第8章公钥证书与证书机构分析.ppt

第8章 公钥证书与证书机构 了解以下内容： 公钥证书 公钥证书基本概念， 公钥证书系统分类 公钥证书的类型、内容、生成途径、格式、吊销、使用期限、授权信息 证书机构 证书机构 证书吊销列表 CA系统的组成 第8章 公钥证书与证书机构 8.1 公钥证书 数字证书（数字认证） 用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份。是一个担保人、计算机系统或者组织者的身份和密钥所有权的电子文档。 非对称体制身份识别的关键是将用户身份与密钥绑定。CA(Certificate Authority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。 第8章 公钥证书与证书机构 8.1 公钥证书系统的类型 单公钥证书系统 一个系统中所有的用户共用同一个CA。 由一个证书机构CA和一群用户组成，CA证书机构负责证书的发放、管理和仲裁，各用户拥有自己的公/私钥对。 多公钥证书系统 建立一个可信赖的证书链 第8章 公钥证书与证书机构 证书的有效性 证书没有超过有效 密钥没有被修改。 证书不在CA发行的无效证书清单中。 8.1.2 公钥证书的类型 客户证书 证实客户身份和密钥所有权 服务器证书 证明服务器的身份和公钥 安全邮件证书 证实电子邮件用户的身份和公钥 CA证书 证实CA身份和CA的签名密钥。 8.1.3 公钥证书的内容 证书的格式定义在ITU-T X.509 标准里。 证书有两部分组成： 证书数据的组成 P112 发行证书的CA签名与签名算法 8.1.4 公钥和私钥对的生成和要求 密钥对生成的两种途径 密钥对持有者自己生成 密钥对由通用系统（CA）生成 密钥的安全保护 私钥安全送到用户手中（安全信道） 公钥送给CA生成证书 密钥安全保存 定期更换密钥 对不同类型密钥对的要求P113 8.1.5 公钥证书的申请、更新、分配 公钥--私钥对的管理包括公钥—私钥对的生成、发行、分配、更新、暂停使用、吊销等。 证书的生成： 向CA注册，填写申请表，CA对注册者进行确认 CA认证申请者的身份后，按以下步骤生成证书 （1）CA检索所需的证书内容信息 （2）CA证实这些证书信息内容的正确性；CA用其签名密钥对证书签名 （3）将证书的一个拷贝送给注册者 （4）CA将证书送给证书数据库，向公用检索业务机构公布 （5）CA将证书存档 （6）CA将证书的一些生成细节记入审计记录中。 8.1.6 公钥证书的格式 ISO/IEC/ITU X.500标准 命名树结构P115 8.1.7 公钥证书的吊销 吊销的原因：有效期、私钥泄露、篡改等 如何吊销： 用户可以向CA申请吊销其证书，CA审核 对于已吊销的证书，CA将它们记入吊销列表（CRL），并向可能的用户公布，已供查询。 CRL 定时更新 可以通过广播 立即吊销 8.1.8 证书的使用期限 证书本身具有有效期，还有使用期限 证书作为加密用时，必须对公钥所有者的身份认定后才能使用，解密密钥的使用期可长。 使用数字签名注意的是： 历史性 当前的合法性 8.1.9 公钥证书的授权信息 8.1.10 数字证书的使用P117 个人证书的申请和安装 8.2 证书机构 证书机构CA（ Certification Authority）:用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。 创建证书的过程： CA系统首先获取用户A的请求，其中包括用户的公钥，CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。 其他用户将用A的公钥对证书进行验证。 CA还负责维护和发布证书吊销表. 8.2.1 CA的组成 一个CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器。 安全服务器：提供证书申请、浏览、证书吊销表以及证书下载 CA服务器：负责证书的签发 注册机构RA：登记中心服务器 LDAP目录服务器：提供目录浏览器，负责将注册机构服务器传输过来的用户信息以及数字证书加到服务器上。 数据库服务器：用于认证机构数据、日志和统计信息的存储和管理。 8.2.2 认证机构的功能 认证机构：不直接从电子商务中获利的受法律承认的可信任的权威机构，负责发放和管理电子证书。 提供的服务： 证书申请 证书更新 证书吊销或撤销 证书的公布和查询 8.2.3 证书合法性验证链 2012试题 11.身份认证中证书的发行者是（） 　　A.政府机构B.认证授权机构 　　C.非盈利自发机构D.个人 12.在CA体系结构中起承上启下作用的是（C） 　　A.安全服务器 B.CA服务器 　　C.注册机构RA