数字证书(4学时).ppt

PKI技术及应用 第二章 数字证书,授课教师：范洁 F Office：1110,本章主要内容,数字证书的定义 证书的数据结构 数字证书的分类 数字证书的载体 证书撤销列表,一、数字证书的定义,身份证号（便于查询）-* 发行机构名称-公安局 身份证的有效期-有效期10年/20年 身份证所有人的名称-姓名 身份证颁发者对身份证的验证-公章,传统身份证,数字证书，也称数字身份证、数字ID，由权威机构(CA)颁发给用户的一组数字信息。,数字证书的定义,证书中的内容：数字证书包含用户身份信息、用户公钥信息以及证书发行机构对该证书的数字签名信息。 证书发行机构的数字签名可以确保用户身份信息和公钥信息的真实性和合法性 用户公钥信息用于加密数据或者验证对应私钥的签名。 定义：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称 以及证书授权中心的数字签名。,数字证书的格式,数字证书格式由X.509规定: 版本号、序列号、签名算法标识符、发行者名称、有效期、主体名称、主体的公开密钥信息、发行者的惟一标识符（可选项）、主体的惟一标识符（可选项）、扩充域、CA的数字签名,证书字段说明,版本号（Version number）：指明在特定版本的证书中定义的格式和允许出现的内容。 序列号（Serial number）：一个整数值，在发证CA中唯一。 签名算法标识符（Signature algorithm identifier）：标识用于证书签名的散列函数类型和签名算法类型。 颁发者名称（Issuer name）:用于标识签发证书的认证机构。 有效期（Validity period）:定义证书有效的开始日期和终止日期。 主体（Subject）:证书所认证的与证书中公钥对应的个人或者实体的名字。,证书字段说明,主体公钥信息（Subjects public key information）：包含证书验证的主体的公钥、使用公钥的算法标识符和相关参数。 颁发者唯一标识符（Issuer unique identifier）：颁发者的名字存在重用的可能，这时颁发者唯一标识符可使其被识别出来。 主体唯一标识符（Subject unique identifier）：主体的名字存在重用的可能，这时主体唯一标识符可使其被识别出来。 扩展域（Extensions）：在不改变证书格式的前题下，允许证书中编码加入额外的信息，X.509定义了标准扩展。 签名（signature）：包括其他域的hash代码（用CA的私钥加密）。,证书的存放IE 浏览器的证书库,查看证书内容,数字证书,一个 数字证书 是 . . . 包含用户身份信息的文件 CA的名称 （颁发机构） Bob的名称 （对象） 用户的公钥 数字签名 由可信的第三方进行签名 Certification Authority 使用CA的私钥 保证信息的真实性和完整性 遵守X.509标准,数字证书的特点,它包含了身份信息，因此可以用于证明用户的身份。 它包含了公钥，不但可用于数据加密，还可用于数据签名，保证通信过程的安全和不可抵赖。 由于是认证权威机构颁布的，因此具有很高的公信度。,数字证书的可靠性保证,证书的有效性： 数字签名（私钥加密）：对证书中的任何内容的修改都可以被发现，保证了证书信息的完整性。 签名的不可伪造性（私钥不可求）： 高技术 数学难题（NP） 关键问题 私钥的保护：用户证书的私钥，认证中心证书的私钥（USBKey，IC卡）,证书的获取,由于证书的特点，使得： 任何有CA公钥的用户都可以验证用户证书的有效性。 除了CA外，任何人都无法伪造、修改证书。 因此，证书可放在无特殊保护的公开目录中。,简单证书验证,证书验证主要是完成证书有效性的检验，包括： 是否是可信CA的签名（包括CA证书路径处理）。 证书是否有良好的完整性，即签名验证是否正确。 证书是否在有效期内。 证书的使用方式是否符合证书策略和限制。 证书是否被注销。