第一、数字证书
X.509证书格式
版本1、2、3
序列号
在CA内部唯一
签名算法标识符
指该证书中的签名算法
签发人名字
CA的名字
有效时间
起始和终止时间
个体名字
个体的公钥信息
算法
参数
密钥
签发人唯一标识符
个体唯一标识符
扩展域
签名
第二、认证中心(CA CertificationAtuthority)
CA还负责数字证书的撤销,公布列入CRL的证书
CA的主要职责如下:
接收验证最终用户数字证书的申请。
确定是否接受最终用户数字证书的申请-证书的审批。
向申请者颁发、拒绝颁发数字证书-证书的发放。
接收、处理最终用户的数字证书更新请求-证书的更新。
接收最终用户数字证书的查询、撤销。
产生和发布证书废止列表CRL(CertificateRevocation List) 。
数字证书的归档。
密钥归档。
历史数据归档。
第三、证书注册审批机构(RARregistration Authority)
主体注册证书的个人认证,确认主体所提供的信息的有效性。这里的信息可以是书面形式的,也可以是电子形式的。但签发证书所需的公钥必须是电子形式的。
第四、端实体
第五、证书库
第六、其它
秘钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理一个CA上的证书。
双证书体系:PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称秘钥算法支持国家密码管理委员后制定的算法。
产生、验证和分发密钥方式:
用户自己产生密钥对:用户自己生成密钥对,然后将公钥以安全的方式传送给CA,该过程必须保证用户公钥的可验证性和完整性。
CA为用户产生密钥对:CA替用户生成密钥对,然后将其安全地传给用户,该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所知,故对CA的可信性要求更高。
CA(包括PAA、PCA、CA)自己产生自己的密钥对
双秘钥证书的生成过程:
1、用户使用客户端产生双秘钥对
2、用户的签名私钥保存在客户端
3、用户将签名秘钥对中的公钥发给CA中心
4、CA中心为用户的公钥签名,产生签名证书
5、CA中心将该签名证书传给客户端保存
6、KMC为用户产生加密秘钥对
7、KMC备份加密秘钥用于密钥恢复
8、CA中心为加密秘钥对生成加密证书
9、CA中心将用户的加密私钥和加密证书打包成标准格式PKCS#12格式
10、将打包后的文件传给客户端
11、用户客户端装入加密公钥证书和加密私钥
用到的关键技术
数字时间戳技术
时间戳是由交易各方、可信任的第三方以及电信服务提供商们为了某种目的而生成的。
可信任的第三方会让专门的时间戳服务机构在消息或摘要里附上时间数据后,再对结果进行数字签名。这种时间戳就可以用来作为支持不可否认性的证据。
数字签名
首先,甲需要验证乙所用证书的真伪。当乙在网络上将证书传送给甲时,甲使用CA的公钥解开证书上的数字签名,如果签名通过验证,则证明乙持有的证书是真的;其次,甲还需要验证乙身份的真伪。乙可以将自己的口令用自己的私钥进行数字签名传送给甲,甲已经从乙的证书中或从证书库中查得了乙的公钥,甲就可以用乙的公钥来验证乙的数字签名,如果该签名通过验证,乙在网络中的真实身份就能够确定,并能获得甲的的信任,反之,当乙确定了甲的真实身份后,甲乙双方就可以建立相互信任关系