第4章数字签名与CA认证技术教程教案.ppt

网络信息安全 数字签名与CA认证技术 网络信息安全 4．2 数字证书 4．2．1数字证书的格式 4．2．2证书的获取与管理 4．2．3验证证书 网络信息安全 4．2．1数字证书的格式 数字证书(Distal ceEtinea,Digital B)是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。数字证书包含用户身份信息、用户公钥信息以及证书发行机构对该证书的数字签名信息。数字证书即利用电子信息技术手段，确认、鉴定、认证Internet上信息交流参与者的身份或服务器的身份，是一个担保个人、计算机系统或者组织(企业或政府部门)的身份，并且发布加密算法类别、公开密钥及其所有权的电子文档。 网络信息安全 4．2．1数字证书的格式（一） 基本数据信息和发行数据证书的CA签名与签名算法两部分组成 (1)版本信息(Version)：用来区分X．509证书格式的版本；； (2) 数字证书序列号, 每个证书的序列号是惟一的； (3) 有效使用期限，包括起始、结束日期；： (4) 证书颁发者信息：包括颁发数字证书的单位及其数字签名； (5) 证书与公钥的使用者的相关信息，包括证书拥有者的姓名，证书拥有者的公钥； (6) 公钥信息，包括公开密钥加密体制的算法名称、公钥的有限期。 (7)发行数字证书的CA签名与签名算法，用以验证数字证书是否是由该CA的签名密钥签署的，以保让证书的真实性与内容的真实性。 网络信息安全 4．2．1数字证书的格式（二） 数字证书认证机构CA 数字证书方要通过CA中心来验证真伪，并逐级往上验证各级认证机构数字证书的真伪。各级认证机构是按根认证机构(Root CA)、品牌认证机构(Brand CA)以及持卡人、商户或收单银行支付网关认证机构由上而下按层次结构建立的。 网络信息安全 4．2．1数字证书的格式（三） 数字证书根据使用者不同分为 (1)个人证书 (2)服务器证书 (3)支付网关证书 (4)认证中心CA证书 网络信息安全 4．2．2证书的获取与管理（一） 数字证书的申请步骤是：用户向认证中心提出申请证书，并说明自己的身份，提供有关证明材料。认证中心在验证用户身份和核实证明材料后，向用户发放数字证书。 网络信息安全 4．2．2证书的获取与管理（二） 证书管理的管理也是由认证中心来完成的，管理功能包括：用户能够方便地查找各种证书，包括已经撤销的证书，根据用户请求或证书的有效期撤销用户证书，完成证书数据库的备份工作，并有效地保护证书和密钥服务器的安全，特别是认证中心的签名密钥不被非法使用。 网络信息安全 4．2．3验证证书（一） 在X．509中的验证就是基于公开密钥密码系统的，分三种不同信赖程度的验证：分别是“单向认证”(0ne-way Authentication)、“双向验证”(Two-way Authentication)以及“三向验证”(Three-way Authentication)。 网络信息安全 4．2．3验证证书（二） 1、单向验证 单向验证只包含一条信息，可达到下列验证的功能： (1)由发送方送出的身份识别数据，可以确认发送方的身份。 (2)由发送方送出的身份识别数据，确实是要送给接收方的。 (3)可以确保发送方送出饷身粉识别数据的完整性，且可确认数据是发送方_所送出的。 网络信息安全 4．2．3验证证书（三） 2、双向验证 双向验证是指通信双方同时对其另一方的验证，也称为相互认证。双向验证包含有两条信息，一条为单向验证的发送方送出的信息，另外一条为接收方回复给发送方的回复信息。功能包括： 由收方送回给发方的身份识别数据，且可确认数据是收方所产生的，信息的接收端确实是发方。 ·可以保证由收方送回给发方的身份识别数据的完整性。 ·双方可以共享身份识别数据中的秘密部分。 网络信息安全 4．2．3验证证书（四） 3、三向验证 三向验证除了包含双向验证的信息之外，发送方还需要再发送一道应答信息给接收方。其功能可达到双向识别的功能，但是不需要检查时间戳，只需检查不重复随机数是否正确即可。 网络信息安全 4．3 身份认证技术 4．3．1身份认证的方法 4．3．2CA认证中心 网络信息安全 4．3．1身份认证的方法（一） 认证(Authentication)又称鉴别、确认，它是证实某事是否名符其实或是否有效的一个过程。认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性，来达到验证称谓者是否名符其实的目的。 网络信息安全 4．3．1身份认证的方法（二） 1、基于用户知道什么的身份认证 这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但