,总结,数字证书是PKI的核心元素 数字证书是权威的电子文档 数字证书是网上身份的证明 数字证书是PKI公钥的载体 数字证书是符合标准的电子证书,二、证书的数据结构,定义证书的符号 在标准中，用下列符号定义一个证书 CA = CA V, SN, AI, UCA, TA, UA, Ap Y表示Y给X发的证书； YI表示Y对I的签名，I是“V, SN, AI, UCA, TA, UA, Ap” 的散列值。 V：版本；SN：序列号；AI：签名算法 CA：CA的名称；TA:有效期；A：主体名称 AP ：主体A的公钥信息,X.509证书定义,Certificate := SEQUENCE tbsCertificate TBSCertificate, -证书主体 signatureAlgorithm AlgorithmIdentifier, -证书签名算法标识 signatureValue BIT STRING -证书签名算法值 ,X.509证书定义(续),TBSCertificate := SEQUENCE version 0 EXPLICIT Version DEFAULT v1, -证书版本号 serialNumber CertificateSerialNumber, -证书序列号，对同一CA所颁发的证书，序列号唯一标识证书 signature AlgorithmIdentifier, -证书签名算法标识 issuer Name, -证书发行者名称 validity Validity, -证书有效期 subject Name, -证书主体名称 subjectPublicKeyInfo SubjectPublicKeyInfo, -证书公钥 issuerUniqueID 1 IMPLICIT UniqueIdentifier OPTIONAL, - 证书发行者ID(可选)，只在证书版本2、3中才有 subjectUniqueID 2 IMPLICIT UniqueIdentifier OPTIONAL, -证书主体ID(可选)，只在证书版本2、3中才有 extensions 3 EXPLICIT Extensions OPTIONAL -证书扩展段（可选），只在证书版本2、3中才有 Version := INTEGER v1(0), v2(1), v3(2) ,X.509证书结构,tbsCertificate域 包含主体名称和签发者名称、主体公钥、证书有效期及其他相关信息 signatureAlgorithm域 包含证书签发机构签发该证书所使用的密码算法的标识符 signatureValue域 包含对tbsCertificate域进行数字签名的结果,X.509证书结构（扩展项）,V3证书中的扩展项可分为以下几类: 1.密钥信息 2.政策信息 3.用户和CA属性 4.证书路径限制,其他格式的数字证书,1 PKCS12：封装了用户的公私密钥对和X.509证书 2 SPKI ：授权证书，应用很少 3 PGP：与X.509不兼容 4 属性证书：不包含公钥 5 SET：采用X.509 V3证书格式，制定了自己的私有扩展,三、数字证书的分类,按其应用安全等级分类 企业级高级证书：通常用于B2B大额网上交易，如网上银行的对公业务、电子商务的B2B业务、电子政务中重大机密文件的发收。专门利用一些标准扩展域的项，对安全应用控件、安全代理软件要求高，如双向认证和多次交易数字签名等。 企业级一般证书：本质与企业级高级证书没有差别，在安全代理软件和安全应用控件的安全处理机制上稍有不同。一般要求双向认证。 普通个人证书：常用于网上银行B2C业务。在标准扩展域中使用某些项限定个人的交易行为。一般单向认证。,三、数字证书的分类（续1）,按角色分类 CA根证书：PKI域的信任锚，给下级运行CA签发证书。 运行CA证书：PKI核心机构运行CA的根证书，用以向其各类证书实体用户签发证书。 CA管理员证书：专为CA签发服务器管理员颁发的证书，用于对CA工作的管理，是专用个人证书。 RA管理员证书：专为RA管理员颁发的证书，用于对RA工作的管理。,三、数字证书的分类（续2）,按应用方式分类 服务器证书：用于Web服务器 RA服务器证书 S/MIME证书 VPN证书 属性证书 代码签名证书,三、数字证书的分类（续3）,按证书体系分类 加密证书 对应的私钥可在CA备份，便于监管 签名证书 对应的私钥自己保管，防止抵赖 签名证书不能用于加密，加密证书不能用于签名，否则会使数字签名产生不唯一性。