Transcript 理论基础
第6章 电子交易认证服务 第1节 数字证书 第2节 身份认证 第3节 PKI基础 本章小结 本章知识目标 1.掌握什么是数字签名、双重签名等。 2.掌握数字证书的申请和使用。 3.了解什么是盲签名。 4.掌握CA认证。 5.掌握身份认证的方法。 6.了解数字证书认证中心。 7.掌握什么是PKI,PKI的基本组成。 8.了解PKI的加密与签名原理。 9.了解PKI的应用。 本章能力目标 1.熟悉数字证书的申请、安装流程。 2.会使用邮件保护数字证书发送签名和 加密邮件。 3.熟悉中国金融认证中心CFCA。 第1节 数字证书 理论基础 一、数字签名 二、数字证书 实践操作 理论基础 一、数字签名 数字签名是通过密码算法对数据进行加、 解密变换实现的,它实际上是通过一个Hash 函数来实现的。 1.双重签名 2.数字时间戳 3.不可否认签名 4.盲签名 二、数字证书 数字证书(digital certificate)是用 电子手段来证实一个用户的身份及用户对网 络资源的访问权限。 1.数字证书的格式 2.证书的获取与管理 3.验证证书 第2节 身份认证 理论基础 一、身份认证的方法 二、CA认证中心 实践操作 理论基础 认证(Authentication)又称鉴别、确 认,它是证实某事是否名符其实或是否有效 的一个过程。 一、身份认证的方法 目前用来验证用户个人身份的途径有以 下三种。 (1)个人拥有的所知(用户知道什么) 进行认证 (2)个人拥有的所有(用户拥有什么) 进行认证 (3)个人拥有的特征进行认证 1.基于用户知道什么的身份认证 2.基于用户拥有什么的身份认证 3.基于用户是谁的身份认证 二、CA认证中心 认证中心,也称数字证书认证中心 (Certification Authority,CA),是基于 Internet平台建立的一个公正的、有权威性 的、独立的、受信赖的组织机构,主要负责 数字证书的发行、管理以及认证等服务,以 保证网上业务安全可靠地进行。 证书服务 CP 中心 CA 黑名单库 RS RA RA 网络专线 网 络 业务受 业务受 业务受 业务受 理点 理点 理点 理点 证书 证书 证书 用户 用户 用户 图6-18 功能较为完整的CA组成框架 第3节 PKI基础 理论基础 一、PKI概述 二、PKI基础技术 三、PKI的功能与性能 四、PKI的基本组成 五、PKI加密与签名原理 六、PKI的应用 七、Windows 2000的PKI结构 实践操作 理论基础 一、PKI概述 PKI是一种基础设施 PKI是电子商务和其他信息系统的安全基础 PKI具有可信的权威认证机构CA 二、PKI基础技术 PKI的基础技术包括加密、数字签名、数 据完整性机制、数字信封、双重数字签名等。 三、PKI的功能与性能 一个完整的PKI产品应具备以下功能:根 据X.509标准发放证书,证书与CA产生密钥对, 密钥备份及恢复,证书,密钥对的自动更换, 加密密钥和签名密钥的分隔,管理密钥和证 书,支持对数字签名的不可抵赖性,密钥历 史的管理,为用户提供PKI服务,如用户安全 登录、增加和删除用户、恢复密钥、检验证 书等。 具有以下性能。 (1)支持多政策 (2)透明性和易用性 (3)互操作性 (4)PKI是在Internet上建立信任的一 种技术选择,但是部署PKI并不容易。 四、PKI的基本组成 典型的PKI系统由五个基本的部分组成: 证书申请者(Subscriber)、注册机构 (Registration Authority,RA)、认证中 心(Certificate Authority,CA)、证书库 (Certificate Repository,CR)和证书信 任方(Relying Party)。 五、PKI加密与签名原理 1.公钥加密/私钥解密完成对称算法密 钥的交换 图6-42 公开密钥理论进行密钥交换的过程 2.私钥加密/公钥解密完成身份验证、 提供数字签名 图6-43 公开密钥算法实现通信双方的身份验证 3.PKI的安全性分析 4.PKI加密技术与签名技术图解 图6-45 PKI中签名技术图解 六、PKI的应用 1.电子商务 2.电子政务 3.网上银行 4.网上证券 七、Windows 2000的PKI结构 1.PKI基本结构 图6-46 Windows 2000公钥基本结构组件 2.PKI证书支持 3.证书服务 4.公钥策略 5.CryptoAPI 6.使用证书来验证外部用户的身份 7.PKI用于Windows 2000的情况 本章小结 本章在理论方面主要介绍了数字签名、 双重签名、盲签名、CA认证等概念以及数字 证书的申请和使用;身份认证的方法;PKI、 PKI的基本组成,PKI加密与签名原理;PKI的 应用等知识。 在实践操作上要求熟悉数字证书申请、 安装流程,会使用邮件保护数字证书发送签 名和加密邮件。