證書(shū)驗(yàn)證及信任模型_第1頁(yè)
證書(shū)驗(yàn)證及信任模型_第2頁(yè)
證書(shū)驗(yàn)證及信任模型_第3頁(yè)
證書(shū)驗(yàn)證及信任模型_第4頁(yè)
證書(shū)驗(yàn)證及信任模型_第5頁(yè)
已閱讀5頁(yè),還剩25頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、P1證書(shū)有效性驗(yàn)證與信任模型P2內(nèi)容n證書(shū)有效性驗(yàn)證n信任模型P3復(fù)習(xí)n對(duì)稱加密n非對(duì)稱加密n散列算法n數(shù)字簽名n數(shù)字證書(shū)n認(rèn)證權(quán)威(CA)n證書(shū)撤銷列表(CRL)P4如何驗(yàn)證證書(shū)有效性?n證書(shū)都包含哪些內(nèi)容?n什么樣的證書(shū)是有效的?P5有效的證書(shū)是:n必須包含一個(gè)有效的數(shù)字簽名n此簽名必須能被頒發(fā)者的公鑰驗(yàn)證n必須沒(méi)有過(guò)期n關(guān)鍵字段必須能被驗(yàn)證者的證書(shū)所理解n只能用于最初創(chuàng)建它的目的n必須檢查指定使用條件的其他策略約束n證書(shū)被必須沒(méi)有撤銷P6兩個(gè)CA的用戶如何相互信任?bCA2CA1ca?P7信任模型n基本概念 信任如果一個(gè)實(shí)體假定另一個(gè)實(shí)體會(huì)準(zhǔn)確地像他期望地那樣表現(xiàn) 信任域公共控制下或服從

2、于一組公共策略的系統(tǒng)集 信任錨作出信任決定時(shí)的一個(gè)可信實(shí)體n基本信任模型 下屬層次信任模型 對(duì)等模型 網(wǎng)狀模型 混合信任模型P8下屬層次信任模型(1)根CA中介CA中介CA子CA子CA子CAP9下屬層次信任模型(2)n特點(diǎn): 只有通向根CA的證書(shū)路徑需要遍歷及驗(yàn)證 到達(dá)一個(gè)特定最終實(shí)體只有唯一的信任路徑 在大范圍很難形成一個(gè)統(tǒng)一信任的根CA 根CA密鑰很敏感 擴(kuò)展性好n使用范圍 適用于支持嚴(yán)格層次結(jié)構(gòu)的環(huán)境中,例如美國(guó)防部P10對(duì)等模型(1)n交叉認(rèn)證:一個(gè)認(rèn)證機(jī)構(gòu)可以是另一個(gè)認(rèn)證機(jī)構(gòu)頒發(fā)的證書(shū)的主體。證書(shū)稱為交叉證書(shū)P11對(duì)等模型(2)n限制自己只允許直接的信任關(guān)系的情況n信任錨不能共享導(dǎo)致

3、的分法證書(shū)困難n不易擴(kuò)展,應(yīng)用缺乏CACACACACACACACACAP12網(wǎng)狀模型(1)n基于交叉認(rèn)證的雙向信任關(guān)系模型的擴(kuò)展n信任水平不易達(dá)成一致n驗(yàn)證開(kāi)銷大n適用于跨信任域或者不適合采用從屬關(guān)系時(shí)CACACACACAP13網(wǎng)狀模型(2)CACACACACAn當(dāng)兩個(gè)最終實(shí)體間的信任連需要貧乏使用時(shí)應(yīng)該為他們建立直接信任關(guān)系n可以維持高信任水平,驗(yàn)證開(kāi)銷減少n不易擴(kuò)展P14網(wǎng)狀模型(3)n認(rèn)證路徑:CACACACACACACACAP15網(wǎng)狀模型(4)n路徑構(gòu)造crossCertificatePair逆向列表正向列表xyz公司CA證書(shū)abc公司CA證書(shū)lmn公司CA證書(shū)lmn公司CA證書(shū)正向C

4、A證書(shū)逆向CA證書(shū)lmn公司CA目錄對(duì)象crossCertificatePair正向列表lmn公司CA證書(shū)正向CA證書(shū)xyz公司CA目錄對(duì)象逆向列表xyz公司CA證書(shū)逆向CA證書(shū)crossCertificatePair正向列表lmn公司CA證書(shū)正向CA證書(shū)abc公司CA目錄對(duì)象逆向列表abc公司CA證書(shū)逆向CA證書(shū)P16混合信任模型n連接下屬層次結(jié)構(gòu)n層次結(jié)構(gòu)中的交叉鏈接 P8n交叉認(rèn)證覆蓋P17誰(shuí)管理信任?n誰(shuí)來(lái)管理信任? 決定與你是在什么環(huán)境下為依賴方建立信任P18局部信任列表P19證書(shū)策略n證書(shū)策略是一組表明了證書(shū)對(duì)于具有共同安全需求的特定群體和(或)一類應(yīng)用程序使用性的制定規(guī)則(X.5

