数字证书的结构分析.pptVIP

数字证书的结构分析 主讲人：潘敏 内容 简单理解PKI 数字证书概要 什么是数字证书 数字证书的功能及特点 数字证书的存储方式 数字证书的分类 数字证书的颁发过程 数字证书的结构 简单理解PKI Public Key Infrastructure（公开密钥基础设施） 是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施 能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理 由CA中心、数字证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等组成 什么是数字证书？ 数字证书，也称为“Digital ID”： 是公开密钥体制的一种密钥管理媒介 是一种权威性的电子文档，形同网络环境中的一种身份证，用于证明某一主体（如个人、服务器等）的身份以及其公开密钥的合法性 认证中心是负责发放和管理数字证书的权威机构 数字证书是经证书授权中心(Certification Authority)数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。 数字证书的功能及特点 信息网络系统安全需求： 真实性 完整性 机密性 不可否认性 数字证书的功能： 身份认证 数字签名 数字信封 数字签名 时间戳 数字证书的存储方式 机器硬盘 随身软盘 智能卡 智能密码钥匙（USBKey ） 数字证书分类1 企业高级/普通证书 个人高级/普通证书 服务器证书（Web Server） VPN证书 WAP证书 代码签名证书和表单签名证书 数字证书分类2 公钥证书 公钥证书是一个数据对象，它将公钥和一组标识密钥对的拥有者（一个实体，例如人、组织、节点和网站）的信息绑定在一起。证书中的公钥是和密钥对中的私钥相关的。密钥对的拥有者称作证书中的“主体”。安全事务依赖于准确的身份（主体）和证书中包含的公钥。依靠可信的、准确的身份和公钥，在执行在线事务之前， 一个参与者能够认证其他的参与者。 属性证书 世界通信组织（ITU）的定义是： 对用户的属性及其他信息用颁发此证书的证书权威私钥进行数字签名而形成的证书。 PKCs与AC的区别 数字证书的颁发过程 首先，用户产生自己的密钥对，并将公钥及部分个人身份信息传送给CA认证中心； 其次，CA认证中心在核实用户身份后将执行一些必要的步骤，以确信请求确实由用户发送而来； 最后，CA认证中心将发给用户一个数字证书，该证书内包含用户的个人信息及其公钥信息，同时还附有CA认证中心的签名信息。 证书验证与证书生命周期 证书有效性或可用性验证 密钥/证书生命周期 初始化阶段：终端实体注册-密钥对产生-证书创建和密钥/证书分发，证书分发，密钥备份 颁发阶段：证书检索，证书验证，密钥恢复，密钥更新 取消阶段：证书过期，证书恢复，证书吊销，密钥历史，密钥档案 X.509 国际电信联盟的ITU-T制定的数字证书标准 它定义并标准化了一个通用的、灵活的证书格式 是默认的加密体制是公钥密码体制 它的实用性来源于它为X.509 v3和X.509 v2 CRL定义的强有力的扩展机制 X.509数字证书 版本号（Version） 序列号（Serial number） 签名算法标识符（Signature algorithm） 认证机构（Issuer） 有效期（Validity） 主题（Subject） 认证机构的数字签名（Signature） 公钥信息（Public key） X.509标准 v3证书 在v2的基础上进行了扩展 v3引进一种机制，这种机制允许通过标准化和类的方式对证书进行扩展，使其包括额外的信息，以适应以下要求： （1）一个证书主体可以有多个证书； （2）证书主体可以被多个组织或社团的其他用户识别； （3）可按特定的应用名（不是X.500名）识别用户，如将公钥同Email地址联系起来； （4）对于不同证书政策和应用，可自定义扩展机制，且这种扩展机制应该是完全可以继承的。 公开密钥证书的标准扩展 密钥和政策信息：包括机构密钥识别符、主体密钥识别符、密钥用途（如数字签字、不可否认性、密钥加密、数据加密、密钥协商、证书签字、CRL签字等）以及密钥使用期限等； 主体和发证人属性：包括主体代用名、发证者代用名及主体检索属性等； 证书通路约束：包括基本约束，指明是否可以做证书机构等； 与CRL有关的补充。 X.509 v3证书基本语法 证书按照ASN.1语法（DER） [X.208]规则进行编码传递。ASN.1 DER编码是对每个元素对应的标签、长度、值编码系统。 Certificate ::= SEQUENCE { tbsCertificate TBSCertificate， signatureAlgo