shù)字簽字證書(shū)所有數(shù)據(jù)經(jīng)H運(yùn)行后CA以私鑰簽字10/11/202237基于PKI的數(shù)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.2基策略批準(zhǔn)機(jī)構(gòu)(PAA)策略控制機(jī)構(gòu)(PCA)認(rèn)證機(jī)構(gòu)(CA)在線證書(shū)申請(qǐng)(ORA)
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn典型的PKI體系結(jié)構(gòu)10/11/202238策略批準(zhǔn)機(jī)構(gòu)(PAA)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.策略批準(zhǔn)機(jī)構(gòu)(PAA):在整個(gè)PKI體系中處于核心位置。創(chuàng)建整個(gè)PKI系統(tǒng)的方針、策略,批準(zhǔn)本PAA下屬的PCA的策略,為下屬PCA簽發(fā)公鑰證書(shū)。策略控制機(jī)構(gòu)(PCA):制定下屬CA的具體策略,可以是上級(jí)PAA策略的擴(kuò)充或細(xì)化。認(rèn)證機(jī)構(gòu)(CA):具備有限的策略制定功能,按照上級(jí)PCA制定的策略,擔(dān)任具體的用戶(hù)公鑰證書(shū)的簽發(fā)、生成和發(fā)布及CRL生成及發(fā)布職能。
在線證書(shū)申請(qǐng)(ORA):進(jìn)行證書(shū)申請(qǐng)者的身份認(rèn)證,向CA提交證書(shū)申請(qǐng),驗(yàn)證接收CA簽發(fā)的證書(shū),并將證書(shū)發(fā)放給申請(qǐng)者。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/202239策略批準(zhǔn)機(jī)構(gòu)(PAA):在整個(gè)PKI體系中處于核心位置。創(chuàng)建1.證書(shū)頒發(fā)機(jī)構(gòu)CA認(rèn)證中心充當(dāng)可信的第三方,通過(guò)對(duì)一個(gè)包含身份信息和相應(yīng)公鑰的數(shù)據(jù)結(jié)構(gòu)進(jìn)行數(shù)字簽名來(lái)捆綁用戶(hù)的公鑰和身份,這個(gè)數(shù)據(jù)結(jié)構(gòu)被稱(chēng)為公鑰證書(shū)(簡(jiǎn)稱(chēng)證書(shū))。證書(shū)機(jī)構(gòu)主要負(fù)責(zé)對(duì)用戶(hù)的密鑰或證書(shū)發(fā)放、更新、廢止、認(rèn)證等管理工作。CA分為兩類(lèi):公共CA通過(guò)Internet運(yùn)作,向大眾提供認(rèn)證服務(wù);這類(lèi)CA不僅對(duì)最終用戶(hù)進(jìn)行認(rèn)證,而且還對(duì)組織認(rèn)證。私有CA通常在一個(gè)公司的內(nèi)部或者其他的封閉的網(wǎng)絡(luò)內(nèi)部建立,為它們的網(wǎng)絡(luò)提供更強(qiáng)的認(rèn)證和訪問(wèn)控制。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022401.證書(shū)頒發(fā)機(jī)構(gòu)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.32.注冊(cè)機(jī)構(gòu)(RA)由于一個(gè)PKI區(qū)域的最終實(shí)體數(shù)量的增加,RA可以充當(dāng)CA和它的最終用戶(hù)之間的中間實(shí)體,輔助CA來(lái)完成日復(fù)一日的證書(shū)處理功能。RA通常提供下列功能:(1)接收和驗(yàn)證新注冊(cè)人的注冊(cè)信息;(2)代表最終用戶(hù)生成密鑰;(3)接收和授權(quán)密鑰備份和恢復(fù)請(qǐng)求;(4)接收和授權(quán)證書(shū)撤銷(xiāo)請(qǐng)求;(5)按需分發(fā)或恢復(fù)硬件設(shè)備。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022412.