第4章身份认证.ppt.ppt

公开密钥调包风险 第三方信任 4.3 公钥基础设施PKI PKI是一种遵循一定标准的密钥管理基础平台，为所有网络应用提供加密和数字签名等密码服务所必需的密钥和证书管理，用来解决不同实体之间的“信任”关系。 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施，利用加密、签名、数字证书保护应用的安全。 作用：定义和建立认证、授权规则，然后分发、交换这些规则，并在网络之间解释、管理这些规则。 用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。 4.3.1 PKI体系结构 公钥算法 数字证书 证书库 认证机构 CA 密钥备份 及恢复 证书撤销 处理 PKI 应用接口 用户 用户 注册机构RA 主要功能：核实证书申请者的身份，通常由人工完成。注册机构本身并不发放数字证书，但可以确认、批准、拒绝证书申请人的申请，随后由认证机构给被批准的人发放证书。 验证申请者身份 批准生成证书的请求 批准证书更新、撤销的请求 将证书请求信息发送给CA 认证中心——CA PKI的管理机构（认证机构），证书授权中心，是承担网上 认证服务，能签发数字签名并能确认用户身份和受大家信任 的第三方认证机构。(类似国家的护照签发中心，任何信任 该签发中心的其他国家也会信任该中心所签发的护照） 批准有RA提交的证书请求 密钥的备份 签发证书（发往证书库） 撤销或更新证书 发布证书作废表(CRL) 数字证书的颁发过程 用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。 认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。 认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。 用户可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。 数字证书库 证书库存放了经CA签发的证书和已撤销证书的列表 ，网上交易的用户可以使用应用程序，从证书库中 得到交易对象的证书、验证其证书的真伪，或查询 其证书的状态（黑名单）。 存储证书 提供证书 确认证书的状态 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法解密，将 造成合法数据丢失。PKI提供了备份与恢复密钥的机制，当证书 生成时，密钥即被CA存储备份，需要恢复时，用户只需向CA 提出申请即可。 证书作废（撤销）系统 用户密钥泄露或用户身份变更时，需要撤销原CA证书，被撤 销的证书放入“黑名单”，用于公众核实证书的有效性。 应用程序接口API 可看作PKI的客户端软件。一个完整的PKI必须提供良好的应用 接口，是的各种各样的应用能够以安全、一致、可信的方式与 PKI交互，确保安全网络环境下的完整性和易用性。 4.3.2 基于X.509的PKI系统 X.509是国际电信联盟-电信（ITU-T）部分标准和国际标准化组织（ISO）的证书格式标准。 X.509的主要作用 确定了公钥证书结构的基准 X.509 V3证书包括一组按预定义顺序排列的强制字段，还有可选扩展字段，即使在强制字段中，X.509证书也具有很大的灵活性，因为它为大多数字段提供了多种编码方案。 一个标准的X.509数字证书包含以下一些内容 证书版本信息 证书的序列号，每个证书都有一个唯一的序列号 证书所使用的签名算法 证书的发型机构名称及其用私钥的签名 证书有效期 证书使用者的名称及其公钥的信息 X.509的证书类型 个人数字证书：包含证书持有者的个人身份信息、公钥及证书颁发机构签名，在网络通信中标识证书持有者的个人身份，实现个人用户身份认证、信息加密、数字签名等。 企业数字证书：包含证书持有者的企业身份信息、公钥及证书颁发机构签名，在网络通信中标识证书持有者的企业身份，实现企业对外的网络业务中的身份识别、信息加密、数字签名等。 电子邮件证书：包含用户的邮箱地址信息，用于电子邮件的身份识别、邮件的数字签名、加密，发送邮件时可以对邮件内容和附件加密，防止截获篡改。通过签名，可以使对方确认是发送方发送的。 代码签名证书：即软件开发者借助数字签名技术，在代码中附加一些相关信息，使得用户下载这些具有签名代码的软件时，可以确信软件的来源和完整性。 服务器证书：服务器证书是数字证书的一种形式，类似于驾驶证、护照的电子副本。服务器证书通过在客户端浏览器和WEB服务器之间建立一条SSL安全通道保证双方传递信息的安全性，而且用户可以通过证书验证所访问的网站是真实可靠的。 X.509的证书类型 证书的认证方式 若通信双方A和B想要安全传输信息，首先A和B相互交换自 己的公钥证书，当A收到B的证书后： 首先验证证书的真伪：用证书签发中心CA的公钥解开B证书内的数字签