电子支付及结算第二章.ppt

PKI的一些知识 重庆第二师范学院 郭旭 PKI的一些知识 随着互联网技术的迅速发展，网上办公和网上交易逐渐成为了互联网的又一种新的应用方式。 但由于互联网的开放性，进行网上办公和网上交易的用户会面临很多安全问题。 PKI的一些知识 保密性：如何保证大量保密信息在公开网络的传输过程中不被窃取 完整性：如何保证所传输的信息不被中途篡改及通过重复发送被伪造 身份认证与授权：如何对通信双方进行认证，以保证双方身份的正确性 抗抵赖：如何保证任何一方对已发生操作的不可否认性 PKI的一些知识 对于这些安全问题，目前最有效的解决方案是建立在公开密钥技术基础上的PKI/CA (Public Key Infrastructure /Certification Authority)技术。 什么是公钥基础设施(PKI)? PKI(Public Key Infrastructure)，即公开密钥基础设施。它是通过使用公开密钥技术和数字证书来确保信息系统安全并负责验证数字证书持有者身份的一种基础设施体系。 PKI简介 从PKI的总体构架来看，PKI主要由最终用户、认证中心系统和RA系统来组成。从应用来看，主要的应用都是基于证书的应用，下面主要针对这些主要组成部分来简单介绍PKI安全解决方案。关于PKI主要涉及到的安全技术，在此不作描述，请参阅相应的技术资料。 PKI简介 （1） 信任的原理 PKI的最基本原理就是互相信任。因为在互联网上的安全隐患中，最难解决的就是可信任的关系，信息的加密已经有非常悠久的历史了，并且也一直被世人所应用，但是信任是随着互联网的出现、普及，人们才开始呼吁我如何才能够被人信任？什么样的人我才可以相信?quot;，这就是PKI体系出现的主要背景， PKI的概念及其解决方案一问世，立即受到了全球的关注，现在PKI已经成为当前电子商务中最流行、最成熟的信息安全解决方案。 PKI简介 2） 什么是认证中心（CA）？ 只有先建立一个权威的、第三方的公正机构，才能建立认证中心。因为大家都信任它，由此，所有信任它的人也就信任经过它鉴定，并认定是一个具有合法身份的其他人。这样，原本相互并未建立信任关系的双方，即可因此建立信任关系。综上可知，一个认证中心是以它为信任源，由她维护一定范围的信任体系，在该信任体系中的所有用户、服务器，都被发放一张数字证书来证明其身份已经被鉴定过，并为其发放一张数字证书，每次在进行交易的时候，通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。 PKI简介 CA（Certificate Authority）中心是所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，是公钥基础设施的核心，负责为电子政务，电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责检验和管理数字证书。 PKI简介 在日常生活中，认证中心就像颁发居民身份证的公安局、颁发汽车驾照的交通管理局，因为在他们都在某一领域中是一个权威机构，并且他们只管发放，不管使用，因此，是一个中立的第三方，我们所谈的认证中心正像这种机构。 认证中心除了维护一套可信的信任域外，需要为所有经过鉴别的用户发放数字证书并维护该数字证书，该维护工作包括：吊销数字证书、恢复密钥、维护证书黑名单… 数字证书简介 什么是数字证书 Digital Certificate 数字证书又称为数字标识（Digital ID），是标志网络用户身份信息的一系列数据。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在Internet的身份证。 数字证书是由CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 PKI简介 4） 什么是注册机构（RA，Registration Authority）？ 当您需要申请身份证、驾驶证的时候，您一般不会到公安局的身份证制证中心或交管局的驾驶证制证中心来申请，而是到您所在的街道派出所或者您所在区的交通支队来，并提交您的身份证明资料，以证明您具有申请的条件，经过这些街道派出所、交通支队的批准后，由街道派出所、交通支队将通过的申请资料送到制证中心，最后由制证中心完成制证过程。在证件需要补办、挂失的时候，您也需要来到街道派出所或交通支队来提交申请，但最后的操作都是由制证中心来处理。在PKI系统里，注册机构就像上述所说的街道派出所、交通支队，负责审核证书申请者的真实身份，在审核通过后，负责将用户信息通过网络上传到证书制作中心，即认证中心系统，由认证中心系统