84数字证书与公钥基础设施 8.4.1数字证书 8.4.2公钥基础设施 ●四南大字画字
8.4 数字证书与公钥基础设施 8.4.1 数字证书 8.4.2 公钥基础设施
841数字证书 数字证书,即数字1D,是一种由GA签发用于识别的电子形式的个人证 书。这里,数字证书指X.509公钥证书,即数字证书的一个标准格式数 字证书可以用于身份验证,方便地保证由鲜为人知的网络发来信息的可靠 性,同时建立收到信息的拥有权及完整性。 1证书结构 尽管X509已经定义了证书的标准字段和扩展字段的具体要求,仍有很 多的证书在颁发时需要一个专门的协议子集来进一步定义说明。 Internet 工程任务组PKX509工作组就制定了这样一个协议子集,即RFC2459。 图820给出了第3版的证书结构。除了X.509格式的证书外,还有SPK PGP、SET和属性证书等形式。 第8章网络安全
第8章 网络安全 8.4.1 数字证书 数字证书,即数字ID,是一种由CA签发用于识别的电子形式的个人证 书。这里,数字证书指X.509公钥证书,即数字证书的一个标准格式。数 字证书可以用于身份验证,方便地保证由鲜为人知的网络发来信息的可靠 性,同时建立收到信息的拥有权及完整性。 1. 证书结构 尽管X.509已经定义了证书的标准字段和扩展字段的具体要求,仍有很 多的证书在颁发时需要一个专门的协议子集来进一步定义说明。Internet 工程任务组PKI X.509工作组就制定了这样一个协议子集,即RFC2459。 图8.20给出了第3版的证书结构。除了X.509格式的证书外,还有SPKI、 PGP、 SET和属性证书等形式
841数字证书 版号序明签名算法颁者有|钥誩|一标识展签名 图8.10X509版本3的证书格式 版本号表示证书的版本,如版本1,版本3等;序列号是由证书颁发者分配 给证书的惟一标识符;签名算法是由对象标识符加上相关参数组成的标识符, 用于说明证书所用的数字签名算法;颁发者是证书颁发者的可识别名;有效則 是证书有效的时间段;主体是证书拥有者的可识别名,此字段必须为非空;主 体公钥信息是对主体的公钥以及算法标识符进行说明;颁发者惟一标识符是证 书颁发者的惟一标识符,仅在版本2和版本3中要求,属于可选项;主体惟 标识符是证书拥有者惟一标识符,仅在版本2和版本3中要求,属于可选项 扩展是专用的标准和专用功能字段;签名是认证机构的数字签名。 第8章网络安全
第8章 网络安全 8.4.1 数字证书 图8.10 X.509版本3的证书格式 版本号表示证书的版本,如版本1,版本3等;序列号是由证书颁发者分配 给证书的惟一标识符;签名算法是由对象标识符加上相关参数组成的标识符, 用于说明证书所用的数字签名算法;颁发者是证书颁发者的可识别名;有效期 是证书有效的时间段;主体是证书拥有者的可识别名,此字段必须为非空;主 体公钥信息是对主体的公钥以及算法标识符进行说明;颁发者惟一标识符是证 书颁发者的惟一标识符,仅在版本2和版本3中要求,属于可选项;主体惟一 标识符是证书拥有者惟一标识符,仅在版本2和版本3中要求,属于可选项; 扩展是专用的标准和专用功能字段;签名是认证机构的数字签名。 版本号 序列号 签名算法 颁发者 有效期 主体 主体公 钥信息 颁发者唯 一标识符 扩展 签名
841数字证书 2.证书的用途和功能 从证书的用途上看,数字证书可分为签名证书和加密证书。签名证书 主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主 要用于对用户传送信息进行加密,以保护认证信息以及公开密钥的文件。 3.认证机构系统 CA系统为实现其功能,主要由3部分组成: 认证机构 注册机构 证书目录服务器 第8章网络安全
第8章 网络安全 8.4.1 数字证书 2.证书的用途和功能 从证书的用途上看,数字证书可分为签名证书和加密证书。签名证书 主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主 要用于对用户传送信息进行加密,以保护认证信息以及公开密钥的文件。 3.认证机构系统 CA系统为实现其功能,主要由3部分组成: ➢ 认证机构 ➢ 注册机构 ➢ 证书目录服务器
841数字证书 下面以 OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图811所示的体系结构模型 [客户实体]十[访问控制 We口 RA CAl LDAP 交叉认证 CA2 管理控制台 图811CA系统结构 在○ penCA认证系统当中,整个CA系统由注册机构RA、认证机构CA CA管理员平台、访问控制系统以及目录服务器组成 第8章网络安全
第8章 网络安全 8.4.1 数字证书 下面以OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图8.11所示的体系结构模型。 图8.11 CA系统结构 在OpenCA认证系统当中,整个CA系统由注册机构RA、认证机构CA、 CA管理员平台、访问控制系统以及目录服务器组成。 交叉认证 客户实体 访问控制 RA CA1 CA2 L D A P 管理控制台 数据库 Web接口
8.51数字证书 4.数字认证 数字认证是检查一份给定的证书是否可用的过程,也称为证书验证 数字认证引入了一种机制来确保证书的完整性和证书颁发者的可信赖 性。在考虑证书的有效性或可用性时,除了简单的完整性检查还需要 其他的机制。数字认证包括确定如下主要內容 个可信的CA已经在证书上签名。 证书有良好的完整性。 证书处在有效期内 证书没有被撒消 证书的使用方式与任何声明的策略和或使用限制相一致 第8章网络安全
