電子商務(wù)安全課件版 第3章 數(shù)字證書

第三章數(shù)字證書13.1數(shù)字證書簡介3.2數(shù)字證書的格式3.3公私密鑰對的管理3.4數(shù)字證書的申請與發(fā)放3.5數(shù)字證書的分發(fā)3.6數(shù)字證書的撤銷目錄23.1數(shù)字證書簡介

數(shù)字證書，是一個由使用數(shù)字證書的用戶群所公認的和信任的權(quán)威機構(gòu)（即CA）簽署了其數(shù)字簽名的信息集合。3公鑰證書的作用

公鑰證書主要用于解決下列安全問題

①

保密性②

完整性③

身份認證④

不可否認性

公鑰證書的特性

公鑰證書可以在無需使用保密設(shè)備、鑒別設(shè)備和完整性設(shè)備來保證安全的系統(tǒng)或通道進行分發(fā)和存儲。

4

X.509證書

X.509由國際電信聯(lián)盟(ITU-T)提出，是目錄業(yè)務(wù)X.500系列的一個組成部分。

證書序列號算法參數(shù)發(fā)放者名稱起始日期終止日期主體名稱算法參數(shù)公開密鑰發(fā)放者惟一標識符主體惟一標識符擴充域算法參數(shù)簽名簽名算法標識符版本號有效期主體的公鑰信息簽名第1版第2版第3版圖4.2X.509證書的一般格式所有版3.2數(shù)字證書的格式56數(shù)字證書擴展標準密鑰信息擴展有關(guān)主體和發(fā)放者密鑰的附加信息，如區(qū)分同一證書主體的不同密鑰；政策信息擴展：認證機構(gòu)制定的政策及操作說明；主體及發(fā)放者屬性擴展：支持主體和發(fā)放者的備用名；認證路徑約束擴展：幫助不同組織將其基礎(chǔ)設(shè)施連接一起，說明從本證書出發(fā)可產(chǎn)生認證路徑的類型約束。與數(shù)字證書撤消表（CRLs）相關(guān)的擴展7000PART1開幕式（第一天）PART1PART1密鑰對由密鑰管理中心系統(tǒng)生成，再由其安全分發(fā)至密鑰對持有者系統(tǒng)生成密鑰對的系統(tǒng)與儲存和使用私鑰的系統(tǒng)是同一個。私鑰在生命周期內(nèi)永遠不離開本地環(huán)境3.3公私密鑰對的管理用密鑰對持有系統(tǒng)生成數(shù)字簽名密鑰對；用中心系統(tǒng)生成用于數(shù)據(jù)加密的密鑰對8000010私鑰的保護方法方法一將私鑰存儲在不可寫的硬件模塊或標記中，如智能卡中.將私鑰存儲在計算機硬盤或其他數(shù)據(jù)存儲媒介上的加密數(shù)據(jù)文件中.將私鑰存儲在數(shù)字證書服務(wù)器上，當用戶通過了服務(wù)器的鑒定，并在服務(wù)器上使用了一段時間后，該服務(wù)器會將私鑰傳送給用戶.方法三方法二9密鑰對的更新密鑰對的使用時間越長，泄漏的機會越大；一旦泄漏，密鑰對使用越久，損失越大，因此，密鑰對要定期更換。當生成一個新的密鑰對時，就需要為新的公鑰生成一個新的數(shù)字證書。10與加密有關(guān)的密鑰對數(shù)字簽名密鑰對認證機構(gòu)數(shù)字簽名密鑰對110100010自身數(shù)字證書的有效期>所發(fā)放數(shù)字證書的有效期歷史有效性：不需要延長數(shù)字證書有效期實時有效性：數(shù)字證書有效期>私鑰有效期在數(shù)字證書有效期內(nèi)使用公鑰。本地使用的解密目的私鑰無期限密鑰對的更新與加密有關(guān)的密鑰對數(shù)字簽名密鑰對認證機構(gòu)數(shù)字簽名密鑰對123.4.1數(shù)字證書管理機構(gòu)的作用

