- 1、本文档共72页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第四章 数字证书和PKI 目录 6.1 数字证书 6.2 数字证书的功能 6.3 公钥基础设施PKI 6.4 个人数字证书的申请和使用 为什么需要数字证书 公钥的分发虽然不需要必威体育官网网址,但需要保证公钥的真实性 就好像银行的客服电话,虽然不需要必威体育官网网址,但需要保证真实性 本章介绍的数字证书和公钥基础设施PKI就是为了实现在公钥分发过程中确保公钥的真实性。 数字证书 数字证书的概念: Kohnfelder于1978年提出的 所谓数字证书,就是公钥证书,是一个包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件 提示:数字证书其实就是一个小的计算机文件 数字证书的直观概念 数字证书和身份证的比较 如何建立主体与其公钥的关联 数字证书,是一个由使用数字证书的用户群所公认和信任的权威机构(CA)签署了其数字签名的信息集合。 主体将其身份信息和公钥以安全的方式提交给CA认证中心,CA用自己的私钥对主体的公钥和身份ID的混合体进行签名,将签名信息附在公钥和身份ID等信息后,这样就生成了一张证书,它主要由公钥、身份ID和CA的签名三部分组成, 证书的生成原理 数字证书的生成过程 证书的生成过程 1. 密钥对的生成 用户可以使用某种软件随机生成一对公钥/私钥对 2. 注册机构RA验证 RA要验证用户的身份信息,是否合法并有资格申请证书,如果用户已经在该CA申请过证书了,则不允许重复申请。 其次,必须检查用户持有证书请求中公钥所对应的私钥,这样可表明该公钥确实是用户的 数字证书的验证过程 ① 首先证书必须是真实的,而没有被篡改或伪造。如果一张证书经验证发现是伪造的,我们肯定不会信任它了。 ② 其次颁发证书的机构必须是某个可以信任的权威机构,如果一家小店颁发身份证,即算这个证书是真实的(确实是该小店颁发的),我们也不会信任它 数字证书的验证过程 (1)验证该数字证书是否真实有效。 (2)检查颁发该证书的CA是否可以信任 如果验证者收到李四的数字证书,发现李四的证书和他的证书是同一CA颁发的,则验证者可以信任李四的证书,因为验证者信任自己的CA,而且已经知道自己CA的公钥,可以用该公钥去验证李四的证书 但如果李四的数字证书是另一个CA颁发的,验证者怎么验证颁发李四证书的CA是否可信呢?这就要通过验证该证书的证书链来解决 证书的层次结构 证书的路径 证书路径验证的意义 如果所有级别的证书验证都通过,就可以断定李四的证书确实是从根CA一级一级认证下来从而是可信的。这是因为: ① 用户的证书验证通过就表明该证书是真实可信的,前提是颁发该证书的CA可信。 ② 一个CA的证书验证通过就表明该CA是合法可信的,前提是它的上级CA可信。 因此,在根CA可信的前提下,所有CA和用户的证书验证通过就意味着所有CA是合法可信的,并且用户的证书也是真实可信的。但是怎么验证根CA? 根CA的验证 。根CA证书是一种自签名(Self-signed certificate)证书,即根CA对自己的证书签名,因此这个证书的颁发者名和主体名都指向根CA, 证书的交叉认证 如果A和B两方在不同的国家,他们的证书连根CA都不相同,那他们怎样验证对方证书的颁发机构是否可信呢?这就需要使用交叉证书(Cross-certification)进行认证。 即根CA之间互相给对方颁发证书 提示:如果两个证书的根CA不相同,并且它们的根CA之间也没有进行任何形式的交叉认证,即这两个根CA之间没有任何联系,在这种情况下双方是无法认证对方证书的有效性的,这时只能由用户主观选择是否信任对方的证书。 数字证书的内容和格式 X.500目录系统简介 一个X.500目录由一系列目录项组成。每个目录项对应一个现实世界中的对象。X.500每个对象都有一个无二义性的名称,称为区别名(distinguished name, DN)。 对象的目录项中包含了有关该对象的一系列属性值。 为支持无二义性命名的需要,所有的X.500目录项在逻辑上被组织成一种树型结构,称为目录信息树(directory information tree, DIT)。目录信息树有一个概念上的根节点和数目不限的非根节点。除了根节点,所有节点都属于其他节点。除根节点外,每个节点都对应于一个目录项,并有一个区别名。根节点的区别名为空 数字证书的类型 1. 客户端(个人)数字证书 2. 服务器证书(站点证书) 3. 安全邮件证书 4. 代码签名证书 目录 4.1 数字证书 4.2 数字证书的功能 4.3 公钥基础设施PKI 4.4 个人数字证书的申请和使用 数字证书的功能 用来分发公钥 由于数字证书可以用来分发公钥,因此可以利用证书中的公钥及其对应的私钥进行加密和签名 作为主体的
文档评论(0)