第10章新华PKI.pptVIP

新华教育集团版权所有 课程名称：电子商务安全认证系统 新华教育集团版权所有 电子商务安全与网上支付 第10章　 PKI 本章目标 1. 掌握PKI的基本概念 2. 掌握数字证书的概念和使用 3. 掌握PKI的组成和功能 4. 掌握PKI的实际运用 10.1 PKI的概念—为什么需要PKI？ 公钥密码体制的局限 公钥密码体制的出现虽然解决了对称密钥的分配问题，但又产生了 “公钥如何可信任地在大范围内传播”的问题。 问题在于在Internet中很难统一管理“信任”这一错综复杂的特性。 例如：用户A如何确认用户B的公钥？会不会有人冒充用户B呢？ PKI(公钥基础设施)是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 ，用来建立不同实体之间的“信任”关系。 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 PKI的基础技术包括：加密、数字签名、数字摘要、数字信封、双重数字签名等 ，其核心是数字证书，并且具有可信任的权威机构CA，交易各参与方都信任这个CA，由CA来验证和核对各参与方的身份。 基础设施的概念 什么是基础设施：就是“只要遵循需要的原则，不同的实体就可以方便地使用基础设施提供的服务” 例如，电力基础设施：电源插座可以提供各种电力设备运行所需的电压和电流；当我们使用电器时只要把插头插上就可以了。 对于PKI来说同样是这个道理，不过与PKI相对应的应用是指需要安全服务而使用的的软件，例如：IE浏览器，OUTLOCK电子邮件程序等。 10.2 数字证书的概念和使用 数字证书又称为数字标识。其作用类似于司机的驾驶执照或日常生活中的身份证。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。 在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作（如加密，签名等）。 数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥、CA的信息和证书颁发机构的签名。 一、简单的公钥证书 简单地讲，证书就是一个由可信第三方（证书发放机构如CA ）对证书主体进行数字签名的结构化文档。证书中包含了证书主体的公钥或私钥信息。 二、数字证书的格式 在早期的数字证书中，各个认证中心都有其自己的数字证书的格式，这样十分不方便我们证书的管理，到了后来，国际认证组织CCITT推出了X.509标准数字证书格式最终得到了认可。并为人们普遍接受并最终采用次证书格式。具体到目前为止，共推出了3个版本。具体格式如下： 一个标准的X.509数字证书包含以下一些内容： ? 1、证书的版本信息；? 2、证书的序列号，每个证书都有一个唯一的证书序列号；? 3、证书所使用的签名算法；? 4、证书的发行机构名称及其用私钥的签名；? 5、证书的有效期； 6、证书使用者的名称及其公钥的信息。 三、X.509证书类型 1.个人数字证书：个人身份证书中包含证书持有者的个人身份信息、公钥及证书颁发机构（ CA ）的签名，在网络通讯中标识证书持有者的个人身份，实现个人用户身份认证、信息加密、数字签名等。 2.企业数字证书：企业身份证书中包含证书持有者的企业身份信息、公钥及证书颁发机构（ CA ）的签名，在网络通讯中标识证书持有者的企业身份，企业身份证书主要应用于企业对外的网络业务中的身份识别、信息加密及数字签名等。 3.电子邮件证书：?安全邮件证书中包含用户的邮箱地址信 息，用于电子邮件的身份识别、邮件的数字签名、加密，在发 送电子邮件过程中，使用安全邮件证书，可以对电子邮件的内 容和附件进行加密，确保在传输的过程中不被他人阅读、截取 和篡改。 对电子邮件进行签名，使得接收方可以确认该电子邮 件是由发送方发送的，并且在传送过程中未被篡改。 4.代码签名证书：即软件开发者借助数字签名技术，在软件 代码中附加一些相关信息，使得用户在下载这些具有代码签名 的软件时，可以确信: 1.软件的来源:最终用户可以相信该软件确实出自于其签者。 2.软件的完整性:最终用户可以确信该软件在签发之后未经篡 改或破坏。 5.设备数字证书：服务器证书是数字证书的一种形式，类似于驾驶证、护照和营业执照的电子副本。服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是真实可靠的。 四、证书的认证方式 若通信双方A和B想要相互安全传输信息，则首先A和B会相互交换自己的公钥证书。当A收到B的公钥证书后，要想验证B证书的真伪性，则可以用签发B证书的CA公钥，用来解开B证书内