引入 在开放的、非安全的网络上如何安全的传送数据？ 我怎么确认你发给我的文件没被别人篡改过？.

Presentation on theme: "引入 在开放的、非安全的网络上如何安全的传送数据？ 我怎么确认你发给我的文件没被别人篡改过？."— Presentation transcript:

0 第1章 密码学基础

1 引入 在开放的、非安全的网络上如何安全的传送数据？ 我怎么确认你发给我的文件没被别人篡改过？

2 课程目标 了解密码学的基本概念 认识对称和非对称密码 掌握密钥交换技术 了解数字签名 了解公共密钥基础设施

3 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施

4 信息安全目标 机密性（Confidentiality） 完整性（Integrity） 不可否认性（Non-reputation）

5 密码学 密码学是研究信息系统安全保密的科学。分为密码编码学和密码分析学。 密码学的研究目的:在不安全的信道中传输安全信息。
密码编码学(Cryptography)主要研究对信息进行编码，实现对信息的隐蔽。 密码分析学(Cryptanalysis)主要研究加密消息的破译或消息的伪造 。 密码学的研究目的:在不安全的信道中传输安全信息。

6 明文和密文 明文 你我都能读懂的信息 你要听从我的命令。 密文 经过编码后的只有通过特定解码才能读懂的信息 天王盖地虎，白塔镇河妖。

7 古典密码学——代换密码 代换密码中，明文的字符将会被其他的字符所代替，常用方法为查表法。 明文 HELLO 密文 GHBBF A B C D
I J K L M X N Y P O Z Q W T R S U V 明文 HELLO 密文 GHBBF 7

8 古典密码学——置换密码 在置换密码中，保持明文的所有字母不变，只是利用置换打乱了明文字母的位置。 明文 hello kitty 密文
x 1 2 3 4 5 π(x) 列1 列2 列3 列4 列5 h e l o k i t y 明文 hello kitty 密文 llohe ttyki 列1 列2 列3 列4 列5 l o h e t y k i 8

9 古典密码学—— 一次一密 根据密码本逐个进行加密，每个密码本均有完全相同的两本。
在加密时只使用一次，用另一个相同的密码本进行解密，使用后将密码本销毁。一次一密可以实现无条件的安全性。 9

10 加密和解密 加密： 将明文编码为密文的过程被称之为加密。而加密的方法即被称之为加密算法。 解密
将密文解码为明文的过程称之为解密，它是加密的相反过程。同样，解密的方法被称之为解密算法。 10

11 密钥 密钥是算法的关键 不管是加密算法还是解密算法，都要使用到密钥。密钥是类似于一次一密中的密码本的东西，它作为算法的重要材料来参与编码计算。 密钥和密码算法的关系 无论是加密还是解密都牵扯到两个概念：加密(或解密)算法和密钥； 一般来讲，加解密的算法是可以公开的，但是密钥只能是被通信的双方所拥有，密钥是保证通讯安全的根本。 11

12 密码体制 明文、密文、密钥、加密算法和解密算法五个元素构成了密码体制，密码体制是一个使通信双方能进行秘密通信的协议。 加密 解密 公共信道
中间者 明文 公共信道 加密密钥 k1 解密密钥 k2 发送方 接收方 C=Ek1(P) 密文 P=Dk2(C) P 明文、密文、密钥、加密算法和解密算法五个元素构成了密码体制，密码体制是一个使通信双方能进行秘密通信的协议。 从数学上来讲，密码体制是一个五元组(P,C,K,E,D)，其中： (1) P是明文的集合；C是密文的集合； (2) K是密钥构成的有限集，成为密钥空间； (3) E是加密算法，D是解密算法 对于K中的某个密钥k，存在相应的加密算法e(属于E)和解密算法d(属于D)，使得dk (ek (p))=p. 12

