CHD9密钥管理和认证中心

1、密钥管理和认证中心(Key Management and Certification Authority)信息与网络安全概论(第三版)本章內容9.1 认证中心9.2 数字凭证标准格式(X.509)9.3 认证中心的操作流程9.4 数字凭证的使用9.5 数字凭证的种类9.6 交 叉 认 证9.7 电子签名法信息与网络安全概论(第三版)l用户登记认证，使其网络身份生效并具法律效用。 - 如同向派出所登记，政府核发身份证l用户将其公开密钥登记认证，以确认用户的公开密钥。- 如同印章证明l每个用户所持有的数字凭证，就如同现实社会中的身份证一样，可用来证明自己在网络世界中的合法身份。l提供一个值得信赖的

2、安全基础设施。需要可信任的第三者：认证中心(CA)9.1 认证中心信息与网络安全概论(第三版) 产生及更新数字凭证，CA将每个用户的身份及公开密钥签署成一个数字凭证。 分发及管理数字凭证。 数字凭证的注销及恢复。 扮演一个数字时代可信任的仲裁者(提供凭证)。 存储数字凭证(有效凭证、终止凭证及过期凭证等)。 公布及传送数字凭证注销列表(Certificate Revocation List，CRL)。 数字凭证的查询及分送凭证管理的数据。认证中心(CA) 的主要功能9.2 认证中心(续)信息与网络安全概论(第三版)X.509 v3数字凭证格式1.版本 Version 32.序号 Serial

3、Number3.签名算法Issuer Signature algorithm4.凭证发行者 Issuer Distinguished Name5.有效期限 Validate Period6.凭证持有人 Subject Distinguished Name7.持有者的公开密钥 Subject Public Key Information8.发行者身份ID Issuer Unique Identifier (option)9.持有者身份ID Subject Unique Identifier (option)10.其他信息 Extension (option)11.上述各数据的发行者签名 Issu

4、ers Signature on all the above fields9.2 数字凭证标准格式信息与网络安全概论(第三版) CA (Certificate Authority)：认证中心 DS (Directory Service)：存放数字凭证的地方 RA (Registry Agent)：代理用户向CA申请登记注册的程序认证中心(CA) 的基本构架9.3 认证中心的操作流程信息与网络安全概论(第三版)CA、DS、RA之间的关系 认证中心 目录服务 注册代理 用户 AAAAAA BBBBBB CCCCCC DS：目录服务(Directory Service) RA：注册代理(Regist

5、ry Agent)程序 CA：认证中心(Certificate Authority) 信息与网络安全概论(第三版)CA、DS、RA之间的关系：注册1.用户先传送自己的公开密钥到RA2. RA传送公开密钥到CA3. CA对此公开密钥及用户信息做签名4. CA传送凭证到RA5. 用户从RA获得其凭证6. CA传送此凭证到DS7.用户可以向DS确认其凭证 认证中心 目录服务 注册代理 程序 用户 AAAAAA BBBBBB CCCCC 6. 7. 3. 2. 5. 4. 1. 信息与网络安全概论(第三版)9.4.2 数字凭证的产生和使用 1.请求凭证(个人身份)相关资料及公钥) 4.验证及存储 Ce

6、rt 2.产生数字凭证 Cert H(个人身份资料及公钥)d 张三 李四 3.传回 Cert 5.提出数字凭证 Cert 以表示身份 6.验证数字凭证 信息与网络安全概论(第三版)数字凭证的核发及验证过程数字凭证 的核发 数字凭证 的验证 CA 用自己的 私密密钥签名 CA 用自己的 公开密钥签名 RSA RSA CA 的私密密钥 信息摘要 SHA-1 凭证内容 SHA-1 信息摘要 验证 数字凭证 凭证的签名 凭证的内容 信息与网络安全概论(第三版)目的：目的： 避免数字凭证被误用或非法使用。理由：理由：用户对私密密钥有被破解的疑虑或其他原因，需要更换其公开密钥及私密密钥。用户已不再使用此C

