电子商务安全 第3章 第4章 PKI导论PKI体系与功能.ppt

该标准定义包括： OSI参考模型安全体系结构定义。 目录模型定义。 鉴别框架定义。 3.定义 (1)属性证书(Attribute Certificate)：将用户的一组属性和其他信息，通过认证机构的私钥进行数字签名，使其成为不可伪造，用于证书的扩展使用。 (2)鉴别令牌(Authentication)：在强鉴别交换期间运行的信息，用于鉴别其发送者。 (3)用户证书、公钥证书、证书(User Certificate，Public key Certificate，Certificate)用户的公钥和一些其他信息，通过颁发证书机构的私钥加密，使之成为不可伪造。 (4)CA证书(CA-certificate)：由一个CA颁发给另一个CA的证书。 4.技术用语 (5)证书策略(certificate Policy)：已命名的一组规则，它指出证书对特定集团和具有公共安全要求的应用类别的适用性。 (6)证书用户(certificate User)：需要确切地知道另一实体公钥的某一实体。 (7)证书使用系统(Certificate-Using System)：在本目录规范定义的并由证书用户所使用的那些功能的实现。 (8)认证机构(Certificate Authority)：受用户信任的机构，以创建和分配证书。认证机构可以任意地创建用户的密钥。 4.技术用语 (9)认证路径(Certification path)：DIT中客体证书的有序系列，它和在该路径的最初客体的公钥一起，可以被处理以获得该路径的最终客体的公钥。 (10)CRL分布点(CRL distribution point)：通过CRL分布点所分布的CRL可以含有某个CA颁发的证书全集中的某子集的撤消项，或含有多个CA的撤消项。 (11)密码体制(Cryptographic System)：从明文到密文和从密文到明文的变换汇集，使用的特定变换由密钥来选定。通常用一个数学算法来定义这些变换。 (12) ⊿-CRL(delta-CRL)：仅指示自CRL颁发以来变更的一部分CRL 4.技术用语 (13)端实体(end entity)：不是为签署证书的目的而使用其公钥的证书主体。 (14)哈希函数(hash function)：将值从一个大的域映射到一个较小的范围的一个数学函数。 (15)密钥协定(Key agreement)：无需传送甚至是加密形式的密钥，在线协商密钥值的一种方法。 (16)单向函数(One way function)：易于计算的一个数学函数f，但对于区域中的一个普通值y来说，要找到满足函数f(x)：y的该区域中x值，在计算上是很困难的。 4.技术用语 (17)策略映射(policy mapping)当某个域中的一个CA认证了另一个域中的一个CA时，对在第二个域的一个特定证书策略可能被第—个CA域中的认证机构认为是等价于第一个域个的一特定证书政策的认可。 (18)公钥(public key)：在公开密钥体制中，用户密钥对中只有让所有用户都知道的那个密钥 (20)简单鉴别(simple authentication)：借助简单口令分配方法进行的鉴别。 4.技术用语 (21)强鉴别(strong authentication)：借助密码派生凭证方法进行的鉴别。 (22)安全策略(Security policy)；由管理安全服务和设施的使用和提供的安全机构所拟定的一组规则。 (23)信任（trust)：当第一个实体假设第二个实体完全按照第—个实体的期望进行动作时，则称第一个实体“信任”第二个实体。在鉴别框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系；一个鉴别实体应确信它可以“信任”的认证机构创建有效可靠的证书。 (24)证书序列号(Certificate Serial number)：在颁发证书的CA范围内唯一数值，该整数值无歧义地与那个CA所颁发的一个证书相关联。 4.技术用语 CA：认证机构。 CRL：证书撤消列表。 DIB：目录信息库。 DIT：目录信息树。 DUA：目录用户代理。 PKCS：公开密钥密码体制。 DSA：数字签名算法 5.约定和略语 1.证书的定义 数字证书也叫电子证书(简称证书)。 在很多场合下，数字证书、电子证书和证书都是X.509公钥证书的同义词，它符合ITU-T X.509 V3标准。 证书是随PKI的形成而新发展起来的安全机制 它实现身份的鉴别与识别(认证)、完整性、保密性及不可否认性安全服务(安全需求)。 2.3.7.2 X.509证书 数字证书是电子商务中各实体的网上身份的证明，它证明实体所声明的身份与其公钥的匹配关系，使得实体身份与证书上的公钥相绑定； 从公钥管理的机制来讲，数字证书是公钥体制密钥管理的媒介，即在公钥体制中，公钥