注冊機構(gòu)RA，本身并不發(fā)放數(shù)字證書，但RA可以確認、批準或拒絕數(shù)字證書申請人的申請，隨后由CA給經(jīng)過批準的申請人發(fā)放數(shù)字證書。RA功能：注冊、注銷、批準或拒絕對數(shù)字證書屬性的變更要求確認數(shù)字證書申請人的合法性批準生成密鑰對和數(shù)字證書的請求及恢復(fù)備份密鑰的請求批準撤銷或暫停數(shù)字證書的請求（需相應(yīng)CA支持）向有權(quán)擁有身份標記的人當面分發(fā)標記或恢復(fù)舊標記3.4數(shù)字證書的申請與更新133.4.2數(shù)字證書的申請注冊身份確認方法：了解私有文件親自到場身份證明文件143.4.3數(shù)字證書的生成數(shù)字證書的生成步驟數(shù)字證書申請人將數(shù)字證書內(nèi)容信息提供給認證機構(gòu)認證機構(gòu)確認信息的正確性由CA給數(shù)字證書加上數(shù)字簽名將數(shù)字證書的一個副本傳送給用戶將數(shù)字證書的一個副本傳送到數(shù)字證書數(shù)據(jù)庫，以便公布數(shù)字證書的一個副本可以由CA或其他實體存檔CA將數(shù)字證書生成及發(fā)放過程中的細節(jié)記錄在審計日志中153.4.4數(shù)字證書的更新

每份數(shù)字證書的生命周期都是有限的。在數(shù)字證書期滿后需要更換數(shù)字證書。另外，密鑰對也需要定期更換，而一旦更換了密鑰對，那就需要用新的數(shù)字證書。

163.5數(shù)字證書的分發(fā)在電子商務(wù)中，為了機密數(shù)據(jù)或驗證數(shù)字簽名，用戶需要相應(yīng)通信方的數(shù)字證書，還需要相應(yīng)認證機構(gòu)的數(shù)字證書，以此來完成相應(yīng)的驗證，這就涉及數(shù)字證書的分發(fā)問題。由于數(shù)字證書具有自我保護能力，所以不需要通過具有安全性保護的系統(tǒng)和協(xié)議來傳達。常用的數(shù)字證書分發(fā)方法有：通過數(shù)字簽名來分發(fā)，或通過目錄服務(wù)來分發(fā)。173.5.1利用數(shù)字簽名分發(fā)數(shù)字證書簽名者通常擁有自己數(shù)字證書的一個副本，他可以將該副本附加在數(shù)字簽名中。這樣，任何想檢驗數(shù)字簽名的人都可以擁有該數(shù)字證書的副本。類似地，簽名者也可以附加上其他必須的數(shù)字證書已證實自己數(shù)字證書的有效性。例如，附加上其他認證機構(gòu)給簽名者的認證機構(gòu)所發(fā)放的數(shù)字證書。1819202122優(yōu)缺點優(yōu)點（1）方便快捷（2）應(yīng)用普遍：目前，大多數(shù)使用數(shù)字簽名的通信協(xié)議都規(guī)定用這種方法來將數(shù)字證書附加在數(shù)字簽名上。缺點（1）局限性：可能會浪費通信和存儲容量，因為檢驗數(shù)字簽名的通信方可能在本地上已經(jīng)擁有了必須的數(shù)字證書。（2）不確定性：假設(shè)從各個不同的檢驗者到簽名者具有不同的認證路徑，那么對簽名者來說，判斷檢驗時到底需要哪些數(shù)字證書并不是一件容易的事情。因此，如果沒有嚴格的認證機構(gòu)結(jié)構(gòu)來保證從各個檢驗者到某個簽名者之間只具有單一的認證路徑，則要由簽名者來保證將所有必需的數(shù)字證書附在數(shù)字簽名上是不切實際的。233.5.2利用目錄服務(wù)分發(fā)數(shù)字證書

在一般情況下，信息的發(fā)送方必須去尋找必需的數(shù)字證書。在這種情行下，目錄服務(wù)器或數(shù)字證書數(shù)據(jù)庫對于數(shù)據(jù)證書的分發(fā)就顯得非常有價值了，因為信息的發(fā)送方可以通過目錄檢索來獲取接收方的數(shù)字證書及其他的信息，如接收方的電子郵件地址等。24數(shù)據(jù)證書庫數(shù)據(jù)證書庫：證書庫使用某種穩(wěn)定可靠的、規(guī)?？蓴U充的在線資料庫，以便用戶能找到安全通信需要的證書信息或證書撤銷信息。實現(xiàn)證書庫的方式有很多種，包括X.500、輕量級目錄訪問協(xié)議（LDAP:LightDirectoryAccessProtocol）、Web服務(wù)器、FTP服務(wù)器等。大型的企業(yè)級PKI一般使用X.500目錄服務(wù)和輕量級目錄訪問協(xié)議LDAP。

2526選擇證書查詢主頁圖表，輸入相應(yīng)信息，提交2728選擇進入對象信息，下載證書293.6.1請求撤消數(shù)字證書當已知或懷疑相應(yīng)的私鑰被泄露、名稱變更或主體與認證機構(gòu)的關(guān)系發(fā)生變化時，用戶將在數(shù)字證書的有效期內(nèi)提出終止該證書，認證機構(gòu)將根據(jù)一定的程序撤消數(shù)字證書。所以證書的實際使用期可能會比原定有效期短。3.6數(shù)