5、09)n策略有一個(gè)唯一的被注冊(cè)的標(biāo)識(shí)符(OID)n證書(shū)可以在多重策略下頒發(fā),策略可能是規(guī)程上的要求,可能是技術(shù)性的也可能是商業(yè)策略等等n證書(shū)用戶根據(jù)策略信息決定是否接受證書(shū)P20限制信任模型n目的:實(shí)現(xiàn)對(duì)信任模型的更佳控制n限制路徑長(zhǎng)度 BasicConstraints:PathLenConstraintn一些證書(shū)策略 CertificatePolices PolicyMappings PolicyConstraints InhibitAnyPolicy NameConstraintsP21路徑構(gòu)造和驗(yàn)證n路徑構(gòu)造 Cygnacom路徑構(gòu)造試探法的規(guī)則P247n路徑驗(yàn)證 驗(yàn)證當(dāng)前證書(shū)的有效性

6、后繼證書(shū)中的主體名字和頒發(fā)者名字必須匹配 最終實(shí)體以外的其他證書(shū)必須明確標(biāo)記為CA證書(shū) 帶有路徑長(zhǎng)度限制的所有CA證書(shū),其后證書(shū)的數(shù)目必須滿足限制P22實(shí)現(xiàn)nIdentrus信任模型(層次模型)nISO銀行業(yè)信任模型(混合模型)n橋CA 實(shí)現(xiàn)根CA之間的對(duì)等交叉驗(yàn)證 有效的減少根CA之間的鏈接數(shù)目P23X.509證書(shū)(見(jiàn)IE)signatureAlgorithm(簽名算法標(biāo)識(shí))簽名算法標(biāo)識(shí))signatureValue(簽名值)簽名值)Subject (主題)Issuer(頒發(fā)者)Version(版本)Serial number(序列號(hào))issuer Unique ID(頒發(fā)者唯一標(biāo)識(shí)V2or

7、V3)Subject Public Key Info(主題公鑰信息)Validity(有效期)Signature(簽名算法)extensions(擴(kuò)展V3)subject Unique ID(主題唯一標(biāo)識(shí)V2orV3)tbsCertificate(待簽證書(shū))待簽證書(shū))P24證書(shū)擴(kuò)展域Authority Key Identifier(頒發(fā)機(jī)構(gòu)標(biāo)識(shí))Subject Key Identifier(主題密鑰標(biāo)識(shí)符)Key Usage(密鑰用法)Private Key Usage Period(私鑰使用期限)Certificate Policies(證書(shū)策略)Policy Mappings(策略映射)S

8、ubject Alternative Name(主題替換名稱)Issuer Alternative Names(頒發(fā)機(jī)構(gòu)替換名稱)Subject Directory Attributes(主題目錄屬性)Basic Constraints(基本限制)Name Constraints(名稱限制)Policy Constraints(策略限制)Extended key usage field(擴(kuò)展密鑰用法)CRL Distribution Points(CRL 分布點(diǎn))標(biāo)準(zhǔn)擴(kuò)展域標(biāo)準(zhǔn)擴(kuò)展域Authority Information Access(Authority信息訪問(wèn))P25證書(shū)擴(kuò)展n密鑰擴(kuò)展n

9、策略擴(kuò)展n主體和頒發(fā)者信息擴(kuò)展n證書(shū)路徑限制擴(kuò)展P26密鑰擴(kuò)展n這類擴(kuò)展包含認(rèn)證機(jī)構(gòu)和最終實(shí)體使用的密鑰相關(guān)信息,同時(shí)包含密鑰如何使用的限制。n機(jī)構(gòu)密鑰標(biāo)識(shí)符(Authority Key Identifier)n主體密鑰標(biāo)識(shí)符(Subject Key Identifier)n密鑰用法(Key Usage)n擴(kuò)展密鑰應(yīng)用(Extended Key Usage)n私鑰使用有效期(Private Key Usage Period)P27策略擴(kuò)展n策略擴(kuò)展允許對(duì)定義證書(shū)應(yīng)用的策略進(jìn)行說(shuō)明和限制n證書(shū)策略( Certificate Policy)n策略映射( Policy Mapping )P28主體和

10、頒發(fā)者信息擴(kuò)展n此擴(kuò)展支持使用證書(shū)主體或證書(shū)頒發(fā)者的別名n主體別名(Subject Alternative Name)n頒發(fā)者別名(Issuer Alternative Name)n主體目錄屬性(Subject Directory Attributes)P29證書(shū)路徑限制擴(kuò)展n此擴(kuò)展用于處理證書(shū)路徑,限制應(yīng)用于被認(rèn)證過(guò)的CA頒發(fā)的證書(shū)類型或者認(rèn)證路徑中作為后繼證書(shū)的證書(shū)類型n基本限制(Basic Constratints) 是否為CA,CA的證書(shū)路徑深度n名稱限制(Name Constraints) 僅用于CA,其頒發(fā)的證書(shū)主體應(yīng)在指定名空間中n策略限制(Policy Constraints) 僅用于CA,RequireExplicitPolic、InhibitPolicyMappingn禁止任何策略限制(Inhibit Any Policy Constraint)P30CRLVersion numberSignatureIssuerT

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論