第四章数字证书与PKI

1、第四章 数字证书和PKIn4.1 数字证书n4.2 个人数字证书的申请和使用n4.3 公钥基础设施PKI 4.1 数字证书为什么需要数字证书 n公钥的分发虽然不需要保密，但需要保证公钥的真实性。 n就好像银行的客服电话，虽然不需要保密，但需要保证真实性。数字证书 n数字证书的概念: Kohnfelder于1978年提出的。n所谓数字证书，就是公钥证书，是一个包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件。n提示：数字证书其实就是一个小的计算机文件。(如：*.cer)数字证书数字证书我以官方名义正式批准该证书持有者（用户）与他的这个公钥之间存在关联。某某CA认证中

2、心该CA的数字签名数字证书数字证书主体名：tang公钥：tang的公钥序列号：1069102签发机构：A CA有效起始日期：2010年7月7日有效终止日期：2011年7月7日某某CA认证中心该CA的数字签名 数字证书的直观概念如何建立主体与其公钥的关联的？ （借助于数字证书生成的基本原理）n数字证书，是一个由使用数字证书的用户群所公认和信任的权威机构（CA）签署了其数字签名的信息集合。n主体将其身份信息和公钥以安全的方式提交给CA认证中心，CA用自己的私钥对主体的公钥和身份信息的混合体进行签名，将签名信息附在公钥和身份信息等信息后，这样就生成了一张证书，它主要由公钥、身份信息和CA的签名三部分

3、组成， 最后由CA负责将证书发布到相应的服务器上，供其他用户查询和获取。证书的生成原理主体身份信息主体公钥值认证机构名认证机构的数字签名生成数字签名数字证书数字证书认证机构的私认证机构的私钥钥散列n主体的身份信息和主体的公钥被CA用其私钥数字签名。nCA的私钥其他人不知，因此任何人都无法修改主体的身份信息和公钥值，否则验证者用CA的公钥验证CA对证书的签名后发现两散列值不同。这样，数字证书就建立了主体与公钥之间的关联了。CA的计算机用户的计算机数字证书的生成步骤产生密钥主体名私钥公钥CA的公钥CA的私钥签名证书证书的生成步骤n1. 密钥对的生成n用户可以使用某种软件随机生成一对公钥/私钥对 n

4、2. 提交用户信息和公钥进行注册n3. 验证用户信息n验证用户的身份信息，是否合法并有资格申请证书，如果用户已经在该CA申请过证书了，则不允许重复申请。n其次，必须检查用户持有证书请求中公钥所对应的私钥，这样可表明该公钥确实是用户的。 n4. 生成证书数字证书的验证过程n数字证书只不过是一个计算机文件，任何人都可以用任何公钥生成一个数字证书文件。n（1）验证该数字证书是否真实有效。n可以通过验证证书中CA的签名来进行 n（2）检查颁发该证书的CA是否可以信任。n需要检查CA的信任链来实现n如果验证者收到李四的数字证书，发现李四的证书和他的证书是同一CA颁发的，则验证者可以信任李四的证书，因为验

5、证者信任自己的CA，而且已经知道自己CA的公钥，可以用该公钥去验证李四的证书。 n但如果李四的数字证书是另一个CA颁发的，验证者怎么验证颁发李四证书的CA是否可信呢？这就要通过验证该证书的证书链来解决。n证书链也称认证链，它由最终实体到根证书的一系列证书组成，所谓证书链的验证，是通过证书链追溯到可依赖的CA的根。 证书的层次结构根根CA二级二级CA(A1)二级二级CA(A2)二级二级CA(A3)三级三级CA(B1)三级三级CA(B2)三级三级CA(B8)三级三级CA(B9)数字证书的内容和格式 主体的公钥信息版本号证书序列号签名算法标识符证书颁发者（认证机构CA）的X.500名称有效期主体的X

6、.500名称算法标识符公钥值认证机构的数字签名生成数字签名X.509格式证书格式证书认证机构的私钥认证机构的私钥散列n为了保证各为了保证各个个CA所签所签发的证书具发的证书具有通用性，有通用性，证书必须要证书必须要具有标准的具有标准的内容和格式。内容和格式。n目前的证书目前的证书格式通常遵格式通常遵循循ITU的的X.509 V3标准。标准。数字证书的类型 n1. 客户端（个人）数字证书n2. 服务器证书（站点证书）n3. 安全邮件证书n4. 代码签名证书（开发者证书）数字证书的功能n（1）数字证书用于加密和签名n（2）利用数字证书进行身份认证4.2 个人数字证书的申请和使用(P104)数字证书

