第07章-公钥基础设施2.pptVIP

本章小节 根CA使用自签名证书。 CA层次可以减少证书机构的工作量。 交叉证书使不同根CA可以相互操作。 可以用CRL、OCSP与SCVP之类协议验证证书状态。 CRL是脱机检查。 OCSP与SCVP是联机检查。 关键术语和概念 Certification Authority hierarchy(证书机构层次) Cross-certification(交叉证书) Proof Of Possession(POP，拥有证据) Authority Revocation List(ARL，机构吊销表) Certificate directory(证书目录) 关键术语和概念 Certificate Revocation List(CRL，证书吊销表) Certification Authority(CA，证书机构) Chain of trust(信任链) Digital certificate(数字证书) Registration Authority(RA，注册机构) Self-signed certificate(自签名证书) 习题 1．密钥交换问题的最终方案是使用 。 (a)护照 (b)数字信封 (c)数字证书 (d)消息摘要 2．数字证书将用户与其 相联系。 (a)私钥 (b)公钥 (c)护照 (d)驾照 习题 3． 可以签发数字证书。 (a)CA (b)政府 (c)小店主 (d)银行 4． 标准定义数字证书结构。 (a)X.500 (b)TCP/IP (C)ASN.1 (d)X.509 习题 5．RA 签发数字证书。 (a)可以 (b)可以或不可以 (c)必须 (d)不能 6．CA用 签名数字证书。 (a)用户的公钥 (b)用户的私钥 (c)自己的公钥 (d)自己的私钥 习题 7．最高权威的CA称为 CA。 (a)根 (b)主 (c)总 (d)头 8．要解决信任问题，使用 。 (a)公钥 (b)自签名证书 (c)数字证书 (d)数字签名 习题 9．CRL是 的。 (a)联机 (b)联机和脱机 (c)脱机 (d)未定义 10．OCSP是 的。 (a)联机 (b)联机和脱机 (c)脱机 (d)未定义 复 习 题 1．数字证书的典型内容是什么? 2．CA与RA的角色是什么? 3．列出生成数字证书的四个关键步骤。 4．介绍RA检查用户是否拥有私钥的任何一种机制。 复 习 题 5. CA层次后面的思想是什么? 6．为什么需要自签名证书? 7．交叉证书有什么用? 8．吊销数字证书有哪些原因? Thanks! 致 谢 第7章 公钥基础设施 田立勤 第7章 公钥基础设施PKI 上课教师：田立勤 日 期：2010年10月 数字证书的信任 数字证书的一个极其重要的问题就是数字证书的信任。发送方在与接收方交换数据前先将自己的数字证书（就是一个文件）发给对方，说明自己的身份和公钥，然后进行数据通信，但我们为什么要信任数字证书呢？ 想想我们为什么要信任护照。我们信任护照，不是因为其中包含关于护照持有者的信息，而是因为它有权威机构的印章与签名。 数字证书的信任 因此，信任数字证书不是因为其中包含用户的某些信息(特别是公钥)，数字证书不过是个计算机文件，我们也可以用任何公钥生成数字证书文件。信任数字证书是因为证书机构用自己的私钥签名这个数字证书，而我们是信任证书机构的。 证书机构签名数字证书 假设要验证一个数字证书，怎么办?由于证书机构用其私钥对证书签名，因此首先要验证（用证书机构的公钥解密）证书机构的签名。 如果验证工作成功，则可以认为证书是有效的。 数字证书的信任 CA签名数字证书。前面介绍过X.509证书结构，注意数字证书最后一个字段总是证书机构的数字签名，即每个数字证书不仅包含用户信息(如主体名、公钥等)，而且包含证书机构的数字签名。 向用户签发数字证书之前，CA首先要对证书的所有字段计算一个消息摘要(使用MD5与SHA-1之类消息摘要算法)， 数字证书的信任 然后用CA的私钥加密消息摘要(使用RSA之类算法)，构成CA的数字签名。 证书机构将计算的数字签名作为数字证书的最后一个字段插入，相当于护照上的盖章、印章与签名，见下图。 证书机构将计算的数字签名作为数字证书的最后一个字段