第5章数字证书.pptx

第5章 数字证书作者：孟显勇清华大学出版社;目前数字证书的主要类型包括X.509公钥证书、简单PKI证书、PGP证书、属性证书，每种类型的数字证书都具有各自的格式标准。其中使用最为广泛的数字证书的格式标准是由ITU（International Telecommunications Union，国际电信联盟）所制定的X.509标准。;ITU制定的数字证书X.509标准已经有三个版本，应用最为广泛的是第三版X.509数字证书标准。第三版X.509数字证书标准相对于以前版本增加了扩展字段，增加了证书的灵活性和适用性。 第三版X.509数字证书标准增加了扩展项，即可以将任意数目的扩展字段添加到数字证书中。数字证书应用程序可以按照需要定制特殊的名称格式来描述持有者的身份而不采用X.500的名称格式。每个扩展项都由三部分组成：扩展类型的对象标识符、关键程度指示器、扩展字段值。 ;X.509数字证书标准增加了扩展项，为数字证书的使用增添了灵活性。随着X.509数字证书扩展项的广泛使用，ISO、ITU和ANSI等组织制定了一系列X.509数字证书的扩展标准，扩展标准主要包括以下几个部分： 1. 密钥的扩展信息 2. 政策的扩展信息 3. 主体及颁发者的扩展信息 4. 认证路径约束的扩展 ;在基于公钥加密体制的安全体系中，任何通信实体都拥有一对密钥对，密钥对中包含公钥和私钥，并且公钥与私钥相互结合使用。安全、可靠的密钥对生成技术是保证信息安全通信的基础，目前密钥对的生成方式主要有： （1）由密钥对持有者系统生成。密钥对由持有者系统生成并存储于系统中，密钥对在使用过程中始终未离开系统，这种密钥对生成和管理技术可以有效地防止密钥对的泄露。 （2）由密钥管理中心系统生成。密钥对在密钥管理中心的系统中生成，然后通过安全信道分发到密钥对持有者系统，这种密钥对生成技术主要适合处理能力和储存空间都有限的持有者系统。 ;通常利用信息安全保密技术将私有密钥存储于各种存储介质中，私有密钥的存储方式主要有以下几种： （1）将私有密钥加密后存储于计算机硬盘或其他数据存储媒介中。 （2）将私有密钥存储于不可写的硬件存储器中。 （3）将私有密钥存储于数字证书服务器中。 ;密钥对的主要更新方式如下： 1. 用于加密的密钥对更新 2. 用于数字签名的密钥对更新 用于数字签名的密钥对更新要能够保证密钥对的历史有效性和实时有效性。 · 历史有效性。 · 实时有效性。 3. 认证机构的数字签名密钥对更新 认证机构的密钥对更新会涉及到整个认证系统的数字证书，当认证机构发布新的根证书时，需要将所有用户对原密钥对的信任关系转移到新密钥对上来。为了有效地转移新密钥对和旧密钥对之间的信任关系，认证机构会同时颁发“新私钥旧公钥”和“旧私钥新公钥”这两个过渡证书。;1. 认证机构 CA（Certificate Authority，认证机构）通常被称为认证中心、证书授权机构，是由具有权威性和公正性的可信第三方机构组成。认证机构是整个信任链的起点，是认证系统的重要组成部分，任何网络通信实体可以从CA中心获得CA的证书，用于验证认证机构所发放数字证书的数字签名，从而确定证书是否合法。认证机构的具体功能是采用公钥加密技术为网络中的通信实体提供身份认证服务，负责签发和管理数字证书。;2. 注册机构 RA（Registration Authority，注册机构）负责验证和录入证书申请者的信息，并按照特定的政策和管理规范对申请者的资格进行审查，是用户和认证机构CA之间的接口。主要功能是向CA转发从安全服务器传输过来的证书申请请求，并向目录服务器和安全服务器转发CA颁发的数字证书和证书撤销列表。认证机构可以设置多个注册机构，并且注册机构可以分散在不同的注册地点，便于数字证书申请人申请数字证书。;1. 数字证书的申请 数字证书可分为个人数字证书、机构数字证书和设备数字证书等。用户可以根据实际需要来申请不同类型的数字证书。 2. 本地注册机构 LRA（Local Registration Authority，本地注册机构）是为方便数字证书申请人注册数字证书而建立的注册机构，主要负责办理注册手续，如填表、验证身份和取证（签字、指纹）等。数字证书申请人可以在本地注册机构提交身份证明文件，但是本地注册机构不能制作证书。通常数字证书的安全级别越高，需要提供的用户资料越多，因此本地注册机构便于申请人注册。;数字证书的生成过程主要包括身份资料验证、制作数字证书和发放数字证书。数字证书的具体生成过程如图5-9所示，主要过程如下： （1）申请人将申请数字证书所需要的相关身份认证资料提交给认证机构。 （2）认证机构核实申请人的身份认证资料，并将申请人信息添加到数字证书。 （3）持有认证机构私钥的签证设备对签发的数字