,四、数字证书的载体,磁盘存储 IC卡 智能IC USB Key,五、证书撤销列表（CRL）,背景 由于在证书有效期内某些原因，而致使该证书无效，CA必须以某种形式在证书自然过期之前撤销它，并通知安全域内所有实体获知这一情况而避免安全风险。 原因 证书撤销的原因很多，可能是实体身份变更、密钥受到安全威胁等。,证书撤销,撤销延迟 证书撤销信息的更新和发布频率非常重要。两次证书撤销信息发布之间的时间间隔称为撤销延迟。 撤销实现方法 周期性发布机制：如CRLs。 在线查询机制：如 在线证书状态协议 OCSP。,证书撤销周期性发布机制,类别 完全证书撤销列表CRLs 机构证书撤销列表ARLs CRL分布点（分割的CRLs） 增量CRLs 间接CRLs 增强的CRL分布点 证书撤销树（CRTs） 重定向CRLs ,CRLs证书撤销列表,CRLs是一种包含撤销的证书列表的签名的数据结构。其完整性由数字签名保证。其签名者一般是证书的签发者。 一般通过CRLs的缓存来提高性能。,证书撤销列表,签名算法,废除的证书,签名,废除的证书,CRLs证书撤销列表（续）,X.509 V2 CRLs的格式: 1Version 该域指明了CRLs的版本号。目前版本号必须为v2。 2Signature Algorithm Identifier 该域指明了CRLs的签名算法，解释同数字证书。 3Issuer Distinguished Nam 该域指明了发放CRLs的发放者的X500名称，解释同数字证书。 4This Update 该域指明了本次签发CRLs的日期和时间。 5Next Update 该域指明了下一次签发CRLs的日期和时间。,CRLs证书撤销列表（续）,6Revoked Certificates 该域列出了被注销的数字证书序列。列举按如下格式： SerialNumber 被注销的用户证书的序列号 Revoked Time 被注销的用户证书注销时的时间 CRL Entry Extensions CRL s条目扩展,CRLs证书撤销列表（续）,7CRLEextension 该域列出了CRLs的扩展信息。类似证书中的扩展。下面举例说明： Authority Key Identifier 认证中心密钥标识，同证书中的扩展。 Issuer Alternative Name 证书发放者替代名称，同证书中的扩展。 CRL Number 该CRLs在整个发布过程中的编号。 Delta CRL Indicator Delta CRL的指示符。 Issuing Distribution Point CRL s的发布点。 8Signature 该域列出了CRLs签发者对以上信息的数字签名信息。类似证书中的签名。,CRL验证,获取CRL 验证CRL的签发者 验证CRL签名 验证CRL的崭新性 验证用户证书的有效性,本节课主要内容,证书的获取交叉认证 证书的扩展项 密钥和数字证书的管理,证书的获取交叉认证,CA产生的证书具有以下特性： 其他任一用户只要得到CA的公开密钥，就能由此得到CA为该用户签署的公开密钥。 除CA以外，任何其它人都不能以不被察觉的方式修改证书的内容。 当用户数量很少时，只需一个CA就足够 当用户数量极多的时候，一个CA不现实，通常有多个CA，每个CA为一部分用户发行、签署证书。 不同CA颁发的证书之间如何认证？,证书的获取交叉认证,设：用户A，由CA： X1为其颁发证书；用户B，由CA： X2为其颁发证书；且X1和X2已经互相签署证书，即安全的交换了公开密钥；A获取B的公开密钥的过程如下： A从目录中获取由X1签署的X2的证书X1X2，因A知道X1的公开密钥，所以能验证X2的证书，并从中得到X2的公开密钥。 A再从目录中获取由X2签署的B的证书X2B，并由X2的公开密钥对此加以验证，然后从中得到B的公开密钥。 A是通过一个证书链来获取B的公开密钥的，证书链可表示为： X1X2X2B； 类似B能通过相反的证书链获取A的公开密钥。 证书链表示为： X2X1X1A。