第四章數(shù)字證書(shū)與PKI

第四章數(shù)字證書(shū)和PKI4.1數(shù)字證書(shū)4.2個(gè)人數(shù)字證書(shū)的申請(qǐng)和使用4.3公鑰基礎(chǔ)設(shè)施PKI4.1數(shù)字證書(shū)為什么需要數(shù)字證書(shū)公鑰的分發(fā)雖然不需要保密，但需要保證公鑰的真實(shí)性。就好像銀行的客服電話，雖然不需要保密，但需要保證真實(shí)性。數(shù)字證書(shū)數(shù)字證書(shū)的概念:Kohnfelder于1978年提出的。所謂數(shù)字證書(shū)，就是公鑰證書(shū)，是一個(gè)包含有用戶身份信息、用戶公鑰以及一個(gè)可信第三方認(rèn)證機(jī)構(gòu)CA的數(shù)字簽名的數(shù)據(jù)文件。提示：數(shù)字證書(shū)其實(shí)就是一個(gè)小的計(jì)算機(jī)文件。(如：*.cer)數(shù)字證書(shū)我以官方名義正式批準(zhǔn)該證書(shū)持有者（用戶）與他的這個(gè)公鑰之間存在關(guān)聯(lián)。某某CA認(rèn)證中心該CA的數(shù)字簽名數(shù)字證書(shū)主體名：tang公鑰：tang的公鑰序列號(hào)：1069102簽發(fā)機(jī)構(gòu)：ACA……有效起始日期：2010年7月7日有效終止日期：2011年7月7日某某CA認(rèn)證中心該CA的數(shù)字簽名