注冊(cè)機(jī)構(gòu)(RA)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3.證書(shū)目錄證書(shū)生成后必須存儲(chǔ)。CA通常使用一個(gè)證書(shū)目錄,或者中央存儲(chǔ)點(diǎn)。作為PKI的一個(gè)重要的組成部分,證書(shū)目錄提供證書(shū)管理和分發(fā)的單一點(diǎn)。證書(shū)庫(kù)必須使用某種穩(wěn)定可靠的、規(guī)??蓴U(kuò)充的在線資料庫(kù),以便用戶(hù)能找到安全通信需要的證書(shū)信息或證書(shū)撤銷(xiāo)信息。實(shí)現(xiàn)證書(shū)庫(kù)的方式有多種,包括X.500、輕量級(jí)目錄訪問(wèn)協(xié)議LDAP、Web服務(wù)器、FTP服務(wù)器、域名解析服務(wù)器DNS、數(shù)據(jù)庫(kù)服務(wù)器等。具體使用哪種根據(jù)實(shí)際需要而定,但真正大型的企業(yè)級(jí)PKI一般使用X.500目錄服務(wù)和輕量級(jí)目錄訪問(wèn)協(xié)議LDAP。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022423.證書(shū)目錄4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PK4.密鑰恢復(fù)服務(wù)器在任何可操作的PKI環(huán)境中,在密鑰或證書(shū)在生命周期內(nèi)都會(huì)有部分用戶(hù)可能會(huì)丟失他們的私鑰。CA必須撤銷(xiāo)相應(yīng)的公鑰證書(shū)。或生成新的密鑰對(duì)產(chǎn)生相應(yīng)的公鑰證書(shū)。結(jié)果,在此事件之前的所有加密數(shù)據(jù)都將是不可恢復(fù)的。都會(huì)對(duì)PKI的實(shí)體造成沉重的負(fù)擔(dān)。解決辦法是提供一個(gè)密鑰備份和恢復(fù)服務(wù)器。其目的是為CA提供在創(chuàng)建私鑰時(shí)備份私鑰和在以后恢復(fù)私鑰的一種簡(jiǎn)單方式。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022434.密鑰恢復(fù)服務(wù)器4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.35.管理協(xié)議有助于一個(gè)PKI內(nèi)的最終用戶(hù)之間的在線通信和管理。管理協(xié)議應(yīng)該支持下列功能:注冊(cè):用戶(hù)首次將自己告知CA的過(guò)程。初始化:在最終用戶(hù)系統(tǒng)安全運(yùn)轉(zhuǎn)前,安裝那些與存儲(chǔ)在基礎(chǔ)設(shè)施的其他地方的密鑰有適當(dāng)關(guān)系的密鑰信息。認(rèn)證:CA為用戶(hù)的公鑰頒發(fā)證書(shū)的過(guò)程,將證書(shū)返回給最終用戶(hù)系統(tǒng)或?qū)⒆C書(shū)公布在證書(shū)庫(kù)中。密鑰恢復(fù):最終用戶(hù)客戶(hù)端的密鑰信息可以通過(guò)CA或者密鑰備份系統(tǒng)來(lái)備份。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022445.管理協(xié)議4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PK5.管理協(xié)議密鑰更新:所有的密鑰對(duì)必須定期更新。在這個(gè)過(guò)程中,將替換密鑰對(duì)同時(shí)并頒發(fā)新的證書(shū)。撤銷(xiāo):當(dāng)一個(gè)授權(quán)用戶(hù)通知CA出現(xiàn)了一個(gè)需要撤銷(xiāo)證書(shū)的異常情形時(shí)才激活該過(guò)程。交叉認(rèn)證:兩個(gè)CA交換用于建立一個(gè)交叉證書(shū)的信息。一個(gè)交叉證書(shū)是一個(gè)CA頒發(fā)給另一個(gè)CA的證書(shū),該證書(shū)中含有用于頒發(fā)證書(shū)的CA簽名密鑰。在線協(xié)議并不是惟一實(shí)現(xiàn)這些功能的方式,也可以使用脫機(jī)方式。