安全及支付7对称加密技术信息加密技术及数字证书.ppt

* 什么是认证中心（CA）？ 在PKI当中，认证中心（认证权威Certificate Authority,CA）是负责创建或者证明身份的可信赖的权威机构。 认证中心的权威来自于国家的授权。通常，国家授权一个第三方机构负责创建数字身份并允许其在一定范围内使用. 被授权的认证中心在一定范围内颁发数字证书，人们通过在网络上彼此出示数字证书来证明各自的身份 目前我们国家的认证中心是以省（直辖市）为区域来划分范围的。即国家在每个省（或省级市）都授权成立一个认证中心，由它们来负责各自省内数字证书的颁发和管理，并维护各自省内的信任环境。 广东省数字证书认证中心 / 如图所示，Alice和Bob都信任认证权威CA,并都拥有CA颁发的数字证书。当Alice和Bob要在网络上通信时，他们彼此向对方出示数字证书，当双方各自都验证对方的数字证书是有效的之后,他们便认为彼此是值得信赖的。在这里，Alice 和Bob之间的信任关系是通过第三方认证中心CA建立起来的，我们称这种信任关系为第三方信任关系。 * 数字证书（Digital Certificate）? 数字证书是由权威机构CA发行的一种权威性的文档，是网络环境中的一种身份证，用于证明某一用户的身份以及公开密钥的合法性。 数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，所不同的是数字证书不再是纸质的证照，而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。 * 与身份证一样，数字证书也需要发放到用户手中。但由于数字证书不再是纸质的，而是一些电子数据，因此需要一定的存储介质。目前，我们采用一个叫电子智能钥匙的硬件产品（类似于U盘）存储数字证书。电子智能钥匙小巧美观，携带方便，它保存用户的数字证书及私钥并能保证其安全，用户使用时，只需将电子智能钥匙插入电脑，就能方便地使用数字证书。 目前数字证书的格式普遍采用的是X.509 V3国际标准，内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。数字证书和居民身份证内容大致对应关系如下 数字证书（Digital Certificate）? * * * * * 至此，Alice 发送文件给Bob 的身份认证问题可以完全解决了！ * 假如您要从名叫Alice的账户上划拨一笔款项，怎么样才能够安全地进行呢？ 第一， 您需要通过网络向银行出示您的数字证书； 第二，您需要向银行提交您的划款请求，当然您的请求是需要放在保险箱中并用您的私钥锁上的（因为请求中将涉及到账号或金额等敏感信息）。 那么银行在收到您的数字证书及划款请求后,首先，银行将确信数字证书的持有人就是Alice(看看数字证书中“证书持有者名称”一项即可)； 然后银行将验证该数字证书是否是有效的，这点和验证居民身份证的有效性完全类似，即验证数字证书是否在有效期之内,是否是可信的认证中心颁发的，是否有认证中心的签名（类似于盖章）等等； 接着，银行还将用数字证书中绑定的公钥（类似于身份证上的照片）来验证您向银行提交的保险箱（里面有您的划款请求），比如用公钥能打开保险箱的话，则证明保险箱就是您本人，也就是Alice提交的(因为只有您才有锁上保险箱的私钥)，这有点类似于比对身份证上的照片和您本人，因为只有您才能照出您自己的照片。 * 数字证书的应用 电子商务：网上证券，网上银行，企业ERP（企业资源计划）系统，网络远程教育，网上购物等。 电子政务：网上税务申报，工商年检、企业组织代码申领、政府网上采购招标、网上审批和统计、企业年报、网上报关、网上驾证申请与变更等。 个人应用：个人电子邮件安全，个人隐私保护，个人数据资源保护，个人计算机安全保护等。 * 密码技术及数字证书 * 主要内容 网络安全问题 密码技术 数字签名 数字证书 * 网络安全的四个问题 信息保密性－您的通信信息或隐私被别人偷看了吗？ 信息完整性－其他人发给您的消息或者您发给其他人的消息被人篡改甚至伪造了吗？ 行为不可否认(抵赖性)－其他人会否认他给您发送的信息内容吗？ 身份认证性－和您通信的人是您所了解的真实的那个人吗？ * 主要内容 网络安全问题 密码技术 数字签名 数字证书 * 对称加密的原理 明文P(plaintext):可以理解的信息原文 加密E(Encryption): 用某种方法伪装明文以隐藏真正内容的过程 密文C(Ciphertext): 经过加密后将明文变成不容理解的信息 解密D(Decryption): 将密文恢复成明文的过程 加密/解密 算法(Algorithm) 用于加密/解密的方法(数学函数) 密钥(Ke