CHD9密鑰管理和認(rèn)證中心

密鑰管理和認(rèn)證中心

(KeyManagementand

CertificationAuthority)

本章內(nèi)容9.1認(rèn)證中心9.2數(shù)字憑證標(biāo)準(zhǔn)格式(X.509)9.3認(rèn)證中心的操作流程9.4數(shù)字憑證的使用9.5數(shù)字憑證的種類9.6交叉認(rèn)證9.7電子簽名法用戶登記認(rèn)證，使其網(wǎng)絡(luò)身份生效并具法律效用。

-如同向派出所登記，政府核發(fā)身份證用戶將其公開密鑰登記認(rèn)證，以確認(rèn)用戶的公開密鑰。-如同印章證明每個(gè)用戶所持有的數(shù)字憑證，就如同現(xiàn)實(shí)社會(huì)中的身份證一樣，可用來證明自己在網(wǎng)絡(luò)世界中的合法身份。提供一個(gè)值得信賴的安全基礎(chǔ)設(shè)施。需要可信任的第三者：認(rèn)證中心(CA)9.1認(rèn)證中心產(chǎn)生及更新數(shù)字憑證，CA將每個(gè)用戶的身份及公開密鑰簽署成一個(gè)數(shù)字憑證。分發(fā)及管理數(shù)字憑證。數(shù)字憑證的注銷及恢復(fù)。扮演一個(gè)數(shù)字時(shí)代可信任的仲裁者(提供憑證)。存儲(chǔ)數(shù)字憑證(有效憑證、終止憑證及過期憑證等)。公布及傳送數(shù)字憑證注銷列表(CertificateRevocationList，CRL)。數(shù)字憑證的查詢及分送憑證管理的數(shù)據(jù)。認(rèn)證中心(CA)的主要功能9.2

認(rèn)證中心(續(xù))X.509v3數(shù)字憑證格式1.版本

Version32.序號(hào)

SerialNumber3.簽名算法

IssuerSignaturealgorithm4.憑證發(fā)行者

IssuerDistinguishedName5.有效期限

ValidatePeriod6.憑證持有人

SubjectDistinguishedName7.持有者的公開密鑰

SubjectPublicKeyInformation8.發(fā)行者身份ID

IssuerUniqueIdentifier(option)9.持有者身份ID SubjectUniqueIdentifier(option)10.其他信息

Extension(option)11.上述各數(shù)據(jù)的發(fā)行者簽名

Issuer’sSignatureonalltheabovefields9.2數(shù)字憑證標(biāo)準(zhǔn)格式

CA(CertificateAuthority)：認(rèn)證中心

DS(DirectoryService)：存放數(shù)字憑證的地方

RA(RegistryAgent)：代理用戶向CA申請登記注冊的程序認(rèn)證中心(CA)的基本構(gòu)架

9.3認(rèn)證中心的操作流程CA、DS、RA之間的關(guān)系CA、DS、RA之間的關(guān)系：注冊1.用戶先傳送自己的公開密鑰到RA

2.RA傳送公開密鑰到CA

3.CA對此公開密鑰及用戶信息做簽名

4.CA傳送憑證到RA

5.用戶從RA獲得其憑證

6.CA傳送此憑證到DS

7.用戶可以向DS確認(rèn)其憑證

9.4.2

數(shù)字憑證的產(chǎn)生和使用數(shù)字憑證的核發(fā)及驗(yàn)證過程目的：避免數(shù)字憑證被誤用或非法使用。理由：用戶對私密密鑰有被破解的疑慮或其他原因，需要更換其公開密鑰及私密密鑰。用戶已不再使用此CA所提供的數(shù)字服務(wù)。用戶因信用不好，而被列入拒絕往來客戶。CA對私密密鑰有被破解的疑慮，而需要更換其公開密鑰及私密密鑰。數(shù)字憑證的注銷1.

用戶傳送注銷的信息到RA

2.RA會(huì)轉(zhuǎn)送此注銷信息給CA

3.CA新增CRL並且發(fā)送CRL到DS

4.

