第3讲 PKI的功能.ppt

4.保证网上交易的抗否认性 不可否认用于从技术上保证实体对他们行为的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。在这中间，人们更关注的是数据来源的不可否认性、发送方的不可否认性，以及接收方在接收后的不可否认性。此外还有传输的不可否认性、创建的不可否认性和同意的不可否认性等。PKI所提供的不可否认功能，是基于数字签名，以及其所提供的时间戳服务功能的。 在进行数字签名时，签名私钥只能被签名者自己掌握，系统中的其他参与实体无法得到该密钥，这样只有签名者自己能做出相应的签名，其他实体是无法做出这样的签名的。这样，签名者从技术上就不能否认自己做过该签名。为了保证签名私钥的安全，一般要求这种密钥只能在防篡改的硬件令牌上产生，并且永远不能离开令牌，以保证签名私钥的安全。 再利用PKI提供的时间戳功能，安全时间戳服务用来证明某个特别事件发生在某个特定的时间或某段特别数据在某个日期已存在。这样，签名者对自己所做的签名将无法进行否认。 5.提供时间戳服务 时间戳也叫做安全时间戳，是一个可信的时间权威，使用一段可以认证的完整数据表示的时间戳。最重要的不是时间本身的精确性，而是相关时间、日期的安全性。支持不可否认服务的一个关键因素就是在PKI中使用安全时间戳，也就是说，时间源是可信的，时间值必须特别安全地传送。 PKI中必须存在用户可信任的权威时间源，权威时间源提供的时间并不需要正确，仅仅需要用户作为一个参照“时间”，以便完成基于PKI的事物处理，如事件A发生在事件B的前面等。一般的PKI系统中都设置一个时钟系统统一PKI的时间。当然也可以使用世界官方时间源所提供的时间，其实现方法是从网络中这个时钟位置获得安全时间。要求实体在需要的时候向这些权威请求在数据上盖上时间戳。一份文档上的时间戳涉及到对时间和文档内容的杂凑值（哈希值）的数字签名。权威的签名提供了数据的真实性和完整性。 虽然安全时间戳是PKI支撑的服务，但它依然可以在不依赖PKI的情况下实现安全时间戳服务。一个PKI体系中是否需要实现时间戳服务，完全依照应用的需求来决定。 6.保证数据的公正性 PKI中支持的公证服务是指“数据认证”，也就是说，公证人要证明的是数据的有效性和正确性，这种公证取决于数据验证的方式。与公证服务、一般社会公证人提供的服务有所不同，在PKI中被验证的数据是基于杂凑值的数字签名、公钥在数学上的正确性和签名私钥的合法性。 PKI的公证人是一个被其他PKI实体所信任的实体，能够正确地提供公证服务。他主要是通过数字签名机制证明数据的正确性，所以其他实体需要保存公证人的验证公钥的正确拷贝，以便验证和相信作为公证的签名数据。 PKI提供的系统功能 PKI系统由不同的功能模块组成，分别具有不同的系统功能，为了实现所提供的服务功能有机地组成PKI认证体系。 1.证书申请和审批 作为以数字证书为核心实现的PKI安全系统，证书申请和审批功能是最基本的要求。具备证书的申请和审批功能，提供灵活、方便的申请方式，高效、可靠的审批系统，可以保证由该PKI体系提供安全服务的各方能顺利地得到所需要的证书。 证书的申请和审批功能直接由CA或由面向终端用户的注册审核机构RA来完成。 对于行业性质的大范围PKI体系，证书的申请和审批一般是由RA来完成的。如果是通过RA来完成该功能，申请者就在该注册机构（RA）进行注册，申请证书。 有些简单的PKI系统CA和RA是一体的，即证书的申请、审批和签发一并由CA来完成。 作为面向整个金融行业的CA，认证体系的证书申请和审批功能由分布于各个商业机构的RA来完成。 被CA授权的证书注册审核机构（Registration Authority，简称RA）（各商业银行、证券公司等机构），面向最终用户，负责接受各自的持卡人和商户的证书申请并进行资格审核，具体的证书审批方式和流程由各授权审核机构规定。经审批后，RA将审核通过的证书申请信息发送给CFCA，由CFCA签发证书。 比如： 其中，证书申请的前提是： — 证书的申请者必须在某商业银行开有账户； — 证书申请者必须具有唯一的身份证号码、工商营业执照或全国机构代码； — 证书申请必须有电子邮件地址； — 各商业银行总行具有PKI管理能力，设有管理员；各商业银行总行拥有证书申请注册机构（RA，Registration Authority）及多个分支机构的证书申请受理点（LRA，Local Registration Authority）； — 各个PKI实体之间可以进行基于TCP/IP的通信。 证书的申请方式根据不同的应用，分为离线申请方式、在线申请方式、金融CA PKI Web证书申请、企业高级证书