數(shù)字證書(shū)的直觀概念如何建立主體與其公鑰的關(guān)聯(lián)的？

（借助于數(shù)字證書(shū)生成的基本原理）數(shù)字證書(shū)，是一個(gè)由使用數(shù)字證書(shū)的用戶群所公認(rèn)和信任的權(quán)威機(jī)構(gòu)（CA）簽署了其數(shù)字簽名的信息集合。主體將其身份信息和公鑰以安全的方式提交給CA認(rèn)證中心，CA用自己的私鑰對(duì)主體的公鑰和身份信息的混合體進(jìn)行簽名，將簽名信息附在公鑰和身份信息等信息后，這樣就生成了一張證書(shū)，它主要由公鑰、身份信息和CA的簽名三部分組成，最后由CA負(fù)責(zé)將證書(shū)發(fā)布到相應(yīng)的服務(wù)器上，供其他用戶查詢和獲取。證書(shū)的生成原理主體身份信息主體公鑰值認(rèn)證機(jī)構(gòu)名認(rèn)證機(jī)構(gòu)的數(shù)字簽名生成數(shù)字簽名數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)的私鑰散列主體的身份信息和主體的公鑰被CA用其私鑰數(shù)字簽名。CA的私鑰其他人不知，因此任何人都無(wú)法修改主體的身份信息和公鑰值，否則驗(yàn)證者用CA的公鑰驗(yàn)證CA對(duì)證書(shū)的簽名后發(fā)現(xiàn)兩散列值不同。這樣，數(shù)字證書(shū)就建立了主體與公鑰之間的關(guān)聯(lián)了。CA的計(jì)算機(jī)用戶的計(jì)算機(jī)數(shù)字證書(shū)的生成步驟產(chǎn)生密鑰主體名私鑰公鑰CA的公鑰CA的私鑰簽名證書(shū)證書(shū)的生成步驟1.密鑰對(duì)的生成用戶可以使用某種軟件隨機(jī)生成一對(duì)公鑰/私鑰對(duì)2.提交用戶信息和公鑰進(jìn)行注冊(cè)3.驗(yàn)證用戶信息驗(yàn)證用戶的身份信息，是否合法并有資格申請(qǐng)證書(shū)，如果用戶已經(jīng)在該CA申請(qǐng)過(guò)證書(shū)了，則不允許重復(fù)申請(qǐng)。其次，必須檢查用戶持有證書(shū)請(qǐng)求中公鑰所對(duì)應(yīng)的私鑰，這樣可表明該公鑰確實(shí)是用戶的。4.生成證書(shū)數(shù)字證書(shū)的驗(yàn)證過(guò)程數(shù)字證書(shū)只不過(guò)是一個(gè)計(jì)算機(jī)文件，任何人都可以用任何公鑰生成一個(gè)數(shù)字證書(shū)文件。（1）驗(yàn)證該數(shù)字證書(shū)是否真實(shí)有效。可以通過(guò)驗(yàn)證證書(shū)中CA的簽名來(lái)進(jìn)行（2）檢查頒發(fā)該證書(shū)的CA是否可以信任。需要檢查CA的信任鏈來(lái)實(shí)現(xiàn)如果驗(yàn)證者收到李四的數(shù)字證書(shū)，發(fā)現(xiàn)李四的證書(shū)和他的證書(shū)是同一CA頒發(fā)的，則驗(yàn)證者可以信任李四的證書(shū)，因?yàn)轵?yàn)證者信任自己的CA，而且已經(jīng)知道自己CA的公鑰，可以用該公鑰去驗(yàn)證李四的證書(shū)。但如果李四的數(shù)字證書(shū)是另一個(gè)CA頒發(fā)的，驗(yàn)證者怎么驗(yàn)證頒發(fā)李四證書(shū)的CA是否可信呢？這就要通過(guò)驗(yàn)證該證書(shū)的證書(shū)鏈來(lái)解決。證書(shū)鏈也稱認(rèn)證鏈，它由最終實(shí)體到根證書(shū)的一系列證書(shū)組成，所謂證書(shū)鏈的驗(yàn)證，是通過(guò)證書(shū)鏈追溯到可依賴的CA的根。證書(shū)的層次結(jié)構(gòu)根CA二級(jí)CA(A1)二級(jí)CA(A2)二級(jí)CA(A3)三級(jí)CA(B1)三級(jí)CA(B2)三級(jí)CA(B8)三級(jí)CA(B9)…………數(shù)字證書(shū)的內(nèi)容和格式主體的公鑰信息版本號(hào)證書(shū)序列號(hào)簽名算法標(biāo)識(shí)符證書(shū)頒發(fā)者（認(rèn)證機(jī)構(gòu)CA）的X.500名稱有效期主體的X.500名稱算法標(biāo)識(shí)符公鑰值認(rèn)證機(jī)構(gòu)的數(shù)字簽名生成數(shù)字簽名X.509格式證書(shū)認(rèn)證機(jī)構(gòu)的私鑰散列為了保證各個(gè)CA所簽發(fā)的證書(shū)具有通用性，證書(shū)必須要具有標(biāo)準(zhǔn)的內(nèi)容和格式。目前的證書(shū)格式通常遵循ITU的X.509V3標(biāo)準(zhǔn)。數(shù)字證書(shū)的類型1.客戶端（個(gè)人）數(shù)字證書(shū)2.服務(wù)器證書(shū)（站點(diǎn)證書(shū)）3.安全郵件證書(shū)4.代碼簽名證書(shū)（開(kāi)發(fā)者證書(shū)）數(shù)字證書(shū)的功能（1）數(shù)字證書(shū)用于加密和簽名（2）利用數(shù)字證書(shū)進(jìn)行身份認(rèn)證4.2個(gè)人數(shù)字證書(shū)的申請(qǐng)和使用(P104)數(shù)字證書(shū)的使用（1）證書(shū)獲取數(shù)字證書(shū)可以在網(wǎng)上向相關(guān)CA機(jī)構(gòu)申請(qǐng)獲得：中國(guó)數(shù)字認(rèn)證網(wǎng)廣東省電子商務(wù)認(rèn)證中心博大證書(shū)天威誠(chéng)信（2）查看運(yùn)行IE，單擊菜單“工具”|Internet選項(xiàng)，選擇“內(nèi)容”選項(xiàng)卡，單擊“證書(shū)”按鈕，可以查看本機(jī)上的數(shù)字證書(shū)。（3）利用數(shù)字證書(shū)實(shí)現(xiàn)安全電子郵件163郵箱的OutlookExpress設(shè)置首先設(shè)置郵件帳號(hào)：打開(kāi)OutlookExpress后，單擊菜單欄中的“工具”，然后選擇“帳號(hào)”；點(diǎn)擊“郵件”標(biāo)簽，點(diǎn)擊右側(cè)的“添加”按鈕，在彈出的菜單中選擇“郵件”；在彈出的對(duì)話框中，根據(jù)提示，輸入您的“顯示名”，然后點(diǎn)擊“下一步”；輸入您已經(jīng)申請(qǐng)過(guò)的電子郵件地址，如：jane7513@163.com，然后點(diǎn)擊“下一步”；郵件接收服務(wù)器您可以選擇POP3或IMAP服務(wù)器；如果您選擇POP3服務(wù)器：請(qǐng)輸入您郵箱的的POP3和SMTP服務(wù)器地址后，再點(diǎn)擊“下一步”；

