西安电子科技大学：《现代密码学》课程教学资源（PPT课件讲稿）第九章 网络加密与认证（2/2）

.509和PKI Public Key Infrastructure 2021/2/21

2021/2/21 2 X.509和PKI Public Key Infrastructure

数字证书 X5093证书 version (v3) serial number signature algorithm id Issuer name validity period subject name subject public key info issuer unique identifier Extensions) signature 2021/2/21

2021/2/21 3 数字证书 version (v3) serial number signature algorithm id issuer name validity period subject name subject public key info issuer unique identifier {extensions} signature X.509v3 证书:

数字证书 证书分类:ID/认证分级 证节重要性是不一样的 PK|遁常支持不同类型的证书,可以()用于 不同的功能(2)建立不同级别的身份认证机制 ·证书分类没有标准 2021/2/21

2021/2/21 4 数字证书 证书分类: ID/认证分级 • 证书重要性是不一样的 PKI通常支持不同类型的证书，可以(1)用于 不同的功能(2)建立不同级别的身份认证机制. • 证书分类没有标准

数字证书 最低级 确保用户名和e-mll地址,无第三方认证 用途:Web浏览 基础级 由第三方(RA)验证姓名,地址和其他注册的个人信息 可能应用:小额EDl,在线支付。 2021/2/21 5

2021/2/21 5 数字证书 1. 最低级 确保用户名和e-mail地址.，无第三方认证 用途：Web浏览 2. 基础级 由第三方(RA)验证姓名，地址和其他注册的个人信息。 可能应用: 小额EDI, 在线支付

数字证书 3.中级 注册过程需要个人当面认定,高强度的密码模抉和 访问控制 典型应用:敏感的公司问邮件或EDl 高级 需要个人当面以及详细调查录强的计算安全控制 2021/2/21 6

2021/2/21 6 数字证书 3. 中级 注册过程需要个人当面认定，高强度的密码模块和 访问控制 典型应用: 敏感的公司间邮件或EDI 4. 高级 需要个人当面以及详细调查最强的计算安全控制

数字证书 Certificate Authority(CA)对给定的安 全域产生和发布证书。 控制政策,相对其他用户具有绝对的权威 2021/2/21

2021/2/21 7 Certificate Authority (CA) 对给定的安 全域产生和发布证书。 控制政策，相对其他用户具有绝对的权威. 数字证书

数字证书 Cert and crl 5. CA R 3. RA requests cert publishes certs for user and crl (LDAP Directory) Registration Certificate Authority Authority Repository 2. RA verifies identity 5a. Ca pushes CRL info to client based Principal/ 4. CA issues cert Application Applicant or other entity 1. Users apply for certification 6. Apps and other systems use certs 2021/2/21

2021/2/21 8 Principal/ Applicant Registration Authority Certificate Authority Repository Application or other entity 1. Users apply for certification 2. RA verifies identity 3. RA requests cert for user Cert and CRL Repository (LDAP Directory) 4. CA issues cert 5. CA publishes certs and CRLs 5a. CA pushes CRL info to client based on policy 6. Apps and other systems use certs. 数字证书

数字证书 Certificate authority Localarea Network Wide Area Network Localarea Localarea rk Registration ncspa Authority Applicant Repository 2021/2/21

2021/2/21 9 Certificate Authority Local Area Network Wide Area Network Local Area Network Local Area Network Registration Authority Principal/ Applicant Repository 数字证书

CA信任模型 任何支持超出单个安全域的P必须考虑 如何建立对CA本身的信任?2 问:谁是CA的可信第三方? 谁签发宅的数字证书?(分层) 宅和谁共享信任?(交叉证书) 2021/2/21

2021/2/21 10 CA 信任模型 任何支持超出单个安全域的PKI必须考虑: 如何建立对 CA本身的信任?? 问: 谁是CA的可信第三方？ 谁签发它的数字证书？ (分层) 它和谁共享信任? (交叉证书)

CA信任模型 三种主要的CA信任模型 交叉认证 2.证书链 3.hub/桥CA 2021/2/21

2021/2/21 11 CA 信任模型 三种主要的 CA信任模型: 1. 交叉认证 2. 证书链 3. hub/桥CA