信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD9.pptVIP

密钥管理和认证中心(Key Management and Certification Authority) * 信息与网络安全概论(第三版) * 本章內容 9.1 认证中心 9.2 数字凭证标准格式(X.509) 9.3 认证中心的操作流程 9.4 数字凭证的使用 9.5 数字凭证的种类 9.6 交 叉 认 证 9.7 电子签名法 用户登记认证，使其网络身份生效并具法律效用。 - 如同向派出所登记，政府核发身份证 用户将其公开密钥登记认证，以确认用户的公开密钥。 - 如同印章证明 每个用户所持有的数字凭证，就如同现实社会中的身份证一样，可用来证明自己在网络世界中的合法身份。 提供一个值得信赖的安全基础设施。 需要可信任的第三者：认证中心(CA) 9.1 认证中心 产生及更新数字凭证，CA将每个用户的身份及公开密钥签署成一个数字凭证。 分发及管理数字凭证。 数字凭证的注销及恢复。 扮演一个数字时代可信任的仲裁者(提供凭证)。 存储数字凭证(有效凭证、终止凭证及过期凭证等)。 公布及传送数字凭证注销列表(Certificate Revocation List，CRL)。 数字凭证的查询及分送凭证管理的数据。 认证中心(CA) 的主要功能 9.2 认证中心(续) X.509 v3数字凭证格式 1.版本 Version 3 2.序号 Serial Number 3.签名算法 Issuer Signature algorithm 4.凭证发行者 Issuer Distinguished Name 5.有效期限 Validate Period 6.凭证持有人 Subject Distinguished Name 7.持有者的公开密钥 Subject Public Key Information 8.发行者身份ID Issuer Unique Identifier (option) 9.持有者身份ID Subject Unique Identifier (option) 10.其他信息 Extension (option) 11.上述各数据的发行者签名 Issuer’s Signature on all the above fields 9.2 数字凭证标准格式 CA (Certificate Authority)：认证中心 DS (Directory Service)：存放数字凭证的地方 RA (Registry Agent)：代理用户向CA申请登记注册的程序 认证中心(CA) 的基本构架 9.3 认证中心的操作流程 CA、DS、RA之间的关系 CA、DS、RA之间的关系：注册 1.用户先传送自己的公开密钥到RA 2. RA传送公开密钥到CA 3. CA对此公开密钥及用户信息做签名 4. CA传送凭证到RA 5. 用户从RA获得其凭证 6. CA传送此凭证到DS 7.用户可以向DS确认其凭证 9.4.2 数字凭证的产生和使用 数字凭证的核发及验证过程 目的： 避免数字凭证被误用或非法使用。 理由： 用户对私密密钥有被破解的疑虑或其他原因，需要更换其公开密钥及私密密钥。 用户已不再使用此CA所提供的数字服务。 用户因信用不好，而被列入拒绝往来客户。 CA对私密密钥有被破解的疑虑，而需要更换其公开密钥及私密密钥。 数字凭证的注销 1. 用户传送注销的信息到RA 2. RA会转送此注销信息给CA 3. CA新增CRL並且发送CRL到DS 4. 用户可以到DS查询凭证注销列表，以确认是否注销成功 CA, DS, RA 之间的关系：注销 数字凭证的注销(续) 困難： 注销实时性：用户要注销凭证时，CA必须实时更新凭证注销列表。此外，CA必须将此CRL列表实时传送给所有的验证机关或用户(如果没有传送CRL给验证机关，则每次要验证数字凭证时，验证机关必须上网到CA查询CRL)，否则就会出现空窗期。在CA尚未更新CRL时，用户仍然可以继续使用其凭证，直到CA已更新CRL并且所有的验证机关或用户均已收到此CRL。 验证注销列表快速扩充：注销凭证的用户会持续地增加，使得凭证注销列表会快速膨胀，如此一来不但会增加此列表传送时的通信量，更会增加维护及验证时的复杂度。 数字凭证的注销(续) 9.4 数字凭证的使用 数字凭证的用途主要有两方面 加解密及签名的使用 网络用户的身份验证 数字凭证与加解密机制的关系 9.