第8章 网络安全 8.5.1 数字证书 4. 数字认证 数字认证是检查一份给定的证书是否可用的过程,也称为证书验证。 数字认证引入了一种机制来确保证书的完整性和证书颁发者的可信赖 性。在考虑证书的有效性或可用性时,除了简单的完整性检查还需要 其他的机制。数字认证包括确定如下主要内容: ➢ 一个可信的CA已经在证书上签名。 ➢ 证书有良好的完整性。 ➢ 证书处在有效期内 。 ➢ 证书没有被撤消。 ➢ 证书的使用方式与任何声明的策略和/或使用限制相一致
842公钥基础设施 1.PK的组成 个实用的PK体系应该是安全的、易用的、灵活的和经济的,它必 须充分考虑互操作性和可扩展性。从系统构建的角度,PK由三个层次构 成,如图8.13所示。 PKI系统的最底层位于操作系统之上,为密码技术、网络技术和通信 技术等,包括各种硬件和软件;中间层为安全服务API和CA服务,以及证 书、CRL和密钥管理服务;最高层为安全应用AP,包括数字信封、基于 证书的数字签名和身份认证等AP,为上层各种业务应用提供标准的接口。 一个完整的PKI系统具体包括认证机构GA、数据证书库、密钥备份及 恢复系统、证书作废处理系统和客户端证书处理系统等部分。 第8章网络安全
第8章 网络安全 8.4.2 公钥基础设施 1. PKI的组成 一个实用的PKI体系应该是安全的、易用的、灵活的和经济的,它必 须充分考虑互操作性和可扩展性。从系统构建的角度,PKI由三个层次构 成,如图8.13所示。 PKI系统的最底层位于操作系统之上,为密码技术、网络技术和通信 技术等,包括各种硬件和软件;中间层为安全服务API和CA服务,以及证 书、CRL和密钥管理服务;最高层为安全应用API,包括数字信封、基于 证书的数字签名和身份认证等API,为上层各种业务应用提供标准的接口。 一个完整的PKI系统具体包括认证机构CA、数据证书库、密钥备份及 恢复系统、证书作废处理系统和客户端证书处理系统等部分
842公钥基础设施 业务应用统 安全应用A 包括数字信封、数字签名、身份认证) 证书 PKI统层 安全务AFI 0弄统 如解、单向散列忠务、峦钥窅理忠务等 峦码枝术、网络枝术、通信枝术 却作统层 操作系统 图8.13PK系统应用框架 第8章网络安全
第8章 网络安全 8.4.2 公钥基础设施 图8.13 PKI系统应用框架
842公钥基础设施 认证机构。认证机构CA是证书的签发机构,是保证电子商务、 电子政务等交易的权威性、可信任性和公正性的第三方机构。 数据证书库。证书库是cA颁发证书和撒消证书的集中存放地, 可供用户进行开放式查询,获得其他用户的证书和公钥。 密钥备份及恢复系统。PKI提供的密钥备份和恢复解密密钥机 制是为了解决用户丟失了密钥使得密文数据无法被解密的情形。 证书作废处理系统。证书的有效期是有限的,证书和密钥必须 由PKI系统自动进行定期的更换,超过其有效期限就要被作废处理。 客户端证书处理系统。为了方便客户操作,在客户端装有软件 申请人通过浏览器申请、下载证书,并可以查询证书的各种信息 对特定的文档提供时间戳请求等。 第8章网络安全
第8章 网络安全 8.4.2 公钥基础设施 ➢ 认证机构。认证机构CA是证书的签发机构,是保证电子商务、 电子政务等交易的权威性、可信任性和公正性的第三方机构。 ➢ 数据证书库。证书库是CA颁发证书和撤消证书的集中存放地, 可供用户进行开放式查询,获得其他用户的证书和公钥。 ➢ 密钥备份及恢复系统。PKI提供的密钥备份和恢复解密密钥机 制是为了解决用户丢失了密钥使得密文数据无法被解密的情形。 ➢ 证书作废处理系统。证书的有效期是有限的,证书和密钥必须 由PKI系统自动进行定期的更换,超过其有效期限就要被作废处理。 ➢ 客户端证书处理系统。为了方便客户操作,在客户端装有软件, 申请人通过浏览器申请、下载证书,并可以查询证书的各种信息, 对特定的文档提供时间戳请求等
842公钥基础设施 2.PKI的运行模型 在PK的基本框架中,具体包括管理实体、端实体和证书库三类实体 其功能如下 管理实体。它包括证书签发机构CA和注册机构RA,是PK的 核心,是PK服务的提供者。CA和RA以证书方式向端实体提供公 开密钥的分发服务。 端实体。它包括证书持有者和验证者,它们是PKI服务的使用 者。持有者向管理实体申请并获得证书,也可以在需要时请求撤销 或更新证书;验证者通常是授权方,确认持有者所提供的证书的有 效性和对方是否为该证书的真正拥有者,只有在成功鉴别之后才可 授权对方。 证书库。它是一个分布式数据库,用于证书及撤销证书列表存 放和检索。 第8章网络安全
第8章 网络安全 8.4.2 公钥基础设施 2. PKI 的运行模型 在PKI的基本框架中,具体包括管理实体、端实体和证书库三类实体, 其功能如下: ➢ 管理实体。它包括证书签发机构CA和注册机构RA,是PKI的 核心,是PKI服务的提供者。CA和RA以证书方式向端实体提供公 开密钥的分发服务。 ➢ 端实体。它包括证书持有者和验证者,它们是PKI服务的使用 者。持有者向管理实体申请并获得证书,也可以在需要时请求撤销 或更新证书;验证者通常是授权方,确认持有者所提供的证书的有 效性和对方是否为该证书的真正拥有者,只有在成功鉴别之后才可 授权对方。 ➢ 证书库。它是一个分布式数据库,用于证书及撤销证书列表存 放和检索