第四章 电子商务安全交易技术.pptVIP

Slide * * 4．4公开密钥基础设施 4.4.1 PKI概述 公开密钥基础设施（Public Key Infrastructure， PKI）是利用数字证书保证交易实体之间的信任关系， 以及信息传输的机密性、真实性、完整性和不可抵赖 性。 PKI是一种遵循标准的公共密钥管理平台，是建设 电子商务、电子政务系统的关键技术之一。 Slide * * 4．4公开密钥基础设施 4.4.1 PKI概述 PKI主要解决了安全电子交易中的三个问题： 1. RA机构面对面地核实交易参与方的真实身份， 解决了虚拟世界身份认证到现实世界身份认证的衔接 问题； 2. 利用标准的数字证书，解决了非对称加密体制 中的公钥管理问题； 3. 解决发送信息方和接收信息方的身份认证、不 可抵赖性等安全问题。 Slide * * 4．4公开密钥基础设施 4.4.1 PKI概述 PKI的三种信任体系： （1）国际信任体系； （2）国内信任体系； （3）企业信任体系。 如果从事大量的国际贸易，则应选择国际信任体 系，如Verisign；否则，可以选择国内信任体系。 强势企业可以构建自己的PKI系统，如金融系统的 CFCA。 Slide * * 4．4公开密钥基础设施 4.4.2 PKI的基本构成 1. 注册机构（RA） 2. 认证中心（CA） （1）X.500目录服务器； （2）具有高强度密码算法的WWW服务器； （3）Web服务器； （4）安全应用系统； （5）注册管理软件。 Slide * * 4．4公开密钥基础设施 4.4.3密钥管理 PKI体系中的安全完全依赖于密钥，因此它的管理 应当是全生命周期的，包括密钥的生成、更新、备份 和恢复，密钥的撤消和归档。无论是在哪一个管理阶 段都要妥善保管密钥，即使是超过有效期的密钥也应 该如此。 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 国际电信联盟（ITU）于1997年发布的X.509标准 。 CA将主体信息用自己的私钥加密，产生数字签名， 附加在主体信息后面，形成完整的数字证书。 1. 数字证书格式 X.509v3格式如下。 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 证书版本号 主体的公钥信息（算法标识符、公钥值） 证书序列号 发放者的签名算法标识符 发放者的X.500名称 证书有效期（起止日期/时间） 主体的X.500名称 发放者的唯一标识符（可选） 主体的唯一标识符（可选） 扩展部分（可选） CA的数字签名 加 密 CA私钥 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 X.509v3的发放者和主体的名称： （1）Internet电子邮件地址； （2）Internet域名； （3）X.400电子邮件地址； （4）X.500目录名； （5）EDI通信方的名称； （6）Web统一资源标识符； （7）Internet上的IP地址。 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 X.509v3的扩展部分： （1）密钥和策略信息 用来传递主体和发放者密钥的附加信息，包括发放者密钥 标识符、主体密钥标识符、密钥用途、扩展密钥用途和私钥使 用期等。 （2）主体和发放者的特性 用来传递备用名和一些附加信息，包括主体备用名、发放 者备用名和主体名称中不包含的一些属性。 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 X.509v3的扩展部分： （3）证书路径约束 用来说明从本数字证书出发可以产生的认证路径，主要包 括以下约束： ■基本约束； ■命名约束； ■策略约束。 Slide * * 4．4公开密钥基础设施 4.4.4数字证书 2. 数字证书的生命周期 （1）数字证书生成 （2