第四章数字证书和PKI.ppt

第四章 数字证书和PKI 4.1 数字证书 4.2 个人数字证书的申请和使用 4.3 公钥基础设施PKI 4.1 数字证书 为什么需要数字证书 公钥的分发虽然不需要必威体育官网网址，但需要保证公钥的真实性。 就好像银行的客服电话，虽然不需要必威体育官网网址，但需要保证真实性。 数字证书 数字证书的概念: Kohnfelder于1978年提出的。 所谓数字证书，就是公钥证书，是一个包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件。 提示：数字证书其实就是一个小的计算机文件。(如：*.cer) 数字证书的直观概念 如何建立主体与其公钥的关联的？ （借助于数字证书生成的基本原理） 数字证书，是一个由使用数字证书的用户群所公认和信任的权威机构（CA）签署了其数字签名的信息集合。 主体将其身份信息和公钥以安全的方式提交给CA认证中心，CA用自己的私钥对主体的公钥和身份信息的混合体进行签名，将签名信息附在公钥和身份信息等信息后，这样就生成了一张证书，它主要由公钥、身份信息和CA的签名三部分组成， 最后由CA负责将证书发布到相应的服务器上，供其他用户查询和获取。 证书的生成原理 主体的身份信息和主体的公钥被CA用其私钥数字签名。 CA的私钥其他人不知，因此任何人都无法修改主体的身份信息和公钥值，否则验证者用CA的公钥验证CA对证书的签名后发现两散列值不同。这样，数字证书就建立了主体与公钥之间的关联了。 数字证书的生成步骤 证书的生成步骤 1. 密钥对的生成 用户可以使用某种软件随机生成一对公钥/私钥对 2. 提交用户信息和公钥进行注册 3. 验证用户信息 验证用户的身份信息，是否合法并有资格申请证书，如果用户已经在该CA申请过证书了，则不允许重复申请。 其次，必须检查用户持有证书请求中公钥所对应的私钥，这样可表明该公钥确实是用户的。 4. 生成证书 数字证书的验证过程 数字证书只不过是一个计算机文件，任何人都可以用任何公钥生成一个数字证书文件。 （1）验证该数字证书是否真实有效。 可以通过验证证书中CA的签名来进行 （2）检查颁发该证书的CA是否可以信任。 需要检查CA的信任链来实现 如果验证者收到李四的数字证书，发现李四的证书和他的证书是同一CA颁发的，则验证者可以信任李四的证书，因为验证者信任自己的CA，而且已经知道自己CA的公钥，可以用该公钥去验证李四的证书。 但如果李四的数字证书是另一个CA颁发的，验证者怎么验证颁发李四证书的CA是否可信呢？这就要通过验证该证书的证书链来解决。 证书链也称认证链，它由最终实体到根证书的一系列证书组成，所谓证书链的验证，是通过证书链追溯到可依赖的CA的根。 证书的层次结构 数字证书的内容和格式 为了保证各个CA所签发的证书具有通用性，证书必须要具有标准的内容和格式。 目前的证书格式通常遵循ITU的X.509 V3标准。 数字证书的类型 1. 客户端（个人）数字证书 2. 服务器证书（站点证书） 3. 安全邮件证书 4. 代码签名证书（开发者证书） 数字证书的功能 （1）数字证书用于加密和签名 （2）利用数字证书进行身份认证 4.2 个人数字证书的申请和使用(P104) 数字证书的使用 （1）证书获取 数字证书可以在网上向相关CA机构申请获得： 中国数字认证网 广东省电子商务认证中心 博大证书 天威诚信 （2）查看 运行IE，单击菜单“工具”|Internet选项，选择“内容”选项卡，单击“证书”按钮，可以查看本机上的数字证书。 （3）利用数字证书实现安全电子邮件 163邮箱的Outlook Express设置 首先设置邮件帐号：打开Outlook Express后，单击菜单栏中的“工具”，然后选择“帐号”； 点击“邮件”标签，点击右侧的“添加”按钮，在弹出的菜单中选择“邮件”； 在弹出的对话框中，根据提示，输入您的“显示名”，然后点击“下一步”； 输入您已经申请过的电子邮件地址，如： jane7513@163.com ，然后点击“下一步”； 邮件接收服务器您可以选择POP3或IMAP服务器； 如果您选择POP3服务器：请输入您邮箱的的POP3和SMTP服务器地址后，再点击“下一步”； 　　 　POP3服务器：　　 　　 　SMTP服务器： 如果您选择IMPA服务器：请输入您邮箱的的IMAP和SMTP服务器地址后，再点击“下一步”； 　　 　IMAP服务器：　　 　　 　SMTP服务器： 输入您邮箱的帐号名及密码（帐号只输入@前面的部分），再点击“下一步”； 单击“完成”按钮保存您的设置； 别忘记设置SMTP服务器身份验证：在“邮件”标签中，双击刚才添加的帐号，弹出此帐号的属性框； 请点击“服务器”标签，然后