PKICA基础知识培训要点.ppt

目前支持的加密设备 目前能够访问加密设备的服务 天融信加密设备加密机代理服务 （JMJProxy） SJY02-B 密码卡代理服务 （PCICardSJY02） SJY03-B 密码卡代理服务 （PCICardSJY03） SJY05-B 主机加密服务器代理 （SJY05BProxy） 服务名称 支持的平台 使用的加密设备 JMJProxy Windows2000/XP、Linux、HP Unix、AIX、Solaris TOPSEC 加密卡 PCICardSJY02 Windows2000/XP SJY02-B PCICardSJY03 Windows2000/XP SJY03-B SJY05BProxy Linux、HP Unix、AIX、Solaris SJY05-B 明文 Alice Bob Hi Bob Alice Hi Bob Alice 加密的会话密钥 OK? 加密包 A的公钥 验证签名 6. gJ39vz amp4x 加密的信息 数字签名 5. 使用会话密钥解密 1. 加密信息 会话密钥 A的私钥 计算并 加密MD 2. B的公钥 加密会话密钥 3. B使用私钥 解密会话密钥 B的私钥 4. 公开密钥体制的优点： 用户甲可以自由的发布他的公钥 中间人无法伪造甲的公钥 无论与多少个人通信，甲只需要一对密钥即可 甲可以用自己的私钥加密信息，来实现对该信息的数字签名 问题： 如何发布自己的公钥？ 如何令乙相信她使用的确实是甲的公钥？ 然而，如果不怀好意的第三者（Mallory）以他自己的公开密钥和Bob的调包怎么办？ Alice以“Bob的”公开密钥（其实是Mallory的）加密 Mallory可以拦截并阅读该信息 Mallory再以真的Bob的公开密钥加密，再将信息转寄给Bob Bob和Alice都不知道信息已遭人拦截偷阅过 A B 1、解密 2、加密并签名 冒牌货的公开密钥 Mallory 我用我的公开密钥和Alice的调包，让Bob以为我的公开密钥就是Alice的 这封讯息经认证是由Alice发来的 用户A的私有密钥 用户A的公开密钥 用于数字签名和信息解密，由用户自己妥善保管不能泄露，确保只有用户本身才能签名 用于验证签名和信息加密，与数字证书捆绑在一起，发送给其他人，也可以通过公开查询获得 颁发给：用户A 颁发者：广东省电子商务认证中心 …... 用户A 拥有者：用户A 颁发者：iTrusChina …... 电子身份证 能够鉴定个人和团体 包含相关信息： 姓名,地址, 公司, 名称, 电话号码, … 包含所有者的公钥 被可信的第三方验证或者证明有效 由可信的证书颁发机构颁发 证书颁发机构的签名可防止擅改证书上的任何资料 数字证书：通俗的说就是个人或单位甚至是实体在Internet上的身份证；比较专业的数字证书定义是，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准； 数字证书实际上是存于计算机上的一个记录，是由CA签发的一个声明，证明证书主体（“证书申请者”被发放证书后即成为“证书主体”）与证书中所包含的公钥的惟一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份，保证电子商务的正常进行。 颁证机关签名 证书格式： 序列号 签名算法 颁证机构 有效期限 持有人姓名 持有人公钥 证书采用格式 辨识数字证书的标识 签名证书采用的算法 颁证机构名称 证书有效期限 公钥数值及演算标示 确认证书的拥有者 确保证书资料不被篡改 版本（V3）序号签名算法识别发证机构名称有效期间持有人姓名持有人公开密钥资讯发证机构特征持有人特征 延伸特征 发证机构签名 延伸.a cf 值 延伸.b cf 值 延伸.c cf 值 临界特征Criticality flag 可能包含任何资料，包括图形（GIF）、影象、声音…等 密钥对的产生 公开密钥 私密密钥 在本地电脑上 或IC卡USB设备 发送 发证机构 签名 公开密钥 对象名称及其他细节 CA签名  发放 数字证书 公钥目录 公开发放 公开密钥以证书形式发放，证书需经发证机构（CA）签名 依法成立的法组织 具有与认证服务相适应的专业技术人员和管理人员 具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力 具有符