挑战应答 Alice Bob Request Enc(c) Alice 公钥 Hash(Alice,c) 束北大学 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGNEERNG
挑战-应答 Alice Bob Hash(Alice,c) Enc(c) Request Alice 公钥
挑战应答 需要解决的问题 目在基于非对称密钥的CRP中,验证者需要用示证 者的公钥对挑战值加密 验证者如何确定:这个公钥与示证者的身份是对应的? ▣在SSL中也有同样的问题 SSL客户端如何能确定数字证书中的公钥与服务器是关 联的? 北学 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGINEERNG
挑战-应答 需要解决的问题 在基于非对称密钥的CRP中,验证者需要用示证 者的公钥对挑战值加密 ◼ 验证者如何确定:这个公钥与示证者的身份是对应的? 在SSL中也有同样的问题 ◼ SSL客户端如何能确定数字证书中的公钥与服务器是关 联的?
数字证书 目通过由可信认证机构签发的数字证书,验证者可 以确定证书中包含的公钥是属于该用户的。证书 需要有合适的有效期限 证书主体身份信息 将身份与公钥绑定在一起,这个身份可 以是一个用户或组织的名称、也可以是 证书主体公钥 其它信息如地址、年龄等 CA身份信息 CA私钥签名 颁发者的数字签名 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGNEERNG
数字证书 通过由可信认证机构签发的数字证书,验证者可 以确定证书中包含的公钥是属于该用户的。证书 需要有合适的有效期限 证书主体身份信息 证书主体公钥 CA身份信息 CA私钥签名 将身份与公钥绑定在一起,这个身份可 以是一个用户或组织的名称、也可以是 其它信息如地址、年龄等 颁发者的数字签名
X509证书格式 Signature algorithm Version algorithm parameters identifer Certificate Serial Number Issuer Name Signature algorithm algorithm This Update Date identifier parameters Issuer Name Next Update Date Period of not before Revoked user certificate serial validity not after certificate revocation date Subject Name E UOISJ3A ¥ Subject's -- algorithms ¥ public key- -----parameters ---- info key Issuer Unique Revoked user certificate serial# Identifer certifcate revocation date Subject Unique algorithm的 Signature parameters Identifier encrypted Extensions (b)Certificate Revocation List Signature algorithms parameters encrypted 北学 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGINEERNG
X.509证书格式
X509证书格式 版本:一 般为V1,V2和V3,目前常用V3。 序列号:是由CA分配给证书的唯一的数字型标识符。 日 签名算法标识:对证书进行签名的算法和算法所需的参数。 颁发者:为PCA的名称。 有效期:定义证书有效的起始日期和结束日期。 证书主体:为证书持有者的唯一识别名称(DN)。 证书主体的公开密钥:信息包括算法名称、需要的参数和公开密钥。 日 颁发者唯一标识:可选项不推荐使用。防止颁发者的名字出现重用。 日 主体唯一标识:可选项不推荐使用。防止主体的名字出现重用。 扩展项:用于其它扩展内容。 签名:对整个证书的散列值的签名。任何一方都能认证证书是否有效 (必须知道CA的公钥)。 信息科学与工程学院 COLLFGE OF NFORMATON SCIENCE AND ENGINEERNG
版本: 一般为V1,V2和V3,目前常用V3。 序列号:是由CA分配给证书的唯一的数字型标识符。 签名算法标识:对证书进行签名的算法和算法所需的参数。 颁发者:为PCA的名称。 有效期:定义证书有效的起始日期和结束日期。 证书主体:为证书持有者的唯一识别名称(DN)。 证书主体的公开密钥:信息包括算法名称、需要的参数和公开密钥。 颁发者唯一标识:可选项不推荐使用。防止颁发者的名字出现重用。 主体唯一标识:可选项不推荐使用。防止主体的名字出现重用。 扩展项:用于其它扩展内容。 签名:对整个证书的散列值的签名。任何一方都能认证证书是否有效 (必须知道CA的公钥)。 X.509证书格式