第四章數(shù)字證書和PKI

1、第四章 數(shù)字證書和PKIn4.1 數(shù)字證書n4.2 個(gè)人數(shù)字證書的申請(qǐng)和使用n4.3 公鑰基礎(chǔ)設(shè)施PKI 4.1 數(shù)字證書為什么需要數(shù)字證書 n公鑰的分發(fā)雖然不需要保密，但需要保證公鑰的真實(shí)性。 n就好像銀行的客服電話，雖然不需要保密，但需要保證真實(shí)性。數(shù)字證書 n數(shù)字證書的概念: Kohnfelder于1978年提出的。n所謂數(shù)字證書，就是公鑰證書，是一個(gè)包含有用戶身份信息、用戶公鑰以及一個(gè)可信第三方認(rèn)證機(jī)構(gòu)CA的數(shù)字簽名的數(shù)據(jù)文件。n提示：數(shù)字證書其實(shí)就是一個(gè)小的計(jì)算機(jī)文件。(如：*.cer)數(shù)字證書數(shù)字證書我以官方名義正式批準(zhǔn)該證書持有者（用戶）與他的這個(gè)公鑰之間存在關(guān)聯(lián)。某某CA認(rèn)證中

2、心該CA的數(shù)字簽名數(shù)字證書數(shù)字證書主體名：tang公鑰：tang的公鑰序列號(hào)：1069102簽發(fā)機(jī)構(gòu)：A CA有效起始日期：2010年7月7日有效終止日期：2011年7月7日某某CA認(rèn)證中心該CA的數(shù)字簽名 數(shù)字證書的直觀概念如何建立主體與其公鑰的關(guān)聯(lián)的？ （借助于數(shù)字證書生成的基本原理）n數(shù)字證書，是一個(gè)由使用數(shù)字證書的用戶群所公認(rèn)和信任的權(quán)威機(jī)構(gòu)（CA）簽署了其數(shù)字簽名的信息集合。n主體將其身份信息和公鑰以安全的方式提交給CA認(rèn)證中心，CA用自己的私鑰對(duì)主體的公鑰和身份信息的混合體進(jìn)行簽名，將簽名信息附在公鑰和身份信息等信息后，這樣就生成了一張證書，它主要由公鑰、身份信息和CA的簽名三部分

3、組成， 最后由CA負(fù)責(zé)將證書發(fā)布到相應(yīng)的服務(wù)器上，供其他用戶查詢和獲取。證書的生成原理主體身份信息主體公鑰值認(rèn)證機(jī)構(gòu)名認(rèn)證機(jī)構(gòu)的數(shù)字簽名生成數(shù)字簽名數(shù)字證書數(shù)字證書認(rèn)證機(jī)構(gòu)的私認(rèn)證機(jī)構(gòu)的私鑰鑰散列n主體的身份信息和主體的公鑰被CA用其私鑰數(shù)字簽名。nCA的私鑰其他人不知，因此任何人都無(wú)法修改主體的身份信息和公鑰值，否則驗(yàn)證者用CA的公鑰驗(yàn)證CA對(duì)證書的簽名后發(fā)現(xiàn)兩散列值不同。這樣，數(shù)字證書就建立了主體與公鑰之間的關(guān)聯(lián)了。CA的計(jì)算機(jī)用戶的計(jì)算機(jī)數(shù)字證書的生成步驟產(chǎn)生密鑰主體名私鑰公鑰CA的公鑰CA的私鑰簽名證書證書的生成步驟n1. 密鑰對(duì)的生成n用戶可以使用某種軟件隨機(jī)生成一對(duì)公鑰/私鑰對(duì) n

4、2. 提交用戶信息和公鑰進(jìn)行注冊(cè)n3. 驗(yàn)證用戶信息n驗(yàn)證用戶的身份信息，是否合法并有資格申請(qǐng)證書，如果用戶已經(jīng)在該CA申請(qǐng)過(guò)證書了，則不允許重復(fù)申請(qǐng)。n其次，必須檢查用戶持有證書請(qǐng)求中公鑰所對(duì)應(yīng)的私鑰，這樣可表明該公鑰確實(shí)是用戶的。 n4. 生成證書數(shù)字證書的驗(yàn)證過(guò)程n數(shù)字證書只不過(guò)是一個(gè)計(jì)算機(jī)文件，任何人都可以用任何公鑰生成一個(gè)數(shù)字證書文件。n（1）驗(yàn)證該數(shù)字證書是否真實(shí)有效。n可以通過(guò)驗(yàn)證證書中CA的簽名來(lái)進(jìn)行 n（2）檢查頒發(fā)該證書的CA是否可以信任。n需要檢查CA的信任鏈來(lái)實(shí)現(xiàn)n如果驗(yàn)證者收到李四的數(shù)字證書，發(fā)現(xiàn)李四的證書和他的證書是同一CA頒發(fā)的，則驗(yàn)證者可以信任李四的證書，因?yàn)轵?yàn)