7、A所提供的数字服务。用户因信用不好，而被列入拒绝往来客户。CA对私密密钥有被破解的疑虑，而需要更换其公开密钥及私密密钥。数字凭证的注销信息与网络安全概论(第三版)1. 用户传送注销的信息到RA2. RA会转送此注销信息给CA3. CA新增CRL並且发送CRL到DS4. 用户可以到DS查询凭证注销列表，以确认是否注销成功 CA, DS, RA 之间之间的关系：的关系：注销数字凭证的注销(续) 认证中心 目录服务 注册代理 程序 用户 AAAAAA BBBBBB CCCCC 3. 4.查询 2. 1. 信息与网络安全概论(第三版)困難：困難： 注销实时性：用户要注销凭证时，CA必须实时更新凭证注销

8、列表。此外，CA必须将此CRL列表实时传送给所有的验证机关或用户(如果没有传送CRL给验证机关，则每次要验证数字凭证时，验证机关必须上网到CA查询CRL)，否则就会出现空窗期。在CA尚未更新CRL时，用户仍然可以继续使用其凭证，直到CA已更新CRL并且所有的验证机关或用户均已收到此CRL。 验证注销列表快速扩充：注销凭证的用户会持续地增加，使得凭证注销列表会快速膨胀，如此一来不但会增加此列表传送时的通信量，更会增加维护及验证时的复杂度。数字凭证的注销(续)信息与网络安全概论(第三版)9.4 数字凭证的使用数字凭证的用途主要有两方面 加解密及签名的使用 网络用户的身份验证信息与网络安全概论(第三

9、版)数字凭证与加解密机制的关系信息与网络安全概论(第三版)9.4.2 网络用户的身份验证以下两种方法可以安全的利用数字凭证來验证网络用户的身份 挑战响应法 时戳法信息与网络安全概论(第三版)挑战响应法 品洁 张三 我是品洁，我的数字凭证是 Cert S-EPR=(我是大美女) 张三验证数字凭证 Cert 及签名 S 将此数值 r=我是大美女做签名 信息与网络安全概论(第三版)时戳法信息与网络安全概论(第三版)认证中心凭证：- 认证中心的名称及其公开密钥。 服务器凭证： - SSL服务器名称及其公开密钥；DNS服务器凭证，其内容包含DNS服务器名称及其公开密钥。软件出版者凭证-软件商以其私密密钥

10、来签署所发行的软件，以证明软件确为该公司所发行。9.5 数字凭证的种类信息与网络安全概论(第三版)指的是两个CA，互相信任对方所发出的凭证交叉认证一般来说可以分为两种，n 阶层式阶层式(Hierarchical Cross Certification)n 一般式一般式(General Cross Certification) 9.6 交 叉 认 证信息与网络安全概论(第三版)阶层式交叉认证张三验证李四公开密钥的路径：CA1，CA2，CA3李四要验证王五的公开密钥：CA3，CA2，Root CA ， CA4 ，CA5 信息与网络安全概论(第三版)一般式交叉认证张三 李四 王五 CA3 CA1 CA4 CA2 信息与网络安全概论(第三版)9.7 电子签名法认证中心的建立解决了公开密钥认证的问题，是推动公开密钥基础设施的一项主要工作，但电子签名若欠缺法律上的地位，就无法以电子签名作为通信及交易的基础。为配合日益蓬勃的数字经济活动发展，建立电子签名法是当务之急。信息与网络安全概论(第三版)电子签名法的立法原则 技术中立原则任何可确保数据在传输或存储过程中的完整性及识别用户身份的技术，都可用来制作电子签名，并不以“非对称型”加密技术为基础的“数字签名”为限，以免阻碍其他技术的应用发展。 契约自由原则对于电子交易行为，宜在契约自由原则下，由交易双方当事人