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022455.管理協(xié)議4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PK6.操作協(xié)議(OperationalProtocol)操作協(xié)議是允許在目錄、最終用戶(hù)和可信主體之間傳輸證書(shū)和撤銷(xiāo)的狀態(tài)信息的協(xié)議。X.509標(biāo)準(zhǔn)規(guī)定了如何構(gòu)建傳輸?shù)臄?shù)據(jù)。下面的協(xié)議是常用的協(xié)議:HTTP、FTP、e-mail和LDAP。各種PKI構(gòu)成部分之間交互作用的方式如圖4?13所示。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022466.操作協(xié)議(OperationalProtocol)4.4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
最終用戶(hù)密鑰恢復(fù)服務(wù)器證書(shū)頒發(fā)機(jī)構(gòu)(CA)注冊(cè)機(jī)構(gòu)(RA)X.500目錄PKI構(gòu)成部分之間交互作用10/11/2022474.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成最7.數(shù)字時(shí)間戳
PKI中必須使用用戶(hù)信任的統(tǒng)一的權(quán)威時(shí)間源。在很多情況下,在一份文件上蓋上權(quán)威時(shí)間戳是非常有用的,它支持不可否認(rèn)服務(wù)。安全時(shí)間戳在認(rèn)證電子商務(wù)交易的時(shí)間上也非常有用,而且可以有效地識(shí)別重放攻擊。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022487.數(shù)字時(shí)間戳4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.38.客戶(hù)端軟件客戶(hù)端軟件是一個(gè)全功能的、可操作PKI的重要組成部分。獨(dú)立于所有應(yīng)用程序,若完成PKI服務(wù)的客戶(hù)端功能,應(yīng)用程序通過(guò)標(biāo)準(zhǔn)接入點(diǎn)與客戶(hù)端軟件連接。完整的PKI應(yīng)由以下服務(wù)器和客戶(hù)端軟件構(gòu)成:CA服務(wù)器:提供產(chǎn)生、分發(fā)、發(fā)布、撤銷(xiāo)、認(rèn)證等服務(wù);證書(shū)庫(kù)服務(wù)器:保存證書(shū)和撤銷(xiāo)消息;備份和恢復(fù)服務(wù)器:管理密鑰歷史檔案;時(shí)間戳服務(wù)器:為文檔提供權(quán)威時(shí)間信息。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施4.3.3PKI的構(gòu)成
10/11/2022498.客戶(hù)端軟件4.3公鑰管理與公鑰基礎(chǔ)設(shè)施.4證書(shū)的管理1.證書(shū)的生周期證書(shū)從產(chǎn)生到銷(xiāo)毀具有一定的生命周期,在證書(shū)的生命周期里PKI對(duì)證書(shū)具有如下功能:(1)證書(shū)產(chǎn)生、驗(yàn)證和分發(fā)密鑰。(2)證書(shū)申請(qǐng)。(3)證書(shū)的獲取。(4)審核證書(shū)。(5)簽發(fā)證書(shū)。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施(6)證書(shū)安裝。(7)證書(shū)使用。(8)證書(shū)廢止的申請(qǐng)。(9)密鑰的恢復(fù)。(10)CRL的獲取。(11)密鑰更新、審計(jì)。10/11/2022504.3.4證書(shū)的管理1.證書(shū)的生周期4.3公鑰管理4.3.4證書(shū)的管理1.證書(shū)的生周期
