信息安全概述第4章2经典教程.pptVIP

第4章 PKI公钥基础设施原理 ;PKI标准化主要内容 ;中国PKI现状 ;CFCA情况(03年)： 已发证书近十一万（80%B2B、20%B2C） 已建RA28个（银行12、证券16），RA已稳定 目录查询系统已稳定 CFCA/PKI典型应用： 网上银行（B2B、B2C） 网上证券 网上税务 银联卡网上应用;;面临的问题 ;解决措施 ;二、安全电子交易协议-SET;商业支付系统的安全需求;SET的主要特征;X.509证书格式;X.509证书格式;SET协议;SET Components;SET Components;SET协议信息结构;SET交易步骤; （1）消费者发送给商家一个完整的订单及要求付款的指令 。 （2）商家接受订单后，向消费者的金融机构请求支付认可。通过网关到银行，再到发卡机构确认，批准交易，然后返回确认信息给商家。 （3）商家发送订单确认信息给顾客。 （4）商家给顾客装运货物，一个购买过程已经结束 。 ;;支付过程分析 ;客户初始化请求;支付授权; 支付获得;电子交易有两大体系 ;SET SSL;SET SSL;三、部分国际PKI的规划和建设 ;美国PKI规划情况 ;该体系结构主要由联邦的桥认证机构（FBCA--Federal Bridge CA）,首级认证机构（PCA--Principal CA），次级认证机构（SCA--Subordinate CA）等组成。其体系结构图所示。;联邦PKI体系结构的工作原理实际上就是指联邦的桥CA的工作原理。联邦的桥CA不是一个树状结构的CA，也不象网状CA，它不直接向用户颁发证书；不象根CA一样成为一个信任点，它只是一个单独的CA；它与不同的信任域之间建立对等的信任关系，允许用户保留他们自己的原始信任点。正如我们在网络中所使用的HUB一样，任何结构类型的PKI结构都可以通过这个机构连接在一起，实现彼此之间的信任，并将每一个单独的信任域通过联邦的桥PKI扩展到整个联邦PKI体系中。 在进行网上交易时，当接收者接收到发送者数字签名的电子文件时，为了验证签名的有效性，接收者的应用软件必须作三件事： 1）接收者的软件必须确定发送者的信任域和接收者的信任域之间是否存在信任关系，这可以通过建立两个信任域之间的证书“信任路径”来实现； 2）接收者必须确定发送者证书中所描述的政策即证书包含的担保级别满足本次交易的需要； 3）确定在这个信任路径中，所有的证书都必须是有效的，即他们既没有超过有效期，也没有被注销。 ;联邦PKI体系的当前状况和联邦政府计划 ;加拿大政府PKI体系结构 ;;两种体系的比较 ;三个著名的国际PKI组织