【文章內容簡介】 ，但相對來說，成本較高。 167。 ? , ITUT Remendation: Information Technology – Open System Interconnection – The Directory: Authentication Framework ? ，在 PKI的發(fā)展中， . ? 、靈活的證書格式 . ? v3和 v2 CRL定義的強有力的擴展機制 . 167。 數字證書生命周期 ? 證書申請 ? 證書生成 ? 證書存儲 ? 證書發(fā)布 ? 證書廢止 證書驗證與證書生命周期 ? 證書有效性或可用性驗證 ? 密鑰 /證書生命周期 ? 初始化階段：終端實體注冊 密鑰對產生證書創(chuàng)建和密鑰 /證書分發(fā)，證書分發(fā)，密鑰備份 ? 頒發(fā)階段：證書檢索，證書驗證，密鑰恢復，密鑰更新 ? 取消階段：證書過期，證書恢復，證書吊銷，密鑰歷史，密鑰檔案 VeriSign CPS中的證書生命周期 第 4章 目錄服務 主要內容： ? 概述 ? ? LDAP 167。 概述 ? 目錄是網絡系統(tǒng)中各種資源的清單，保存了網絡中用戶、服務器、客戶機、交換機、打印機等資源的詳細信息，同時還收集了這些資源之間各種復雜的相互關聯(lián)關系。 ? 目錄服務 ? 證書和證書吊銷列表 (CRL)的存儲 (主要針對 ) 是 和目錄服務標準的主題 167。 ? , ITUT Remendation: The Directory – Overview of Concepts and Models. ? 儲機制，包括客戶機 目錄服務器訪問協(xié)議、服務器 服務器通信協(xié)議、完全或部分的目錄數據復制、服務器鏈對查詢的響應、復雜搜尋的過濾功能等 . ? PKI的重要性 . 167。 LDAP協(xié)議 ? LDAP, Lightweight Directory Access Protocol. ? LDAP的發(fā)展 ? LDAP v1, v2, v3, ldapbis, ldapext, ldup 第二篇 PKI體系結構 第 5章 PKI及其構件 主要內容： ? 綜述 ? CA、 RA與 EE ? PKI運作 ? CA的體系結構 ? 證書注冊結構 RA ? 業(yè)務受理點 LRA ? CA的網絡結構 ? PMI 167。 綜述 ? PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和。 ? PKI的構件， PKI的安全策略 167。 CA、 RA與 EE 認證中心 CA ? 可信的第三方 ? 主要功能 ? 接收并驗證最終用戶數字證書的申請； ? 證書審批，確定是否接受最終用戶數字證書的申請； ? 證書簽發(fā)，向申請者頒發(fā)、拒絕頒發(fā)數字證書； ? 證書更新，接收、處理最終用戶的數字證書更新請求 ? 接收最終用戶數字證書的查詢、撤銷； ? 產生和發(fā)布證書廢止列表（ CRL），驗證證書狀態(tài)； ? 提供 OCSP在線證書查詢服務，驗證證書狀態(tài)； ? 提供目錄服務，可以查詢用戶證書的相關信息； ? 下級認證機構證書及帳戶管理； ? … 注冊機構 RA ? 用戶（可以是個人或團體）和 CA之間的接口 ? 接受用戶的注冊申請 ? 獲取并認證用戶的身份 最終實體 EE ? 是指 PKI產品或服務的最終使用者，可以是個人、組織或設備。 167。 PKI運作 ? PKI的策劃 ? PKI實施 ? PKI運營 167。 CA的體系結構 ? 根 CA 主要功能： 發(fā)布本 PKI信任域的認證策略；發(fā)布自身證書； 簽發(fā)和管理下層 CA證書；對下層 CA進行身份認證和鑒別；廢除所簽發(fā)的證書； 為所簽發(fā)的證書產生CRL； 發(fā)布所簽發(fā)的證書和 CRL； 保存證書、 CRL以及審計信息；密鑰安全生成及管理；實現交叉認證。 ? 