第2章网络金融安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•Alice通过加密模式向Bob发送明文的过程
2、验证模式:除加密数据外,还能完成数 据发送方身份认证的非对称加密技术。
•Alice通过验证模式向Bob发送明文的过程
3、加密和验证综合模式:将上述加密和验证 两模式综合运用以同时提高加密和验证有效 性的加密技术。也叫双重加密验证技术。
双重加密:发送方用对方公钥和自己私钥加 密;
*X.500 是一套已被国际标准化组织(ISO)接受的目录服务 系统标准(协议),是一个将局部名录服务连接起来,构成 全球分布式的名录服务系统的协议。X.500组织起来的证书 目录就象一个很全的证书电话号码簿,或者说一个X.500系 统象是一个分门别类的证书图书馆。
6、证书操作阐述( CPS, Certificate Practice Statement )
• 证书的管理 • 1、注册和颁发证书
•1
•
用户产生
一对私钥/公
钥
••2 用户填写
证书申请表
••3 发证机构
( CA ) 验 证 核实后,用自 己的私钥签发 电子证书
•私 •私钥秘密保存
•私
钥
钥
•公 钥
•发证机关 •用户信息 •公钥
•证书有效期 •发 证 机 关 签 名
•CA的 •私钥
•数字证书的产生
7、密钥文档管理
每个用户在享受PKI服务期间会使用很多 不同的密钥或证书。如果没有密钥的历 史档案管理,用户无法查询或恢复以前 的密钥或证书加密信息,因此必须对密 钥历史档案进行管理。
• PKI信任模型 1、层次结构模型
•根CA
•主CA1
•主CA2
•分CA1
•分CA2
•分CA3
•分CA4
2、交叉认证模型
PKI是一个安全框架或基础设施,其价 值在于使用户能够方便地使用加密、数 字签名、身份鉴别等安全服务,为此, 一个完整的PKI系统必须提供良好的应用 接口,可以在此基础上提供多种安全应 用服务。
如实现Web服务器和浏览器之间的安全 通信、安全电子邮件、电子数据交换 (EDI)、网上的信用卡交易和安全虚拟专 网(SVPN)等。
•国际电信联盟(ITU)的X.509v3格式数字证书
• PKI系统的组成
•PKI应 用
•证书机构CA
•注册机构RA
•证书签发系 统
•PKI策略
•软硬件系统
1、PKI策略
PKI策略是一个包含如何在实践中增强和支持 安全策略的一些操作过程的详细文档,它建立 和定义一个组织信息安全方面的指导方针,同 时也定义了密码系统使用的方针和原则。
•Alice通过加密技术向Bob发送明文的过程
• 对称加密技术 发送方数据加密和接收方数据解密均用同 一个密钥(公钥)。
优点:加密和解密速度快,通讯简单。 缺点:安全性差,网络适应性差。
• 非对称加密技术
发送方数据加密和接收方数据解密使用不同密钥(公钥 和私钥)。
1、加密模式:主要体现数据加密功能的非对称加密技术。
PKI策略内容一般包括:认证政策的制定、遵 循的技术标准、各CA之间的关系、安全策略、 服务对象、管理原则和框架、运作制度、所涉 及的各方法律以及技术的实现。
2、证书机构(CA,Certificate Authority)
又称为证书管理机构、证书颁发机构、证书管 理中心。
CA负责证书的颁发和管理,属于可信任的第三 方,其作用类似颁发身份证的机构。CA可以 具有层次结构,除直接管理一些具体的证书之 外,还管理一些下级CA,同时又接受上级CA 的管理。
•铁道总公司CA
•银行总行CA
•铁道分公司CA
•交叉认证
•银行分行CA
•开发部CA •运输部CA •银行1支行CA •银行2支行CA
3、证书链 由于用户拥有的可信证书管理机构数量有限,要 与大量不同管理域的用户建立安全通信就需要建 立信任关系,这就需要构建一个证书链。证书链 是多个证书绑定到一个信息或交易上形成证书链, 证书链中每一个证书都由其前面的数字证书进行 鉴别。最高级的CA必须是受接受者信任的、独立 的机构。
• 数字证书颁发机构(CA)
它向用户提供数字证书注册、颁发、存储、使 用和撤销以及担保、查询等一系列相关认证服 务,证书中含有用户名、公开密钥、其他身份 信息,并由证书颁发机构对之进行数字签名。
• 数字证书的格式和内容
•内容 •版本V •证书序列号 •算法标识符 •参数 •颁发者 •起始时间 •终止时间 •持证者 •算法 •参数 •持证书人公钥 •扩展部分 •数字签名
• PKI技术Байду номын сангаас产生 问题一:与你通信的伙伴如何能肯定所使
用的公钥属于你?