用戶可以到DS查詢憑證注銷列表，以確認(rèn)是否注銷成功

CA,DS,RA之間的關(guān)系：注銷數(shù)字憑證的注銷(續(xù))困難：注銷實(shí)時(shí)性：用戶要注銷憑證時(shí)，CA必須實(shí)時(shí)更新憑證注銷列表。此外，CA必須將此CRL列表實(shí)時(shí)傳送給所有的驗(yàn)證機(jī)關(guān)或用戶(如果沒有傳送CRL給驗(yàn)證機(jī)關(guān)，則每次要驗(yàn)證數(shù)字憑證時(shí)，驗(yàn)證機(jī)關(guān)必須上網(wǎng)到CA查詢CRL)，否則就會(huì)出現(xiàn)空窗期。在CA尚未更新CRL時(shí)，用戶仍然可以繼續(xù)使用其憑證，直到CA已更新CRL并且所有的驗(yàn)證機(jī)關(guān)或用戶均已收到此CRL。驗(yàn)證注銷列表快速擴(kuò)充：注銷憑證的用戶會(huì)持續(xù)地增加，使得憑證注銷列表會(huì)快速膨脹，如此一來不但會(huì)增加此列表傳送時(shí)的通信量，更會(huì)增加維護(hù)及驗(yàn)證時(shí)的復(fù)雜度。數(shù)字憑證的注銷(續(xù))9.4數(shù)字憑證的使用數(shù)字憑證的用途主要有兩方面加解密及簽名的使用網(wǎng)絡(luò)用戶的身份驗(yàn)證數(shù)字憑證與加解密機(jī)制的關(guān)系9.4.2網(wǎng)絡(luò)用戶的身份驗(yàn)證以下兩種方法可以安全的利用數(shù)字憑證來驗(yàn)證網(wǎng)絡(luò)用戶的身份

挑戰(zhàn)響應(yīng)法

時(shí)戳法挑戰(zhàn)響應(yīng)法時(shí)戳法認(rèn)證中心憑證：-認(rèn)證中心的名稱及其公開密鑰。

服務(wù)器憑證：-SSL服務(wù)器名稱及其公開密鑰；DNS服務(wù)器憑證，其內(nèi)容包含DNS服務(wù)器名稱及其公開密鑰。軟件出版者憑證-軟件商以其私密密鑰來簽署所發(fā)行的軟件，以證明軟件確為該公司所發(fā)行。9.5數(shù)字憑證的種類指的是兩個(gè)CA，互相信任對方所發(fā)出的憑證交叉認(rèn)證一般來說可以分為兩種，階層式(HierarchicalCrossCertification)一般式(GeneralCrossCertification)9.6交叉認(rèn)證階層式交叉認(rèn)證張三驗(yàn)證李四公開密鑰的路徑：CA1<<CA2>>，CA2<<CA3>>，CA3<<李四>>李四要驗(yàn)證王五的公開密鑰：CA3<<CA2>>，CA2<<RootCA>>，RootCA<<CA4>>，CA4<<CA5>>，CA5<<王五>>一般式交叉認(rèn)證9.7電子簽名法認(rèn)證中心的建立解決了公開密鑰認(rèn)證的問題，是推動(dòng)公開密鑰基礎(chǔ)設(shè)施的一項(xiàng)主要工作，但電子簽名若欠缺法律上的地位，就無法以電子簽名作為通信及交易的基礎(chǔ)。為配合日益蓬勃的數(shù)字經(jīng)濟(jì)活動(dòng)發(fā)展，建立電子簽名法是當(dāng)務(wù)之急。電子簽名法的立法原則

技術(shù)中立原則任何可確保數(shù)據(jù)在傳輸或存儲(chǔ)過程中的完整性及識(shí)別用戶身份的技術(shù)，都可用來制作電子簽名，并不以“非對稱型”加密技術(shù)為基礎(chǔ)的“數(shù)字簽名”為限，以免阻礙其他技術(shù)的應(yīng)用發(fā)展。

契約自由原則對于電子交易行為，宜在契約自由原則下，由交易雙方當(dāng)事人自行約定采用何種適當(dāng)?shù)陌踩夹g(shù)、程序及方法做