13 密码体制分类 流密码和分组密码 对称和非对称密码 流密码和分组密码 对称和非对称密码 13
根据加密时对明文消息是否分组，密码体制分为流密码和分组密码。流密码对明文逐比特进行加密；分组密码将明文分成相同长度的明文组，对所有的明文分组使用同样方式进行加密。 对称和非对称密码 根据加密密钥和解密密钥是否相同，可以分为对称密码和非对称密码。对称密码也称为私钥密码体制，其加密和解密密钥相同；非对称密码也称为公钥密码体制，其加密和解密密钥不相同。 13

14 密码分析攻击 仅有密文攻击 已知明文攻击 可选明文攻击
攻击者可以获得密文，并且知道加密算法，在此种情况下所进行的密文破解攻击。 已知明文攻击 攻击者知道某些明文和密文的对应，根据已有的这些信息进行的密文破解攻击。 可选明文攻击 攻击者可以选择某些明文进行加密，并且获得明文对应的密文，在此基础上所进行的密文破解攻击。 14

15 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施 15

16 送信的问题 Alice Bob Alice要给Bob送信，其中信件的内容非常重要，最好亲自交给Bob。但两人又无法见面，只能交给邮递员运送或让其他人转交。 如何保证信件不被别人打开呢？ Alice可以把信件放到箱子里，然后用锁将箱子锁住，然后再交给邮递员，这样不就不怕别人打开了嘛！ Bob怎么打开箱子？需要钥匙！ Alice如何将钥匙传递给Bob？ 16

17 对称密码体制 钥匙相同 Alice锁箱子用的钥匙和Bob打开箱子用的钥匙是相同的。 对称密码体制
加密密钥和解密密钥相同的密码体制称为对称密码学。 由于对称密码中的密钥是严格私有的，因此对称密码体制也称为私钥密码体制。 两者相同 可相互推导 加密密钥 解密密钥 17

18 对称密码算法 数据加密标准算法 DES：Data Encryption Standard 密钥长度=56位 三重DES
3DES：Triple Data Encryption Standard 使用三个不同的密钥，每个长度为56位 高级数据加密标准算法 AES：Advanced Encrytion Standard 密钥长度=128/192/256位(可选) IDEA算法 IDEA：International Data Encryption Algorithm 密钥长度=128位 RC5算法 由RSA公司的Ron Rivest发明 密钥长度可变

19 对称密码的特点 加密和解密密钥相同； 必须保证密钥被安全的分发或交换； 密钥量级为参与者的平方级别，数目较多；
适合对大量数据加密，加解密速度快； 加解密操作易于通过硬件实现。

20 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施 20

21 密钥分发 打开箱子的关键 密钥分发 Bob需要拿到Alice手中的钥匙，那如何才能拿到呢？
将钥匙从Alice传递给Bob对应于密码学中的密钥分发。 所谓密钥分发就是要在不让其他人看到密钥的情况下将一个密钥传递给希望交换数据的双方。 密钥分发是对称密码学的关键，其中密钥的安全性也是对称密码学安全性的重要保证。 这个被发送者和接收者共同拥有的密钥一般称为共享密钥。 21

22 密钥分发方法 1，密钥由Alice选择，然后物理地传递给Bob。 2，由第三方Tom选择一对相同的密钥，然后物理地传递给Alice和Bob。
4，如果Alice和Bob每人都有一个到第三方Tom的加密连接，Tom就可以用加密连接把密钥传递给Alice和Bob。

23 Diffie-Hellman密钥交换算法
目的 在非安全的通信信道上安全的建立共享密钥。 用途 DH算法可用于密钥分发，但不能用于加密或解密消息。 23

24 DH算法实现 假设Alice和Bob要产生共享密钥，来用于加密和解密，则DH算法可以这样实现：
1，Alice和Bob实现选择两个非常大的素数n和g，这两个数无需保密； 2，Alice选择一个非常大的随机数a，并且做计算X=gamod n，然后Alice将X发送给Bob； 3，Bob也独立的选择一个非常大的随机数b，并且做计算Y= gb mod n，然后Bob将Y发送给Alice； 4，Alice使用a和从Bob接收的Y做计算，计算出K1=Ya mod n； 5，Bob使用b和从Alice接收的X做计算，计算出K2=Xb mod n； 最终K1=K2=gab mod n就是共享密钥。 24

