第五章 数字证书-数字证书标准格式、申请、分发

《第五章 数字证书-数字证书标准格式、申请、分发》由会员分享，可在线阅读，更多相关《第五章 数字证书-数字证书标准格式、申请、分发（24页珍藏版）》请在装配图网上搜索。

1、第五章数字证书-数字证书标准格式、申请、分发-1-Technology of Electronic Business Security 2011年10月10日本章学习内容：n数字证书及其格式n公私密钥对的管理n数字证书的申请n数字证书的分发n数字证书的撤销2Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式数字证书 基于公钥技术、数字签名技术的电子商务参与各方、设备或其他实体的身份证书。由认证机构（CA）在确认了数字证书持有者（或称为证书主体）的身份或其他属性并用数字方式签名签发和统一管理。数字证书是公钥技术、数字

2、签名技术广泛应用于电子商务的关键。主要内容 证书序列号、持有者的名称、公开密钥、有效期、认证机构（发行者）的名称与数字签名。类型 个人证书、企业证书、服务器证书、开发者证书。3Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）图5-1数字证书示意图主体身份信息主体公钥值认证机构名认证机构数字签名生成数字签名认证机构私钥用户可以很容易地通过认证机构来获得其他任何用户、设备或实体的数字证书。数字证书的发放和管理简单。4Technology of Electronic Business Security 2

3、011年10月10日5.1数字证书及其格式（Cont.）X.509标准数字证书格式X.509标 准：ITU制 定，版 本 有 X.509v1(1988)、X.509v2(1993)、X.509v3(1997)、X.509v4(2000)。X.509数字证书基本格式(X.509v1、v2)内容：版本号：X.509标准版本号。数字证书序列号：数字证书的唯一标识。签名算法标识符：认证机构对数字证书签名时所使用的数字签名算法的标识。5Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）数字证书发放者：发行数字证

4、书的认证机构的名称。用于确定发行者身份。有效期：数字证书的起始和终止的日期和时间。主体名称：与相应的被验证公钥所对应的私钥持有者的名称。用于确定主体身份。主体的公钥信息：主体的公钥值以及该公钥使用时所用的算法标识。数字证书发放者的唯一标识符：可选项。当实体具有相同的名称时，使认证机构的名称具有唯一性。主体的唯一标识符：可选项。当实体名称相同时，使的主体的名称唯一性。6Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）图5-2 X.509V1，V2基本数字证书格式证书序列号主体公钥信息：公钥及算法标识符

5、发放者的唯一标识符认证机构数字签名生成数字签名认证机构私钥主体的X.509名称版本号签名算法标识符发放者的X.509名称有效期主体的唯一标识符可选部分7Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）X.509v3数字证书基本格式在X.509v1、v2基本格式中加入通用扩充机制。扩展标识符：扩展字段类型。关键程度指示器：扩展字段是关键的/非关键的。扩展字段值。X.509v3数字证书主体和数字证书发放者的身份可以用一个或多个不同形式的名称来确定。8Technology of Electronic Bu

6、siness Security 2011年10月10日主体公钥信息：公钥及算法标识符5.1数字证书及其格式（Cont.）图5-3 X.509V3数字证书格式证书序列号认证机构数字签名生成数字签名认证机构私钥主体的X.509名称版本号签名算法标识符发放者的X.509名称有效期主体的唯一标识符发放者的唯一标识符可选部分扩展部分扩展类型关键/非关键扩展字段值9Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）数字证书扩展标准扩展内容:密钥信息、政策信息、主体与发放者的属性、认证路径约束、与数字证书撤销表(C

7、RLs)相关的扩展。密钥信息扩展扩展有关主体和发放者密钥的附加信息，如密钥标识符、密钥用途指示器、私钥使用期。这些扩展允许管理者限制数字证书和认证密钥的用途、私钥的授权使用期。10Technology of Electronic Business Security 2011年10月10日5.1数字证书及其格式（Cont.）政策信息扩展说明认证机构对数字证书所规定的政策和操作说明。主体与发放者属性扩展扩展主体和发放者的备用名、主体身份识别信息（包括主体在组织中的职位、电话和邮政地址等）。认证路径约束扩展认证路径：认证机构之间的认证链。认证路径约束扩展包括基本约束、命名约束、政策约束。11Tech

8、nology of Electronic Business Security 2011年10月10日5.2公私密钥对的管理密钥对的生成密钥对的生成方法密钥对持有者系统生成：有利保证交易的不可否认性、密钥安全。密钥管理中心系统生成：有利生成高效密钥对。存在密钥分发安全问题。密钥管理系统与认证机构分离，有助于私钥安全、用户对认证机构的信任。12Technology of Electronic Business Security 2011年10月10日5.2公私密钥对的管理（Cont.）私钥的保护私钥的保护方法私钥存储在不可写的硬件模块或标记中，如智能卡中；私钥存储在数据存储媒介上的加密数据文件中；

9、私钥存储在数字证书服务器。密钥对的更新对公私密钥对进行定期的、有规律的更新。同时对相应的数字证书进行更新、撤销。加密有关的密钥对：公钥在数字证书的有效期内使用。私钥可能在数字证书有效期之后仍然存续（本地解密/加密）。13Technology of Electronic Business Security 2011年10月10日5.2公私密钥对的管理（Cont.）数字签名的密钥对：历史有效性：数字证书用户不必关心数字签名以后的公钥数字证书有效期。可通过证书状态信息检验。实时有效性：数字证书用户关心数字签名以后的公钥数字证书有效期。如时间戳等检验时。比私钥的使用期长。认证机构数字签名的密钥对：数字