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施公鑰/私鑰生成申請(qǐng)證書(shū)審核證書(shū)簽發(fā)證書(shū)證書(shū)撤銷(xiāo)安裝證書(shū)廢止申請(qǐng)證書(shū)使用過(guò)期更新10/11/2022514.3.4證書(shū)的管理1.證書(shū)的生周期4.3公鑰管4.3.4證書(shū)的管理2.注冊(cè)和頒發(fā)證書(shū)4.3公鑰管理與公鑰基礎(chǔ)設(shè)施用戶(hù)產(chǎn)生一對(duì)私鑰/公鑰用戶(hù)填寫(xiě)證書(shū)申請(qǐng)表發(fā)證機(jī)構(gòu)(CA)驗(yàn)證核實(shí)后,用自己的私鑰簽發(fā)電子證書(shū)用戶(hù)簽名※發(fā)證機(jī)關(guān)簽名發(fā)證機(jī)關(guān)用戶(hù)信息公鑰私鑰私鑰私鑰秘密保存CA的私鑰公鑰12310/11/2022524.3.4證書(shū)的管理2.注冊(cè)和頒發(fā)證書(shū)4.3公鑰4.3.4證書(shū)的管理2.注冊(cè)和頒發(fā)證書(shū)發(fā)放證書(shū)的過(guò)程包括四個(gè)基本的步驟:(1)CA接受證書(shū)請(qǐng)求。(2)CA按照CA身份證明條件確認(rèn)該請(qǐng)求者的信息。(3)CA利用它的私用密鑰將它的數(shù)字簽署應(yīng)用于該證書(shū)。(4)CA發(fā)放該證書(shū),將它用做PKI內(nèi)的安全性憑證。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022534.3.4證書(shū)的管理2.注冊(cè)和頒發(fā)證書(shū)4.3公鑰管4.3.4證書(shū)的管理3.證書(shū)的使用
當(dāng)用戶(hù)向某一服務(wù)器提出訪問(wèn)請(qǐng)求時(shí),服務(wù)器要求用戶(hù)提交數(shù)字證書(shū)。收到用戶(hù)的證書(shū)后,服務(wù)器利用CA的公開(kāi)密鑰對(duì)CA的簽名進(jìn)行解密,獲得信息的散列碼。然后服務(wù)器用與CA相同的散列算法對(duì)證書(shū)的信息部分進(jìn)行處理,得到一個(gè)散列碼,將此散列碼與對(duì)簽名解密所得到的散列碼進(jìn)行比較,若相等則表明此證書(shū)確實(shí)是CA簽發(fā)的,而且是完整性未被篡改的證書(shū)。這樣,用戶(hù)便通過(guò)了身份認(rèn)證。服務(wù)器從證書(shū)的信息部分取出用戶(hù)的公鑰,以后向用戶(hù)傳送數(shù)據(jù)時(shí),便以此公鑰加密,對(duì)該信息只有用戶(hù)可以進(jìn)行解密。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022544.3.4證書(shū)的管理3.證書(shū)的使用4.3公鑰管理與4.3.4證書(shū)的管理4.掛起證書(shū)
有時(shí),CA需要臨時(shí)限制證書(shū)的使用,但又不需要撤銷(xiāo)證書(shū)。例如,一個(gè)企業(yè)最終用戶(hù)可能正在出差。在這種情況下,可以掛起(suspend)證書(shū);這樣就可以禁止使用那些帶有PKI功能的應(yīng)用程序,這些應(yīng)用程序在該雇員不在的情況下是不能訪問(wèn)的。當(dāng)該雇員返回時(shí),CA清除該掛起。由于這種方法不需要先請(qǐng)求吊銷(xiāo)證書(shū)然后再重新頒發(fā)證書(shū),從而節(jié)省了CA的時(shí)間。為了掛起一個(gè)證書(shū),CA在CRL原因代碼擴(kuò)展項(xiàng)中使用證書(shū)凍結(jié)值。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022554.3.4證書(shū)的管理4.掛起證書(shū)4.3公鑰管理與公4.3.4證書(shū)的管理5.證書(shū)撤銷(xiāo)CA簽發(fā)的證書(shū)捆綁了用戶(hù)的身份和公鑰,在生命周期里都是有效的。但在現(xiàn)實(shí)環(huán)境中,由于這些原因包括:用戶(hù)身份的改變、對(duì)密鑰的懷疑(丟失或泄露)、用戶(hù)工作的變動(dòng)、認(rèn)為CA證書(shū)已泄露等。必須存在一種機(jī)制撤銷(xiāo)這種認(rèn)可,典型做法是在老證書(shū)過(guò)期前頒發(fā)一個(gè)新證書(shū)。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022564.3.4證書(shū)的管理5.證書(shū)撤銷(xiāo)4.3公鑰管理與4.3.4證書(shū)的管理5.證書(shū)撤銷(xiāo)