25 中间人攻击 DH密钥交换容易被中间人攻击(man-in-the-middle)所破坏：
第三方Mallory插在Alice和Bob的中间，侦听Alice和Bob之间的通信。当Alice向Bob发起通信时扮演Bob；当Bob向Alice发起通信时扮演Alice。Alice和Bob都与Mallory协商了一个密钥，然后Mallory就可以监听和传递Alice和Bob之间的通信，而Alice和Bob全然不知。 Alice Bob Mallory 25

26 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施 26

27 继续送信问题 假设Bob有一把锁和两个钥匙K1和K2，其中K1用于将锁锁上，而K2用于将锁打开，K1和K2这两个钥匙是不一样的。
那么Alice和Bob怎么安全传递这封信件呢？ Bob将锁和钥匙K1通过某个途径提供给Alice，这个途径可以是不安全的。 Alice随后把信件放到箱子里，然后用K1和锁将箱子锁住，然后再交给邮递员。 Bob收到箱子后，拿出K2钥匙，将锁打开，取出箱子里的信件。 27

28 公钥和私钥 公钥 Alice将锁锁上所用的钥匙K1。 私钥 Bob开锁所用的钥匙K2。 非对称密码体制的加密和解密密钥不同，有如下概念：
公钥是可以公开的密钥。任何想给Bob发送秘密邮件的人都可以获得Bob的公钥。 私钥 Bob开锁所用的钥匙K2。 私钥需要被严格保密，它是保密通信的保证。只有Bob才能拥有。 28

29 非对称密码体制 加密密钥和解密密钥不相同的密码体制称为非对称密码体制。
由于非对称密码体制中的公钥是可以公开的，因此非对称密码也被称为公钥密码体制 两者不同 不可相互推导 加密密钥 解密密钥 29

30 Diffie-Hellman密钥交换算法
DH算法非对称密码学的第一个算法 DH算法用于密钥交换。其中的X为公钥，而a为对应私钥；Y为公钥，b为对应私钥。 30

31 RSA算法 RSA算法是使用与研究最广泛的算法 算法实现
RSA算法1977年由Ron Rivest、Adi Shamir和Len Adleman发明，1978年正式公布。 算法实现 1，生成两个大素数p和q，计算n＝pq 2，选择一个随机数b， 3，求b的逆为a （即满足ab=1 mod (p-1)(q-1)) 4，则公钥为(n, b)，私钥为(p, q, a) 密文y=xb mod n，明文ya mod n=(xb)a=x ab=x1=x 31

32 公钥密码算法的安全性 DH算法基于“有限域上的离散对数分解”这个难题。 离散对数分解难题 素因子分解难题
公钥密码算法的安全性都是基于数学难题的，其中有两个 主要的数学难题： 离散对数分解难题 DH算法基于“有限域上的离散对数分解”这个难题。 即：在已知X和g的情况下，在数学上计算出a是不可行的(时间无限长或代价过高)。 素因子分解难题 RSA算法基于“素因子分解”这个数学难题。 即：p和q为两个大素数，n＝pq。在已知n的情况下，分解出来p和q是计算困难的。 32

33 公钥密码的特点 公钥用于加密，私钥用于解密，公私钥既不相同也不相关； 密钥交换可以通过公共信道进行，无需保密； 密钥量级为参与者的数目；
既可以用于加解密，也可以用于数字签名； 加解密速度慢，不适合大量的数据加密，常用于为对称密码协商共享密钥； 加解密操作难以通过硬件实现。

