第四章 证书基本结构与编码.pptVIP

第四章 证书基本结构与编码 本节内容 证书基本结构 证书描述方法 证书编码 证书基本结构 一张数字证书由证书内容、签名算法和签名结果组成 证书基本结构 证书内容包括 版本号——为了更好的升级、扩展 证书主体 Subject 主体公钥内容 签发者 Issuer 序列号——证书唯一标识 有效期 扩展项。。。 证书基本结构 证书实例 证书基本结构 版本号 数字证书有自己的格式，而这个格式可能会不断改进。为了让所有应用系统正确地识别证书内容，需考虑向前和向后兼容。因此，在证书中标明自己的格式版本有利于应用程序根据不同的格式定义来正确阅读不同的证书。 证书主体 证书的持有者（订户） 不仅具有证书的使用权，而且具有证书的所有权。 不仅可以把证书复制或传递给别人，更重要的是，证书主体拥有证书中的身份、公钥和对应的私钥。 证书基本结构 主体公钥信息 PKI是算法无关的，实际中可以使用多种算法 公钥信息中首先需要指明所用的公钥算法，随后才是公钥信息本身 签发者 CA 序列号 证书编号 如果签发者命名能满足唯一性要求的话，用“签发者”和“序列号”就可以唯一的标识任何一张数字证书。 证书基本结构 有效期 持有数字证书也就享有了证书签发结构通过证书提供的安全服务，其中还包含着责任和一些法律义务。 订户享受的服务是有时效性的，因此，数字证书应具有一个有效期。 长期使用同一密钥是不安全的，而且证书持有者的信息经过一段时间可能会改变，所以需要为证书设置一个包含起、止时间的“有效期”。 本质上是CA负责维护证书状态的时间范围，在此时间内CA担保证书持有者和公钥绑定关系的正确性。 证书描述方法 证书的描述需要使用精确的语言将内容准确的、无二义的表达出来，以便PKI系统中的各个组件都能正确的处理证书，各种应用系统也能正确的从证书中获取公钥和持有者的信息。 基本要求：简明的、无歧义的 自然语言？ 多种语言 同语种中一词多义和一义多词 程序设计语言？ 有较严格的语法和较清晰的数据结构表达方式 但由于平台相关的编译器不同，同一数据类型在不同系统中的实现就可能有差异。程序语言在内容的顺序上也没有严格规定。 证书描述方法 ASN.1语法记法标准 Abstract Syntax Notation one 抽象语法表示法 是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。 ASN.1是ISO和ITU-T的联合标准，最初是1984年的CCITT X.409:1984的一部分。由于其广泛应用，1988年ASN.1移到独立标准X.208，1995年进行全面修订后变成X.680系列标准。 ASN.1本身只定义了表示信息的抽象句法，但是没有限定其编码的方法。 证书描述方法 ASN.1语法记法标准（续） 简单类型 证书描述方法 ASN.1语法记法标准（续） 构造类型 复杂事物可以视为简单的事物集合或序列。 集合是顺序无关的，而序列是顺序有关的。 构造类型被用来描述复杂的事物，包括若干字段（简单类型或其他构造类型）。 ASN.1定义了四种构造方式，描述有序和无序的各种情况。 证书描述方法 ASN.1语法记法标准（续） 构造类型 (1) SEQUENCE 表示1个或多个字段组成的有序序列 例如： ReportEntry ::= SEQUENCE { 　　author OCTET STRING, 　　title OCTET STRING, 　　body OCTET STRING, 　　biblioBook Bibliography 　　} 证书描述方法 ASN.1语法记法标准（续） 构造类型 (2) SEQUENCE OF 表示0个或多个特定类型字段的有序序列 例如： Report ::= SEQUENCE SIZE (100) OF ReportEntry Report ::= SEQUENCE SIZE (MAX) OF ReportEntry 证书描述方法 ASN.1语法记法标准（续） 构造类型 (3) SET 表示1个或多个字段组成的无序集合 例如： Menu ::=SET{ sandwich Food, coke Beverage } 证书描述方法 ASN.1语法记法标准（续） 构造类型 (4) SET OF 表示0个或多个特定类型字段的无序集合 例如： Class ::= SET SIZE (50) OF Student 证书描述方法 ASN.1语法记法标准（续） 构造类型 基于各种构造方式，将基本数据类型经过层次嵌套，最终构造出能描述任何抽象事物的数据结构。 例如： 　　Bibliography ::= SEQUENCE { 　　 author OCTET STRING