PKI(Public Key Infrastructure) 定义 用公钥原理和技术实施和提供安全服务的具有普适性的安全基 础设施 一个完整的PKI应该包括 认证机构(CA) ■ 证书库 证书注销 密钥备份和恢复 自动密钥更新 密钥历史档案 交叉认证 支持不可否认 时间戳 客户端软件 COLLFGE OF NFORMATON SCIENCE AND ENGNEERNG
PKI(Public Key Infrastructure) ➢ 定义 ◼ 用公钥原理和技术实施和提供安全服务的具有普适性的安全基 础设施 ➢ 一个完整的PKI应该包括 ◼ 认证机构(CA) ◼ 证书库 ◼ 证书注销 ◼ 密钥备份和恢复 ◼ 自动密钥更新 ◼ 密钥历史档案 ◼ 交叉认证 ◼ 支持不可否认 ◼ 时间戳 ◼ 客户端软件
PKI的关键点: ■性能:尽量少用公钥加解密操作,在实用中,往往结合对称密 码技术,避免对大量数据作加解密操作;除非需要数据来源认证 才使用签名技术,否则就使用MAC或者HMAC实现数据完整性检 验 ■ 在线/离线模型 >签名的验证可以在离线情况下完成(offline) >用公钥实现保密性也可以在离线情况下完成(off line) >离线模式的问题:无法获得最新的证书注销信息 证书中所支持算法的通用性 >在提供实际的服务之前,必须协商到一致的算法 ·个体命名:如何命名一个安全个体,取决于CA的命名登记管 理工作 家北学 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGINEERNG
PKI的关键点: ◼性能:尽量少用公钥加解密操作,在实用中,往往结合对称密 码技术,避免对大量数据作加解密操作;除非需要数据来源认证 才使用签名技术,否则就使用MAC或者HMAC实现数据完整性检 验 ◼在线/离线模型 ➢签名的验证可以在离线情况下完成(off line) ➢用公钥实现保密性也可以在离线情况下完成(off line) ➢离线模式的问题:无法获得最新的证书注销信息 ◼证书中所支持算法的通用性 ➢在提供实际的服务之前,必须协商到一致的算法 ◼个体命名:如何命名一个安全个体,取决于CA的命名登记管 理工作
PK红主要组成 CA 认证机构(CA)言 证书颁发者 签名者:该证书主体 证书是否有效? 证书颁发 的身份(或其它信息 与公钥绑定 验证者 证书申请者 证书交互 验证者:出于认证目 签名者与验证者都称 的使用证书的一方 作终端实体 北学 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGNEERNG
PKI主要组成 CA 认证机构(CA): 证书颁发者 验证者 证书申请者 证书是否有效? 证书交互 证书颁发 签名者:该证书主体 的身份(或其它信息) 与公钥绑定 验证者:出于认证目 的使用证书的一方 签名者与验证者都称 作终端实体