1、Xian University of Sience and Technology IIEAGLE TECHDIGITAL CERTIFICATE 小组成员:张 鹏0802110228 贾崇扬0802110229 安鹏鹏0802110230 杜 备0802110227 徐 宁0802110226 高 旭0802110231 韩 鹏0802110232 成 勇0802110233 Xian University of Sience and Technology IIEAGLE TECH知识概览 网络世界,谁知道你是谁?网络世界,谁知道你是谁?什么是数字证书?什么是数字证书?数字证书用途简介数字证书
2、用途简介数字证书内容及格式数字证书内容及格式数字证书验证方式数字证书验证方式数字证书使用数字证书使用数字证书使用图解数字证书使用图解数字证书传输实例数字证书传输实例 数字证书存放方式数字证书存放方式总结总结Xian University of Sience and Technology IIEAGLE TECH网络世界,谁知道你是谁?Xian University of Sience and Technology IIEAGLE TECHI KNOW!DIGITAL CERTIFICATE你是旺财。你是七仔。Xian University of Sience and Technology II
3、EAGLE TECH 数字证书称为数字标识数字证书称为数字标识 (Digital Certificate Digital Digital Certificate Digital IDID)。它提供了一种在)。它提供了一种在 Internet Internet 上身份验证的方式,是用来上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与日常生活中标志和证明网络通信双方身份的数字信息文件,与日常生活中的身份证相似。数字证书它是由一个由权威机构即的身份证相似。数字证书它是由一个由权威机构即CACA机构,又机构,又称为证书授权(称为证书授权(Certificate AuthorityC
4、ertificate Authority)中心发行的,人们)中心发行的,人们可以在交往中用它来识别对方的身份。可以在交往中用它来识别对方的身份。数字证书是一个经证书认证中心(数字证书是一个经证书认证中心(CACA)数字签名的包含公)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(开密钥拥有者信息以及公开密钥的文件。认证中心(CACA)作为)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。需求提供数字证书服务。什么是数字证书?Xian University of Sience and Techno
5、logy IIEAGLE TECH也就是这样的!Xian University of Sience and Technology IIEAGLE TECH数字证书用途简介数字信息安全主要包括以下几个方面:数字信息安全主要包括以下几个方面:身份验证(身份验证(Authentication)信息传输安全信息传输安全 信息保密性Confidentiality)信息完整性(Integrity)交易的不可否认性(交易的不可否认性(Non-repudiation)数字信息的安全需求,可通过如下手段解决:数字信息的安全需求,可通过如下手段解决:数据保密性数据保密性-加密加密 数据的完整性数据的完整性-数字签
6、名数字签名 身份鉴别身份鉴别-数字证书与数字签名数字证书与数字签名 不可否认性不可否认性-数字签名数字签名 为了保证网上信息传输双方的身份验证和信息传输为了保证网上信息传输双方的身份验证和信息传输安全,目前采用数字证书技术来实现,从而实现对传输安全,目前采用数字证书技术来实现,从而实现对传输信息的机密性、真实性、完整性和不可否认性。信息的机密性、真实性、完整性和不可否认性。Xian University of Sience and Technology IIEAGLE TECH数字证书内容及格式数字证书包括证书申请者的信息和发放证书数字证书包括证书申请者的信息和发放证书CA的信息。认证中心所颁
7、发的的信息。认证中心所颁发的数字证书均遵循数字证书均遵循X.509 V3标准。根据这项标准,数字证书包括证书申请者标准。根据这项标准,数字证书包括证书申请者的信息和发放证书的信息和发放证书CA的信息。的信息。X.509数字证书内容:数字证书内容:域域 含义含义 Version 证书版本号,不同版本的证书格式不同证书版本号,不同版本的证书格式不同 Serial Number 序列号,同一身份验证机构签发证书序列号唯序列号,同一身份验证机构签发证书序列号唯 一一 Algorithm Identifier 签名算法,包括必要的参数签名算法,包括必要的参数 Issuer 身份验证机构的标识信息身份验证
8、机构的标识信息 Period of Validity 有效期有效期 Subject 证书持有人的标识信息证书持有人的标识信息 Subjects Public Key 证书持有人的公钥证书持有人的公钥 Signature 身份验证机构对证书的签名身份验证机构对证书的签名 Xian University of Sience and Technology IIEAGLE TECH数字证书验证方式 持证人甲想与持证人乙通信时,他首先查找数据库并得到持证人甲想与持证人乙通信时,他首先查找数据库并得到一个从甲到乙的证书路径(一个从甲到乙的证书路径(certification path)和乙的公开密)和乙的