34 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施 34

35 还是送信问题 Bob终于打开了箱子，并且看到了信件，在信件的末尾，Bob看到了Alice的签名，但Bob又有疑虑了。
Alice以前的签名都用钢笔，这次怎么是圆珠笔签名呢？到底是不是Alice本人签的？ 35

36 数字签名 日常生活中手写签名的电子对应物 重要认证手段，实现用户对电子形式存放消息的认证。 36

37 数字签名过程 Alice Bob 明文 密文 密文 明文 使用Alice的私钥加密 即：签名 使用Alice的公钥解密 即：验证
Internet 密文 密文 明文 使用Alice的私钥加密 即：签名 使用Alice的公钥解密 即：验证 37

38 签名和验证 签名即Alice使用私钥对消息进行加密的过程；加密的方法称为签名算法。
所谓验证即Bob使用Alice的公钥对签名进行解密的过程；解密的方法称为验证算法。 38

39 数字签名方案 一个数字签名方案包括两个部分：签名算法和验证算法。
Alice使用一个私密的签名算法sig来为消息x签名，签名结果sig(x)能够被一个公开的验证算法ver所验证。 给定数据对(x,y)，验证算法根据签名是否有效而返回True或False的答案。 如果y =sig(x), 则ver(x,y)=true; 如果y!=sig(x), 则ver(x,y)=false.

40 签名的问题 日常生活中，我们一般只在文件的末尾签名。 数字签名是否要对整个文档签名呢？ 40

41 消息摘要 消息摘要指一段消息的摘要或指纹，也被称为哈希值(hash)，它类似于IP报文中的CRC校验、类似于我们的指纹。
　数字签名一般来说，是用来处理短消息的，而相对于较长的消息则显得有些吃力。当然，可以将长的消息分成若干小段，然后再分别签名。不过，这样做非常麻烦，而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。 　　数字摘要是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数，也就是Hash函数。 　　一个Hash函数的好坏是由发生碰撞的概率决定的。如果攻击者能够轻易地构造出两个消息具有相同的Hash值，那么这样的Hash函数是很危险的。一般来说，安全Hash标准的输出长度为160位，这样才能保证它足够的安全。 41

42 哈希函数 哈希函数用来产生消息摘要 哈希函数将任意长度的消息变成固定长度的短消息，哈希函数也称为散列函数、杂凑函数。 哈希函数是单向函数
从消息摘要来推知原消息是不可行的。 哈希函数的安全性是由发生碰撞的概率决定的。如果攻击者能够轻易地构造出两个不同的消息具有相同的消息摘要，那么这样的哈希函数是不可靠的。 42

43 MD5 MD5(Message Digest )算法由Ron Rivest发明，最早发布的MD2、MD4都因为安全性问题被抛弃。自1991年MD5发布至今，MD5被广泛应用。 MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位哈希值。

44 SHA-1 对于长度小于2^64位的消息，SHA-1会产生一个160位的消息摘要。
　SHA (Secure Hash Algorithm，安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院 (NIST) 发布的一系列密码哈希函数，其中SHA-1作为SHA-0的继任者于1995年发布。 对于长度小于2^64位的消息，SHA-1会产生一个160位的消息摘要。

45 数字签名和哈希函数 数字签名几乎都和哈希函数结合使用 签名实施： 对消息x进行哈希运算，得到消息摘要z=h (x)
对z进行签名y=sigk(z)，有序对(x，y)在信道上传输。 45