解决一: 让第三方即 CA 对你的公钥进行公 证。
问题二:怎样才能知道任意一个公开密钥 是属于谁的?如果收到一个自称是某人 的公开密钥,能相信它吗?
•解决二:对公钥进行第三方注册,建立通过 第三方对公钥进行鉴别的机制。
•设用户A希望给用户
6、密钥备份与恢复
在任何可操作的PKI环境中,在密钥或证书的生 命周期内都会有部分用户丢失他们的私钥,可 能有如下的原因:
(1)遗失加密私钥的保护口令;
(2)存放私钥的媒体被损坏,如硬盘、软盘或 IC卡遭到破坏。
在很多环境下,由于丢失密钥造成被保护数据 的丢失或不可访问所造成的损失非常巨大,因 此通行的办法是备份并能恢复私钥(在加密证 书和签字证书双证书模型中,只能备份加密私 钥而不能备份签字私钥)。
CPS是证书操作过程的详细文档,一般 包括CA是如何建立和运作的,证书是如 何发行、接收和撤销的,密钥是如何产 生、注册和认证的等内容。
例如,一些PKI系统往往由商业证书管 理机构(CCA)或称为可信第三方来对外 提供证书服务,就需要提供CPS给其使 用者参考,以供了解详细的运行机制。
7、基于PKI的应用接口
CA分为两类:一是公共CA,它通过Internet 运作,向大众提供认证服务;二是私有CA, 通常在一个公司的内部或者其他的封闭的网络 内部建立,为它们的网络提供更强的认证和访 问控制。
3、 CA系统的主要功能 对证书进行管理,包括颁发、废除、更新、验 证证书和管理密钥。
(1)颁发证书 (2)废除证书 (3)证书更新:当用户私钥泄漏或证书的有效
• SET协议内容:是SSL协议在电子交易中的推 进和进一步扩展,其基本内容与SSL相同,但 在如下两个方面进行了强化和扩展:①身份认 证和行为确认上进行了强化以保证交易行为的 不可抵赖性;②设置网关子协议保证付款的安 全性。
网络安全密码技术
• 相关基本概念 1、明文:需要通过网络传递的原信息或数据。 2、密文:为了网络传递安全对原信息或数据进
•① 请求访问
•用其私钥进 行运算
•客户端
•② 要求出示证书* •③ 提交数字证书* •④ 随机数N(质询) •⑤ 响应
•(*为可选方式)
•用CA公钥验 证证书真实性, 验证有效性
•完成鉴别
•服务器
4、挂起证书
基于某种原因,CA需要临时限制证书的使用, 但又不需要撤销证书。
例如,一个企业用户可能正在出差。在这种情 况下,可以挂起(suspend)证书;这样就可 以禁止使用那些带有PKI功能的应用程序,这 些应用程序在该用户不在的情况下是不能访问 的。当该用户返回时,CA清除该挂起。
由于这种方法不需要先请求撤销证书然后再重 新颁发证书,从而节省了CA的时间。为了挂 起一个证书,CA在CRL原因代码扩展项中使用 证书冻结值。
5、证书撤销
CA签发的证书捆绑了用户的身份和公钥, 在生命周期里都是有效的。
但在现实环境中,由于这些原因包括: 用户身份的改变、对密钥的怀疑(丢失 或泄露)、用户工作的变动、认为CA证 书已泄露等。必须存在一种机制撤销这 种认可,典型做法是在老证书过期前颁 发一个新证书或使用证书废除列表撤销。
•说明 •X.509版本号 •用于标识证书 •签名证书的算法标识符 •算法规定的参数 •证书颁发者的名称及标识符(X.500) •证书的有效期 •证书的有效期 •证书持有者的姓名及标识符 •证书的公钥算法 •证书的公钥参数 •证书的公钥
•CA对该证书的附加信息,如密钥的用途
•证书所有数据经H运行后CA用私钥签名
行加密处理后的信息。 3、加密:将明文变换为密文的过程。 4、解密:将密文变换为明文的过程。 5、密码技术:依据某种信息变换规则(算法)
进行信息或数据变换以达到信息或数据保密的 方法。包括信息加密技术和信息解密技术。
6、密钥:人们能够对特定信息进行加密和解密 操作的许可命令或身份认证码。它是一组由数 字、字母或符号组成的参数。
4、证书验证 为了获得对某一证书的信任,验证者必须验证每 个证书的三个方面,直到到达一个可信的根。
(1)证书的有效性:验证证书是否在有效使用期 内
