ch2数据安全-PKI体系课件.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 证书的概念 证书提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。 证书可以用来证明自己的身份，也可以向接收者证实对公开密钥的拥有。 数字证书可用于发送电子邮件、访问安全站点、网上办公、网上购物等等。 * 证书的类型 公钥证书就是用来绑定实体姓名（以及有关该实体的其它属性）和相应公钥的。 证书类型： 1）X.509公钥证书 2）简单PKI 证书 3）PGP（Pretty Good Privacy）证书 4）属性（Attribute）证书 5）代理证书等 * 证书的类型 证书具有各自不同的格式。一种类型的证书可以被定义为好几种不同的版本，每一种版本也可能以好几种不同的方式来具体实现。 例如，X.509公钥证书就有三种版本。版本1是版本2的子集，版本2又是版本3的子集。因为版本3的公钥证书又包括好几种可选的不同扩展，所以它可以以不同的应用方式来具体实现。例如，安全电子交易（SET）证书就是X.509版本3的公钥证书结合专门为SET交易制定的特别扩展而成的。 * ITU-T X.509标准。 版本 V3 序列号 1234567890 签名算法标识（算法、参数） RSA 和 MD5 签发者 c=CN，o=JIT-CA 有效期（起始日期、结束日期） 01/08/00-01/08/07 主体 c=CN，o=SX Corp，cn=John Doe 主体公钥信息（算法、参数、公开密钥） 56af8dc3a4a785d6ff4/RSA/SHA 发证者唯一标识符 Value 主体唯一标识符 Value 类型 关键程度 Value 类型 … Value CA的数字签名 * X.509证书实例 * X509证书结构 Version：版本域表示该x.509证书的版本号（0，1，2）。0表示版本1，1表示版本2，2表示版本3。 SerialNumber：表示被该认证中心发放的用户的数字证书的编号。由证书发放者和证书序列号可以唯一的确定一个数字证书。 Signature Algrithm标识了被该认证中心签发的数字证书所使用的数字签名算法。算法标识是一个国际性标准组织（如ISO）登记的标准算法，它标明了数字签名所使用的公钥算法和摘要算法。举例说明: md2WithRSAEncryption 表示公钥算法是RSA,摘要算法是md2. md5WithRSAEncryption 表示公钥算法是RSA,摘要算法是md5. sha1WithRSASignature 表示公钥算法是RSA,摘要算法是sha1. sha1WithDSASignature 表示公钥算法是DSA,摘要算法是sha1. * X509证书结构（续） Issuer X.500 Name： 指明了发放该用户证书的认证中心的标识名称DN(Distinguished name)，例如 ：c=US，o=ACME Corporation，cn=danny hou X.500名称常用的包含如下： CountryName , 国家，简写c； tateOrProvinceName ,州名或省份名称，简写st； LocalityName ,城市名称，简写l； OrganizationName ,组织名称，简写o； OrganizationalUnitName ,部门名称，简写ou； CommonName ,通用名称，简写cn； … Validity Peroid：证书有效期域指明了该证书的有效起止日期和时间。 * X509证书结构（续） Subject X.500 Name：标识了拥有该数字证书的用户的标识名称DN，例如：c=US，o=ACME Corporation ,cn=Danny Hou，表示数字证书的用户是美国的ACME公司的Danny Hou。X.500名称是一个符合X.500标准的名称表示法。 Subject Public Key Information：用户公钥信息域指明了a）用户所拥有的公开钥值，b）该公开钥是哪一种公钥算法，即算法标识值。该算法标识值既标明了公钥算法，也标明了摘要算法。 Issuer Unique Identifier（Version 2 Only）：标识证书发放者X.500名称的唯一性，它是一个bit string，在V2 X.509数字证书中增加该项扩展是因为拥有同样的X.