用户B收到用户A带数字签名的消息M，为了验证M的真实性，首先需要从CA获取用户A的数字证..

2012年下半年上午试卷综合知识

第 8 题


知识点	数字签名数字证书消息真实性
关键词	数字签名数字证书消息真实性
章/节	嵌入式系统程序设计安全性基本概念

用户B收到用户A带数字签名的消息M，为了验证M的真实性，首先需要从CA获取用户A的数字证书，并利用（8）验证该证书的真伪，然后利用（9）验证M的真实性。

A. CA的公钥

B. B的私钥

C. A的公钥

D. B的公钥

相关试题安全性基本概念

第38题

2023年上半年

防火墙不具备(8)功能。

第6题

2019年下半年

下列算法中，不属于公开密钥加密算法的是（6)。

第66题

2010年下半年

公钥体系中，私钥用于(66),公钥用于(67)。

知识点讲解

· 数字签名

· 数字证书

· 消息

· 真实性

数字签名

与人们手写签名的作用一样，数字签名系统向通信双方提供服务，使得A向B发送签名的消息P，以便达到以下几点：

（1）B可以验证消息P确实来源于A。

（2）A以后不能否认发送过P。

（3）B不能编造或改变消息P。

下面介绍两种数字签名系统。

基于密钥的数字签名

这种系统如下图所示。设BB是A与B共同信赖的仲裁人。K_A和K_B分别是A和B与BB之间的密钥，而K_BB是只有BB掌握的密钥，P是A发给B的消息，t是时间戳。BB解读了A的报文{A，K_A（B，R_A，t，P）}以后产生了一个签名的消息K_BB（A，t，P），并装配成发给B的报文{K_B（A，R_A，t，P，K_BB（A，t，P））}。B可以解密该报文，阅读消息P，并保留证据K_BB（A，t，P）。由于A和B之间的通信是通过中间人BB的，所以不必怀疑对方的身份。又由于证据K_BB（A，t，P）的存在，A不能否认发送过消息P，B也不能改变得到的消息P，因为BB仲裁时可能会当场解密K_BB（A，t，P），从而得到发送人、发送时间和原来的消息P。

基于密钥的数字签名

基于公钥的数字签名

利用公钥加密算法的数字签名系统如下图所示。如果A方否认了，B可以拿出D_A（P），并用A的公钥E_A解密得到P，从而证明P是A发送的。如果B把消息P篡改了，当A要求B出示原来的D_A（P）时，B拿不出来。

基于公钥的数字签名

数字证书

数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一个特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名，同时设定一个公共密钥（公钥），并由本人公开，为一组用户所共享，用于加密和验证。公开密钥技术解决了密钥发布的管理问题。一般情况下，证书中还包括密钥的有效时间、发证机构（证书授权中心）的名称及该证书的序列号等信息。数字证书的格式遵循ITUT X.509国际标准。

用户的数字证书由某个可信的证书发放机构（Certification Authority，CA）建立，并由CA或用户将其放入公共目录中，以供其他用户访问。目录服务器本身并不负责为用户创建数字证书，其作用仅仅是为用户访问数字证书提供方便。

在X.509标准中，数字证书的一般格式包含的数据域如下。

（1）版本号：用于区分X.509的不同版本。

（2）序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的。

（3）签名算法：签署证书所用的算法及参数。

（4）发行者：指建立和签署证书的CA的X.509名字。

（5）有效期：包括证书有效期的起始时间和终止时间。

（6）主体名：指证书持有者的名称及有关信息。

（7）公钥：有效的公钥以及其使用方法。

（8）发行者ID：任选的名字唯一地标识证书的发行者。

（9）主体ID：任选的名字唯一地标识证书的持有者。

（10）扩展域：添加的扩充信息。

（11）认证机构的签名：用CA私钥对证书的签名。

证书的获取

CA为用户产生的证书应具有以下特性：

（1）只要得到CA的公钥，就能由此得到CA为用户签署的公钥。

（2）除CA外，其他任何人员都不能以不被察觉的方式修改证书的内容。

因为证书是不可伪造的，因此无须对存放证书的目录施加特别的保护。

如果所有用户都由同一CA签署证书，则这一CA必须取得所有用户的信任。用户证书除了能放在公共目录中供他人访问外，还可以由用户直接把证书转发给其他用户。用户B得到A的证书后，可相信用A的公钥加密的消息不会被他人获悉，还可信任用A的私钥签署的消息不是伪造的。