•H
B传送一份机密信息。
•
•发送
者 •A
•
•请求B的公钥
•假冒B发送H的公 钥
•攻击
•用者私钥解密其加密消
息
•B
•接收 者
•向B发送用攻击者H的公钥加密的消息
• 数字证书
数字证书是网络用户的身份证明,相当于现实 生活中的个人身份证。它提供了一种系统化的、 可扩展的、统一的、容易控制的公钥分发方法。 是一个防篡改的数据集合,它可以证实一个公 开密钥与某一最终用户之间的捆绑。
第2章_网络金融安全
PPT文档演模板
2020/11/25
第2章网络金融安全
网络金融的安全技术
• 网络安全通行技术:防火墙、密码通行、登入 • 网络安全监测技术:IDS • 网络安全传输技术:SSL • 网络安全交易技术:SET • 网络安全密码技术: 公私密钥 • 网络身份认证技术:PKI
复习
• SSL协议内容:在网络通信中,①通过加密传 输来确保数据的机密性,②通过信息验证码机 制来保护信息的完整性,③通过数字证书来对 发送和接收者的身份进行认证。
RA通常提供下列功能:
(1)接收和验证新注册用户的注册信息;
(2)代表最终用户生成密钥;
(3)接收和处理密钥备份和恢复请求;
(4)接收和处理证书撤销请求。
5、证书颁发系统( CDA,Certificate Distribution System)
*证书颁发系统负责证书的分发,用户可在此获取自己或其它 用户的证书。证书分发可有多种途径,如:用户自己发布, 或通过目录服务器向外发布。
期快到时,用户应申请更新私钥。这时用户可 以申请更新证书,并废除原来证书。证书更新 的操作步骤与申请颁发证书类似。 (4)证书验证:包括验证有效性、可用性与真 实性。 (5)密钥管理:包括密钥的产生、备份与恢复 以及密钥的更新。
4、注册机构(RA,Registration Authority)
由于一个PKI区域的最终实体数量的增加,RA 可以充当CA和它的最终用户之间的中间实体, 辅助CA来完成一些证书处理功能。RA系统是 整个CA中心得以正常运营不可缺少的一部分。
双重解密:接受方用对方公钥和自己私钥解 密。
网络身份认证技术
• PKI技术 PKI(Public Key Infrastructure)是 基于标准公钥加密技术的安全通信平台 技术和规范的总称,其核心是“数字证 书”的注册、颁发、存储、使用和撤销。 因此,PKI是“数字证书”的注册、颁发、 存储、使用、和撤销等管理活动需要的 硬件、软件、人员、策略和规程的总和。
7、公钥:通讯中需要让通讯对方知道和使用的 用户(己方)密钥。
8、私钥:由用户自己持有、使用和保密的密钥。
9、公钥与私钥关系:
①每一用户配有一对密钥,即一个公钥及其相对 应的一个私钥,
②密钥对中,让对方知道的是公钥,只有自己知 道的是私钥。
③如果用其中一个密钥加密数据,则只有对应的 密钥(公钥或私钥)才可以解密。
2、发放证书四个基本步骤
(1)用户向CA的注册机构RA提交证书申 请。
(2)RA对用户请求和相关信息进行审核。
(3)审核通过后,RA向CA提出证书请求。
(4)CA生成数字证书,通过RA向用户颁 发证书,或将证书发布到目录服务器上, 由用户下载并安装。
3、证书的使用
•客户通讯中要求访问服务器的证书鉴别过 程:
*证书库是一种网上公共信息库,用于证书的集中存放,用户 可以从此处获得其他用户的证书和公钥。
*实现证书库的方式有多种,包括X.500、轻量级目录访问协 议(LDAP)、 Web服务器、FTP服务器、域名解析服务器 DNS、数据库服务器等。具体使用哪种根据实际需要而定, 但真正大型的企业级PKI一般使用X.500目录服务和轻量级 目录访问协议LDAP。
2、验证模式:除加密数据外,还能完成数 据发送方身份认证的非对称加密技术。
•Alice通过验证模式向Bob发送明文的过程
3、加密和验证综合模式:将上述加密和验证 两模式综合运用以同时提高加密和验证有效 性的加密技术。也叫双重加密验证技术。
双重加密:发送方用对方公钥和自己私钥加 密;
