第六章节安全交易认证技术幻灯片.pptVIP

数字证书 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。 它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。 数字时间戳 数字时间戳（digital time-stamp）对于成功的电子商务应用，要求参与交易各方不能否认其行为。 由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。 在各种政务和商务文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。 在电子文件中，同样需对文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digital time-stamp service）就能提供电子文件发表时间的安全保护。 一般来说，数字时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash算法运算形成摘要，然后将该摘要发送到DTS。DTS在加入了收到文件摘要的日期和事件信息后再对该文件加密（数字签名），然后送达用户。 数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分： ① 需加时间戳的文件的摘要 (digest)； ② DTS收到文件的日期和时间； ③ DTS的数字签名。 电子印章是一个新兴事物，它把晦涩的电子签名技术变成了人们习以为常的签名盖章方式，使原来很神秘的电子签名、电子证据成为了人人都可以掌握使用的东西，消除了电子签名的应用障碍，对电子签名的应用推广具有非常巨大的价值 ? PKI与认证机构? ?  PKI概念 公钥基础设施（Public Key Infrastructure，简称PKI）是以公共密钥加密技术为基础技术手段实现安全性的一种技术体系。PKI是由加拿大的Entrust公司开发的，支持SET协议、SSL协议、电子证书和数字签名等。 一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分；?1） 认证中心CA CA 是PKI 的核心，CA 负责管理PKI 结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA 还要负责用户证书的黑名单登记和黑名单发布，后面有CA 的详细描述。?2） X.500?目录服务器 ?X.500 目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP?协议查询自己或其他人的证书和下载黑名单信息。　　 3） 具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer (SSL)协议最初由Netscape 企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。 4） Web（安全通信平台） Web 有Web Client 端和Web Server 端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。?　　 5） 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。 完整的PKI 包括认证政策的制定（包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。 一个典型的PKI应用系统包括五个部分：密钥管理子系统（密钥管理中心）、证书受理子系统（注册系统）、证书签发子系统（签发系统）、证书发布子系统（证书发布系统）、目录服务子系统（证书查询验证系统）。如下页图所示： ? PKI与认证机构? ?  PKI的体系结构 1、认证机构CA（Certificate Authority） 2、证书和证书库 3、密钥备份及恢复 4、密钥和证书的更新 5、证书历史档案 6、应用接口系统 ? PKI与认证机构? ?  PKI层次模型 传输层 ： 向上提供PKI操作报文的可靠传输 密码学服务层 ： 向上提供加解密、数字签名和报文摘要等基本密码学服务 证书服务层 ： 用下两层提供的加密和传输服务，向用户提供证书的请求、签证、发布、撤销和更新等服务 PKI模式—新的信任模式 (Public Key Infrastructure) 认证权威 公认认证方式 自由交流