《网络信息.安全》.pptVIP

数字证书在电子邮件中的应用 可以支持pop3收发邮件的电子邮箱 免费邮箱：sina、eyou等（推荐） 收费邮箱：126、163、sohu等 申请个人数字证书 申请地址：testca.netca.net Outlook Express6.0设置 * fgfh 4 CA认证中心 什么是CA认证 所谓CA (Certificate Authority)认证中心，它是采用PKI (Public Key Infrastructure)公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，具有权威性和公证性的第三方信任机构。 在网络这个虚拟的世界里，必须有人向公共密钥的使用者证明，公布在网络中的公钥的真实合法性，CA中心就是负责验证公钥主体的真实身份以及它与公钥的匹配关系的机构。 * fgfh 4 CA认证中心 怎么保证交易双方身份的真实性和交易的不可抵赖性是人们迫切关心的问题。 交易能够顺利进行要求：身份认证、安全传输、不可否认性、数据一致性。 CA证书认证体系采用了加密传输技术和数字签名技术，能够满足交易的安全要求。 目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。 * fgfh CA认证机构 目前最权威的根认证CA：美国的Verisign公司，创建于1995年4月，是一个提供智能信息基础设施服务的上市公司(纳斯达克上市代码: VRSN) ，而数字证书业务是其起家的核心业务。 * fgfh 其它签名方案 一次签名 一次签名意味着算法的参数只能用于签名一个消息，但可以进行若干次验证。Lamport数字签名方案和Bos-Chaum签名方案都是一次签名方案。 群签名 群签名指群中各个成员可以以群的名义匿名地签发消息，它具有以下特性： 只有群成员能代表所在的群签名 接受者能验证签名所在的群，但不知道签名者 需要时，可借助于群成员或者权威找到签名者 盲签名 指消息内容对签名者不可见，而且签名被接受者泄露后，签名者无法追踪签名。主要应用于电子货币与电子选举。 * fgfh 1.3 身份认证 身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程，其依据有三类：客户所知，例如密码、口令等；客户所有，例如身份证、护照、密钥盘等；客户本身特征，例如指纹、笔迹、声音等。 身份认证对于提供安全服务有如下作用： 作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份； 作为提供数据源认证的一种可能方法(当它与数据完整性机制结合起来使用时)； 作为对责任原则的一种直接支持，例如，在审计追踪过程中做记录时，提供与某一活动相联系的确知身份。 * fgfh 1.3 身份认证 身份认证可以是单向的也可以是双向的。单向认证是指通信双方只有一方向另一方进行鉴别；双向认证是指通信双方相互进行认证。 身份认证和消息认证的区别： 身份认证一般都是实时的，消息认证一般不提供实时性； 身份认证只证实实体的身份，消息认证要证实报文的合法性和完整性。 * fgfh 1.3 身份认证 一个身份认证系统一般由三方组成：一方是出示证件的人，称为示证者，又称为申请者，他提出某种要求；第二方为验证者，他验证示证者出示的证件的正确性与合法性，并决定是否满足其要求；第三方是攻击者，他可以窃听和伪装示证者，骗取验证者的信任。在必要时，认证系统也会有第四方，即可信赖者参与调解纠纷。 为了能够进行身份认证，首先需要进行身份注册。申请者提供其相关信息，如：社会特征属性、自然属性等。验证者(或注册机构)赋予申请者某些信物，如：口令、密码、智能卡等。 * fgfh 1.3 身份认证 一般来说，一个身份认证系统应该满足如下要求： 验证者正确识别合法示证者的概率极大化； 不可传递性，验证者不可能重用示证者提供给他的信息来伪装示证者，以实现成功地骗取他人的验证，从而得到信任； 攻击者伪装示证者骗取验证者成功的概率要小到可以忽略的程度，特别是能够抵抗已知密文攻击，即能够抵抗攻击者在截获到示证者和验证者多次通信内容后，伪装示证者骗取验证者的信任； 计算有效件，即实现身份认证所需的计算量要尽可能小； 通信的有效性，即实现身份认证所需通信次数和数据量要尽可能小； 秘密参数能够安全存储； 交互识别，在某些应用中，有通信双方能够互相进行身份认让的需求 第三方的实时参与，如在线公钥检索服务； 第三方的可信赖性： 可证明安全性。 * fgfh 1.4 Kerberos认证 Kerberos是在网络环境或分布式计算环境下提供对用户双方进行验证的一种方法，该系统是美国麻省理工学院设计的，它的安全机制在于能对发出请求的用户进行身份验证，以确认其是否是合法的用户，如是合法的则再审核该用户是否有权对他所请求的服务或主机进行访问。这个系统是一个基于对称密码体制的安全客户服务