下層 CA 主要功能有： 發(fā)布本地 CA對根 CA政策的增補部分；對下屬機構進行認證和鑒別； 產生和管理下屬機構的證書；發(fā)布自身證書；證實 RA的證書申請請求；向 RA返回證書制作的確認信息或已制定好的證書；接收和認證對它所簽發(fā)的證書的作廢申請請求；為它所簽發(fā)的證書產生 CRL； 保存證書、 CRL、 審計信息和它所簽發(fā)的政策；發(fā)布它所簽發(fā)的證書和 CRL； 密鑰安全生成及管理；實現交叉認證。 167。 證書注冊機構 RA 具體職能包括： ? 自身密鑰的管理，包括密鑰的更新、保存、使用、銷毀等； ? 審核用戶信息； ? 登記黑名單； ? 業(yè)務受理點 LRA的全面管理； ? 接收并處理來自受理點的各種請求。 167。 業(yè)務受理點 LRA LRA的具體職能包括： ? 受理用戶的證書申請及廢除請求； ? 錄入用戶的證書申請及廢除請求； ? 審核用戶的證書申請及廢除請求資料； ? 對用戶的證書申請及廢除請求進行批準或否決； ? 提供證書制作 。 167。 CA的網絡結構 167。 PMI ? PKI瓶頸 ? 屬性證書 ? 特權管理 PMI與 TSA ? PMI, 即 Privilege Management Infrastructure, 在 ANSI, ITU IETF PKIX中都有定義 ? 特權管理服務 (PKI Based)依賴于策略，所謂策略就是將實體、組和角色與相應的特權進行映射 (如 列出實體名稱或角色被允許還是禁止的權限 ). ? TSA, 即 Time Stamp Authority[RFC3162, TimeStamp Protocol] ? TSA是一個產生時間戳記號的可信第三方，該時間戳記號用以顯示數據在特定時間前已存在 . 特權管理基礎設施機制 ? 實現特權管理基礎設施 (PMI)有很多機制，大致可以分為三類： 基于 Kerberos 基于策略服務器 基于屬性證書 原理 對稱密碼技術 有一個中心服務器 , 創(chuàng)建、維護和驗證身份、組和角色 AC， PKI 優(yōu)點 性能誘人 控制高度集中，單點管理 完全分布處理，具有失敗拒絕的優(yōu)點 缺點 不便于密鑰管理，單點失敗 容易成為通信的瓶頸 性能不高 (原因是基于公鑰的操作 ) 適用環(huán)境 有大量的實時事務處理環(huán)境中的授權 是地理上在一起的實體環(huán)境的最好選擇，有很強的中心管理控制功能 是需要支持不可否認服務的授權的最佳選擇 其它 RFC1510, 實現有DCE, SESAME PKI構件 ? CA, RA, Directory, EE, PKIenabled Applications, Certificate Status Checking ? PKI構件及證書生命周期 第 6章 交叉認證 交叉認證 ? 交叉認證是把以前無關的 CA連接在一起的機制 ? 交叉認證可以是單向的，也可以是雙向的 ? 不同的交叉認證信任模型 ? Subordinated Hierarchy， Crosscertified Mesh， Hybrid， Bridge CA，Trust Lists etc. ? 域內交叉認證，域外交叉認證 ? 約束 ? 名字約束，策略約束，路徑長度約束 信任域 ? 信任域擴展 ? 雙向認證 ? 橋 CA 第 7章 CPS CP與 CPS ? CP, Certificate Policy ? 定義了一個用戶對其它用戶數字證書信任的程度 ? CPS, Certification Practice Statement ? 人們與組織根據 CA的 CPS來確定他們對該 CA的信任程度 ? RFC 2527 ? Inter Public Key Infrastructure Certificate Policy and Certification Practices Framework PKI的安全策略 ? Certification Practice Statement ? 證書政策 ? 責任與其它法律考慮 運作考慮 ? 客戶端軟件 ? 在線需求與離線運作 ? 物理安全 ? 硬件部件 ? 用戶密鑰的威脅 ? 災難恢復 CPS所包含的主要內容 ? 確認手續(xù) ? 證書的范圍 ? 授權