基于x509标准的ca数字证书系统的设计.ppt

许平
江汉大学
2011年第9期
汇报人:王诗琪
网络与信息安全研究室
2012年4月22日
目的

了解数字证书在CA中的分类及结构
如何数字证书的实现
内容概要
数字证书

数字证书在CA中的分类及结构设计的问题与解决
数字证书的实现
总结
数字证书
数字证书:用于验证需认证者的标识信息与其公钥
对应关系的一种数字文档,主要用于确认计算机信
息网络上个人或组织的身份和相应的权限,用以解
决网络信息安全的问题。
证书中心:数字证书是由大家共同信任的第三方一
授权机构(CA)颁发的,CA有权利签发并废除证书并
且对证书的真实性负责。

:被广泛使用的数字证书标准,是由国际电联电信委
员会(ITU-T)为单点登录和授权管理基础设施制定的PKI标
准。、公钥证书证书吊销清单、属性证书和证书路
径验证算法等证书标准。初是在1988年的7月3日发布的,版
v1,当时是作为ITU 。

:是ITU-T设计的PKI标准,
录中的身份鉴别和访问控制问题二设计的。早期标
准的版本中,除了最基本的组件—CA、证书持有者
和依赖方外,只涉及资料库。后来增加了CRL Issuer
组件。

方案:一个用户有两把密钥:一把是用户的专用密
钥,另一把是其他用户都可利用的公共密钥。公共
密钥系统有两种主要用途:密钥的分配与身份认证。
用户可用常规密钥(如DES)为信息加密,然后再用
接受者的公共密钥对DES进行加密并将之附于信息之
上,接受者可用对应的专用密钥打开DES密锁,并对
信息解密。
数字证书在CA中的分类及结构设计的问题与解决
数字证书设计中的问题:由于大多数纯CA产品只
使用一套密钥对,要想支持不可抵赖性,用户的私有
密钥就只能由其自己产生并使用高强度的口令来保
护它。反之,如果用户的那套密钥对由系统集中产
生并备份,则就不能保障其不可抵赖性,因为这时
除了用户自己持有用来签名的私有密钥以外,系统
也知道其私有密钥。
数字证书在CA中的分类及结构设计的问题与解决
使用一套密钥对时,对应于是否集中备份用户的私有密钥,会出现两种结果:
1:不将用户的私有密钥集中备份,一旦用户忘记了自己读取私有密钥的口令或其私有密钥因各种原因而丢失,则用户就会无法解密那些已加密的数据,单位会因此而丢失一些重要数据.
2:若将用户的私有密钥集中备份虽能克服中所述的数据丢失的难题,但是这种功能是通过损害系统的不可抵赖性获得的,因为这时除了用户自己持有用来签名的私有密钥以外,系统也知道其私有密钥。
数字证书在CA中的分类及结构设计的问题与解决
数字证书设计问题的解决:在设计的证书分类中运用了双证书,也就是使用两套密钥,其中一对公开密钥/私有密钥用来做加/解密,另一对公开密钥/私有密钥用来做验证/签名。