10、签名密钥对的一个特例。同时存在历史有效性、实时有效性。认证机构的公钥和相应的数字证书的有效期必须比所发放的数字证书的有效期长。14Technology of Electronic Business Security 2011年10月10日5.3数字证书的申请数字证书管理机构的作用数字证书管理机构认证机构CA：数字证书管理；注册机构RA(/RS)：数字证书申请注册。与认证机构可能是不同的法律实体或是认证机构的组成部分。对数字证书申请人进行合法性确认；批准生成密钥对与数字证书及恢复备份密钥的请求；注册、注销、批准或拒绝对数字证书属性的变更要求；接受和批准对数字证书的撤销或暂停请求；向有权拥有身份标

11、记的人当面分发标记或恢复旧记。15Technology of Electronic Business Security 2011年10月10日5.3数字证书的申请（Cont.）数字证书的申请注册注册方式：在线、离线。注册机构对个人、设备和实体的身份及其他指定属性（如特权、作用、权限等）进行确认。了解私有信息：主体出具与之有关的私有信息，如账号或姓名加上口令或身份识别号。亲自到场：证实数字证书申请人的存在、申请数字证书的目的，以及申请人是否有能力遵守数字证书应用规则和进行数字证书的使用。身份证明文件：认证机构要求申请人当面出具身份证明文件，以确认申请人的身份，如护照、工作证或驾驶证）。16Tec

12、hnology of Electronic Business Security 2011年10月10日5.3数字证书的申请（Cont.）数字证书的生成 数字证书的生成步骤：数字证书申请人将申请数字证书所需要的数字证书内容信息提供给认证机构。认证机构确认申请人所提交信息的正确性，这些信息将包含在数字证书中。由持有认证机构私钥的签证设备给数字证书加上数字签名。将数字证书的一个副本传送给用户，必要时，用户在收到数字证书后返回确认信息。将数字证书的一个副本传送到数字证书数据库/目录服务，以便公布。17Technology of Electronic Business Security 2011年10月

13、10日5.3数字证书的申请（Cont.）作为一种可供选择的服务，数字证书的一个副本可以由认证机构或其他实体存档，以加强档案服务、提供证据服务以及不可否认服务。认证机构将数字证书生成过程中的相关细节，以及其他在数字证书发放过程中的原始活动都记录在审计日志中。数字证书的更新更新原因：数字证书的期满、密钥对的期满、主体信息变更。更新方式：系统自动申请、用户申请。18Technology of Electronic Business Security 2011年10月10日通过数字签名分发信息+数字证书+数字签名通过目录服务分发目录服务/数字证书数据库。通过HTTP、FTP请求分发。5.4数字证书的分

14、发19Technology of Electronic Business Security 2011年10月10日5.4 数字证书的撤销请求撤销数字证书用户请求撤销自己的数字证书。认证机构撤销用户的数字证书。其他人请求撤销数字证书。认证机构在撤销数字证书后，通过定期公布的数字证书撤销表（CRL）通知数字证书用户。20Technology of Electronic Business Security 2011年10月10日5.5 数字证书的撤销（Cont.）图5-4 X.509数字证书撤销表CRL发放者的数字签名生成数字签名CRL发放者私钥数字证书撤销表的格式CRL扩展条目CRL发放者签名算法

15、证书序列号版本号(CRL格式)CRL发放者的X.509名称本次更新日期时间下次更新日期时间CRL扩展部分撤销时间CRL扩展条目证书序列号撤销时间 数字证书撤销表是一个被撤销的数字证书的时间戳列表，该列表由认证机构进行数字签名，能被数字证书用户获取。21Technology of Electronic Business Security 2011年10月10日5.5 数字证书的撤销（Cont.）版本：版本1或版本2格式标识。签名算法：用于该数字证书撤销表签名的算法标识。发放者：发放该数字证书撤销表的机构名称。本次更新：数字证书撤销表的发放日期和时间。下次更新：下次数字证书撤销表的发放日期和时间。

16、数字证书序列号：被撤销或暂停的数字证书的序列号。撤销时间：撤销或暂停某一特定数字证书的有效日期。CRL扩展条目：附加字段。CRL扩展部分：附加字段。22Technology of Electronic Business Security 2011年10月10日5.5 数字证书的撤销（Cont.）撤销数字证书的方法定期公布数字证书撤销表：时间间隔由认证机构确定。存在撤销的证书不能及时公布。广播数字证书撤销表：当有数字证书被撤销时，认证机构将数字证书撤销表广播给数字证书使用系统。不存在公布延迟问题。在需要紧急撤销数字证书时，可以很快地分发数字证书撤销表，但是需要对分发通信进行保护，并且可能产生大量

17、通信负荷、难以确认证书使用系统。不适合大规模应用。进行在线状态检查：通过在线事务处理程序，对服务器撤销的证书实时查询。需要通信保护。查询成本高。23Technology of Electronic Business Security 2011年10月10日5.5 数字证书的撤销（Cont.）发行短期数字证书：在密钥对有效期内，颁发短期有效的证书。通过停止颁发证书，起到吊销证书的作用。适用于资源有限的数字证书使用系统。其他撤销方法从数字证书数据库中删除数字证书：简单，但不可靠。可信的数字证书服务器/目录：提供数字证书的服务器对返回数字证书的响应进行数字签名和时间戳保护。间隔时间更短的周期性数字证书撤销表。建立数字证书撤销树。24Technology of Electronic Business Security 2011年10月10日