1、密码基础 密码应用PKI、密钥管理信息安全(模块 4密码基础)1第一部分 PKIn 1 数字证书n 2 PKI系统n 3 基于 PKI的服务2什么是 PKIn PKI( Public Key Infrastructure, 公钥基础设施):采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施n PKI技术可以让人们随时随地方便地同任何人秘密通信n PKI技术是公钥密码学完整的、标准化的、成熟的工程框架3什么是 PKIn PKI技术:采用证书管理公钥,通过第三方的可信任机构 认证中心 ( Certificate Authority, CA) 把用户的公钥和用户的标识信息捆
2、绑在一起,在 Internet上验证用户的身份,提供安全可靠的信息处理n 通用的办法是采用建立在 PKI基础之上的 数字证书 ,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。 41 数字证书本节提示:n 1.1 X.509数字证书n 1.2 证书撤销列表 51.1 X.509数字证书n 数字证书 :是将公钥和确定属于它的某些信息(比如该密钥对持有者的姓名、电子邮件或者密钥对的有效期等信息)相绑定的数字声明n 数字证书由 CA认证机构颁发。认证中心所颁发的数字证书均遵循 X.509 V3标准。6X.509证书结构 7X.509证书
3、包含内容 n 版本号 :证书的版本号,这将最终影响证书中包含的信息的类型和格式,目前版本 4已颁布,但在实际使用过程版本 3还是占据主流。n 序列号 :序列号是赋予证书的唯一整数值。它用于将本证书与同一 CA颁发的其他证书区别开来。n 签名算法标识 :含有 CA签发证书 所使用的数字签名算法的算法标识符,如 SHA1WithRSA。有 CA的签名,便可保证证书拥有者身份的真实性,而且 CA也不能否认其签名。n 颁发者名称 :这是必选项,该域含有签发证书实体的唯一名称( DN),通常为某个 CA。8X.509证书包含内容(续)n 证书有效期 :证书仅仅在一个有限的时间段内有效。用两个日期序列表示
4、:证书的有效开始日期,证书有效期结束日期n 证书持有者名称 :必选项,证书拥有者的可识别名称n 证书持有者公钥 :主体的公钥和它的算法标识符,必选项n 证书颁发者唯一标识号 :这是一个可选域。它含有颁发者的唯一标识符。n 证书持有者唯一标识号 :证书拥有者的唯一标识符,可选项。n 证书扩展部份 :证书扩展部份是 V3版本定义的。可供选择的标准和扩展包括证书颁发者的密钥标识、证书持有者密钥标识符、公钥用途、 CRL发布点、证书策略、证书持有者别名、证书颁发者别名和主体目录属性等。 91.2 证书撤销列表n 在 CA系统中,由于密钥泄密、从属变更、证书终止使用以及 CA本身私钥泄密等原因,需要对原来签发的证书进行撤销n X.509定义了证书的基本撤销方法:由 CA周期性的发布一个 CRL (Certificate Revocation List),即 证书撤销列表 ,里面列出了所有未到期却被撤销的证书,终端实体通过 LDAP (Lightweight Directory Access Protocol)的方式下载查询 CRL。 10