證書(shū)撤銷(xiāo)最常用的方式是使用證書(shū)廢除列表(CRL-CertificateRevocationList),CRL是一種包含了撤銷(xiāo)的證書(shū)列表的簽名數(shù)據(jù)結(jié)構(gòu)。它含有帶時(shí)間戳的已撤銷(xiāo)證書(shū)的列表。CRL的完整性和可靠性由它本身的數(shù)字簽名來(lái)保證,通常CRL的簽名者一般就是證書(shū)的簽發(fā)者。當(dāng)CRL創(chuàng)建并且被簽名以后,就可以通過(guò)網(wǎng)絡(luò)自由地分發(fā),或者以處理證書(shū)的同樣方式存儲(chǔ)在一個(gè)目錄中。CA會(huì)定期地發(fā)布CRL,從幾個(gè)小時(shí)到幾個(gè)星期不等。不管CRL中是否含有新的撤銷(xiāo)信息,都會(huì)發(fā)布一個(gè)新的CRL。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022574.3.4證書(shū)的管理5.證書(shū)撤銷(xiāo)4.3公鑰管理與公4.3.4證書(shū)的管理6.密鑰備份與恢復(fù)
在任何可操作的PKI環(huán)境中,在密鑰或證書(shū)的生命周期內(nèi)都會(huì)有部分用戶(hù)丟失他們的私鑰,可能有如下的原因:(1)遺失加密私鑰的保護(hù)口令;(2)存放私鑰的媒體被損壞,如硬盤(pán)、軟盤(pán)或IC卡遭到破壞。在很多環(huán)境下,由于丟失密鑰造成被保護(hù)數(shù)據(jù)的丟失或不可訪問(wèn)所造成的損失非常巨大,因此通行的辦法是備份并能恢復(fù)私鑰(在加密證書(shū)和簽字證書(shū)雙證書(shū)模型中,只能備份加密私鑰而不能備份簽字私鑰)。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022584.3.4證書(shū)的管理6.密鑰備份與恢復(fù)4.3公鑰管4.3.4證書(shū)的管理7.自動(dòng)密鑰更新
一個(gè)證書(shū)的有效期是有限的,這既可能是理論上的原因也可能是基于安全策略上的考慮。用手工操作定期更新自己的證書(shū)是件麻煩的工作,用戶(hù)常忘記自己證書(shū)的過(guò)期時(shí)間。如果忘了定期更新,他們就無(wú)法獲得PKI的相關(guān)服務(wù)。因此,PKI本身應(yīng)能自動(dòng)完成密鑰或證書(shū)的更新,而無(wú)需用戶(hù)的干預(yù)。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022594.3.4證書(shū)的管理7.自動(dòng)密鑰更新4.3公鑰管4.3.4證書(shū)的管理8.密鑰文檔管理
在證書(shū)的生命周期中,每個(gè)用戶(hù)在享受PKI服務(wù)期間會(huì)使用很多不同的密鑰或證書(shū)。如果沒(méi)有密鑰的歷史檔案管理,用戶(hù)無(wú)法查詢(xún)或恢復(fù)以前的密鑰或證書(shū)加密信息,因此必須對(duì)密鑰歷史檔案進(jìn)行管理。
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022604.3.4證書(shū)的管理8.密鑰文檔管理4.3公鑰4.3.5信任模型1.認(rèn)證層次結(jié)構(gòu)
隨著PKI規(guī)模的增大,CA要有效追蹤它所認(rèn)證的所有實(shí)體的身份就會(huì)變得困難。隨著證書(shū)數(shù)量的增加,一個(gè)單一的認(rèn)證機(jī)構(gòu)可能會(huì)變成認(rèn)證過(guò)程的瓶頸。采用認(rèn)證層次結(jié)構(gòu)是解決問(wèn)題的辦法。在層次結(jié)構(gòu)中,CA將它的權(quán)利授予一個(gè)或多個(gè)子CA。這些CA再次依次指派它們的子CA,這個(gè)過(guò)程將遍歷整個(gè)層次結(jié)構(gòu),直到某個(gè)CA實(shí)際頒發(fā)了某一證書(shū)。可將這個(gè)CA層次結(jié)構(gòu)看成為某大企。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022614.3.5信任模型1.認(rèn)證層次結(jié)構(gòu)4.3公鑰管理與公4.3.5信任模型1.認(rèn)證層次結(jié)構(gòu)
