密钥管理与数字证书.ppt

密钥管理与数字证书 1 密钥的结构与分配 2 第三方密钥托管协议 3 公钥基础设施与认证链 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等 组成：公钥密码技术，数字证书，认证机构(CA)，有关公钥的安全策略 核心元素是数字证书，核心执行者是CA认证机构 密钥生命周期 典型PKI系统 证书申请者注册机构(registration authority RA) 认证中心(certificate authority CA) 证书库(certificate repository CR) 证书信任方 一个标准的X.509数字证书包含以下两部分： 申请者的信息????·第一部分申请者的信息，数字证书里的数据包括以下信息：????·版本信息，用来与X.509的将来版本兼容； ????·证书序列号，每一个由CA发行的证书必须有一个唯一的序列号；????·A所使用的签名算法；????·发行证书CA的名称；????·证书的有效期限；????·证书主题名称；????·被证明的公钥信息，包括公钥算法、公钥的位字符串表示；????·包含额外信息的特别扩展。 发放证书CA的信息????第二部分CA的信息，数字证书包含发行证书CA的签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是由CA的签名密钥签发的。 4 安全认证机构与系统介绍 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 数字证书的概念 什么是数字证书： 由CA认证中心发放的一个数字文件，数字证书也称公开密钥证书，在网络通信中标志通信各方身份信息的一系列数据。 证书(certificate)，有时候简称为cert； 证书包含了用户身份信息、用户公钥信息以及身份验证机构数字签名等数据。 数字证书的概念 证书的结构 数字证书的概念 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 数字证书的概念 电子交易中主要的两种证书： 持卡人证书：支付卡的电子化表示 商家证书：接受银行卡结算的方式 最常用的证书格式： X.509 V3 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 个体的公钥信息 数字证书示意图 CA认证中心 CA认证中心（Certification Authority）—— 受信任的第三方机构，负责数字证书的发放、验证等。 CA认证中心 CA认证中心的功能： 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档 提供密钥托管和密钥恢复服务 CA认证中心 CA的层次结构： 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 根CA 中间CA CA认证中心 证书的树型验证结构： 双方通信时，通过出示由某个CA签发的证书来证明自己的身份。如果对签发证书的CA本身再不信任，则可验证CA的身份，一直到权威的根CA处，就可确信证书的有效性。 消费者 网上商店 支付网关 认证中心 CA 发卡银行 银行网络 收单银行 Internet 消 费 者 在 线 商 家 收 单 行 支 付 网 关 发卡行 认证中心 1订单 2审核 3审核 4批准 5确认 6确认 认证 认证 认证 VeriSign数字凭证的申请操作 1．进入VeriSign的Digital ID申请主页 2．填写申请单 3．确认申请内容，获得数字凭证 1．进入VeriSign的Digital ID申请主页 申请免费的Digital ID 2．填写申请单 选择申请类型——免费Digital ID 3．确认申请内容，获得数字凭证 利用申请的数字凭证在Outlook Express中发送数字签名信件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 2 2 2 2 2 2 2 2 2 2 1 密钥的结构与分