第五章 数字证书-数字证书标准格式、申请、分发.ppt

2011年10月10日 Technology of Electronic Business Security 2011年10月10日 第五章 数字证书 -数字证书标准格式、申请、分发 本章学习内容： 数字证书及其格式 公私密钥对的管理 数字证书的申请 数字证书的分发 数字证书的撤销 5.1数字证书及其格式 数字证书 基于公钥技术、数字签名技术的电子商务参与各方、设备或其他实体的身份证书。由认证机构（CA）在确认了数字证书持有者（或称为证书主体）的身份或其他属性并用数字方式签名签发和统一管理。数字证书是公钥技术、数字签名技术广泛应用于电子商务的关键。 主要内容 证书序列号、持有者的名称、公开密钥、有效期、认证机构（发行者）的名称与数字签名。 类型 个人证书、企业证书、服务器证书、开发者证书。 5.1数字证书及其格式（Cont.） 5.1数字证书及其格式（Cont.） X.509标准数字证书格式 X.509标准：ITU制定，版本有X.509v1(1988)、X.509v2(1993) 、X.509v3(1997) 、X.509v4(2000) 。 X.509数字证书基本格式(X.509v1 、v2) 内容： 版本号：X.509标准版本号。 数字证书序列号：数字证书的唯一标识。 签名算法标识符：认证机构对数字证书签名时所使用的数字签名算法的标识。 5.1数字证书及其格式（Cont.） 数字证书发放者：发行数字证书的认证机构的名称。用于确定发行者身份。 有效期：数字证书的起始和终止的日期和时间。 主体名称：与相应的被验证公钥所对应的私钥持有者的名称。用于确定主体身份。 主体的公钥信息：主体的公钥值以及该公钥使用时所用的算法标识。 数字证书发放者的唯一标识符：可选项。当实体具有相同的名称时，使认证机构的名称具有唯一性。 主体的唯一标识符：可选项。当实体名称相同时，使的主体的名称唯一性。 5.1数字证书及其格式（Cont.） 5.1数字证书及其格式（Cont.） X.509v3数字证书基本格式 在X.509v1、v2基本格式中加入通用扩充机制。 扩展标识符：扩展字段类型。 关键程度指示器：扩展字段是关键的/非关键的。 扩展字段值。 X.509v3数字证书主体和数字证书发放者的身份可以用一个或多个不同形式的名称来确定。 5.1数字证书及其格式（Cont.） 5.1数字证书及其格式（Cont.） 数字证书扩展标准 扩展内容: 密钥信息、政策信息、主体与发放者的属性、认证路径约束、与数字证书撤销表(CRLs) 相关的扩展。 密钥信息扩展 扩展有关主体和发放者密钥的附加信息，如密钥标识符、密钥用途指示器、私钥使用期。这些扩展允许管理者限制数字证书和认证密钥的用途、私钥的授权使用期。 5.1数字证书及其格式（Cont.） 政策信息扩展 说明认证机构对数字证书所规定的政策和操作说明。 主体与发放者属性扩展 扩展主体和发放者的备用名、主体身份识别信息（包括主体在组织中的职位、电话和邮政地址等）。 认证路径约束扩展 认证路径：认证机构之间的认证链。 认证路径约束扩展包括基本约束、命名约束、政策约束。 5.2公私密钥对的管理 密钥对的生成 密钥对的生成方法 密钥对持有者系统生成：有利保证交易的不可否认性、密钥安全。 密钥管理中心系统生成：有利生成高效密钥对。存在密钥分发安全问题。 密钥管理系统与认证机构分离，有助于私钥安全、用户对认证机构的信任。 5.2公私密钥对的管理（Cont.） 私钥的保护 私钥的保护方法 私钥存储在不可写的硬件模块或标记中，如智能卡中； 私钥存储在数据存储媒介上的加密数据文件中； 私钥存储在数字证书服务器。 密钥对的更新 对公私密钥对进行定期的、有规律的更新。同时对相应的数字证书进行更新、撤销。 加密有关的密钥对：公钥在数字证书的有效期内使用。私钥可能在数字证书有效期之后仍然存续（本地解密/加密）。 5.2公私密钥对的管理（Cont.） 数字签名的密钥对： 历史有效性：数字证书用户不必关心数字签名以后的公钥数字证书有效期。可通过证书状态信息检验。 实时有效性：数字证书用户关心数字签名以后的公钥数字证书有效期。如时间戳等检验时。比私钥的使用期长。 认证机构数字签名的密钥对： 数字签名密钥对的一个特例。 同时存在历史有效性、实时有效性。 认证机构的公钥和相应的数字证书的有效期必须比所发放的数字证书的有效期长。 5.3数字证书的申请 数字证书管理机构的作用 数字证书管理机构 认证机构CA：数字证书管理； 注册机构RA(/RS)：数字证书申请注册。与认证机构可能是不同的法律实体或是认证机构的组成部分。 对数字证书申请人进行合法性确认； 批准生成密钥对与数字证书及恢复备份密钥的请求； 注册、注销、批准或拒绝对数字证书属性的变更要