46 DSA 1991年美国国家标准与技术学会（NIST）提出了数字签名标准(DSS)，DSS提供了一种核查电子传输数据及发送者身份的一种方式。
DSS签名为计算和核实数字签名指定了一个数字签名算法（Digital Signature Algorithm，DSA）。DSA由于商业应用和专利归属的原因，没有得到很好的推广。 DSA属于非对称密码算法，仅用于数字签名，不可用于加密。 早在1991年8月30日，美国国家标准与技术学会（NIST）就在联邦注册书上发表了一个通知，提出了一个联邦数字签名标准，NIST称之为数字签名标准（DSS）。DSS提供了一种核查电子传输数据及发送者身份的一种方式。 自从N1ST引荐数字签名标准以来，它对DSS签名作了广泛的修改。DSS签名（即现在名叫联邦信息处理标准FIPS）为计算和核实数字签名指定了一个数字签名算法（DSA）。DSS签名使用FIPS l80-1和安全hash标准（SHS）产生和核实数字签名。尽管NSA已发展了SHS，但它却提供了一个强大的单向hash算法，这个算法通过认证手段提供安全性。许多加密者认为SHS所指定的安全hash算法（SHA）是当今可以得到的最强劲的散列算法。换句话说，你可以将SHA用在你需要对文件或消息鉴定的任何应用中。你可以将SHA用到“指纹”数据中以对数据是否被改动作最后的证明和核实。当你输入任何少于2的64次方字节的消息到安全hash算法中时，它会产生160位的消息摘要，这一点当然不用我再废话，前面已经讲过了，然后DSS签名将这一消息摘要输入到数字签名算法中以产生或核实对这段消息的签名。 因为消息摘要往往比消息本身小得多，所以标识消息摘要而不是消息本身将会改善处理的效率。 大概基于这些原因，好象DSS也是全世界的数字签名标准——如果不是的话？那我们国家的数字签名标准是什么？我不知道，你知道吗？ 46

47 RSA RSA不仅用于加密，也可以用于数字签名。
RSA算法是RSA数据安全公司的收费产品，由于公司自身的商业推广，再加上RSA本身得到IBM、Novell、Apple、Microsoft等公司的支持，已经成为数字签名算法事实上的标准。 47

48 数字签名实现（1） Alice使用SHA-1哈希函数计算出M的消息摘要MD1
假设Alice要将消息M传送给Bob，并且将数字签名S和M一起发送给Bob。 第一步 Alice使用SHA-1哈希函数计算出M的消息摘要MD1 …………M……………… …… MD1 SHA-1 48

49 数字签名实现（2） 第二步 Alice使用自己的私钥对摘要进行签名，输出数字签名DS。 第三步
…… MD1 DS 第三步 Alice将消息M连同数字签名DS一同发送给Bob。 …………M……………… …………M……………… Internet DS DS 49

50 数字签名实现（3） 第四步 Bob收到Alice发送的消息M和数字签名DS。Bob选择相同的哈希函数，计算出M的摘要MD2。 第五步
…… MD2 SHA-1 第五步 Bob使用Alice的公钥解密数字签名DS，得到MD1。 注意：签名是使用私钥加密、公钥解密。 …… DS MD1 Bob使用Alice的公钥解密数字签名 50

51 数字签名实现（4） 第六步 Bob接下来对MD1和MD2进行比较，如果MD1=MD2，则Bob接受如下两个事实：
2，信息M确实是Alice发送的，而并非其他人； 如果MD1 !=MD2，则说明消息被别人篡改过，Bob不接受此消息。 51

52 公钥交换的问题 Alice如何确定发给Bob的密文确实是使用Bob的公钥加密的？
Bob如何确定用来解密Alice数字签名的公钥确实是Alice的？ 52

53 公钥交换的中间人攻击 Alice Bob Mallory 1，Hi Bob，我是Alice， 请给我你的公钥，我的是10
请给我你的公钥，我的是30 3，Hi Alice，我的公钥是20 4，Hi Alice，我是Bob， 我的公钥是30 5，Alice使用公钥30加密消息， Alice将密文发送给Bob 类似于我们前面介绍的DH算法，公钥交换也面临遭受中间人攻击的问题： 6，Mallory截获密文，使用公钥30对应的 私钥解密，然后使用Bob的公钥20加密消息 Mallory将重新生成的密文发送给Bob 7，Bob使用自己公钥20对应的 私钥解密，以为消息就是来自Alice 53

