第8数字证书与CA系统架构.ppt
《第8数字证书与CA系统架构.ppt》由会员分享,可在线阅读,更多相关《第8数字证书与CA系统架构.ppt(54页珍藏版)》请在三一文库上搜索。
1、第8章 数字证书与CA系统架构,8.1 CA是什么,CA是证书的签发机构,它是PKI的核心,是PKI应用中权威的、可信任的、公正的第三方机构。它主要的功能有证书发放、证书更新、证书撤销和证书验证。,CA的核心功能就是发放和管理数字证书,具体描述如下: 为个人用户、web服务器或网上各种资源设备发放不同用途、不同安全级别的证书 提供证书的创建、撤销、查询等 支持Netscape和IE等浏览器 支持认证中心的分级管理机制,对操作员权限进行控制 记录系统的详细日志,实行系统监控,证书的创建、撤销、查询,接收验证最终用户数字证书的申请; 确定是否接受最终用户数字证书的申请证书的审批; 向申请者颁发或拒
2、绝颁发数字证书证书的发放; 接受、处理最终用户的数字证书更新请求证书的更新; 接受最终用户数字证书的查询、撤销; 产生和发布证书注销列表(CRL),什么是数字证书,数字证书(Digital ID)又叫“网络身份证”、“数字身份证”; 由认证中心发放并经认证中心数字签名的; 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件; 可以用来证明数字证书持有者的真实身份。 是PKI体系中最基本的元素; 证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性,数字信封,信息发送方首先利用随机产生的对称密钥加密信息。 数字信封就是信息发送端用接收端的公钥,将一个通信密钥(即对称密钥
3、)给予加密,生成一个数字信封。 然后接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。,双重数字签名,发送者寄出两个相关信息给接收者,对这两组相关信息,接收者只能解读其中一组,另一组只能转送给第三方接收者,不能打开看其内容。这时发送者就需分别加密两组密文,做两组数字签名,故称双重数字签名。 应用场合 :电子商务购物、付款。是SET和non-SET中常用,交叉认证,同一个认证中心(CA)签发的证书能自动进行认证,不同CA的不能自动认证,交叉认证技术可以使不同CA签发的数字证书相互认证。 交叉认证就是两个CA相互为对方的根CA签发一张证书,从而使两个CA体系中的证书可以相互
4、验证。,目录服务,目的是建立全局/局部统一的命令方案,它从技术的角度定义了人的身份和网络对象的关系; 目录服务是规范网络行为和管理网络的一种重要手段; X.500时一套已经被国际标准化组织(ISO)接受的目录服务系统标准; LDAP(轻量级目录访问协议)最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集,证书验证,单向验证 A产生一个随机数Ra; A构造一条消息,M=(Ta,Ra,Ib,d),基中Ta是A的时间标记,Ib是B的身份证明,d为任意的一条数据信息;数据可用B的公钥Eb加密; A将(Ca,Da(M)发送给B,其中Ca为A的证书,Da为A的私钥; B确认Ca并得到A的公
5、钥; B用Ea去解密Da(M),既证明了A的签名又证明了所签发信息的完整性; B检查M中的Ib,这是为了准确起见; B检查M中Ta以证实消息是刚发来的; B对照旧数据库检查M中的Ra以确保不是消息重放。(可选项),证书验证,双向验证: B产生另一个随机数,Rb; B 构造一条消息,Mm=(Tb,Rb,Ia,Ra,d),基中Ta是B的时间标记,Ia是A的身份证明,d为任意的一条数据信息;Ra是A在第一步产生的随机数,数据可用A的公钥Eb加密; B将Db(Mm)发送给A; A用Ea解密Db(Mm),以确认B的签名和消息的完整性; A检查Mm中的Ia; A检查Mm中Tb以证实消息是刚发来的; A检查
6、M中的Rb以确保不是消息重放。(可选项),X.509数字证书,由证书权威机构(CA)创建; 存放于X.500的目录中; 有不同版本,每一版本必须包含: 版本号; 序列号; 签名算法标识符; 认证机构; 有效期限:证书开始生效期和证书失效日期 主题信息; 认证机构的数字签名; 公钥信息;,X.509数字证书分类,从证书的基本用途来看: 签名证书 签名证书主要用于对用户信息进行签名,以保证信息的不可否认性; 加密证书 加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。,X.509数字证书分类,从证书的应用来看,数字证书可分为: 个人证书 服务器证书 网关证书 VPN证书 WAP证