*X.500 是一套已被国际标准化组织(ISO)接受的目录服务 系统标准(协议),是一个将局部名录服务连接起来,构成 全球分布式的名录服务系统的协议。X.500组织起来的证书 目录就象一个很全的证书电话号码簿,或者说一个X.500系 统象是一个分门别类的证书图书馆。
6、证书操作阐述( CPS, Certificate Practice Statement )
• 证书的管理 • 1、注册和颁发证书
•1
•
用户产生
一对私钥/公
钥
••2 用户填写
证书申请表
••3 发证机构
( CA ) 验 证 核实后,用自 己的私钥签发 电子证书
•私 •私钥秘密保存
•私
钥
钥
•公 钥
•发证机关 •用户信息 •公钥
•证书有效期 •发 证 机 关 签 名
•CA的 •私钥
•数字证书的产生
7、密钥文档管理
每个用户在享受PKI服务期间会使用很多 不同的密钥或证书。如果没有密钥的历 史档案管理,用户无法查询或恢复以前 的密钥或证书加密信息,因此必须对密 钥历史档案进行管理。
• PKI信任模型 1、层次结构模型
•根CA
•主CA1
•主CA2
•分CA1
•分CA2
•分CA3
•分CA4
2、交叉认证模型
PKI是一个安全框架或基础设施,其价 值在于使用户能够方便地使用加密、数 字签名、身份鉴别等安全服务,为此, 一个完整的PKI系统必须提供良好的应用 接口,可以在此基础上提供多种安全应 用服务。
如实现Web服务器和浏览器之间的安全 通信、安全电子邮件、电子数据交换 (EDI)、网上的信用卡交易和安全虚拟专 网(SVPN)等。
•国际电信联盟(ITU)的X.509v3格式数字证书
• PKI系统的组成
•PKI应 用
•证书机构CA
•注册机构RA
•证书签发系 统
•PKI策略
•软硬件系统
1、PKI策略
PKI策略是一个包含如何在实践中增强和支持 安全策略的一些操作过程的详细文档,它建立 和定义一个组织信息安全方面的指导方针,同 时也定义了密码系统使用的方针和原则。
•Alice通过加密技术向Bob发送明文的过程
• 对称加密技术 发送方数据加密和接收方数据解密均用同 一个密钥(公钥)。
优点:加密和解密速度快,通讯简单。 缺点:安全性差,网络适应性差。
• 非对称加密技术
发送方数据加密和接收方数据解密使用不同密钥(公钥 和私钥)。
1、加密模式:主要体现数据加密功能的非对称加密技术。
PKI策略内容一般包括:认证政策的制定、遵 循的技术标准、各CA之间的关系、安全策略、 服务对象、管理原则和框架、运作制度、所涉 及的各方法律以及技术的实现。
2、证书机构(CA,Certificate Authority)
又称为证书管理机构、证书颁发机构、证书管 理中心。
CA负责证书的颁发和管理,属于可信任的第三 方,其作用类似颁发身份证的机构。CA可以 具有层次结构,除直接管理一些具体的证书之 外,还管理一些下级CA,同时又接受上级CA 的管理。
•铁道总公司CA
•银行总行CA
•铁道分公司CA
•交叉认证
•银行分行CA
•开发部CA •运输部CA •银行1支行CA •银行2支行CA
3、证书链 由于用户拥有的可信证书管理机构数量有限,要 与大量不同管理域的用户建立安全通信就需要建 立信任关系,这就需要构建一个证书链。证书链 是多个证书绑定到一个信息或交易上形成证书链, 证书链中每一个证书都由其前面的数字证书进行 鉴别。最高级的CA必须是受接受者信任的、独立 的机构。
• 数字证书颁发机构(CA)
它向用户提供数字证书注册、颁发、存储、使 用和撤销以及担保、查询等一系列相关认证服 务,证书中含有用户名、公开密钥、其他身份 信息,并由证书颁发机构对之进行数字签名。
• 数字证书的格式和内容
•内容 •版本V •证书序列号 •算法标识符 •参数 •颁发者 •起始时间 •终止时间 •持证者 •算法 •参数 •持证书人公钥 •扩展部分 •数字签名
• PKI技术Байду номын сангаас产生 问题一:与你通信的伙伴如何能肯定所使
用的公钥属于你?