54 目录 密码学基本概念 对称密码 密钥分发技术 非对称密码 数字签名 公共密钥基础设施 54

55 PKI的作用 PKI（Public Key Infrastructure ） 即“公共密码基础设施”，是一种遵循既定标准的密钥管理平台。PKI是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI能够为网络应用提供加密和数字签名等密码服务及所必需的密钥和数字证书管理体系。 55

56 PKI中的关键技术 通过数字签名提供不可否认服务 将公钥和个人身份建立联系 对公钥的集中管理 实现方式：
引入数字证书(Certificate)

57 数字证书 数字证书是由权威机构——CA证书授权中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。 网络上的“居民身份证”，将公钥和个人身份绑定在一起。

58 X.509标准 数字证书的格式遵循X.509标准，X.509是由国际电信联盟（ITU-T）制定的数字证书标准。X.509共有三种版本，目前使用的X.509 Version3。 数字证书的格式遵循X.509标准。X.509是由国际电信联盟（ITU-T）制定的数字证书标准。为了提供公用网络用户目录信息服务，ITU于1988年制定了X.500系列标准。其中X.500和X.509是安全认证系统的核心，X.500定义了一种区别命名规则，以命名树来确保用户名称的唯一性；X.509则为X.500用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口，X.509称之为证书。 　　X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥（如DES）为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款项中获得相应的公开密钥，用于各种安全服务。 　　X.509 数字证书不仅包含用户名和公钥，而且还包含与用户有关的其他信息。这些证书并不仅仅是数字信任等级中的阶石。通过使用证书，CA 可以为证书接收者提供一种方法，使他们不仅信任证书主体的公钥，而且还信任有关证书主体的其他信息。其他信息可以包括电子邮件地址、授权对具有某种价值的文档进行签名、授权成为 CA 并为其他证书签名等等。 　　X.509 证书和许多其他证书都有有效期限。证书在期满后就会失效。CA 可以出于许多原因吊销证书。要吊销证书，CA 保存并分发一个吊销证书的列表，即证书吊销列表 (CRL)。网络用户访问 CRL 以确定证书的有效性。 　　在X.509方案中，一个用户有两把密钥：一把是用户的专用密钥，一把是其它用户都可利用的公共密钥。公共密钥加密系统有两种主要用途：密钥的分配与身份认证。用户可用常规密钥（如DES）为信息加密，然后再用接收者的公共密钥对DES进行加密并将之用对应的专用密钥打开DES密锁，并对信息解密。 　　X.509第3版数字证书的有三大变数的证书,证书和签名证书签名算法. 证书版本的优点,例如说,算法证、编号、签发、对象效力,但公钥信息,扩大选择等问题,像开独一无二的标识. 主题公钥信息特征更加详细的公钥算法和公钥问题,认为合法性是有其他选择的日期上下限限制,最后决定生活证书. 　　目前，X.509标准已在编排公共密钥格式方面被广泛接受，已用于许多网络安全应用程序，其中包括IP安全（Ipsec）、安全套接层（SSL）、安全电子交易（SET）、安全多媒体INTERNET邮件扩展（S/MIME）等。 证书字段 说明 版本 X.509 版本号。 序列号 证书颁发机构指派给证书的唯一序列号。给定证书颁发机构所颁发的所有证书的序列号都是唯一的。 签名算法 证书颁发机构用来对证书数字签名的散列算法。 颁发者 关于颁发证书的证书颁发机构的信息。 有效期起始日期 证书的有效期起始日期。 有效期终止日期 证书的有效期终止日期。 主题 接受证书的个人或证书颁发机构的名称。如果在企业中的域成员服务器上有证书颁发机构，则这在企业中将是一个众所周知的名称。否则，这可能是全名和电子邮件名或某些其他个人标识符。 公钥 与证书关联的公钥类型和长度。 缩略图算法 为数字签名生成数据摘要（即缩略图）的散列算法。 缩略图 证书数据的摘要（即缩略图）。 友好名称 （可选）在“主题”域中好记的或常见的名称。 增强密钥用法 （可选）证书的使用目的。

