第4章公钥基础设施PKI课题.pptVIP

公钥基础设施PKI Public Key Infrastructure PKI概念 PKI就是利用公钥理论和技术建立的提供网上安全交易的一系列基础技术、应用、法律法规和组织机构的总称。 可以解决电子商务过程中身份认证、信息的保密性、信息的完整性以及不可抵赖性等安全问题。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术，在电子商务中得到了广泛的应用。 PKI组成 1、政策规划与制定机构、相关法律法规 2、注册机构（RA） 3、CA认证中心 4、证书库 5、证书申请者、证书信任方  所谓数字证书，就是用电子手段来证实一个用户的身份以及对网络资源的访问权限，由可信任的、权威的、公正的认证机构CA签发的电子文件。具有信息可靠真实、安全、防篡改的特点。证书中一般有如下几项： 数字证书类型 1、个人证书（客户证书）：为某一个用户提供证明，以帮助个人在网上进行安全的电子交易操作。通常安装在客户端的浏览器内。根据该证书的不同用途，又可分为： 1）个人身份证书：个人身份进行签别 2）个人电子邮件证书：加密或签名个人电子邮件 3）个人网上银行证书：网上支付、网上缴费等 数字证书类型 2、企业数字证书：用于证实一个企业的真实身份，以便企业在网上进行各类电子商务活动 3、设备数字证书： 1）WEB服务器证书 2）网关证书 4、代码签名数字证书： 用于软件开发人员对其开发的软件代码进行数字签名，以防止软件代码被篡改，以防病毒或黑客 数字证书的存储 1、硬盘 2、USB KEY 3、智能卡 目前流行用USB KEY，优点： 1、直接用计算机的USB接口 2、用USB盘和密码双重保护 3、USB KEY上有确定和取消按键 数字证书的使用环境 1、通过S/MIME协议实现安全的电子邮件系统 2、通过SSL协议实现浏览器与WEB服务器之间的安全通信 3、通过SET协议实现网上支付卡的安全支付 4、在电子商务活动中提供身份信息 数字证书的验证过程 持证人甲想与持证人乙通信时，他首先查找数据库并得到一个从甲到乙的证书路径和乙的公开密钥。 　?单向验证如下： 1、甲产生一个随机数Ra。  2、甲构造一条消息，M=（Ta，Ra，Ib，d），其中Ta是甲的时间标记，Ib是乙的身份证明，d为任意的一条数据信息。为安全起见，数据可用乙的公开密钥Eb加密。  3、甲将（Ca，Da（M））发送给乙。（Ca为甲的证书，Da为甲的私人密钥） 　　4、乙确认Ca并得到Ea。他确认这些密钥没有过期。（Ea为甲的公开密钥） 　　5、乙用Ea去解密Da（M），这样既证明了甲的签名又证明了所签发信息的完整性。 　 6、为准确起见，乙检查M中的Ib。 　　7、乙检查M中的Ta以证实消息是刚发来的。 　　8、作为一个可选项，乙对照旧随机数数据库检查M中的Ra以确保消息不是旧消息重放。  ?双向验证包括一个单向验证和一个从乙到甲的类似的单向验证。 　　?除了完成单向验证的（1）到（8）步外，双向验证还包括： 　　（9）?乙产生另一个随机数，Rb。 　　（10）乙构造一条消息，Mm=（Tb，Rb，Ia，Ra，d），其中Tb?是乙的时间标记，Ia是甲的身份，d为任意的数据。为确?保安全，可用甲的公开密钥对数据加密。Ra是甲在第?（1）?步中产生的随机数。 　　（11）乙将Db（Mm）发送给甲。 　　（12）甲用Ea解密Db（Mm），以确认乙的签名和消息的完整?性。 　　（13）为准确起见，甲检查Mm中Ia。 　　（14）甲检查Mm中的Tb，并证实消息是刚发送来的。 　　（15）作为可选项，甲可检查Mm中的Rb以确保消息不是重放的旧消息。 PKI组成 2、注册机构 （RA） 根据PKI的管理政策，RA的主要功能是核实证书申请者的身份，这项功能通常由人工完成，也可以由机器自动完成，但是系统必须具有身份自动检查机制。RA的功能如下： （1）验证申请者身份 （2）批准证书 （3）证书撤销请求 PKI组成 3、认证中心 Certificate Authority，简称CA，又称认证中心、数字中心，是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。一般由一个具有权威性和公正性的受信任的第三方来承担。 CA功能如下： （1）签发证书 （2）证书的查询 （3）证书撤销 （4）证书更新 （5）密钥的生成、存储、管理、备份、恢复、更新 （6）交叉认证 密钥的产生、备份、恢复 密钥对的产生方式有两种： 1）用户自己产生： 私钥自己保管，公钥发给CA 2）CA为用户产生密钥对： CA为用户产生公钥、私钥，用户得到私钥后