84数字证书与公钥基础设施 8.4.1数字证书 8.4.2公钥基础设施 ●四南大字画字
8.4 数字证书与公钥基础设施 8.4.1 数字证书 8.4.2 公钥基础设施
841数字证书 数字证书,即数字1D,是一种由GA签发用于识别的电子形式的个人证 书。这里,数字证书指X.509公钥证书,即数字证书的一个标准格式数 字证书可以用于身份验证,方便地保证由鲜为人知的网络发来信息的可靠 性,同时建立收到信息的拥有权及完整性。 1证书结构 尽管X509已经定义了证书的标准字段和扩展字段的具体要求,仍有很 多的证书在颁发时需要一个专门的协议子集来进一步定义说明。 Internet 工程任务组PKX509工作组就制定了这样一个协议子集,即RFC2459。 图820给出了第3版的证书结构。除了X.509格式的证书外,还有SPK PGP、SET和属性证书等形式。 第8章网络安全
第8章 网络安全 8.4.1 数字证书 数字证书,即数字ID,是一种由CA签发用于识别的电子形式的个人证 书。这里,数字证书指X.509公钥证书,即数字证书的一个标准格式。数 字证书可以用于身份验证,方便地保证由鲜为人知的网络发来信息的可靠 性,同时建立收到信息的拥有权及完整性。 1. 证书结构 尽管X.509已经定义了证书的标准字段和扩展字段的具体要求,仍有很 多的证书在颁发时需要一个专门的协议子集来进一步定义说明。Internet 工程任务组PKI X.509工作组就制定了这样一个协议子集,即RFC2459。 图8.20给出了第3版的证书结构。除了X.509格式的证书外,还有SPKI、 PGP、 SET和属性证书等形式
841数字证书 版号序明签名算法颁者有|钥誩|一标识展签名 图8.10X509版本3的证书格式 版本号表示证书的版本,如版本1,版本3等;序列号是由证书颁发者分配 给证书的惟一标识符;签名算法是由对象标识符加上相关参数组成的标识符, 用于说明证书所用的数字签名算法;颁发者是证书颁发者的可识别名;有效則 是证书有效的时间段;主体是证书拥有者的可识别名,此字段必须为非空;主 体公钥信息是对主体的公钥以及算法标识符进行说明;颁发者惟一标识符是证 书颁发者的惟一标识符,仅在版本2和版本3中要求,属于可选项;主体惟 标识符是证书拥有者惟一标识符,仅在版本2和版本3中要求,属于可选项 扩展是专用的标准和专用功能字段;签名是认证机构的数字签名。 第8章网络安全
第8章 网络安全 8.4.1 数字证书 图8.10 X.509版本3的证书格式 版本号表示证书的版本,如版本1,版本3等;序列号是由证书颁发者分配 给证书的惟一标识符;签名算法是由对象标识符加上相关参数组成的标识符, 用于说明证书所用的数字签名算法;颁发者是证书颁发者的可识别名;有效期 是证书有效的时间段;主体是证书拥有者的可识别名,此字段必须为非空;主 体公钥信息是对主体的公钥以及算法标识符进行说明;颁发者惟一标识符是证 书颁发者的惟一标识符,仅在版本2和版本3中要求,属于可选项;主体惟一 标识符是证书拥有者惟一标识符,仅在版本2和版本3中要求,属于可选项; 扩展是专用的标准和专用功能字段;签名是认证机构的数字签名。 版本号 序列号 签名算法 颁发者 有效期 主体 主体公 钥信息 颁发者唯 一标识符 扩展 签名
841数字证书 2.证书的用途和功能 从证书的用途上看,数字证书可分为签名证书和加密证书。签名证书 主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主 要用于对用户传送信息进行加密,以保护认证信息以及公开密钥的文件。 3.认证机构系统 CA系统为实现其功能,主要由3部分组成: 认证机构 注册机构 证书目录服务器 第8章网络安全
第8章 网络安全 8.4.1 数字证书 2.证书的用途和功能 从证书的用途上看,数字证书可分为签名证书和加密证书。签名证书 主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主 要用于对用户传送信息进行加密,以保护认证信息以及公开密钥的文件。 3.认证机构系统 CA系统为实现其功能,主要由3部分组成: ➢ 认证机构 ➢ 注册机构 ➢ 证书目录服务器
841数字证书 下面以 OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图811所示的体系结构模型 [客户实体]十[访问控制 We口 RA CAl LDAP 交叉认证 CA2 管理控制台 图811CA系统结构 在○ penCA认证系统当中,整个CA系统由注册机构RA、认证机构CA CA管理员平台、访问控制系统以及目录服务器组成 第8章网络安全
第8章 网络安全 8.4.1 数字证书 下面以OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图8.11所示的体系结构模型。 图8.11 CA系统结构 在OpenCA认证系统当中,整个CA系统由注册机构RA、认证机构CA、 CA管理员平台、访问控制系统以及目录服务器组成。 交叉认证 客户实体 访问控制 RA CA1 CA2 L D A P 管理控制台 数据库 Web接口