4.3公鑰管理與公鑰基礎(chǔ)設(shè)施根CA主CA1主CA2分CA1分CA2分CA3分CA410/11/2022624.3.5信任模型1.認(rèn)證層次結(jié)構(gòu)4.3公鑰管理與公4.3.5信任模型2.交叉認(rèn)證交叉認(rèn)證是把以前無(wú)關(guān)的CA連接到一起的認(rèn)證機(jī)制。當(dāng)兩者隸屬于不同的CA時(shí),可以通過(guò)信任傳遞的機(jī)制來(lái)完成兩者信任關(guān)系的建立。CA簽發(fā)交叉認(rèn)證證書(shū)是為了形成非層次的信任路徑。一個(gè)雙邊信任關(guān)系需要兩個(gè)證書(shū),它們覆蓋每一方向中的信任關(guān)系。這些證書(shū)必須由CA之間的交叉認(rèn)證協(xié)議來(lái)支持。當(dāng)某證書(shū)被證明是假的或者令人誤解的時(shí)候,該協(xié)議將決定合作伙伴的責(zé)任。4.3公鑰管理與公鑰基礎(chǔ)設(shè)施10/11/2022634.3.5信任模型2.交叉認(rèn)證4.3公鑰管理與公鑰基4.3.5信任模型2.交叉認(rèn)證4.3公鑰管理與公鑰基礎(chǔ)設(shè)施鐵道總公司CA開(kāi)發(fā)部CA運(yùn)輸部CA銀行1支行CA銀行2支行CA鐵道分公司CA銀行總行CA銀行分行CA交叉認(rèn)證例如:10/11/2022644.3.5信任模型2.交叉認(rèn)證4.3公鑰管理與公鑰基4.3.5信任模型3.證書(shū)鏈4.3公鑰管理與公鑰基礎(chǔ)設(shè)施頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息…自簽證書(shū)子證書(shū)子證書(shū)端實(shí)體證書(shū)…10/11/2022654.3.5信任模型3.證
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 貴州省黔南州都勻市2023-2024學(xué)年八年級(jí)上學(xué)期期末考試數(shù)學(xué)試卷(答案不全)
- 養(yǎng)老院老人生活照顧人員激勵(lì)制度
- 養(yǎng)老院老人健康監(jiān)測(cè)人員社會(huì)保險(xiǎn)制度
- 《開(kāi)場(chǎng)白的藝術(shù)》課件
- 挽回婚姻協(xié)議書(shū)(2篇)
- 拆架子免責(zé)協(xié)議書(shū)(2篇)
- 《生化課件生物氧化》課件
- 2025年甘肅貨運(yùn)資格證考題
- 2025年黑龍江貨運(yùn)從業(yè)資格考試題目及答案大全解析
- 2025年拉薩貨運(yùn)從業(yè)資格證結(jié)業(yè)考試答案
- 2024年新疆區(qū)公務(wù)員錄用考試《行測(cè)》試題及答案解析
- 蔣詩(shī)萌小品《誰(shuí)殺死了周日》臺(tái)詞完整版
- GB/T 44500-2024新能源汽車(chē)運(yùn)行安全性能檢驗(yàn)規(guī)程
- “趣”說(shuō)產(chǎn)品設(shè)計(jì)(山東聯(lián)盟)智慧樹(shù)知到期末考試答案章節(jié)答案2024年青島濱海學(xué)院
- 勞動(dòng)教育智慧樹(shù)知到期末考試答案章節(jié)答案2024年上海杉達(dá)學(xué)院
- 諾貝爾生理學(xué)或醫(yī)學(xué)獎(jiǎng)史話智慧樹(shù)知到期末考試答案章節(jié)答案2024年華中師范大學(xué)
- 年產(chǎn)1萬(wàn)噸連續(xù)玄武巖纖維及其制品申請(qǐng)建設(shè)可行性研究報(bào)告
- 生涯職業(yè)發(fā)展展示
- 液態(tài)粉煤灰臺(tái)背回填施工工藝
- 授權(quán)委托書(shū)電子版
- 100題分?jǐn)?shù)加減法(有答案)
評(píng)論
0/150
提交評(píng)論