9、公开密钥。这时甲可使用单向或双向验证证书。钥。这时甲可使用单向或双向验证证书。单向验证是从甲到乙的单向通信。它建立了甲和乙双方身单向验证是从甲到乙的单向通信。它建立了甲和乙双方身份的证明以及从甲到乙的任何通信信息的完整性。它还可以防份的证明以及从甲到乙的任何通信信息的完整性。它还可以防止通信过程中的任何攻击。止通信过程中的任何攻击。双向验证与单向验证类似,但它增加了来自乙的应答。它双向验证与单向验证类似,但它增加了来自乙的应答。它保证是乙而不是冒名者发送来的应答。它还保证双方通信的机保证是乙而不是冒名者发送来的应答。它还保证双方通信的机密性并可防止攻击。密性并可防止攻击。单向和双向验证都使用了
10、时间标记。单向和双向验证都使用了时间标记。Xian University of Sience and Technology IIEAGLE TECH数字证书使用 每一个用户有一个各不相同的名字,一个可信的证书认证中心(每一个用户有一个各不相同的名字,一个可信的证书认证中心(CA)给每个用户分配一个唯一的名字并签发一个包含名字和用户公开密钥的证书。给每个用户分配一个唯一的名字并签发一个包含名字和用户公开密钥的证书。如果甲想和乙通信,他首先必须从数据库中取得乙的证书,然后对它进如果甲想和乙通信,他首先必须从数据库中取得乙的证书,然后对它进行验证。如果他们使用相同的行验证。如果他们使用相同的CA,事
11、情就很简单。甲只需验证乙证书上,事情就很简单。甲只需验证乙证书上CA的签名;如果他们使用不同的的签名;如果他们使用不同的CA,问题就复杂了。甲必须从,问题就复杂了。甲必须从CA的树形结构的树形结构底部开始,从底层底部开始,从底层CA往上层往上层CA查询,一直追踪到同一个查询,一直追踪到同一个CA为止,找出共为止,找出共同的信任同的信任CA。证书可以存储在网络中的数据库中。用户可以利用网络彼此交换证书。证书可以存储在网络中的数据库中。用户可以利用网络彼此交换证书。当证书撤销后,它将从证书目录中删除,然而签发此证书的当证书撤销后,它将从证书目录中删除,然而签发此证书的CA仍保留此证仍保留此证书的副
12、本,以备日后解决可能引起的纠纷。书的副本,以备日后解决可能引起的纠纷。如果用户的密钥或如果用户的密钥或CA的密钥被破坏,从而导致证书的撤销。每一个的密钥被破坏,从而导致证书的撤销。每一个CA必须保留一个已经撤销但还没有过期的证书废止列表(必须保留一个已经撤销但还没有过期的证书废止列表(CRL)。当甲收到)。当甲收到一个新证书时,首先应该从证书废止列表(一个新证书时,首先应该从证书废止列表(CRL)中检查证书是否已经被)中检查证书是否已经被撤销。撤销。Xian University of Sience and Technology IIEAGLE TECH数字证书使用图解Xian Univers
13、ity of Sience and Technology IIEAGLE TECH数字证书传输实例(1)甲准备好要传送的数字信息(明文)。)甲准备好要传送的数字信息(明文)。(2)甲对数字信息进行哈希()甲对数字信息进行哈希(hash)运算,得到一个信息摘要。)运算,得到一个信息摘要。(3)甲用自己的私钥()甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名,并将其附在)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上。数字信息上。(4)甲随机产生一个加密密钥()甲随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,密钥),并用此密钥对要发送的信息进行加密,形成
14、密文。形成密文。(5)甲用乙的公钥()甲用乙的公钥(PK)对刚才随机产生的加密密钥进行加密,将加密后的)对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。密钥连同密文一起传送给乙。(6)乙收到甲传送过来的密文和加过密的)乙收到甲传送过来的密文和加过密的DES密钥,先用自己的私钥(密钥,先用自己的私钥(SK)对加)对加密的密的DES密钥进行解密,得到密钥进行解密,得到DES密钥。密钥。(7)乙然后用)乙然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即密钥抛弃(即DES密钥作废)。密钥作
15、废)。(8)乙用甲的公钥()乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。)对甲的数字签名进行解密,得到信息摘要。乙用相同的乙用相同的hash算法对收到的明文再进行一次算法对收到的明文再进行一次hash运算,得到一个新的信息摘要。运算,得到一个新的信息摘要。(9)乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信)乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。息没有被修改过。Xian University of Sience and Technology IIEAGLE TECH 目前在网上传输信息时,普遍使用目前在网上传输信
16、息时,普遍使用X.509V3格式的数字证格式的数字证书。在数字信息传输前,首先传输双方互相交换证书,验证彼书。在数字信息传输前,首先传输双方互相交换证书,验证彼此的身份;然后,发送方利用证书中的加密密钥和签名密钥对此的身份;然后,发送方利用证书中的加密密钥和签名密钥对要传输的数字信息进行加密和签名,这就保证了只有合法的用要传输的数字信息进行加密和签名,这就保证了只有合法的用户才能接收该信息,同时保证了传输信息的机密性、真实性、户才能接收该信息,同时保证了传输信息的机密性、真实性、完整性和不可否认性完整性和不可否认性。从而保证网上信息的安全传输。从而保证网上信息的安全传输。总结Xian University of Sience and Technology IIEAGLE TECH总之,我总之,我能能
