网络安全 第9章 数字证书与公钥基础设施(新)要点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9.2 数字证书
数字证书的概念:一个用户的身份与其所持有的
公钥的结合,由一个可信任的权威机构CA来证实 用户的身份,然后由该机构对该用户身份及对应 公钥相结合的证书进行数字签名,以证明其证书 的有效性。
主体名
包
含
公钥
的 信
序号
息
有效期
签发者名
9.2 数字证书
Version 1 Version 2 Version 3
提供服务
接收与验证最终用户的注册信息 为最终用户生成密钥 接收与授权证书撤销请求
证书 机构
负责签发证书
数字证书的 生成步骤
9.2 数字证书
密钥生成
证书生成
注册
验证
9.2 数字证书
第一步:密钥生成
(1) 主体生成密钥对
密钥生成
主体
保密 私钥
发送给 RA
公钥
9.2 数字证书
第一步:密Leabharlann Baidu生成
(2) 注册机构为主体生成密钥对
PKI:公钥基础设施 Public Key Infrastructure
是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。
PKI的 目的
解决网上身份认证、电子信息的完整性和不可抵赖 性等安全问题,为网络应用提供可靠的安全服务。
PKI的 任务
确立可信任的数字身份。
9.1 PKI的基本概念
Subject Public Key Information Issuer Unique Identifier
9.2 数字证书
(1) CA签名证书
数 字
Version Certificate Serial Number Signature Algorithm Identifier
Issuer Name
全部的消息摘要字段中只有 数字证书最后一个字段没有
生成
证 书 的
Validity(Not Before/Not After) Subject Name
PKI的组成
1
证书机构
2
注册机构
3
证书发布库
密钥备份与恢复
4
5
证书撤销
6
PKI应用接口
9.1 PKI的基本概念
证书机构
CA系统功能
C
证
证
证
证
证
A
日
密
书书书书书自志钥
生颁撤更归身审恢
成发销新档管计复
理
9.1 PKI的基本概念
数字认证中心(CA)
负责发放和管理数字证书 提供网络身份认证服务、负责证书签发及签发后证书生命 周期中的所有方面的管理
RA系统功能
填
提
发
证
写 用 户 注 册 信
交 用 户 注 册 信
审 核
送 生 成 证 书 申
发 放 证
书
登 记 黑 名
单
书 撤 销 列 表 管
日 志 审
计
自 身 安 全 保
证
息息
请
理
9.1 PKI的基本概念
证书发布库
用于集中存 放CA颁发证 书和证书撤 销列表。
支持分布式 存放,以提 高查询效率。
给用户 X
密钥生成
注册机构 (RA)
用户X的私钥
用户X的公钥
证书申请结构
9.2 数字证书
第二步:注册
主体将公钥与证明材料发送给注册机构
证书申请信息 · 版本 · 主体名 · 公开密钥信息 · 属性
签名算法
签名
9.2 数字证书
第三步:验证
RA验证用户材料,以明确是否接受用户注册 检查私钥的拥有证明(POP,Proof of possession)
结
构
Issuer Unique Identifier
Subject Unique Identifier
Extensions
Certification Authority’s Digital
Signature
最终用户 最终用户 最终用户
注册 机构
9.2 数字证书
数字证书的生成
注册机构 (RA)
证书机构 (CA)
RA要求用户采用私钥对证书签名请求进行数字签名。 RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑 战值发送给用户。若用户能用其私钥解密,则验证通过。 RA将数字证书采用用户公钥加密后,发送给用户。用户需要用 与公钥匹配的私钥解密方可取得明文证书。
9.2 数字证书
第四步:证书生成
RA将用户细节传递给证书机构 证书机构验证后生成数发字展证开书端 证书机构将证书发给用户 在CA维护的证书目录中保留一份证书记录
查询 机制
(OCSP,Online Certificate Status Protocol)
9.1 PKI的基本概念
PKI的应用
一
认证服务
二
数据完整性服务
三
数据保密性服务
四
不可否认服务
五
公证服务
第9章 数字证书与公钥基础设施
一 PKI的基本概念 二 数字证书 三 PKI体系结构—PKIX模型 四 PKI实例 五 授权管理设施—PMI
Version
Certificate Serial Number
Signature Algorithm Identifier
数
字
Issuer Name
证
Validity(Not Before/Not After)
书
Subject Name
的
Subject Public Key Information
LDAP目录服 务支持分布式 存放,是大规 模PKI系统成 功实施的关键, 也是创建高效 的认证机构的 关键技术。
9.1 PKI的基本概念
密钥备份和恢复只能针对加/解密密钥,而
无法对签名密钥进行备份。数字签名是用于
密
支持不可否认服务的,有时间性要求,因此
钥
不能备份/恢复签名密钥。
备
份
和 恢
如果注册声明公/私钥对是用于数据加密的,
跟踪证书状态
在证书需要撤销时发布证书撤销通知
维护证书档案和证书相关的审计
9.1 PKI的基本概念
注册机构
注册机构(RA)是数字证书注册审批机构,是认证中心的 延伸。
RA按照特定政策与管理规范对用户的资格进行审查,并执 行“是否同意给该申请者发放证书、撤销证书”等操作。
9.1 PKI的基本概念
注册机构的功能
复
则CA即可对该用户的私钥进行备份。当用户
丢失密钥后,可通过可信任的密钥恢复中心
或CA完成密钥恢复。
3.1 PKI的基本概念
(1)
证 书 撤 销 的
利用 周期性 发布 机制
如证书撤销列表 (CRL, Certificate Revocation List)
两
种
实 现
(2) 在线
如在线证书状态协议
方 法
第9章 数字证书与公钥基础设施
一 PKI的基本概念 二 数字证书 三 PKI体系结构—PKIX模型 四 PKI实例 五 授权管理设施—PMI
第9章 数字证书与公钥基础设施
一 PKI的基本概念 二 数字证书 三 PKI体系结构—PKIX模型 四 PKI实例 五 授权管理设施—PMI
9.1 PKI的基本概念