身份认证技术复习.pptVIP

PKI Authentication-X.509 Certification Structure Version: Default V1, the extension part is V3 Certificate Serial No.: Every certificate issued by the same CA has a unique serial No. Signature Algorithm flag: the algorithm and parameter of the certificate signature. The Algorithm flag is registered at International Standardization Organization. Authorizer name: the name of the CA, who issued and sign the certificate Valid date: Effective date and expiry date of the certificate Principal name：the principal name of the certificate. Principal public key information：Principal public key, public key algorithm flag and parameters Authorizer flag：If the authorizer name are used by different parties, choose the right CA with Authorizer flag. Extended field of Version 3: quote the optional extension information from Version 3. CA signature: using the CA private key to encrypt the hash code of all the other field of the certificate Authorizer name or user name , are the unique names of the parties in X.500 format -- DN(Distinguished Name)，DN usually includes C( Country)、O(Organization)、OU (Organizational Units)、CN(Common Name) and E (Email)。 For example: while the CA of PeopleNet distribute the certificates to the users, in the DN of the users, C=CN，O=people。 PKI Authentication-X.509 Certificate X.509v3证书的扩展字段为用户、公钥、证书管理提供附加的属性。主要的扩展字段有： 私钥用途(key usage) 指明主体私钥使用目的，包括(密钥)加密, (抗抵赖)数字签名, 证书签名等。 证书类型 限制证书应用范围。 证书策略(certificate policies) 基本约束(basic constraints) 是否CA证书… 名字约束(name constraints) 策略约束(policy constraints) PKI认证-X.509证书说明(续) PKI认证-CA 在网络环境中公钥以电子证书的形式签发，由所谓的证书权威机构 CA 生成和签发。 CA 是大家都信任的第三方。 通信双方通过对CA的共同信任来建立信任关系：A和B都信任CA，因为CA信任B，于是A也信任B；同样因为CA信任A，于是B也信任A。 这是一种信任传递关系。在现实社会中，人与人的信任关系…。 PKI认证-CA CA功能 接受 (端实体通过) RA的签发、撤销和更新证书请求。 为端实体生成密钥对，密钥托管和恢复。 用户可自己生成密钥对, 私钥自己保存, 向CA提交公钥。也可由CA生成，并保存在秘密存储库，称密钥托管(数字签名的私钥不能托管)。 签发、撤销和更新证书。 发布证书和证书撤销列表CRL。 制订证书策略。 PKI认证-RA 按PKIX标准RA是代表CA执行某些功能的可选系统，其主要功能： 接受端实体的签发、撤销和更新证书请求。 负责对端实体 (证书申请者) 进行身份鉴定。 为证书主体指定名字。 向CA提交签发、撤销和更新证书请求。 发布CA签发的证