ecs第5章公钥基础设施教案分析.ppt

第5章 公钥基础设施(PKI) 5.1 数字证书 5.2 CA认证机构 5.3 PKI公钥基础设施 5.1 数字证书 5.1.1 数字证书的概念 5.1.2 数字证书的类型 5.1.3 利用数字证书实现信息安全 5.1.4 数字证书的内容与格式 5.1.5 数字证书的有效性 5.1.6 数字证书的使用 5.1 数字证书 5.1.1 数字证书的概念 数字证书/公钥证书 作为网上交易双方真实身份证明的依据,是由一个可信的人或机构签发的，它包括证书持有人的身份标识、公钥等信息，并由证书颁发者对证书签字。 在这种公钥管理机制中，首先必须有一个可信的第三方，来签发和管理证书，这个机构通常称为CA（Certificate Authority）。 5.1 数字证书 5.1.2 数字证书的类型 (1) 个人证书（客户证书） (2) 企业证书 (3) 服务器证书（站点证书） (4) 安全电子函件证书 (5) CA证书 5.1 数字证书 5.1.3 利用数字证书实现信息安全 5.1 数字证书 5.1.3 利用数字证书实现信息安全 5.1 数字证书 5.1.4 数字证书的内容与格式 X.509标准 X.509是X.500推荐系列的一部分，提供安全目录服务。X.500 由ISO和ITU(国际电信联盟)提出的为大型网络提供目录服务的标准体系。X.509 为X.500提供验证(Authenticating)体系的标准。 一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息的通用证书格式，所有的证书都符合X.509标准。X.509于1988年发布，1995年发布V3版本。 5.1 数字证书 5.1.4 数字证书的内容与格式 X.500（电子出版目录查询标准）系列建议的目录服务是分布式的。采用国际通用的PKI技术、X.509证书标准、X.500信息发布标准等技术标准，可以安全发放证书，进行安全认证。安全认证需要的法律支持包括：信用立法、电子签名法、电子交易法、认证管理法律等。 X.500系列由九个建议标准组成： ① X.500是目录服务的概要介绍； ② X.501定义了目录服务的模型； ③ X.511对目录的各种抽象服务作了定义； ④ X.518描述分布操作的实现过程； ⑤ X.519是传输协议； ⑥ X.520和X.521定义了常用对象类和属性； ⑦ X.509提出了一种认证的框架； ⑧ X.525规定了备份。 5.1 数字证书 5.1.4 数字证书的内容与格式 5.1 数字证书 5.1 数字证书 5.1.4 数字证书的内容与格式 数字证书扩展标准 密钥信息的扩展 政策信息扩展 主体及发放者属性扩展 认证路径约束扩展 与数字证书撤消表相关的扩展 5.1 数字证书 5.1.4 数字证书的内容与格式 5.1 数字证书 5.1.5 数字证书的有效性 只有下列条件为真时，证书才有效： (1) 证书没有过期。 (2) 密钥没有修改。 (3) 用户仍然有权使用这个密钥。 (4) CA负责回收证书，发行无效证书清单 5.1 数字证书 5.1.6 数字证书的使用 证书帮助证实个人身份。 认证机构发放的数字证书主要应用于： (1) 通过S/MIME协议实现安全的电子函件系统； (2) 通过SSL协议实现浏览器与Web服务器之间的安全通信； (3) 通过SET协议实现信用卡网上安全支付； (4) 提供电子商务中认证证书标准。 5.2 CA认证 5.2.1 CA的概念 5.2.2 CA的功能 5.2.3 CA的组成 5.2 CA认证 5.2.1 CA的概念 CA( Certification Authority) ，又称为证书认证中心，是为了解决电子商务活动中交易参与的各方身份、资信的认定，维护交易活动中的安全，从根本上保障电子商务交易活动顺利进行而设立的，是受一个或多个用户信任，提供用户身份验证的第三方机构，承担公钥体系中公钥的合法性检验的责任。 5.2 CA认证 5.2.2 CA的功能---证书管理 1、证书颁发 2、证书查询 3、证书更新 4、证书撤销 5、证书归档 5.2 CA认证 5.2.2 CA的功能 证书颁发 过程：产生公私钥对； 公钥和证书申请者信息传给CA； 身份信息核实； 分发证书。 关键：证书分发过程的安全问题 方法： 附于数字签名的证书分发 基于目录服务的证书分发 5.2 CA认证 5.2.2 CA的功能 证书颁发 附于数字签名的证书分发 原理：DS（公钥、证书副本、*其他CA对该CA的认证证书）传给用户。 适用：少数、单个证书的分发 5.2 CA认证