清华大学信息与网络安全概论(第三版)课件 (6).ppt

密钥管理和认证中心(Key Management and Certification Authority)信息与网络安全概论(第三版)本章內容9.1 认证中心9.2 数字凭证标准格式(X.509)9.3 认证中心的操作流程9.4 数字凭证的使用9.5 数字凭证的种类9.6 交 叉 认 证9.7 电子签名法信息与网络安全概论(第三版)l用户登记认证，使其网络身份生效并具法律效用。-如同向派出所登记，政府核发身份证l用户将其公开密钥登记认证，以确认用户的公开密钥。-如同印章证明l每个用户所持有的数字凭证，就如同现实社会中的身份证一样，可用来证明自己在网络世界中的合法身份。l提供一个值得信赖的安全基础设施。需要可信任的第三者：认证中心(CA)9.1 认证中心信息与网络安全概论(第三版)产生及更新数字凭证，CA将每个用户的身份及公开密钥签署成一个数字凭证。分发及管理数字凭证。数字凭证的注销及恢复。扮演一个数字时代可信任的仲裁者(提供凭证)。存储数字凭证(有效凭证、终止凭证及过期凭证等)。公布及传送数字凭证注销列表(Certificate Revocation List，CRL)。数字凭证的查询及分送凭证管理的数据。认证中心(CA)的主要功能9.2 认证中心(续)信息与网络安全概论(第三版)X.509 v3数字凭证格式1.版本 Version 32.序号 Serial Number3.签名算法Issuer Signature algorithm4.凭证发行者 Issuer Distinguished Name5.有效期限 Validate Period6.凭证持有人 Subject Distinguished Name7.持有者的公开密钥 Subject Public Key Information8.发行者身份ID Issuer Unique Identifier(option)9.持有者身份ID Subject Unique Identifier(option)10.其他信息 Extension(option)11.上述各数据的发行者签名 Issuers Signature on all the above fields9.2 数字凭证标准格式信息与网络安全概论(第三版)CA(Certificate Authority)：认证中心 DS(Directory Service)：存放数字凭证的地方 RA(Registry Agent)：代理用户向CA申请登记注册的程序认证中心(CA)的基本构架 9.3 认证中心的操作流程信息与网络安全概论(第三版)CA、DS、RA之间的关系信息与网络安全概论(第三版)CA、DS、RA之间的关系：注册1.用户先传送自己的公开密钥到RA 2.RA传送公开密钥到CA 3.CA对此公开密钥及用户信息做签名 4.CA传送凭证到RA 5.用户从RA获得其凭证 6.CA传送此凭证到DS 7.用户可以向DS确认其凭证 信息与网络安全概论(第三版)9.4.2 数字凭证的产生和使用信息与网络安全概论(第三版)数字凭证的核发及验证过程信息与网络安全概论(第三版)目的：目的：避免数字凭证被误用或非法使用。理由：理由：用户对私密密钥有被破解的疑虑或其他原因，需要更换其公开密钥及私密密钥。用户已不再使用此CA所提供的数字服务。用户因信用不好，而被列入拒绝往来客户。CA对私密密钥有被破解的疑虑，而需要更换其公开密钥及私密密钥。数字凭证的注销信息与网络安全概论(第三版)1.用户传送注销的信息到RA 2.RA会转送此注销信息给CA 3.CA新增CRL並且发送CRL到DS 4.用户可以到DS查询凭证注销列表，以确认是否注销成功 CA,DS,RA 之间之间的关系的关系：注销数字凭证的注销(续)信息与网络安全概论(第三版)困難：困難：注销实时性：用户要注销凭证时，CA必须实时更新凭证注销列表。此外，CA必须将此CRL列表实时传送给所有的验证机关或用户(如果没有传送CRL给验证机关，则每次要验证数字凭证时，验证机关必须上网到CA查询CRL)，否则就会出现空窗期。在CA尚未更新CRL时，用户仍然可以继续使用其凭证，直到CA已更新CRL并且所有的验证机关或用户均已收到此CRL。验证注销列表快速扩充：注销凭证的用户会持续地增加，使得凭证注销列表会快速膨胀，如此一来不但会增加此列表传送时的通信量，更会增加维护及验证时的复杂度。数字凭证的注销(续)信息与网络安全概论(第三版)9.4 数字凭证的使用数字凭证的用途主要有两方面 加解密及签名的使用 网络用户的身份验证信息与网络安全概论(第三版)数字凭证与加解密机制的关系信息与网络安全概论(第三版)9.4.2 网络用户的身份验证以下两种方法可以安全的利用数字凭证來验证网络用户的身份 挑战响应法 时戳法信息与网络安全概论(第三版)挑战响应法信息与网络安全概论(第三版)时戳法信息与网络安全概论(第三版)认证中心凭证：-认证中心的名称及其公开密钥。服务器凭证：-SSL服务器名称及其公开密钥；DNS服务器凭证，其内容包含DNS服务器名称及其公开密钥。软件出版者凭证-软件商以其私密密钥来签署所发行的软件，以证明软件确为该公司所发行。9.5 数字凭证的种类信息与网络安全概论(第三版)指的是两个CA，互相信任对方所发出的凭证交叉认证一般来说可以分为两种，n阶层式阶层式(Hierarchical Cross Certification)n一般式一般式(General Cross Certification)9.6 交 叉 认 证信息与网络安全概论(第三版)阶层式交叉认证张三验证李四公开密钥的路径：CA1，CA2，CA3李四要验证王五的公开密钥：CA3，CA2，Root CA，CA4，CA5 信息与网络安全概论(第三版)一般式交叉认证信息与网络安全概论(第三版)9.7 电子签名法认证中心的建立解决了公开密钥认证的问题，是推动公开密钥基础设施的一项主要工作，但电子签名若欠缺法律上的地位，就无法以电子签名作为通信及交易的基础。为配合日益蓬勃的数字经济活动发展，建立电子签名法是当务之急。信息与网络安全概论(第三版)电子签名法的立法原则 技术中立原则任何可确保数据在传输或存储过程中的完整性及识别用户身份的技术，都可用来制作电子签名，并不以“非对称型”加密技术为基础的“数字签名”为限，以免阻碍其他技术的应用发展。契约自由原则对于电子交易行为，宜在契约自由原则下，由交易双方当事人自行约定采用何种适当的安全技术、程序及方法做成的电子签名或电子文件，作为双方共同信赖及遵循的依据，并作为事后相关法律责任的基础。不宜以政府权力介入交易双方的契约原则。市场导向原则今后电子认证机构的建立及电子认证市场的发展，宜由民间主导发展各项电子交易所需的电子认证服务及相关标准。联合国及欧盟等国际组织制订的电子签名法的重要立法原则概述如下：