,证书的获取交叉认证,含N个证书的证书链可表示为：X1X2X2X3 XNB此时，任意两个相邻的CA Xi和Xi+1已彼此间为对方建立了证书，对每一CA来说，由其它CA为这一CA建立的所有证书都应存放于目录中. A 到B的证书链： XWWVVUUYYZZB，通过该证书链可以获取B的公钥。 B到A的证书链： ZYYUUVVWWXXA,扩展项的用途：,意义：证书扩展的存在使得附加消息的说明成为可能。特定团体定义和接受的扩展集各不相同。 PKIX工作组规定了扩展集包括： 密钥扩展 证书策略扩展 主题和颁发者信息扩展 证书路径限制扩展等。,关键扩展,关键扩展与非关键扩展 数字证书中的扩展项中包含一个标记，用于指示该扩展是否是关键扩展。若遇到一项不能识别的关键扩展，则应用系统必须拒绝接受该证书。如果不能识别的项是非关键扩展，则可以被忽视。 举例： 证书策略：一个或多个对象标识符OID和可选标识符。如果该扩展被标记为关键，则该证书的使用必须符合证书策略。,扩展项的应用密钥扩展,密钥扩展包含认证机构和最终实体使用的密钥的相关信息，包含密钥的用途等限制 1 机构密钥标识符（Authority Key Identifier）：非关键扩展，用于指定认证机构所拥有的多个公钥中的哪一个用于验证证书的签名。 该扩展必须包含在CA证书中，以建立证书链。 2主体密钥标识符（Subject Key Identifier）：非关键扩展，当主体拥有多个密钥集时，该扩展用于说明公钥属于哪一个密钥集。,扩展项的应用密钥扩展（续）,3密钥用法（Key Usage）：PKIX建议为关键扩展，定义了公钥的用途。有以下设置： keyCertSign：验证证书的签名，只有在CA 证书中有效。 CRLSign:用于验证证书撤销列表的CA签名。 DigitalSignature：用于数字签名的密钥。 KeyEncripment：用于加密，对其他密钥或者安全相关内容进行加密。 DataEncripment：对用户数据加密，不能对密钥或其他安全内容加密。 KeyAgreement：用于商定或者建立进一步操作将用到的密钥。,扩展项的应用密钥扩展（续）,4扩展密钥应用（Extended Key Usage） 该扩展用于为密钥应用设定额外的应用信息。密钥应用定义为应用标识符列表。微软添加：智能卡登录应用、客户认证应用、安全邮件应用。该扩展可以定义为关键或非关键。 5私钥使用有效期（Private Key Usage Period） 当使用数字签名密钥时，存在私钥的有效期和证书有效期不同的情况。在一个私钥不能用于产生签名之后很久的一段时间里，仍然有必要使用验证过的公钥来验证数字签名。非关键扩展。由notBefore字段和notAfter字段指定。,扩展项的应用证书路径限制扩展,证书路径限制扩展用于处理证书路径。限制应用于被认证过的CA颁发的证书类型或者认证路径中作为后继证书的的证书类型。 1 基本限制（Basic Constraints）：关键扩展 通过基本限制扩展使得CA证书可以被标识。该扩展包含两个字段：CA和PathLenConstraints。当CA值为真时，说明这是一个CA证书，且PahLenConstraints代表在证书路径中位于该证书之后的最大的CA证书数目。 例PahLenConstraints0，只能颁发实体证书。 2名称限制（Name Constraints）：关键扩展。定义后继证书中的主体名和别名必须遵循的命名空间 3策略限制（Policy Constraints）：允许证书颁发者使用requireExplicitPolicy字段后继证书中必须包含的可接受策略标识符。,密钥和证书的生命周期 密钥和证书生命周期的管理,密钥与数字证书的管理,一、密钥和证书的生命周期,密钥的类型 加密密钥 签名密钥 生成 用户自己生成 CA机构生成 保存约定 软件安全保存 硬件安全保存,密钥生命周期,密钥管理问题,创建密钥 强度 位置（CA/用户） 存储（软件硬件） 传输 分发密钥 保护密钥 归档密钥（托管） 恢复密钥（当前先前历史）,证书的生命周期,二、密钥/证书生命周期管理,密钥/证书生命周期管理表示的是与公/私钥对以及相关证书的创建、颁发及随后的撤销有关的功能。 关于综合密钥/证书生命周期管理的基本假设如下： 密钥和证书生命周期的终端实体管理是不实际的； 密钥/证书生命