电子商务的认证与安全电子邮件技术.ppt

第4章电子商务的认证与安全电子邮件技术 本章提要 第4章 电子商务的认证 与安全电子邮件技术 4.1 PKI概述 4.2 证书和认证系统 4.3 Windows2000PKI 在电子商务中的应用 4.4 认证实训——个人数字证书申请 4.5 安全电子邮件技术实训 4.1 PKI概述 4.1.1PKI技术的含义 4.1.2PKI的组成及功能 4.1.3PKI的性能要求 4.1.4轻型目录访问协议 4.1.5PKI技术标准 4.1.1 PKI技术的含义 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。 4.1.2 PKI的组成及功能 PKI系统由五个基本部分组成：证书申请者（Subscriber）、注册机构（Registration Authority，RA）、认证中心（Certificate Authority，CA）、证书库（Certificate Repository，CR）和证书信任方（Relying Party）。其中，认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者 4.1.2 PKI的组成及功能 1．证书申请者 证书申请者是证书的持有者，证书的目的是把用户的身份与其密钥绑定在一起，用户身份可以是参与网上交易的人或应用服务器。PKI为证书申请者提供如下功能： （1）证书请求 （2）生成密钥对 （3）生成证书请求格式 （4）密钥更新请求 （5）安装/存储私有密钥 （6）安装/存储证书 （7）私有密钥的签名和解密 （8）向其他用户传送证书 （9）证书撤销请求 4.1.2 PKI的组成及功能 2．注册机构 根据PKI的管理政策，RA的主要功能是核实证书申请者的身份，这项功能通常由人工完成，也可以由机器自动完成，但是系统必须具有身份自动检查机制。RA的功能如下： （1）验证申请者身份 （2）批准证书 （3）证书撤销请求 4.1.2 PKI的组成及功能 3．认证中心 CA主要完成证书的管理，CA使用其私有密钥对RA提交的证书申请签名，来保证证书数据的完整性，任何对证书内容的非法修改，都会被用户使用CA的公共密钥进行验证而发现。CA功能如下： （1）批准证书请求 （2）生成密钥对 （3）密钥的备份 （4）撤销证书 （5）发布CRL （6）生成CA根证书 （7）签发证书 （8）证书发放 （9）交叉认证 4.1.2 PKI的组成及功能 4． 证书库 证书库存放了经CA签发的证书和已撤销证书的列表，网上交易的用户可以使用应用程序，从证书库中得到交易对象的证书、验证其证书的真伪或查询证书的状态。证书库的功能如下： （1）存储证书 （2）提供证书 （3）确认证书状态 4.1.2 PKI的组成及功能 5． 证书信任方 PKI为证书信任方提供了检查证书申请者身份以及与证书申请者进行安全数据交换的功能。在电子商务应用中，用户通常同时扮演证书申请者和证书信任方的双重角色。 证书信任方的功能如下： （1）接收证书 （2）证书请求 （3）核实证书 （4）检查身份和数字签名 （5）数据加密 4.1.3 PKI的性能要求 对PKI的性能有如下要求： 1.开放性 2.可扩展性 3.安全性 4.易操作性 4.1.4 轻型目录访问协议 LDAP（Lightweight Directory Access Protocol）降低了使用X.500目录服务的复杂性，以10%的处理代价几乎提供了X.500协议的全部功能。在PKI环境中，LDAP服务器已经成为了首选的证书存储方式，因为LDAP产品到处都有，它给出存储及获取证书和CRL的标准方法；而且，很容易得到编写LDAP应用程序的开发工具包 4.1.5 PKI技术标准 1．ASN.1 ：ASN.1是描述在网络上传输信息格式的标准方法。 2．X.500：X.500是一套已经被国际标准化组织（ISO）接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。 3．X.509是由国际电信联盟（ITU-T）制定的数字证书标准 4．PKCS系列标准 ：由RSA实验室制订的PKCS系列标准，是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准 5．OCSP（在线证书状态协议）是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。 6．LDAP（轻型目录访问协议） 4.2 证书和认证系统 4.2.1 PKI系统的常用信任模型 4.2.2 数字证书 4.2.3 认证中心 4.2.1 PKI系统的常用