【正文】 ， 都會發(fā)布一個新的CRL。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 58 證書的管理 在任何可操作的 PKI環(huán)境中 ， 在密鑰或證書的生命周期內(nèi)都會有部分用戶丟失他們的私鑰 ， 可能有如下的原因： （ 1） 遺失加密私鑰的保護(hù)口令； （ 2） 存放私鑰的媒體被損壞 ， 如硬盤 、 軟盤或 IC卡遭到破壞 。 在很多環(huán)境下 ， 由于丟失密鑰造成被保護(hù)數(shù)據(jù)的丟失或不可訪問所造成的損失非常巨大 ， 因此通行的辦法是備份并能恢復(fù)私鑰 （ 在加密證書和簽字證書雙證書模型中 ， 只能備份加密私鑰而不能備份簽字私鑰 ） 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 59 證書的管理 一個證書的有效期是有限的 ， 這既可能是理論上的原因也可能是基于安全策略上的考慮 。 用手工操作定期更新自己的證書是件麻煩的工作 ， 用戶常忘記自己證書的過期時(shí)間 。 如果忘了定期更新 ， 他們就無法獲得 PKI的相關(guān)服務(wù) 。 因此 ， PKI本身應(yīng)能自動完成密鑰或證書的更新 ， 而無需用戶的干預(yù) 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 60 證書的管理 在證書的生命周期中 ， 每個用戶在享受 PKI服務(wù)期間會使用很多不同的密鑰或證書 。 如果沒有密鑰的歷史檔案管理 ， 用戶無法查詢或恢復(fù)以前的密鑰或證書加密信息 ， 因此必須對密鑰歷史檔案進(jìn)行管理 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 61 信任模型 隨著 PKI規(guī)模的增大 ， CA要有效追蹤它所認(rèn)證的所有實(shí)體的身份就會變得困難 。 隨著證書數(shù)量的增加 ， 一個單一的認(rèn)證機(jī)構(gòu)可能會變成認(rèn)證過程的瓶頸 。 采用認(rèn)證層次結(jié)構(gòu)是解決問題的辦法 。 在層次結(jié)構(gòu)中 ， CA將它的權(quán)利授予一個或多個子 CA。 這些 CA再次依次指派它們的子 CA， 這個過程將遍歷整個層次結(jié)構(gòu) ， 直到某個 CA實(shí)際頒發(fā)了某一證書 。 可將這個 CA層次結(jié)構(gòu)看成為某大企 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 62 信任模型 公鑰管理與公鑰基礎(chǔ)設(shè)施 根 CA 主 CA1 主 CA2 分 CA1 分 CA2 分 CA3 分 CA4 第四章 密鑰管理與分配技術(shù) 2022/2/7 63 信任模型 ?交叉認(rèn)證是把以前無關(guān)的 CA連接到一起的認(rèn)證機(jī)制 。 當(dāng)兩者隸屬于不同的 CA時(shí) ， 可以通過信任傳遞的機(jī)制來完成兩者信任關(guān)系的建立 。 ?CA簽發(fā)交叉認(rèn)證證書是為了形成非層次的信任路徑 。 一個雙邊信任關(guān)系需要兩個證書 ， 它們覆蓋每一方向中的信任關(guān)系 。 這些證書必須由 CA之間的交叉認(rèn)證協(xié)議來支持 。 當(dāng)某證書被證明是假的或者令人誤解的時(shí)候 ， 該協(xié)議將決定合作伙伴的責(zé)任 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 64 信任模型 公鑰管理與公鑰基礎(chǔ)設(shè)施 鐵道總公司 CA 開發(fā)部 CA 運(yùn)輸部 CA 銀行 1支行 CA 銀行 2支行 CA 鐵道分公司 CA 銀行總行 CA 銀行分行 CA 交叉認(rèn)證 例如： 第四章 密鑰管理與分配技術(shù) 2022/2/7 65 信任模型 公鑰管理與公鑰基礎(chǔ)設(shè)施 頒發(fā)者名稱 主體名稱 公鑰信息 其他信息 頒發(fā)者名稱 主體名稱 公鑰信息 其他信息 頒發(fā)者名稱 主體名稱 公鑰信息 其他信息 頒發(fā)者名稱 主體名稱 公鑰信息 其他信息 … 自簽證書 子證書 子證書 端實(shí)體證書 … 第四章 密鑰管理與分配技術(shù) 2022/2/7 66 信任模型 為了獲得對某一證書的信任 ， 驗(yàn)證者 必須驗(yàn)證關(guān)于每一個證書的三個方面 ， 直到到達(dá)一個可信的根 。 ?首先 ， 驗(yàn)證者 必須驗(yàn)證在證書鏈上的證書是否是由證書鏈上的上一個證書中的公鑰所對應(yīng)的私鑰簽發(fā)的 。 ?第二 ， 必須保證每一個證書沒有過期或者被撤銷 。 ?最后 ， 每一個證書必須符合證書鏈中的高層證書定義的一系列標(biāo)準(zhǔn) 。 通過驗(yàn)證可信根的證書 ， 信任此證書并且使用證書的應(yīng)用程序就可以建立起對該實(shí)體的公鑰的信任 。 公鑰管理與公鑰基礎(chǔ)設(shè)施 第四章 密鑰管理與分配技術(shù) 2022/2/7 67 信任模型 公鑰管理與公鑰基礎(chǔ)設(shè)施 根 CA 主 CA1 主 CA2 分 CA1 分 CA2 分 CA3 分 CA4 分 CA1下的一個客戶端應(yīng)用程序 在驗(yàn)證分 CA4下的 Web服務(wù)器 身份時(shí)所發(fā)生的事情。 第四章 密鑰管理與分配技術(shù) 2022/2/7 68 Windows 2022提供的 PKI是由一組服務(wù)組成，這組服務(wù)則由一組相互連接的組件提供。這些組件協(xié)同工作，用來給用戶和應(yīng)用程序提供基于公共密鑰的安全性服務(wù)。 Windows 2022 的 PKI 域控制器 SSL 和 IPSec 證書服務(wù) 證書登記與撤銷 活動目錄 證書發(fā)布 PKI功能的應(yīng)用程序 域客戶計(jì)算機(jī) 第四章 密鑰管理與分配技術(shù) 2022/2/7 69 Windows 2022 PKI的主要組件 ?證書服務(wù) （ Certificate Services） 。 它是核心的操作系統(tǒng)服務(wù) 。 它使各項(xiàng)業(yè)務(wù)作為它們自己的 CA， 并發(fā)放和管理數(shù)字證書 。 ?活動目錄 （ Active Directory） 。 用于 PKI的發(fā)布服務(wù)。 身份鑒別的發(fā)布使得證書和證書撤消列表 （ CRL） 能夠在一個機(jī)構(gòu)內(nèi)公開地使用 。 ?啟用了 PKI功能的應(yīng)用程序 。 ?安全性協(xié)議 。 Windows 2022 PKI 組件還采用了工業(yè)安全性協(xié)議 ， 其中包括：安全套接子層 SSL（ Secure Sockets Layer） 。 傳輸層安全 TLS（ Transport Layer Security） 。 Windows 2022 的 PKI 第四章 密鑰管理與分配技術(shù) 2022/2/7 70 ? 密鑰管理是處理密鑰自生成到最終銷毀的整個過程中的有關(guān)問題，包括系統(tǒng)的初始 化，密鑰的生成、驗(yàn)證、分配、存儲、保護(hù)、更新、控制、丟失、撤銷和銷毀等內(nèi)容。 ? 密鑰的種類很多 ， 從一般通信網(wǎng)的應(yīng)用來看可分為：基本密鑰 、 會話密鑰 、 密鑰加密鑰 、 主機(jī)密鑰等；在雙鑰體制下還可分為： 公開密鑰和秘密密鑰 、 簽字密鑰和證實(shí)密鑰等 。 ? 密鑰分配是研究密碼系統(tǒng)中密鑰的分發(fā)和傳送中的問題 ，是密鑰管理中最大的問題 。 密鑰必須通過最安全的通路進(jìn)行分配 。 基本是采用密碼技術(shù)與其它技術(shù)結(jié)合實(shí)現(xiàn)密鑰的分配 ， 例如 ， 人工方式 、 KDC、 IC卡 、 數(shù)字證書 、 組播方式等 。 小 結(jié) 第四章 密鑰管理與分配技術(shù) 2022/2/7 71 ? 公鑰基礎(chǔ)設(shè)施 （ PKI） 是一個一定范圍內(nèi)的相互信任的基礎(chǔ)設(shè)施 ， 它是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺 。 為管理公開密鑰提供公鑰生成 、 公鑰認(rèn)證 、 公鑰存儲 、 公鑰安裝等服務(wù) 。 PKI的構(gòu)建主要圍繞著認(rèn)證機(jī)構(gòu) 、 證書庫 、密鑰備份及恢復(fù)系統(tǒng) 、 證書作廢處理系統(tǒng) 、 客戶端證書處理系統(tǒng)等基本部分來進(jìn)行 。 PKI的基本組成元素為證書頒發(fā)機(jī)構(gòu) CA。 ? 式 。 展項(xiàng) 。 基于 CA的認(rèn)證系統(tǒng)將可能是未來認(rèn)證系統(tǒng)發(fā)展的主要方向 小 結(jié)