5、證者信任自己的CA，而且已經(jīng)知道自己CA的公鑰，可以用該公鑰去驗(yàn)證李四的證書。 n但如果李四的數(shù)字證書是另一個(gè)CA頒發(fā)的，驗(yàn)證者怎么驗(yàn)證頒發(fā)李四證書的CA是否可信呢？這就要通過(guò)驗(yàn)證該證書的證書鏈來(lái)解決。n證書鏈也稱認(rèn)證鏈，它由最終實(shí)體到根證書的一系列證書組成，所謂證書鏈的驗(yàn)證，是通過(guò)證書鏈追溯到可依賴的CA的根。 證書的層次結(jié)構(gòu)根根CA二級(jí)二級(jí)CA(A1)二級(jí)二級(jí)CA(A2)二級(jí)二級(jí)CA(A3)三級(jí)三級(jí)CA(B1)三級(jí)三級(jí)CA(B2)三級(jí)三級(jí)CA(B8)三級(jí)三級(jí)CA(B9)數(shù)字證書的內(nèi)容和格式 主體的公鑰信息版本號(hào)證書序列號(hào)簽名算法標(biāo)識(shí)符證書頒發(fā)者（認(rèn)證機(jī)構(gòu)CA）的X.500名稱有效期主體的X

6、.500名稱算法標(biāo)識(shí)符公鑰值認(rèn)證機(jī)構(gòu)的數(shù)字簽名生成數(shù)字簽名X.509格式證書格式證書認(rèn)證機(jī)構(gòu)的私鑰認(rèn)證機(jī)構(gòu)的私鑰散列n為了保證各為了保證各個(gè)個(gè)CA所簽所簽發(fā)的證書具發(fā)的證書具有通用性，有通用性，證書必須要證書必須要具有標(biāo)準(zhǔn)的具有標(biāo)準(zhǔn)的內(nèi)容和格式。內(nèi)容和格式。n目前的證書目前的證書格式通常遵格式通常遵循循ITU的的X.509 V3標(biāo)準(zhǔn)。標(biāo)準(zhǔn)。數(shù)字證書的類型 n1. 客戶端（個(gè)人）數(shù)字證書n2. 服務(wù)器證書（站點(diǎn)證書）n3. 安全郵件證書n4. 代碼簽名證書（開發(fā)者證書）數(shù)字證書的功能n（1）數(shù)字證書用于加密和簽名n（2）利用數(shù)字證書進(jìn)行身份認(rèn)證4.2 個(gè)人數(shù)字證書的申請(qǐng)和使用(P104)數(shù)字證書

7、的使用n（1）證書獲取n數(shù)字證書可以在網(wǎng)上向相關(guān)CA機(jī)構(gòu)申請(qǐng)獲得：nhttp:/ 中國(guó)數(shù)字認(rèn)證網(wǎng)nhttp:/ 廣東省電子商務(wù)認(rèn)證中心nhttp:/ 博大證書nhttp:/ 天威誠(chéng)信n（2）查看n運(yùn)行IE，單擊菜單“工具”|Internet選項(xiàng)，選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”按鈕，可以查看本機(jī)上的數(shù)字證書。n（3）利用數(shù)字證書實(shí)現(xiàn)安全電子郵件163郵箱的Outlook Express設(shè)置n首先設(shè)置郵件帳號(hào)：打開Outlook Express后，單擊菜單欄中的“工具”，然后選擇“帳號(hào)”； n點(diǎn)擊“郵件”標(biāo)簽，點(diǎn)擊右側(cè)的“添加”按鈕，在彈出的菜單中選擇“郵件”； n在彈出的對(duì)話框中，根據(jù)提示，輸