如果用户数量很多，仅一个CA负责为所有用户签署证书可能不现实。通常应有多个CA，每个CA为一部分用户发行和签署证书。

设用户A已从证书发放机构X₁处获取了证书，用户B已从X₂处获取了证书。如果A不知X₂的公钥，他虽然能读取B的证书，但却无法验证用户B证书中X₂的签名，因此B的证书对A来说是没有用处的。然而，如果两个证书发放机构X₁和X₂彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开密钥：

（1）A从目录中获取由X₁签署的X₂的证书X₁《X₂》，因为A知道X₁的公开密钥，所以能验证X₂的证书，并从中得到X₂的公开密钥。

（2）A再从目录中获取由X₂签署的B的证书X₂《B》，并由X₂的公开密钥对此加以验证，然后从中得到B的公开密钥。

在以上过程中，A是通过一个证书链来获取B的公开密钥的，证书链可表示为

X₁《X₂》X₂《B》

类似地，B能通过相反的证书链获取A的公开密钥，表示为

X₂《X₁》X₁《A》

以上证书链中只涉及两个证书。同样，有N个证书的证书链可表示为

X₁《X₂》X₂《X₃》…X_N《B》

此时，任意两个相邻的CAX_i和CAX_i₊₁已彼此间为对方建立了证书，对每一个CA来说，由其他CA为这一CA建立的所有证书都应存放于目录中，并使得用户知道所有证书相互之间的连接关系，从而可获取另一用户的公钥证书。X.509建议将所有的CA以层次结构组织起来，用户A可从目录中得到相应的证书以建立到B的以下证书链：

X《W》W《V》V《U》U《Y》Y《Z》Z《B》

并通过该证书链获取B的公开密钥。

类似地，B可建立以下证书链以获取A的公开密钥：

X《W》W《V》V《U》U《Y》Y《Z》Z《A》

证书的吊销

从证书的格式上可以看到，每个证书都有一个有效期，然而有些证书还未到截止日期就会被发放该证书的CA吊销，这可能是由于用户的私钥已被泄漏，或者该用户不再由该CA来认证，或者CA为该用户签署证书的私钥已经泄漏。为此，每个CA还必须维护一个证书吊销列表（Certificate Revocation List，CRL），其中存放所有未到期而被提前吊销的证书，包括该CA发放给用户和发放给其他CA的证书。CRL还必须由该CA签字，然后存放于目录中以供他人查询。

CRL中的数据域包括发行者CA的名称、建立CRL的日期、计划公布下一CRL的日期以及每个被吊销的证书数据域。被吊销的证书数据域包括该证书的序列号和被吊销的日期。对一个CA来说，它发放的每个证书的序列号是唯一的，所以可用序列号来识别每个证书。

因此，每个用户收到他人消息中的证书时都必须通过目录检查这一证书是否已经被吊销，为避免搜索目录引起的延迟以及因此而增加的费用，用户自己也可维护一个有效证书和被吊销证书的局部缓存区。

消息

对象之间进行通信的一种构造叫做消息。当一个消息发送给某个对象时，包含要求接收对象去执行某些活动的信息。接收到信息的对象经过解释，然后予以响应。这种通信机制叫做消息传递。发送消息的对象不需要知道接收消息的对象如何响应该请求。

真实性

真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。例如，网络谣言信息不符合真实情况，违背了客观事实。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5