7、的使用n（1）证书获取n数字证书可以在网上向相关CA机构申请获得：nhttp:/ 中国数字认证网nhttp:/ 广东省电子商务认证中心nhttp:/ 博大证书nhttp:/ 天威诚信n（2）查看n运行IE，单击菜单“工具”|Internet选项，选择“内容”选项卡，单击“证书”按钮，可以查看本机上的数字证书。n（3）利用数字证书实现安全电子邮件163邮箱的Outlook Express设置n首先设置邮件帐号：打开Outlook Express后，单击菜单栏中的“工具”，然后选择“帐号”； n点击“邮件”标签，点击右侧的“添加”按钮，在弹出的菜单中选择“邮件”； n在弹出的对话框中，根据提示，输

8、入您的“显示名”，然后点击“下一步”； n输入您已经申请过的电子邮件地址，如： ，然后点击“下一步”；n邮件接收服务器您可以选择POP3或IMAP服务器；n如果您选择如果您选择POP3服务器：服务器：请输入您邮箱的的POP3和SMTP服务器地址后，再点击“下一步”； POP3服务器： SMTP服务器：n如果您选择如果您选择IMPA服务器：服务器：请输入您邮箱的的IMAP和SMTP服务器地址后，再点击“下一步”； IMAP服务器： SMTP服务器： n输入您邮箱的帐号名及密码（帐号只输入前面的部分），再点击“下一步”；n单击“完成”按钮保存您的设置； n别忘记设置SMTP服务器身份验证：在“邮件

9、”标签中，双击刚才添加的帐号，弹出此帐号的属性框；n请点击“服务器”标签，然后在下端“发送邮件服务器”处，选中“我的服务器要求身份验证”选项，并点击右边“设置”标签，选中“使用与接收邮件服务器相同的设置”；n如需在邮箱中保留邮件备份，点击“高级”，勾选“在服务器上保留邮件副本”； n注：注：如您选用了“IMAP”服务器，可将“此服务器要求安全链接（SSL）”打勾，这样所有通过IMAP传输的数据都会被加密，从而保证通信的安全性；n点击“确定”，然后“关闭”帐户框，现在设置成功！点击主窗口中的“发送接收”按钮即可进行邮件收发。 n数字证书使用实例参见csf文件。 4.3 公钥基础设施PKI公钥基础

10、设施（PKI）n公钥基础设施（Public Key Infrastructure）通常简称PKI。nPKI是一种提供信息安全服务的基础设施，旨在从技术上解决网上身份认证、信息的完整性和不可抵赖性等安全问题，为诸如电子商务、电子政务、网上银行和网上证券等各种具体应用提供可靠的安全服务的基础设施。 n从技术实现上来看:nPKI是以公钥密码体制为理论基础，n以CA认证机构为核心，n以数字证书为工具来提供安全服务功能的。PKI的核心CAn数字证书可实现互联网上各方的身份证明，还能实现通信各方信息的加密和签名传输，为电子商务活动的进行提供了极大的安全保障。n认证机构CA（Certificate Auth

11、ority），又叫做认证中心，是电子商务安全中的关键环节，也是电子交易中信赖的基础 n1. 发放证书n2. 撤销证书n证书作废列表CRL（Certificate Revocation List） n3. 证书管理注册机构RA n由于认证机构CA的任务很多，如签发新证书、维护旧证书、撤销因故无效的证书等，因此可以将受理证书申请的工作转交给第三方：注册机构RA（Registration Authority）。作为CA发放、管理证书的延伸，RA负责证书申请者的信息录入、审核以及证书发放等工作。 最终用户最终用户最终用户注册机构（RA）认证机构（CA）数字证书库 n数字证书库（Certificate Repository, CR）是CA颁发证书和撤销证书的集中存放地，是网上的一种公共信息库，供广大公众进行开放式查询。PKI的基本组成认证机构(CA)密钥备份及恢复