返回
《数字证书及公钥》PPT课件

《数字证书及公钥》PPT课件

ID:36894725

大小:369.10 KB

页数:28页

时间:2019-05-10

《数字证书及公钥》PPT课件_第1页
《数字证书及公钥》PPT课件_第2页
《数字证书及公钥》PPT课件_第3页
《数字证书及公钥》PPT课件_第4页
《数字证书及公钥》PPT课件_第5页
资源描述:

《《数字证书及公钥》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章数字证书及公钥基础设施PKI本章主要内容5.1数字证书5.2PKI简介5.3PKI技术的信任模型及意义5.4PKI技术标准及基于PKI的相关协议5.5PKI应用第一部分教学组织一、目的要求1.了解数字证书管理流程,掌握数字证书常用的标准;2.掌握PKI相关技术标准,理解PKI体系结构;3.掌握PKI常见的应用技术。二、工具器材数字证书、Windows2000/NT/XP操作系统。三、学习方式建议1.课堂上专心听讲、理解教师授课中的要点、难点;2.课后根据教学内容及时上机操作,深化相关理论知识;3.课后

2、实验掌握PKI的相关应用。第二部分教学内容5.1数字证书5.1.1数字证书概述数字证书又叫“数字身份证”、“网络身份证”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。数字证书是PKI(PublicKeyInfrastructure)体系中最基本的元素,PKI系统所有的安全操作都是通过数字证书来实现的。CA证书的几种形式包括:1.自颁发证书:自颁发证书的颁发者的名字和主体名都设置成颁发证书的认证机构的名字。当CA进行密钥翻

3、转的时候,需要确认新的公/私密钥对,自颁发证书就可以用于这一类的特殊操作。在这种情况下,证书中包含新的公钥,而旧的密钥用于颁发该证书以保证新的公钥是可信的。2.自签名证书:自签名证书是自颁发证书的一种特殊形式。在这种情况下,认证机构颁发的证书中的公钥与对该证书进行签名的私钥构成公/私密钥对。3.交叉证书:在交叉证书中,主体与颁发者是不同的认证机构。交叉证书用于一个认证机构对另外一个认证机构进行身份证明。5.1.2X.509数字证书X.509是广泛使用的证书格式之一,当然还有其他的证书格式,例如PGP的证书格

4、式。X.509用户公钥证书由可信赖的证书权威机构(CA)创建,并由CA或用户存放于X.500的目录中。目前X.509有不同的版本,例如X.509v2和X.509v3,但是都在原有版本(X.509v1)的基础上进行了一些功能的扩充。X.509中公钥证书的一般格式如图5.1所示。图5.1X.509证书5.1.3证书管理1.证书有效期和私钥有效期的管理2.证书的分级和分类管理3.CA签名证书更新4.CA系统其他服务器的更新5.CA系统管理员证书的更新6.用户证书的更新5.1.4证书验证单向验证如下:(1)A产生一

5、个随机数Ra。(2)A构造一条消息,M=(Ta,Ra,Ib,d),其中Ta是A的时间标记,Ib是B的身份证明,d为任意的一条数据信息。为安全起见,数据可用B的公钥Eb加密。(3)A将(Ca,Da(M))发送B,其中Ca为A的证书,Da为A的私钥。(4)B确认Ca并得到A的公钥Ea。(5)B用Ea去解密Da(M),这样既证明了A的签名又证明了所签发信息的完整性。(6)为准确起见,B检查M中的Ib。(7)B检查M中的Ta以证实消息是刚发来的。(8)作为一个可选项,B对照旧随机数数据库检查M中的Ra以确保不是消息

6、重放。双向验证包括一个单向验证和一个从证书持有者B到证书持有者A的类似的单向验证。除了完成单向验证的前8步外,双向验证还包括:(1)B产生另一个随机数,Rb。(2)B构造一条消息,Mm=(Tb,Rb,Ia,Ra,d),其中Tb是B的时间标记,Ia是A的身份,d为任意的数据。为确保安全,可用A的公钥对数据加密。Ra是A在单项验证第一步中产生的随机数。(3)B将Db(Mm)发送给A。(4)A用Ea解密Db(Mm),以确认B的签名和消息的完整性。(5)为准确起见,A检查Mm中Ia。(6)A检查Mm中的Tb,并证实

7、消息是刚发送来的。(7)作为可选项,A可检查Mm中的Rb以确保不是消息重放。5.1.5证书使用每一个用户有一个各不相同的名称,一个可信的认证中心CA给每个用户分配一个惟一的名称并签发一个包含用户名称和公钥的证书。如果证书持有者A想与证书持有者B通信,他必须首先从数据库中取得B的证书,然后对它进行验证。如果A和B属于同一个PKI信任域,A只需验证B证书上CA的签名;如果A和B属于不同的PKI信任域,A则必须从对方PKI信任域的底层开始,逐层向上查询,一直追溯到同一个CA为止,找出共同的信任CA。5.1.6证书

8、存储数字证书可以存放在计算机硬盘、软盘、IC卡或CPU卡中。证书申请者从认证中心处得到的数字证书通常保存在申请证书所用电脑硬盘的隐秘空间里,一般人无法获取,但可以通过IE或Netscape浏览器导出储存在软盘或其他电脑里,这样数字证书就可以在其他电脑里使用并完成备份。用户数字证书在计算机硬盘中存放时,使用方便,但存放证书的计算机必须受到安全保护,否则一旦被攻击,证书就有可能被盗用。5.1.7证书生命周期数字证书从

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。