密码学和信息安全 第14章 x.509认证服务.pptVIP

第14章 x.509认证服务 唯炬棠早质逞剖书悄蔗阵历筹铭置惟研秃像朗晾客宰唐左复沽贼嗜蜀欲腺密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 PKI（Public Key Infrastructure p312）：采用证书管理公钥,通过CA (Certificate Authority)，把要传输的信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。 PKI的组成： X. 509认证服务 CA、RA、证书库、密钥恢复服务器和终端用户。 CA：certification authority，认证中心,负责发放，管理和撤销数字证书的权威机构。 RA：registration authority，注册审批机构，负责证书申请，审核等工作。 塔帅棠足窒官铭毙穿证翟蚁丘饶氛莆抨硝愚粟胀规晨库井碗足颅挡民乌魄密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 PKI标准： X. 509认证服务 1）X.509协议，主要目的在于定义一个规范的数字证书的格式。 2）PKCS，The Public-Key Cryptography Standards，美国RSA制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。 3）PKIX，Public-Key Infrastructure (X.509)，主要定义基于X.509和PKCS的PKI模型框架。 信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密。 臻变懂韧苛赤极抗馒哎需渺捷武讹依燥锌亨亩殴枯赎绚系款认潜桓恳眶颊密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 X. 509认证服务 证书颁发方法： 导入证书的文件格式： 通过CA颁发 .cer：用于二进制DER的文件和BASE64编码的文件。 .p7c或.p7b：用于PKCS#7文件，包含证书和CRL列表。 .pfx或.p12：用于PKCS#12文件，包含证书和私钥。 描屯姬祖狸恼撅翟袖争沥腿管保箕演诛鄂泵弯冠里祝兴答锑致刺笨膏胞那密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 X. 509认证服务 X.509是X.500系列中定义目录服务的一部分。 X.509是关于证书结构和认证协议的一种重要标准，并被广泛使用。X.509首次于1988年发布，随后在安全性方面被修正，修订稿于1993年发布，1995年发布第三版，2000年被再次修改。 X.509是基于公钥密码体制和数字签名的服务。其标准中并未规定使用某个特定的算法，但推荐使用RSA；其数字签名需用到散列函数，但并没有规定具体的散列算法。 镇且烁乃壮填弱恋胸陨话速题毅郸撕储蝇粱像焦绥始旬印疑抱店贰旋快槛密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 公钥证书的产生及应用过程 纳藤翱嫌效尝馒丈彦协腹工营丈秒乱珠沟聘嫡缚赛肢脊裁颠装谈羔条柯雹密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 X. 509 X.509的核心是与每个用户相关的公钥证书。这些用户证书由一些可信的认证机构（CA）创建并被CA或用户放入目录服务器中。目录服务器本身不创建公钥和证书，仅仅为用户获得证书提供一种简单的存取方式。 戎测隋屹枪泽晒查相精熟抨炳棒哦夫黑酒壁评囊蹭猴腮腮淬佐届被殊厅裁密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 X. 509 证书格式： 发行者密钥标识符（用来区分同一证书拥有者的多对密钥），密钥使用（指明证书的公钥可以完成的功能或服务），CRL(证书撤销表)分布点等。 偿龋舆滩触钱皖糯咖贺赐永赫鹃煮扔骡纱关丙给区酱渤问驾涛黑逗卫机阜密码学和信息安全 第14章 x.509认证服务密码学和信息安全 第14章 x.509认证服务 X. 509 版本号（Version）：区分合法证书的不同版本，默认设置为1.如果存在发行商惟一标识或主体惟一标识，则版本号为2，如果存在一个或多个扩展，则版本号为3. 序列号（Serial number）：一个整数，在CA中惟一标识证书。 签名算法标识（Signature algorithm identifier）：带参数的、用于给证书签名的算法，由于此信息在证书尾部的域Signature中还会出现，这里很少包含该信息。 发行商名字（Issuer name）:X.500中创建、签名证书