Download
1 / 14
140 likes | 294 Vues
密钥管理与证书. 长沙民政学院-软件学院信安专业. 鉴别服务. CCITT X.500 一部分,目录服务标准 X.509 定义了认证服务框架 这种目录可以存储证书 定义了利用证书的认证协议 使用公钥密码与数字签名 推荐使用 RSA (不是标准). 证书. 1. subject unique identifier (v2+). 2. extension fields (v3). 3. signature (of hash of all fields in certificate). notation: CA<<User>> means CA has
E N D
密钥管理与证书 长沙民政学院-软件学院信安专业
鉴别服务 • CCITT X.500 一部分,目录服务标准 • X.509 定义了认证服务框架 • 这种目录可以存储证书 • 定义了利用证书的认证协议 • 使用公钥密码与数字签名 • 推荐使用RSA (不是标准)
证书 1 subject unique identifier (v2+) 2 extension fields (v3) 3 signature (of hash of all fields in certificate) notation: CA<<User>> means CA has signed certificate details for User 4
证书性质 任何能够访问CA的用户, 可以得到CA上的任何证书 Property 只有 CA 能够修改证书 因为证书不能伪造, 证书可以放在目录中
CA 分层结构 • 如果两个用户享有一个共同的CA,他们可以得到CA的一个相同的公钥 • 若不是一个CA,则需要CA分层 • 利用证书链验证其它CA • 每个 CA 有对客户的证书和其上一级CA的证书 • 每个用户相信更高层的CA’S • 能够使得任何CA的用户验证其它CA签发的任何证书
CA 分层 • A acquires B certificate following chain: • X<<W>>W<<V>>V<<Y>>Y<<Z>>Z<<B>> • B acquires A certificate following chain: • Z<<Y>>Y<<V>>V<<W>>W<<X>>X<<A>>
CA 分层 • 图1: U V W Y X Z C A B
证书 扩展项 • 证书中,其它信息是有必要的 • 如: email address/URL, policy details, usage constraints etc • 参见 SSL的使用
单向认证 三向认证 Two Three 认证流程 双向认证 One
单向认证 • 单向认证 1 个消息 ( A->B): A{tA, rA, B, sgnData, EkUb[Kab] } 验证A的身份及消息来源于 发送到 B 包括内容:timestamp, nonce,B's identity signed by A
双向认证 2 消息 (A->B, B->A) A{tA, rA, B, sgnData, EkUb[Kab] } B{tB, rB, A, rA, sgnData, EkUa[Kba] }
三向认证 3 messages (A->B, B->A, A->B) 1 2 3 A{tA, rA, B, sgnData, EkUb[Kab] } B{tB, rB, A, rA, sgnData, EkUa[Kba] } A{rB}
小结 • 密钥管理问题 • X.509 证书与 CA's
Thank You ! 长沙民政学院软件学院信息安全专业
