数字证书的结构分析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
tbsCertificate(TBSCertificate)
X.509标准 v3证书
在v2的基础上进行了扩展
v3引进一种机制,这种机制允许通过标准化和类 的方式对证书进行扩展,使其包括额外的信息, 以适应以下要求:
(1)一个证书主体可以有多个证书; (2)证书主体可以被多个组织或社团的其他用户识别; (3)可按特定的应用名(不是X.500名)识别用户,如将 公钥同Email地址联系起来; (4)对于不同证书政策和应用,可自定义扩展机制,且 这种扩展机制应该是完全可以继承的。
种身份证,用于证明某一主体(如个人、服务器 等)的身份以及其公开密钥的合法性 认证中心是负责发放和管理数字证书的权威机构
数字证书是经证书授权中心(Certification Authority) 数字签名的、包含证书申请者(公开密钥拥有者) 个人信息及其公开密钥的文件。
数字证书的功能及特点
证书验证与证书生命周期
证书有效性或可用性验证 密钥/证书生命周期
初始化阶段:终端实体注册->密钥对产生->证书 创建和密钥/证书分发,证书分发,密钥备份 颁发阶段:证书检索,证书验证,密钥恢复,密 钥更新 取消阶段:证书过期,证书恢复,证书吊销,密 钥历史,密钥档案
X.509
国际电信联盟的ITU-T制定的数字证书标准 它定义并标准化了一个通用的、灵活的证
书格式 是默认的加密体制是公钥密码体制 它的实用性来源于它为X.509 v3和X.509 v2
CRL定义的强有力的扩展机制
X.509数字证书
版本号(Version) 序列号(Serial number) 签名算法标识符(Signature algorithm) 认证机构(Issuer) 有效期(Validity) 主题(Subject) 认证机构的数字签名(Signature) 公钥信息(Public key)
与CRL有关的补充。
X.509 v3证书基本语法
证书按照ASN.1语法(DER) [X.208]规则进行编 码传递。ASN.1 DER编码是对每个元素对应的标 签、长度、值编码系统。
Certificate ::= SEQUENCE {
tbsCertificate
TBSCertificate,
证书使用者 主题(Subject)
持有者(Holder)
证书绑定 公钥主题名称
权限属性的持有者名称
撤销
CRL
ACRL
受信任的根 Root CA or Trust Anchor SOA(Source of Authority)
下级
SCA(Subordinate
AA(Attribute Authority)
权威机构 Certification Authority)
数字证书的颁发过程
首先,用户产生自己的密钥对,并将公钥及部分 个人身份信息传送给CA认证中心;
其次,CA认证中心在核实用户身份后将执行一些 必要的步骤,以确信请求确实由用户发送而来;
最后,CA认证中心将发给用户一个数字证书,该 证书内包含用户的个人信息及其公钥信息,同时 还附有CA认证中心的签名信息。
数字证书分类2
公钥证书
公钥证书是一个数据对象,它将公钥和一组标 识密钥对的拥有者(一个实体,例如人、组织、 节点和网站)的信息绑定在一起。证书中的公钥 是和密钥对中的私钥相关的。密钥对的拥有者称 作证书中的“主体”。安全事务依赖于准确的身 份(主体)和证书中包含的公钥。依靠可信的、 准确的身份和公钥,在执行在线事务之前, 一个 参与者能够认证其他的参与者。
signatureAlgorithm
AlgorithmIdentifier,
signatureValue
百度文库
BIT STRING
}
V3证书基本字段
tbsCertificate:证书主题和发行者的名称 signatureAlgorithm:CA签发证书所使用的
密码学算法标识符 ignatureValue:证书主体的签名
公开密钥证书的标准扩展
密钥和政策信息:包括机构密钥识别符、主体密 钥识别符、密钥用途(如数字签字、不可否认性、 密钥加密、数据加密、密钥协商、证书签字、 CRL签字等)以及密钥使用期限等;
主体和发证人属性:包括主体代用名、发证者代 用名及主体检索属性等;
证书通路约束:包括基本约束,指明是否可以做 证书机构等;
数字证书的结构分析
主讲人:潘敏
内容
简单理解PKI 数字证书概要
什么是数字证书 数字证书的功能及特点 数字证书的存储方式 数字证书的分类 数字证书的颁发过程
数字证书的结构
简单理解PKI
Public Key Infrastructure(公开密钥基础设施)
是一个用公钥概念和技术来实施和提供安全服务 的具有普适性的安全基础设施
能够为所有网络应用透明地提供采用加密和数字 签名等密码服务所必需的密钥和证书管理
由CA中心、数字证书库、密钥备份及恢复系统、 证书作废处理系统、客户端证书处理系统等组成
什么是数字证书?
数字证书,也称为“Digital ID”:
是公开密钥体制的一种密钥管理媒介 是一种权威性的电子文档,形同网络环境中的一
信息网络系统安全需求: 真实性 完整性 机密性 不可否认性
数字证书的功能: 身份认证 数字签名 数字信封 数字签名
时间戳
数字证书的存储方式
机器硬盘 随身软盘 智能卡 智能密码钥匙(USBKey )
数字证书分类1
企业高级/普通证书 个人高级/普通证书 服务器证书(Web Server) VPN证书 WAP证书 代码签名证书和表单签名证书
属性证书
世界通信组织(ITU)的定义是: 对用户的属性及其他信息用颁发此证书的证书
权威私钥进行数字签名而形成的证书。
PKCs与AC的区别
PKI 实体
PMI 实体
证书
公钥证书
属性证书
证书发行者 CA(Certification Authority) AA(Attribute Authority)