公钥证书的概念.ppt

密 码 学;目 录;目 录;一、公钥密码密钥管理的概念;一、公钥密码密钥管理的概念;二、公钥密码的密钥产生;二、公钥密码的密钥产生;二、公钥密码的密钥产生;二、公钥密码的密钥产生;三、公钥密码的密钥分配;三、公钥密码的密钥分配;三、公钥密码的密钥分配;三、公钥密码的密钥分配;三、公钥密码的密钥分配;四、公钥证书的概念;四、公钥证书的概念;四、公钥证书的概念;四、公钥证书的概念;有了公钥证书系统后，如果某个用户需要任何其他已向CA注册的用户的公钥，可向持证人（或证书机构）直接索取公钥证书。 用CA的公钥验证CA的签名，从而获得可信的公钥。 由于公钥证书不需要保密，可以在公网上分发，从而实现公钥的安全分配。 又由于公钥证书有CA的签名，攻击者不能伪造合法的公钥证书。因此，只要CA是可信的，公钥证书就是可信的。;使用公钥证书的主要好处是： ①用户只要获得其它用户的证书，就可以获得其它用户的公钥。 ②用户只要获得CA的公钥，就可以安全地认证其它用户的公钥。 ③因此公钥证书为公钥的分发奠定了基础，成为公钥密码在大型网络系统中应用的关键技术。 这就是电子政务、电子商务等大型网络应用系统都采用公钥证书技术的原因。;X.509证书 目前应用最广泛的证书格式是国际电信联盟ITU（International Telecommunication Union）提出的X.509版本3格式。 X.509标准最早于1988年颁布。在此之后又于1993年和1995年进行过两次修改。 INTERNET工程任务组（IETF）针对X.509在INTERNET环境的应用，颁布了一个作为X.509子集的RFC2459。从而使X.509在INTERNET环境中得到广泛应用。;;公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公开密钥基础设施PKI（Public Key Infrastructure）。 公开密钥基础设施提供一系列支持公开密钥密码应用（加密与解密、签名与验证签名）的基础服务。 本质上，PKI是一种标准的公钥密码的密钥管理平台。;公钥证书是PKI中最基础的组成部分。 此外，PKI还包括签发证书的机构（CA），注册登记证书的机构（RA），存储和发布证书的目录，密钥管理，时间戳服务，管理证书的各种软件和硬件设备，证书管理与应用的各种政策和法律，以及证书的使用者。所有这些共同构成了PKI。 ; 1、签证机构CA 在PKI中，CA负责签发证书、管理和撤销证书。CA严格遵循证书策略机构所制定的策略签发证书。CA是所有注册用户所信赖的权威机构。 CA在给用户签发证书时要加上自己的签名，以确保证书信息的真实性。为了方便用户对证书的验证，CA也给自己签发证书。这样，整个公钥的分配都通过证书形式进行。; 1、签证机构CA 对于大范围的应用，一个CA是远远不够的，往往需要许多CA。 例如对于某一行业，国家建立一个最高级的CA，称为根CA。 每个省建立一个省CA，每个地市也都可以建立CA，甚至一个企业也可以建立自己的CA。 不同的CA服务于不同的范围，履行不同的职责。 ; 2、注册机构RA RA（Registration Authority）是专门负责受理用户申请证书的机构。根据分工，RA并不签发证书，而是负责对证书申请人的合法性进行认证，并决定是批准或拒绝证书申请。 证书的签发由CA进行。 ; 2、注册机构RA RA的主要功能如下： 接收证书申请人的注册信息，并对其合法性进行认证； 批准或拒绝证书的申请； 批准或拒绝恢复密钥的申请； 批准或拒绝撤销证书的申请； ; 2、注册机构RA RA的主要功能如下： 对于一个小范围的系统，由CA兼管RA的职能是可以的。但随着用户的增多，CA与RA应当职责分开。 申请注册有不同的方式，有在线的方式和离线的方式。在INTERNET环境中可以WEB浏览器方式进行在线注册。注册的过程是用户与CA建立信任关系的一个重要步骤。; 3、证书的签发 经过RA的注册批准后，便可向CA申请签发证书。与注册方式一样，向CA申请签发证书可以在线申请，也可以离线申请。特别是在INTERNET环境中可以WEB浏览器方式在线申请签发证书，越来越受到欢迎。; 3、证书的签发 CA签发证书的过程如下： 用户向CA提交RA的注册批准信息及自己的身份等信息（或由RA向CA提交）； CA验证所提交信息的正确性和真实性； CA为用户产生密钥（或由用户自己产生并提供密钥），并进行备份； CA生成证书，并施加签名； 将证书的一个副本交给用户，并存档入库。; 4、证书目录 证书产生之后，必须以一定的方式存储和发布，以便于使用。 为了方便证书的查询和使用，CA采用证书目录的方式集中存储和管理证书。通常采用建立目