8、入您的“顯示名”，然后點(diǎn)擊“下一步”； n輸入您已經(jīng)申請(qǐng)過(guò)的電子郵件地址，如： ，然后點(diǎn)擊“下一步”；n郵件接收服務(wù)器您可以選擇POP3或IMAP服務(wù)器；n如果您選擇如果您選擇POP3服務(wù)器：服務(wù)器：請(qǐng)輸入您郵箱的的POP3和SMTP服務(wù)器地址后，再點(diǎn)擊“下一步”； POP3服務(wù)器： SMTP服務(wù)器：n如果您選擇如果您選擇IMPA服務(wù)器：服務(wù)器：請(qǐng)輸入您郵箱的的IMAP和SMTP服務(wù)器地址后，再點(diǎn)擊“下一步”； IMAP服務(wù)器： SMTP服務(wù)器： n輸入您郵箱的帳號(hào)名及密碼（帳號(hào)只輸入前面的部分），再點(diǎn)擊“下一步”；n單擊“完成”按鈕保存您的設(shè)置； n別忘記設(shè)置SMTP服務(wù)器身份驗(yàn)證：在“郵件

9、”標(biāo)簽中，雙擊剛才添加的帳號(hào)，彈出此帳號(hào)的屬性框；n請(qǐng)點(diǎn)擊“服務(wù)器”標(biāo)簽，然后在下端“發(fā)送郵件服務(wù)器”處，選中“我的服務(wù)器要求身份驗(yàn)證”選項(xiàng)，并點(diǎn)擊右邊“設(shè)置”標(biāo)簽，選中“使用與接收郵件服務(wù)器相同的設(shè)置”；n如需在郵箱中保留郵件備份，點(diǎn)擊“高級(jí)”，勾選“在服務(wù)器上保留郵件副本”； n注：注：如您選用了“IMAP”服務(wù)器，可將“此服務(wù)器要求安全鏈接（SSL）”打勾，這樣所有通過(guò)IMAP傳輸?shù)臄?shù)據(jù)都會(huì)被加密，從而保證通信的安全性；n點(diǎn)擊“確定”，然后“關(guān)閉”帳戶框，現(xiàn)在設(shè)置成功！點(diǎn)擊主窗口中的“發(fā)送接收”按鈕即可進(jìn)行郵件收發(fā)。 n數(shù)字證書使用實(shí)例參見csf文件。 4.3 公鑰基礎(chǔ)設(shè)施PKI公鑰基礎(chǔ)

10、設(shè)施（PKI）n公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）通常簡(jiǎn)稱PKI。nPKI是一種提供信息安全服務(wù)的基礎(chǔ)設(shè)施，旨在從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息的完整性和不可抵賴性等安全問(wèn)題，為諸如電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券等各種具體應(yīng)用提供可靠的安全服務(wù)的基礎(chǔ)設(shè)施。 n從技術(shù)實(shí)現(xiàn)上來(lái)看:nPKI是以公鑰密碼體制為理論基礎(chǔ)，n以CA認(rèn)證機(jī)構(gòu)為核心，n以數(shù)字證書為工具來(lái)提供安全服務(wù)功能的。PKI的核心CAn數(shù)字證書可實(shí)現(xiàn)互聯(lián)網(wǎng)上各方的身份證明，還能實(shí)現(xiàn)通信各方信息的加密和簽名傳輸，為電子商務(wù)活動(dòng)的進(jìn)行提供了極大的安全保障。n認(rèn)證機(jī)構(gòu)CA（Certificate Auth

11、ority），又叫做認(rèn)證中心，是電子商務(wù)安全中的關(guān)鍵環(huán)節(jié)，也是電子交易中信賴的基礎(chǔ) n1. 發(fā)放證書n2. 撤銷證書n證書作廢列表CRL（Certificate Revocation List） n3. 證書管理注冊(cè)機(jī)構(gòu)RA n由于認(rèn)證機(jī)構(gòu)CA的任務(wù)很多，如簽發(fā)新證書、維護(hù)舊證書、撤銷因故無(wú)效的證書等，因此可以將受理證書申請(qǐng)的工作轉(zhuǎn)交給第三方：注冊(cè)機(jī)構(gòu)RA（Registration Authority）。作為CA發(fā)放、管理證書的延伸，RA負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作。 最終用戶最終用戶最終用戶注冊(cè)機(jī)構(gòu)（RA）認(rèn)證機(jī)構(gòu)（CA）數(shù)字證書庫(kù) n數(shù)字證書庫(kù)（Certificate Repository, CR）是CA頒發(fā)證書和撤銷證書的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，供廣大公眾進(jìn)行開放式查詢。PKI的基本組成認(rèn)證機(jī)構(gòu)(CA)密鑰備份及恢復(fù)