基于公钥体系的数字证书认证技术.ppt

8.5 基于公钥体系的数字证书认证技术 公钥体系的定义 CA认证中心及数字证书 数字证书类型 公钥体系的定义 为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI-公钥基础设施 PKI（public key infrastructure）:是一种遵循既定标准的密钥管理平台，为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系 是利用公钥理论和技术建立的提供安全服务的基础设施。 用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。 PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施  PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等 组成：公钥密码技术，数字证书，认证机构(CA)，有关公钥的安全策略 核心元素是数字证书，核心执行者是CA认证机构 典型PKI系统 注册机构(registration authority RA) 认证中心(certificate authority CA) 证书库(certificate repository CR) 证书信任方 证书申请者 数字证书 数字证书：网络通信中标志通信各方身份信息的一系列数据，作用类似于现实生活中身份证，由权威机构颁发 一个标准的X.509数字证书包含以下两部分： 申请者的信息????·第一部分申请者的信息，数字证书里的数据包括以下信息：????·版本信息，用来与X.509的将来版本兼容； ????·证书序列号，每一个由CA发行的证书必须有一个唯一的序列号；????·A所使用的签名算法；????·发行证书CA的名称；????·证书的有效期限；????·证书主题名称；????·被证明的公钥信息，包括公钥算法、公钥的位字符串表示；????·包含额外信息的特别扩展。 发放证书CA的信息????第二部分CA的信息，数字证书包含发行证书CA的签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是由CA的签名密钥签发的。 在数字信息传输前，首先传输双方互相交换证书，验证彼此的身份；然后，发送方利用证书中的加密密钥和签名密钥对要传输的数字信息进行加密和签名 CA认证中心 是证书的签发机构，也是PKI核心 负责发放和管理数字证书的权威机构 认证中心复杂完成证书的颁发，更新，查询，作废，归档管理 验证过程：用证书颁发机构的公钥对证书签字进行解密，得到证书信息的原始摘要，并对证书信息进行HASH运算，得到当前摘要，与原摘要对比 RA（Registration Authority） ?数字证书注册审批机构：是CA的证书发放、管理的延伸。 它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。 发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。 8.6 安全套接层(SSL)协议 SSL(secure sockets layer)是netscape公司1995年推出的一种安全通信协议 对整个会话进行加密，保证安全传输 安全连接特点 连接必威体育官网网址：每个连接都有唯一会话密钥(DES,RCS) 连接可靠，传输采用信息验证算法(MD5,SHA)进行完整性检验 对端实体的鉴别采用非对称秘密体制(RSA)进行认证 过程 初始化逻辑连接(Hello)：协商安全能力 服务器发送证书和会话密钥 客户通知服务器，完成握手 开始发送 8.7 安全电子交易SET分析 由visa和MasterCard组织共同制定 涉及范围：P240 目标 保证信息在internet上安全传输 订单信息和个人帐号的隔离 持卡人和商家相互认证，由第三方机构负责担保 要求软件遵循相同协议和报文格式 * * 核心 参与者 CA的树形结构 HTTPS,FTPS,TELNETS等 SSL握手协议 SSL记录协议 TCP IP *