解决一: 让第三方即 CA 对你的公钥进行公 证。
问题二:怎样才能知道任意一个公开密钥 是属于谁的?如果收到一个自称是某人 的公开密钥,能相信它吗?
•解决二:对公钥进行第三方注册,建立通过 第三方对公钥进行鉴别的机制。
•设用户A希望给用户
6、密钥备份与恢复
在任何可操作的PKI环境中,在密钥或证书的生 命周期内都会有部分用户丢失他们的私钥,可 能有如下的原因:
(1)遗失加密私钥的保护口令;
(2)存放私钥的媒体被损坏,如硬盘、软盘或 IC卡遭到破坏。
在很多环境下,由于丢失密钥造成被保护数据 的丢失或不可访问所造成的损失非常巨大,因 此通行的办法是备份并能恢复私钥(在加密证 书和签字证书双证书模型中,只能备份加密私 钥而不能备份签字私钥)。
CPS是证书操作过程的详细文档,一般 包括CA是如何建立和运作的,证书是如 何发行、接收和撤销的,密钥是如何产 生、注册和认证的等内容。
例如,一些PKI系统往往由商业证书管 理机构(CCA)或称为可信第三方来对外 提供证书服务,就需要提供CPS给其使 用者参考,以供了解详细的运行机制。
7、基于PKI的应用接口
CA分为两类:一是公共CA,它通过Internet 运作,向大众提供认证服务;二是私有CA, 通常在一个公司的内部或者其他的封闭的网络 内部建立,为它们的网络提供更强的认证和访 问控制。
3、 CA系统的主要功能 对证书进行管理,包括颁发、废除、更新、验 证证书和管理密钥。
(1)颁发证书 (2)废除证书 (3)证书更新:当用户私钥泄漏或证书的有效
• SET协议内容:是SSL协议在电子交易中的推 进和进一步扩展,其基本内容与SSL相同,但 在如下两个方面进行了强化和扩展:①身份认 证和行为确认上进行了强化以保证交易行为的 不可抵赖性;②设置网关子协议保证付款的安 全性。
网络安全密码技术
• 相关基本概念 1、明文:需要通过网络传递的原信息或数据。 2、密文:为了网络传递安全对原信息或数据进
•① 请求访问
•用其私钥进 行运算
•客户端
•② 要求出示证书* •③ 提交数字证书* •④ 随机数N(质询) •⑤ 响应
•(*为可选方式)
•用CA公钥验 证证书真实性, 验证有效性
•完成鉴别
•服务器
4、挂起证书
基于某种原因,CA需要临时限制证书的使用, 但又不需要撤销证书。
例如,一个企业用户可能正在出差。在这种情 况下,可以挂起(suspend)证书;这样就可 以禁止使用那些带有PKI功能的应用程序,这 些应用程序在该用户不在的情况下是不能访问 的。当该用户返回时,CA清除该挂起。
由于这种方法不需要先请求撤销证书然后再重 新颁发证书,从而节省了CA的时间。为了挂 起一个证书,CA在CRL原因代码扩展项中使用 证书冻结值。
5、证书撤销
CA签发的证书捆绑了用户的身份和公钥, 在生命周期里都是有效的。
但在现实环境中,由于这些原因包括: 用户身份的改变、对密钥的怀疑(丢失 或泄露)、用户工作的变动、认为CA证 书已泄露等。必须存在一种机制撤销这 种认可,典型做法是在老证书过期前颁 发一个新证书或使用证书废除列表撤销。
•说明 •X.509版本号 •用于标识证书 •签名证书的算法标识符 •算法规定的参数 •证书颁发者的名称及标识符(X.500) •证书的有效期 •证书的有效期 •证书持有者的姓名及标识符 •证书的公钥算法 •证书的公钥参数 •证书的公钥
•CA对该证书的附加信息,如密钥的用途
•证书所有数据经H运行后CA用私钥签名
行加密处理后的信息。 3、加密:将明文变换为密文的过程。 4、解密:将密文变换为明文的过程。 5、密码技术:依据某种信息变换规则(算法)
进行信息或数据变换以达到信息或数据保密的 方法。包括信息加密技术和信息解密技术。
6、密钥:人们能够对特定信息进行加密和解密 操作的许可命令或身份认证码。它是一组由数 字、字母或符号组成的参数。
