课件16 第8章 网络安全基础设施

证书的注销
• 负责证书注销功能的系统是PKI的一个重要组件。 在有的情况下，一个证书的继续存在会对主体或 单位的信息安全造成威胁.
注销证书的管理 实时证书注销检测
注销证书的管理
• 一个证书一旦被注销，就要为其建立一张证书注销表CRL （Certificate Revocation List）。证书注销系统要负 责为被注销的证书创建和维护一张及时更新的CRL，并把 它放入CRL列表内，当一个用户需要使用某证书时，首先 应该检查该证书是否在CRL列表中，CRL一般用目录系统的 形式存放在公共存储库中。一个证书一旦被注销，就要为 其建立一张证书注销表CRL（Certificate Revocation List）。
注销证书的管理
实时证书注销检测
• 对于某些涉及高敏感级数据（如公司之间往来的财务数据） 的PKI设施，注销证书和使该注销生效之间是不允许有时 间间隔的。如果一个被注销的证书不能立刻失去效用，就 有可能被恶意用户再次利用。
• 关键问题是能够让用户及时查询证书当前的状态（有效/ 注销），在线证书状态协议OCSP(Online Certificate Status Protocol)就是解决这一问题的一种实时证书注销 检查机制。终端实体向OSCP响应程序发出证书状态查询请 求，OCSP响应程序对查询请求将给出证书是否处于注销状 态的回答，在回答返回给终端之前，证书是不能被使用的。 OCSP响应程序通常作为一种由CA提供的或被CA委派的服务 的形式提供。
证书管理协议
• 证书管理协议包括公钥加密系统标准PKCS、证书管理协议 CMP和证书管理消息CMC等协议，这几个证书管理协议定义 了证书登记的某些细节（如加密算法），在某些情况下， 这些协议也有助于定义证书注销过程，有一些供应商甚至 提供了诸如密钥恢复和证书自动续用等附加能力，更加扩 展了这些协议的作用。
第8章 网络安全基础设施
主要内容
• PKI的组件 • PKI信任框架 • 认证标准与认证过程 • PMI介绍
主要内容
• PKI的组件 • PKI信任框架 • 认证标准与认证过程 • PMI介绍
PKI的组件
➢ 数字证书 ➢ 证书签发机构(CA) ➢ 注册权威机构（RA） ➢ 证书管理协议 ➢ 证书的注销 ➢ 目录服务与证书存储库 ➢ 时间戳颁发机构
注册权威机构（RA）
• 在某些实现中，CA将某些责任委派给注册权威机构RA （Registry Authority）担负。根据RFC 2510的Internet 公钥基础设施证书管理协议(CMP——Certificate Management Protocols)规定的RA功能包括个人认证、令 牌分发、注销报告、名称指定、密钥生成、存储密钥对等 内容，在多数情况下，RA负责在证书登记过程中核实证书 申请者的身份。
公钥加密系统标准PKCS 证书管理协议CMP 证书管理消息CMC
公钥加密系统标准PKCS
• 公钥加密系统标准PKCS（Public Key Cryptographic Standards）是由RSA Security开发的一组标准协议，用 以定义安全信息交换的方法。这一族协议的编号为从PKCS #1到PKCS #15，其中除PKCS #13和PKCS #14是已提交待批 的标准外，其他几个标准都已经正式发布，而PKCS #2和 PKCS #4两个协议都包含在PKCS #1中。
证书管理消息CMC
• CMP的大而全与复杂性在一定程度上影响了CMP的推广应用。 为了替代CMP，PKIX工作组又发布了基于加密系统消息语 法的证书管理消息协议CMC(Certificate Management Messages over CMS)，该协议的总体目标是在保持简洁性 的同时，提供高级证书管理功能，并且能够支持广泛使用 的PKCS协议族。在CMC中，使用PKCS #10处理证书请求消 息，使用PKCS #7处理证书的响应消息。CMC还引用 RFC2511来支持由CMP定义的更高级的证书请求格式。
目录服Байду номын сангаас与证书存储库
• 证书和CRL是一种经常受到用户查询的电子文档，需要采 用适当的形式进行存储与管理。虽然利用电子邮件也可以 完成CA与用户之间的证书与CRL交换，而且也是一种简单 可行的方案，但是当涉及的证书数量很大（成千上万）的 时候，这种方式的负担会很重，并且不能满足终端直接检 索证书与CRL的要求。
数字证书
• 目前使用的是X·509 v3标准的证书样式。证书标准的确 定经历了一个较长的过程。早在1988年，ISO/IEC/ITU 9594-8发布了X·509 v1证书标准，到1993年又修订为 X·509 v2，同年，Internet增强型私用电子邮件小组 （PEM）发布了基于X·509 v1证书的PKI规范，针对该标 准中的不足，ISO/IEC/ITU和ANSI X9小组在1996年6月正 式发布了X·509 v3的标准证书格式，PKIX小组以此为标 准创建了Internet上的配置文件。
数字证书
证书签发机构(CA)
• 证书签发机构（CA）是公钥基础设施中受信任的第三方实 体，CA负责向主体发行证书，并通过主体亲自签署的证书 表明主体的身份和主体使用的公开密钥的真实性，这在使 用公钥基础设施的网络环境中是至关重要的措施。CA是实 现PKI的核心组件，负责证书的发行、注销、更新和续用 等管理任务，证书与CRL的发布、以及围绕证书的签发与 维护管理过程中的事件的日志工作。
证书管理协议CMP
• 证书管理协议CMP(Certificate Management Protocol)是 由PKIX工作组根据RFC2510（Internet 公钥基础设施证书 管理协议）和RFC2511（Internet公钥基础设施证书请求 管理框架）两个标准而制定的。在处理证书的请求和响应 消息方面可替代PKCS中相应协议。CMP协议的功能比较强， 可以支持许多不同的证书管理功能，如交叉证明的请求与 响应消息，注销证书的请求和响应消息，恢复密钥的请求 与响应消息，以及证书和CRL的分发消息等。虽然CMP的功 能丰富，而且也得到了很多CA产品的支持，但在同CA交互 的应用程序和设备中，CMP协议并未得到广泛的支持。