POP3服務(wù)器：

SMTP服務(wù)器：如果您選擇IMPA服務(wù)器：請(qǐng)輸入您郵箱的的IMAP和SMTP服務(wù)器地址后，再點(diǎn)擊“下一步”；

IMAP服務(wù)器：

SMTP服務(wù)器：輸入您郵箱的帳號(hào)名及密碼（帳號(hào)只輸入@前面的部分），再點(diǎn)擊“下一步”；單擊“完成”按鈕保存您的設(shè)置；別忘記設(shè)置SMTP服務(wù)器身份驗(yàn)證：在“郵件”標(biāo)簽中，雙擊剛才添加的帳號(hào)，彈出此帳號(hào)的屬性框；請(qǐng)點(diǎn)擊“服務(wù)器”標(biāo)簽，然后在下端“發(fā)送郵件服務(wù)器”處，選中“我的服務(wù)器要求身份驗(yàn)證”選項(xiàng)，并點(diǎn)擊右邊“設(shè)置”標(biāo)簽，選中“使用與接收郵件服務(wù)器相同的設(shè)置”；如需在郵箱中保留郵件備份，點(diǎn)擊“高級(jí)”，勾選“在服務(wù)器上保留郵件副本”；注：如您選用了“IMAP”服務(wù)器，可將“此服務(wù)器要求安全鏈接（SSL）”打勾，這樣所有通過(guò)IMAP傳輸?shù)臄?shù)據(jù)都會(huì)被加密，從而保證通信的安全性；點(diǎn)擊“確定”，然后“關(guān)閉”帳戶框，現(xiàn)在設(shè)置成功！點(diǎn)擊主窗口中的“發(fā)送接收”按鈕即可進(jìn)行郵件收發(fā)。數(shù)字證書(shū)使用實(shí)例參見(jiàn)csf文件。4.3公鑰基礎(chǔ)設(shè)施PKI公鑰基礎(chǔ)設(shè)施（PKI）公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）通常簡(jiǎn)稱PKI。PKI是一種提供信息安全服務(wù)的基礎(chǔ)設(shè)施，旨在從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息的完整性和不可抵賴性等安全問(wèn)題，為諸如電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券等各種具體應(yīng)用提供可靠的安全服務(wù)的基礎(chǔ)設(shè)施。從技術(shù)實(shí)現(xiàn)上來(lái)看:PKI是以公鑰密碼體制為理論基礎(chǔ)，以CA認(rèn)證機(jī)構(gòu)為核心，以數(shù)字證書(shū)為工具來(lái)提供安全服務(wù)功能的。PKI的核心——CA數(shù)字證書(shū)可實(shí)現(xiàn)互聯(lián)網(wǎng)上各方的身份證明，還能實(shí)現(xiàn)通信各方信息的加密和簽名傳輸，為電子商務(wù)活動(dòng)的進(jìn)行提供了極大的安全保障。認(rèn)證機(jī)構(gòu)CA（CertificateAuthority），又叫做認(rèn)證中心，是電子商務(wù)安全中的關(guān)鍵環(huán)節(jié)，也是電子交易中信賴的基礎(chǔ)1.發(fā)放證書(shū)2.撤銷證書(shū)證書(shū)作廢列表CRL（CertificateRevocationList）3.證書(shū)管理注冊(cè)機(jī)構(gòu)——RA由于認(rèn)證機(jī)構(gòu)CA的任務(wù)很多，如簽發(fā)新證書(shū)、維護(hù)舊證書(shū)、撤銷因故無(wú)效的證書(shū)等，因此可以將受理證書(shū)申請(qǐng)的工作轉(zhuǎn)交給第三方：注冊(cè)機(jī)構(gòu)RA（RegistrationAuthority）。作為CA發(fā)放、管理證書(shū)的延伸，RA負(fù)責(zé)證書(shū)申請(qǐng)者的信息錄入、審核以及證書(shū)發(fā)放等工作。最終用戶最終用戶最終用戶注冊(cè)機(jī)構(gòu)（RA）認(rèn)證機(jī)構(gòu)（CA）數(shù)字證書(shū)庫(kù)數(shù)字證書(shū)庫(kù)（CertificateRepository,CR）是CA頒發(fā)證書(shū)和撤銷證書(shū)的集中存放地，是網(wǎng)上的一種公共信息庫(kù)，供廣大公眾進(jìn)行開(kāi)放式查詢。PKI的基本組成認(rèn)證機(jī)構(gòu)(CA)密鑰備份及恢復(fù)系統(tǒng)