4、证书验证 为了获得对某一证书的信任,验证者必须验证每 个证书的三个方面,直到到达一个可信的根。
(1)证书的有效性:验证证书是否在有效使用期 内
•H
B传送一份机密信息。
•
•发送
者 •A
•
•请求B的公钥
•假冒B发送H的公 钥
•攻击
•用者私钥解密其加密消
息
•B
•接收 者
•向B发送用攻击者H的公钥加密的消息
• 数字证书
数字证书是网络用户的身份证明,相当于现实 生活中的个人身份证。它提供了一种系统化的、 可扩展的、统一的、容易控制的公钥分发方法。 是一个防篡改的数据集合,它可以证实一个公 开密钥与某一最终用户之间的捆绑。
第2章_网络金融安全
PPT文档演模板
2020/11/25
第2章网络金融安全
网络金融的安全技术
• 网络安全通行技术:防火墙、密码通行、登入 • 网络安全监测技术:IDS • 网络安全传输技术:SSL • 网络安全交易技术:SET • 网络安全密码技术: 公私密钥 • 网络身份认证技术:PKI
复习
• SSL协议内容:在网络通信中,①通过加密传 输来确保数据的机密性,②通过信息验证码机 制来保护信息的完整性,③通过数字证书来对 发送和接收者的身份进行认证。
RA通常提供下列功能:
(1)接收和验证新注册用户的注册信息;
(2)代表最终用户生成密钥;
(3)接收和处理密钥备份和恢复请求;
(4)接收和处理证书撤销请求。
5、证书颁发系统( CDA,Certificate Distribution System)
*证书颁发系统负责证书的分发,用户可在此获取自己或其它 用户的证书。证书分发可有多种途径,如:用户自己发布, 或通过目录服务器向外发布。
期快到时,用户应申请更新私钥。这时用户可 以申请更新证书,并废除原来证书。证书更新 的操作步骤与申请颁发证书类似。 (4)证书验证:包括验证有效性、可用性与真 实性。 (5)密钥管理:包括密钥的产生、备份与恢复 以及密钥的更新。
4、注册机构(RA,Registration Authority)
由于一个PKI区域的最终实体数量的增加,RA 可以充当CA和它的最终用户之间的中间实体, 辅助CA来完成一些证书处理功能。RA系统是 整个CA中心得以正常运营不可缺少的一部分。
双重解密:接受方用对方公钥和自己私钥解 密。
网络身份认证技术
• PKI技术 PKI(Public Key Infrastructure)是 基于标准公钥加密技术的安全通信平台 技术和规范的总称,其核心是“数字证 书”的注册、颁发、存储、使用和撤销。 因此,PKI是“数字证书”的注册、颁发、 存储、使用、和撤销等管理活动需要的 硬件、软件、人员、策略和规程的总和。
7、公钥:通讯中需要让通讯对方知道和使用的 用户(己方)密钥。
8、私钥:由用户自己持有、使用和保密的密钥。
9、公钥与私钥关系:
①每一用户配有一对密钥,即一个公钥及其相对 应的一个私钥,
②密钥对中,让对方知道的是公钥,只有自己知 道的是私钥。
③如果用其中一个密钥加密数据,则只有对应的 密钥(公钥或私钥)才可以解密。
2、发放证书四个基本步骤
(1)用户向CA的注册机构RA提交证书申 请。
(2)RA对用户请求和相关信息进行审核。
(3)审核通过后,RA向CA提出证书请求。
(4)CA生成数字证书,通过RA向用户颁 发证书,或将证书发布到目录服务器上, 由用户下载并安装。
3、证书的使用
•客户通讯中要求访问服务器的证书鉴别过 程:
*证书库是一种网上公共信息库,用于证书的集中存放,用户 可以从此处获得其他用户的证书和公钥。
*实现证书库的方式有多种,包括X.500、轻量级目录访问协 议(LDAP)、 Web服务器、FTP服务器、域名解析服务器 DNS、数据库服务器等。具体使用哪种根据实际需要而定, 但真正大型的企业级PKI一般使用X.500目录服务和轻量级 目录访问协议LDAP。