7、书 。,证书的生命周期,典型CA系统体系结构,多层次结构,优点 管理层次分明,便于集中管理、政策制订和实施 提高CA中心的总体性能、减少瓶颈 有充分的灵活性和可扩展性 有利于保证CA中心的证书验证效率,CA信任关系,当一个安全个体看到另一个安全个体出示的证书时,他是否信任此证书? 信任难以度量,总是与风险联系在一起 可信CA 如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定,则他可以信任该CA,该CA为可信CA 信任模型 基于层次结构的信任模型 交叉认证 以用户为中心的信任模型,CA层次结构的建立,根CA具有一个自签名的证书 根CA依次对它下面的CA进行签名 层次结构中
8、叶子节点上的CA用于对安全个体进行签名 对于个体而言,它需要信任根CA,中间的CA可以不必关心(透明的);同时它的证书是由底层的CA签发的 在CA的机构中,要维护这棵树 在每个节点CA上,需要保存两种cert (1) Forward Certificates: 其他CA发给它的certs (2) Reverse Certificates: 它发给其他CA的certs,层次结构CA中证书的验证,假设个体A看到B的一个证书 B的证书中含有签发该证书的CA的信息 沿着层次树往上找,可以构成一条证书链,直到根证书 验证过程: 沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自
9、签名的,用它自己的公钥进行验证 一直到验证B的证书中的签名 如果所有的签名验证都通过,则A可以确定所有的证书都是正确的,如果他信任根CA,则他可以相信B的证书和公钥 问题:证书链如何获得?,证书链的验证示例,交叉认证,两个不同的CA层次结构之间可以建立信任关系 单向交叉认证 一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书 双向交叉认证 交叉认证可以分为 域内交叉认证(同一个层次结构内部) 域间交叉认证(不同的层次结构之间) 交叉认证的约束 名字约束 路径长度约束 策略约束,证书中心架构分类,CA的架构模型一般可分成: 层次式(Hierarchical) 网络式(Mesh)
10、 混合式(Hybrid),用户X,用户Y,层次型结构, 用户X的证书认证路径为CA4CA2 CA1(ROOT), 优点: 类似政府之类的组织其管理结构大部分都是层次型的,而 信任关系也经常符合组织结构,因此,层次型认证结构就 成为一种常规体系结构。 分级方法可基于层次目录名 认证路径搜索策略为“前向直通” 每个用户都有返回到根的认证路径。根为所有用户熟知并 信任,因此,任一用户可向对方提供认证路径,而验证方 也能核实该路径。 缺点 世界范围内不可能只有单个根CA 商业和贸易等信任关系不必要采用层次型结构 根CA私钥的泄露的后果非常严重,恢复也十分困难。,国家级CA,地区级CA,地区级CA,组织
11、级CA,组织级CA,证书中心架构分类, 用户X到用户Y的认证路径有多条,最短路径 是CA4CA5 CA3,用户X,用户Y, 优点: 很灵活,便于建立特殊信任关系,也符合商贸中的 双边信任关系 任何PKI中,用户至少要信任其证书颁发CA,所以, 建立这种信任网也很合理 允许用户频繁通信的CA之间直接交叉认证,以降 低认证路径处理量 CA私钥泄露引起的恢复仅仅涉及到该CA的证书用户 缺点: 认证路径搜索策略可能很复杂 用户仅提供单个认证路径不能保证PKI的所有用户能 验证他的签名,网络型结构,证书中心架构分类,用户X,用户Y, eCommCA 采用混合结构: 层次型 网络型, 根CA的主要职责是
12、认证下级CA而不是为端用户颁发证书 可能会和其他政府根CA或非政府CA之间进行交叉认证, 每个非根CA都有源于根CA的层次认证路径,所以, 每个端实体都有一个证书其认证路径源于根CA 除了根CA外,每个CA都有单个父CA,在CA的目 录属性中,属性证书存放父CA发行的层次型证书, 而其他属性交叉证书则提供网络型的认证路径,混合型结构,国家级CA,地区级CA,地区级CA,组织级CA,组织级CA,证书中心架构分类,CA的网络结构,CA的模块结构,CA的数据流,PKI/CA标准与协议,基础标准/协议 证书和CRL标准 操作标准/协议 管理标准/协议 应用标准/协议,PKI/CA标准与协议,基础标准/
13、协议 摘要算法 MD2:RFC 1319 MD4:RFC 1320 MD5:RFC 1321 SHA1:FIPS PUB 180-1 HMAC:RFC 2104 HMAC:Keyed-Hashing for Message Authentication,PKI/CA标准与协议,基础标准/协议 对称算法 DES RC2 RC5 3DES IDEA AES,PKI/CA标准与协议,基础标准/协议 非对称算法 RSA DSA:只用于签名 DH:只用于密钥交换,PKI/CA标准与协议,基础标准/协议 ASN.1(Abstract Syntax Notation One)抽象语法描述,是描述在网络上传输
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数字证书 CA 系统 架构
链接地址:https://www.31doc.com/p-2501318.html