密码学及安全应用6.ppt

第四章 数字证书和PKI 目录 6.1 数字证书 6.2 数字证书的功能 6.3 公钥基础设施PKI 6.4 个人数字证书的申请和使用 为什么需要数字证书 公钥的分发虽然不需要保密，但需要保证公钥的真实性 就好像银行的客服电话，虽然不需要保密，但需要保证真实性 本章介绍的数字证书和公钥基础设施PKI就是为了实现在公钥分发过程中确保公钥的真实性。 数字证书 数字证书的概念: Kohnfelder于1978年提出的 所谓数字证书，就是公钥证书，是一个包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件 提示：数字证书其实就是一个小的计算机文件 数字证书的直观概念 数字证书和身份证的比较 如何建立主体与其公钥的关联 数字证书，是一个由使用数字证书的用户群所公认和信任的权威机构（CA）签署了其数字签名的信息集合。 主体将其身份信息和公钥以安全的方式提交给CA认证中心，CA用自己的私钥对主体的公钥和身份ID的混合体进行签名，将签名信息附在公钥和身份ID等信息后，这样就生成了一张证书，它主要由公钥、身份ID和CA的签名三部分组成， 证书的生成原理 数字证书的生成过程 证书的生成过程 1. 密钥对的生成 用户可以使用某种软件随机生成一对公钥/私钥对 2. 注册机构RA验证 RA要验证用户的身份信息，是否合法并有资格申请证书，如果用户已经在该CA