59 证书授权中心 证书授权中心(Certificate Authority，简称CA)，是一个可信的第三方机构，它负责发放和作废数字证书，并提供证书作废列表以供查询。 CA按照层次结构工作，这个层次叫做证书链，最初一级的CA称为根CA。 二级CA 根CA 三级CA

60 证书注册中心 证书注册中心(Registration Authority，简称RA)是处于注册用户和CA之间的机构，负责用户注册信息的记录和验证、密钥生成和密钥对归档、证书作废请求的管理。 注册用户 注册用户 RA CA 注册用户

61 数字证书的生成（1） 第一步 用户通过软件或其他途径生成公私钥对，其中公钥要提交给RA进行注册，私钥自己保管。 注册用户 生成公私钥对

62 数字证书的生成（2） 第二步 注册用户将自己的身份信息(名字、国家、联系方式)连同公钥一起生成证书请求，并将证书请求提交给RA。
证书请求的格式为PKCS#10，证书请求一般是由应用程序向导生成的。

63 数字证书的生成（3） 第三步 RA在收到注册用户的证书请求后，需要对注册用户的身份进行验证，主要验证有： 1，确认注册用户的身份信息正确；
2，确认注册用户拥有和证书请求相对应的私钥。 如果验证通过，则RA将所有用户的信息提交给CA。

64 数字证书的生成（4） 第四步 CA在收到证书请求后，为注册用户信息签名后，生成数字证书，并将证书的拷贝存放在证书目录中。 1 2 SHA-1
信息摘要 CA的数字签名 RSA 5 CA的私钥 3 4 数字签名

65 身份认证 回到“公钥交换的问题” 数字证书就是身份证 1，Alice如何确定发给Bob的密文确实是使用Bob的公钥加密的？
2，Bob如何确定用来解密Alice数字签名的公钥确实是Alice的？ 数字证书就是身份证

66 数字证书的验证 数字证书已经将公钥和身份信息进行了绑定，验证了证书的有效性就是认可了对方的身份。 1 2 SHA-1 消息摘要MD1
CA的数字签名 5 是否MD1=MD2 数字签名 4 使用CA公钥解密 数字签名，得到摘要 3 YES NO 消息摘要MD2 证书有效 证书无效

67 证书的有效性问题 Alice如何确定证书确实是Bob的？ 数字证书签名的验证 Bob的证书是否过期了？ 有效起始时间—有效终止时间

68 证书撤销列表 证书撤销列表(Certificate Revocation List，简称CRL)是指在证书有效期内因为某种原因(私钥泄露、证书作用变更等)而被撤销的证书列表。 CRL是离线检查证书有效性的一种重要手段。

69 Certificate Revocation List
CRL格式 CA名称：xx省政府 Certificate Revocation List 本次发布时间： 下次发布时间： 序列号 日期 撤销原因 53 68 c7 7f a a7 d0 25 c5 bc d9 78 c3 89 私钥泄露 19 06 e7 a2 db ab 4e 3e 54 6d c2 12 be cc a6 75 证书用途变更 ……

70 CRL的发布 发布方式： 1，基准发布； 2，增量发布； CRL CRL CRL 1 1 1 2 2 3 3 4 Base CRL
Delta CRL Delta CRL 1 2 4 3

71 CRL的获取 证书的撤消列表可以通过轻量级的目录访问协议（LDAP）、FTP和HTTP等协议进行检索。
CRL的下载地址一般称为 CRL发布点(CRL Distribution Point，简称CDP)。

72 本章总结 密码学的基本概念 密码体制的分类 私钥分发和公钥分发所采用的技术 数字证书的概念和作用 PKI体系的组成部分