数字证书
数字证书
互联网通讯中标志通讯各方身份信息的一串数字。
提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。
发行机构
CA——证书授权(Certificate Authority)中心
是由可信任的认证中心(CA)创建用户证书,并由CA或用户放在目录中。
内容
是有有效期的,会过期。
数字证书的国际标准是X.509
•X.509方案的核心是与每个用户相关联的公钥证书。
目录服务器本身不负责公钥的产生和认证功能;它只为用户获取证书提供一个容易访问的场所。
数字证书格式
数字证书示例
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 368716 (0x5a04c)
Signature Algorithm: sha1WithRSAEncryption
Issuer:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Validity
Not Before: Jan 4 17:09:06 2006 GMT
Not After : Jan 4 17:09:06 2011 GMT
Subject: C=US, ST=California, L=Santa Clara,
O=Yahoo! Inc., OU=Yahoo, CN=login.yahoo.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
PKI
Public Key Infrastructure——“ 公钥基础设施 ”
•采用证书管理公钥,通过CA把用户的公钥和用户的其他标识信息捆绑在一起,在互联网上验证用户的身份
一个机构,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
功能
PKI 是一种利用公钥加密技术为用户提供安全通信的技术。
包括加密、数字签名(公钥数字签名)**、数据完整性机制、数字信封、双重数字签名等基础技术。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的信任模型1:上往下
PKI的信任模型:上下间相互
PKI的信任模型3:桥CA连接两个CA网
PKI的组成
认证机构CA
管理所有用户整数,把用户的KU和其他信息捆在一起,打包验证用户身份。
对于黑名单:登记黑名单、发布黑名单。
CA系统的主要功能:对证书进行管理,包括颁发、废除、更新、验证证书和管理密钥。
注册机构RA
负责录入申请者的信息、审核、发放证书。
管理已经发放的证书。
证书库
网上公共信息库,用于集中存放证书,用户可以从此处获得其他用户的证书和公钥。
证书库是CA所签发的证书和CRL的集中存放地。
密钥备份及恢复系统
证书撤销处理系统
证书注销列表
记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书查询使用。
证书撤销原因
密钥泄漏和证书所有者状态改变。
PKI必须提供一种允许用户检查证书的撤销状态的机制
PKI应用接口系统组成
1、可拓展
2、多用户
3、支持多环境、多操作系统