第九章电子文件的安全与保护精要.ppt

———当你在其他国家旅行的时候，你的护照为你提供了一个身份，使得你可以在每个国家之间来往。 数字证书提供了一个类似的身份证明，是用来标识和唯一确定在网络上的人和资源的电子文件，包括四个主要信息： 一个公钥 和公钥相对应者的信息 发放机构的信息 发放机构的数字签名 3. 数字证书技术 数字证书主要分为两类：一种叫做自签发证书，证书持有者自己对证书进行签名；另一种叫做CA签发证书，证书由可信的第三方组织来发放，该组织被成为Certification Authority (CA)。 和护照发放的角色一样，CA的角色就是验证持有者的身份并且“签字”，以防止身份被伪造或者篡改。一旦CA在证明上签字，持有者就可以向其他人、其他站点和其他网络上的资源出示他的证明，并建立加密的和可靠的信息交流。 ———由此可见，电子证书同样能够保证两个组织间的安全和可信任的信息交流。 数字证书的类型 数字证书是基于公共密钥密码系统的，证书主要是被用于装载公钥的容器， “用证书加密”实际上是“用证书中的公钥进行加密”。 数字证书的内容——公钥 公开密钥可以自由地分发，并且不影响私有密钥的安全。但是持有者必须保护好私有密钥。 既然这对密钥是成对工作的，那么只有相互持有对方公共密钥的人之间才能相互进行信息交流。 一个数字认证安全地绑定你的身份，并且通过了第三方的CA认证，另外还有你的公开密钥。 证书发放机构的简要信息 证书唯一标识号（序列号） 一个可以放进证书的信任级别说明 发放日期 有效日期 持有者姓名 持有者的email地址 持有者的工作单位 持有者的电话 数字证书的内容——信息集合 ———证书持有者的信息集合被称为持有者的甄别名（Distinguished Name，或者Dname），一张证书包含两个甄别名：持有者甄别名和发放机构甄别名。 数字证书保证一个公钥紧紧地和一个人（或一个实体）对应，通过一个外部实体（CA）产生一些个人详细资料和公钥，并将这些一起打包，然后对这个包进行签名。 数字证书的原理 一个数字证书证明身份的能力要比公钥证明身份强得多。在创建这个证书的时候，这些信息都被CA以数字化的方式写在证书里，CA的签名就好象是信封封口处的一个防伪章。 数字证书的作用 ———证书有一个数字签名，而这个数字签名也需要一个证书使它能被验证，这个证书也将需要一个证书来验证它，就这样，一个证书的“阶梯”形成了，它终止于一个自签名证书。 ———也称作为安全HASH编码法 数字摘要技术用于对所要传输的数据进行运算生成信息摘要，它并不是一种加密机制，但却能产生信息的数字“指纹”，它的目的是为了确保数据没有被修改或变化，保证信息的完整性不被破坏。 Hash签名使用密码安全函数来进行，常用的有：SHA（Secure Hash Algorithm)和MD5（Message Digest 5)???? 4. 数字摘要技术（Digital Digest） 它能处理任意大小的信息，并对其生成固定大小的数据摘要，数据摘要的内容不可预见。 对于相同的数据信息进行HASH后，总是能得到同样的摘要；如果数据信息被修改，进行Hash后，其摘要必定与先前不同。 HASH函数是不可逆的，无法通过生成的数据摘要恢复出源数据 数字摘要技术的特点 ———由于公开密钥算法的运算速度比较慢，因此可使用HASH函数对要签名的信息进行摘要处理，减小使用公开密钥算法的运算量。因此，数字签名一般是结合了数字摘要技术和公开密钥算法共同使用。 ?———各种加密技术的使用，需要一个完整的PKI　(Public-Key Infrastructure)体系，它建立在一套严格定义的标准之上，这些标准用于控制证书生命周期的各个方面。 ———PKIX工作组（PKIX Working Group）给PKI的定义为：“是一组建立在公开密钥算法基础上的硬件、软件、人员和应用程序的集合，它应具备产生、管理、存储、分发和废止证书的能力。 5. PKI（公钥基础设施） ———一个PKI体系包括五个组成部分： CA：发放和废止证书 RA：对证书持有者的身份信息进行审核，并将身份信息和其公钥进行绑定 证书持有者（最终用户）： 获得并使用由CA发放的证书的人、机器或软件 应用程序：利用最终用户的证书和密钥，提供加密、签名等应用服务 存储仓库：存储由CA发放的有效证书和CRL（证书废止列表） 注册：想要申请证书的最终用户将自己的身份信息提交给CA的过程。 最终用户需要提交的姓名、证件编号等信息都是在CA的证书操作规程（CPS）中指定的内容。 CA在为最终用户签发证书前，要按照CPS中的规定去验证最终用户提交的信息是否正确。 PKI系统必须实现的功能之一 发证：发证是CA真正为用户签发证书的过程，在最终用户的证书