第六章公开密钥设施PKI 美国的公开密钥体制 1.PA( Policy approval authority)策略机构是PKI核心和基础 为所有的用户、用户组织和CA制定指南,监管所有制定策略 的机构。 2PCA( Policy creation authority)是整个PKI的二级CA,开发安 全策略 3.CA是第三层实体。CA在其上级PCA规定的安全策略下运行。 4.ORA( Organization Registration Authority)鉴别个人身份 确认用户与单位的隶属关系。 5.用户:用户是整个PKI树的叶节点,用户通常是个人。 6.目录服务器:使用X.500或LDAP提供证书和CRL发布功能
16 美国的公开密钥体制 1.PAA(Policy Approval Authority)策略机构是PKI核心和基础, 为所有的用户、用户组织和CA制定指南,监管所有制定策略 的机构。 2.PCA(Policy Creation Authority)是整个PKI的二级CA,开发安 全策略。 3.CA是第三层实体。CA在其上级PCA规定的安全策略下运行。 4.ORA(Organization Registration Authority)鉴别个人身份, 确认用户与单位的隶属关系。 5.用户:用户是整个PKI树的叶节点,用户通常是个人。 6.目录服务器:使用X.500或LDAP提供证书和CRL发布功能。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 1、认证机关 为信息安全提供有效的、可靠的保护机制,包括 机密性、身份验证特性、不可否认性(交易的各方不 可否认它们的参与)。这就需要依靠一个可靠的第三 方机构验证,而认证中心(CA: Certification Authority)专门提供这种服务。 证书机制是目前被广泛采用的一种安全机制,使 用证书机制的前提是建立CA( Certification Authority-认证中心)以及配套的RA( Registration Authority-注册审批机构)系统
17 1、认证机关 为信息安全提供有效的、可靠的保护机制,包括 机密性、身份验证特性、不可否认性(交易的各方不 可否认它们的参与)。这就需要依靠一个可靠的第三 方机构验证 , 而 认 证 中 心 ( CA:Certification Authority)专门提供这种服务。 证书机制是目前被广泛采用的一种安全机制,使 用证书机制的前提是建立 CA(Certification Authority-认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 什么是CA机构 CA机构,又称为证书授证中心,是为了解决电 子商务活动中交易参与的各方身份、资信的认定,维 护交易活动中的安全,从根本上保障电子商务交易活 动顺利进行而设立的,是受一个或多个用户信任,提 供用户身份验证的第三方机构,承担公钥体系中公钥 的合法性检验的责任。 在SET交易中,CA不仅对持卡人、商户发放证书 还要对收款的银行、网关发放证书。它负责产生、分 配并管理所有参与网上交易的个体所需的数字证书, 因此是安全电子交易的核心环节
18 什么是CA机构 CA机构,又称为证书授证中心,是为了解决电 子商务活动中交易参与的各方身份、资信的认定,维 护交易活动中的安全,从根本上保障电子商务交易活 动顺利进行而设立的,是受一个或多个用户信任,提 供用户身份验证的第三方机构,承担公钥体系中公钥 的合法性检验的责任。 在SET交易中,CA不仅对持卡人、商户发放证书, 还要对收款的银行、网关发放证书。它负责产生、分 配并管理所有参与网上交易的个体所需的数字证书, 因此是安全电子交易的核心环节。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI PKI RA (Registration Authority) 数字证书注册审批机构。RA系统是CA的证书发 放、管理的延伸。它负责证书申请者的信息录 入、审核以及证书发放等工作;同时,对发放 的证书完成相应的管理功能。发放的数字证书 可以存放于IC卡、硬盘或软盘等介质中。RA系 统是整个CA中心得以正常运营不可缺少的一部 分
19 二、PKI RA(Registration Authority) 数字证书注册审批机构。RA系统是CA的证书发 放、管理的延伸。它负责证书申请者的信息录 入、审核以及证书发放等工作;同时,对发放 的证书完成相应的管理功能。发放的数字证书 可以存放于IC卡、硬盘或软盘等介质中。RA系 统是整个CA中心得以正常运营不可缺少的一部 分。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI PKI CA的职能 (1)接收验证最终用户数字证书的申请。 (2)确定是否接受最终用户数字证书的申请-证书的审批。 (3)向申请者颁发、拒绝颁发数字证书-证书的发放。 (4)接收、处理最终用户的数字证书更新请求-证书的更新。 (5)接收最终用户数字证书的查询、撤销。 (6)产生和发布证书废止列表CRL( Certificate Revocation List) (7)数字证书的归档 (8)密钥归档。 (9)历史数据归档
20 二、PKI CA的职能 (1)接收验证最终用户数字证书的申请。 (2)确定是否接受最终用户数字证书的申请-证书的审批。 (3)向申请者颁发、拒绝颁发数字证书-证书的发放。 (4)接收、处理最终用户的数字证书更新请求-证书的更新。 (5)接收最终用户数字证书的查询、撤销。 (6)产生和发布证书废止列表CRL(Certificate Revocation List) 。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。 第六章 公开密钥设施PKI