第五讲 公钥基础设施.pptVIP

Alice如何验证Bob的证书 Bob要将自己的证书发给Alice 同时要将B11的公钥发给Alice 这样Alice可以用B11的公钥设计和验证Bob的证书。 但Alice不信任发过来的B11的公钥 那么Alice就要验证B11的证书（包含B11的公钥），那么就需要A3的公钥来验证B11的证书。 Alice如何验证Bob的证书 A3的公钥也要用A3的证书来得到，但证书也要被验证，需要根CA的公钥 问题又来了：如何信任根CA的公钥呢？ 信任关系 Digital Cerificate … Issuer Name:B11 Subject name:Bob Digital Cerificate … Issuer Name:A3 Subject name:B11 Digital Cerificate … Issuer Name:Root Subject name:A3 Digital Cerificate … Issuer Name:Root Subject name:Root 注意：证书中都有主体的公钥 如何信任根CA 根CA的证书一般都直接嵌入到软件或硬件中了。 根CA证书是一种自签名证书 一定要注意采用正版软件，否则你下载安装的软件里面的根CA可能是伪造的。 验证证书链的过程 Bob的数字证书 需要B11的证书 B11的数字证书 需要A3的证书 A3的数字证书 可利用电脑中的根CA进行验证 拉模型 Pull model 实际操作中可能是这样 Bob的数字证书 B11的数字证书 A3的数字证书 可利用电脑中的根CA进行验证 推模型 push model 交叉证书 当Alice和Bob不在同一个国家，即有两个根CA。 通常每个国家都有自己的根CA，有时一个国家还有多个根CA 那么就要求不同的根CA之间要实现交叉证书 CA的交叉证书 美国的根CA 二级CA (A1) 二级CA (A3) 三级CA （B1） 三级CA （B2） 三级CA （B10） 三级CA （B11） Alice Bob 中国的根CA Alice认证Bob证书的顺序：Bob—B11—A3—Bob的根CA—Alice的根CA 证书吊销 数字证书持有者报告说证书中指定的公钥对应的私钥被破解了或被盗了。 CA发现签发数字证书时出错。 证书持有人辞职了，而证书是在其在职期间签发的。 使用证书前要确认的问题 证书是否是对方的？ 通过信任链来确认 证书是否是有效的？是否被吊销了？ 需要查询CA数据库 CA的证书吊销状态检查机制 数字证书吊销检查 脱机吊销状态检查 联机吊销状态检查 证书吊销列表CRL 联机证书验证协议 SCVP 联机证书验证协议 OCSP 证书类型 电子邮件证书 服务器方SSL证书 客户端SSL证书 代码签名证书 漫游证书 1、智能卡方式（工行的U盾） 2、证书复制在其他介质上 3、漫游证书 用户数字证书、私钥和用户名密码一起存放在中央安全服务器（证件服务器）数据库中 用户一定并登录计算机时，用用户名和密码在Internet上向证书服务器鉴别自己 证件服务器用证件数据库验证用户名和密码，并将数字证书和私钥文件发给用户 私钥管理 口令保护 PCMCIA卡 生物方式 智能卡 多个密钥对 使用多个数字证书时：一个证书只用户签名，一个只用于加密。 用于签名的私钥在到期后必须销毁。 用于加/解密的私钥则要在到期后备份，以便今后恢复加密信息。 密钥更新 证书到期后要更新 CA根据原先的密钥对重新签发新证书 生成新的密钥对，CA根据新的密钥对签发新证书。 什么时候更新？ 最终用户在检测到证书到期，要求CA重新签发。 每次使用时检查证书有效期，一旦到期就向CA发出更新请求。 密钥存档 CA要维护用户的密钥和证书历史（即使过期的） 例如：有人访问Alice的CA，要求CA提供Alice三年前的数字证书，检查她当年签名的法律文件。 本讲小结 本讲介绍了数字证书，私钥管理、PKIX模型、公钥加密标准 谢谢大家！ 结束 * ?VeriSign(纳斯达克上市代码: VRSN)是一个提供智能信息基础设施服务的上市公司。而数字证书业务是其起家的核心业务，其 SSL 证书被全球 500 强中有 93% 的企业选用、全球前 40 大银行都选用、全球 50 大电子商务网站中有47个网站使用，共有超过 50 万个网站选用 VeriSign 的 SSL证书来确保网站机密信息安全。 ? ? VeriSign 是全球最大的数字证书颁发机构，于 2000 年 1 初以 5.76 亿美元完成收购 Thawte ，当时 Thawte 已经占领全球约 40% 市场分额。又于 2006 年 9 月以 1.25 亿美元完成收购 GeoTrust ，当时 GeoTrust 约占全球 25% 市场分额。 ? ? Ver