CHD9密钥管理和认证中心

密钥管理和认证中心

(KeyManagementand

CertificationAuthority)

本章內容9.1认证中心9.2数字凭证标准格式(X.509)9.3认证中心的操作流程9.4数字凭证的使用9.5数字凭证的种类9.6交叉认证9.7电子签名法用户登记认证，使其网络身份生效并具法律效用。

-如同向派出所登记，政府核发身份证用户将其公开密钥登记认证，以确认用户的公开密钥。-如同印章证明每个用户所持有的数字凭证，就如同现实社会中的身份证一样，可用来证明自己在网络世界中的合法身份。提供一个值得信赖的安全基础设施。需要可信任的第三者：认证中心(CA)9.1认证中心产生及更新数字凭证，CA将每个用户的身份及公开密钥签署成一个数字凭证。分发及管理数字凭证。数字凭证的注销及恢复。扮演一个数字时代可信任的仲裁者(提供凭证)。存储数字凭证(有效凭证、终止凭证及过期凭证等)。公布及传送数字凭证注销列表(CertificateRevocationList，CRL)。数字凭证的查询及分送凭证管理的数据。认证中心(CA)的主要功能9.2

认证中心(续)X.509v3数字凭证格式1.版本

Version32.序号

SerialNumber3.签名算法

IssuerSignaturealgorithm4.凭证发行者

IssuerDistinguishedName5.有效期限

ValidatePeriod6.凭证持有人

SubjectDistinguishedName7.持有者的公开密钥

SubjectPublicKeyInformation8.发行者身份ID

IssuerUniqueIdentifier(option)9.持有者身份ID SubjectUniqueIdentifier(option)10.其他信息

Extension(option)11.上述各数据的发行者签名

Issuer’sSignatureonalltheabovefields9.2数字凭证标准格式

CA(CertificateAuthority)：认证中心

DS(DirectoryService)：存放数字凭证的地方

RA(RegistryAgent)：代理用户向CA申请登记注册的程序认证中心(CA)的基本构架

9.3认证中心的操作流程CA、DS、RA之间的关系CA、DS、RA之间的关系：注册1.用户先传送自己的公开密钥到RA

2.RA传送公开密钥到CA

3.CA对此公开密钥及用户信息做签名

4.CA传送凭证到RA

5.用户从RA获得其凭证

6.CA传送此凭证到DS

7.用户可以向DS确认其凭证

9.4.2

数字凭证的产生和使用数字凭证的核发及验证过程目的：避免数字凭证被误用或非法使用。理由：用户对私密密钥有被破解的疑虑或其他原因，需要更换其公开密钥及私密密钥。用户已不再使用此CA所提供的数字服务。用户因信用不好，而被列入拒绝往来客户。CA对私密密钥有被破解的疑虑，而需要更换其公开密钥及私密密钥。数字凭证的注销1.

用户传送注销的信息到RA

2.RA会转送此注销信息给CA

3.CA新增CRL並且发送CRL到DS

4.

用户可以到DS查询凭证注销列表，以确认是否注销成功

CA,DS,RA之间的关系：注销数字凭证的注销(续)困難：注销实时性：用户要注销凭证时，CA必须实时更新凭证注销列表。此外，CA必须将此CRL列表实时传送给所有的验证机关或用户(如果没有传送CRL给验证机关，则每次要验证数字凭证时，验证机关必须上网到CA查询CRL)，否则就会出现空窗期。在CA尚未更新CRL时，用户仍然可以继续使用其凭证，直到CA已更新CRL并且所有的验证机关或用户均已收到此CRL。验证注销列表快速扩充：注销凭证的用户会持续地增加，使得凭证注销列表会快速膨胀，如此一来不但会增加此列表传送时的通信量，更会增加维护及验证时的复杂度。数字凭证的注销(续)9.4数字凭证的使用数字凭证的用途主要有两方面加解密及签名的使用网络用户的身份验证数字凭证与加解密机制的关系9.4.2网络用户的身份验证以下两种方法可以安全的利用数字凭证來验证网络用户的身份

挑战响应法

时戳法挑战响应法时戳法认证中心凭证：-认证中心的名称及其公开密钥。

服务器凭证：-SSL服务器名称及其公开密钥；DNS服务器凭证，其内容包含DNS服务器名称及其公开密钥。软件出版者凭证-软件商以其私密密钥来签署所发行的软件，以证明软件确为该公司所发行。9.5数字凭证的种类指的是两个CA，互相信任对方所发出的凭证交叉认证一般来说可以分为两种，阶层式(HierarchicalCrossCertification)一般式(GeneralCrossCertification)9.6交叉认证阶层式交叉认证张三验证李四公开密钥的路径：CA1<<CA2>>，CA2<<CA3>>，CA3<<李四>>李四要验证王五的公开密钥：CA3<<CA2>>，CA2<<RootCA>>，RootCA<<CA4>>，CA4<<CA5>>，CA5<<王五>>一般式交叉认证9.7电子签名法认证中心的建立解决了公开密钥认证的问题，是推动公开密钥基础设施的一项主要工作，但电子签名若欠缺法律上的地位，就无法以电子签名作为通信及交易的基础。为配合日益蓬勃的数字经济活动发展，建立电子签名法是当务之急。电子签名法的立法原则

技术中立原则任何可确保数据在传输或存储过程中的完整性及识别用户身份的技术，都可用来制作电子签名，并不以“非对称型”加密技术为基础的“数字签名”为限，以免阻碍其他技术的应用发展。

契约自由原则对于电子交易行为，宜在契约自由原则下，由交易双方当事人自行约定采用何种适当的安全技术、程序及方法做