unit 3-2 認證技術

1、對稱加密算法對稱加密算法信息加密和解密使用相同的密鑰。信息加密和解密使用相同的密鑰。常用加密算法常用加密算法:DES :DES 。加密和解密使用不同的密鑰。常用算法：加密和解密使用不同的密鑰。常用算法：RSARSA每個用戶保存著兩個密鑰：公鑰，私鑰。商戶每個用戶保存著兩個密鑰：公鑰，私鑰。商戶可以公開其公鑰，私鑰由用戶自己嚴密保管?？梢怨_其公鑰，私鑰由用戶自己嚴密保管。通信時，發(fā)送方用接收方的公鑰對明文加密后通信時，發(fā)送方用接收方的公鑰對明文加密后發(fā)送，接收方用自己的私鑰進行解密。發(fā)送，接收方用自己的私鑰進行解密。非對稱加密算法非對稱加密算法4.3 4.3 認證技術認證技術認證技術主要包括身

2、份認證和信息認證。認證技術主要包括身份認證和信息認證。身份認證：身份認證：用于鑒別用戶身份。用于鑒別用戶身份。信息認證：信息認證：用于保證通信雙方的不可抵賴用于保證通信雙方的不可抵賴性以及信息的完整性。性以及信息的完整性。4.3.1 4.3.1 身份認證身份認證 交易雙方通過網(wǎng)絡開展業(yè)務，彼此交易雙方通過網(wǎng)絡開展業(yè)務，彼此互不謀面，因此互不謀面，因此必須采取一定的身份識必須采取一定的身份識別技術證實各方的真實身份別技術證實各方的真實身份。 口令由數(shù)字字母、特殊字符等組成。 這種身份認證方法操作十分簡單，但最不安全，不能抵御口令猜測攻擊。常用的身份認證方式常用的身份認證方式(1) 口令方式口令方

3、式 標記是一種用戶所持有的某個秘密信息(硬件)，上面記錄著用于系統(tǒng)身份識別的個人信息。如銀行卡。(2) 標記方式標記方式 某些人體生物學特征，如指紋、聲音、視網(wǎng)膜掃描等方式進行身份認證。(3) 人體生物特征方式人體生物特征方式 PKI（Pubic Key Infrastructure）公鑰基礎設施。 使用認證中心頒發(fā)的數(shù)字證書來證實網(wǎng)絡交易各方的真實身份。(4) PKI方式方式4.3.2 4.3.2 認證中心認證中心 （CACA-Certificate Authority-Certificate Authority）。）。也稱為電子認證中心，是承擔網(wǎng)上安全電也稱為電子認證中心，是承擔網(wǎng)上安全電

4、子交易認證服務、能簽發(fā)數(shù)字證書，確認子交易認證服務、能簽發(fā)數(shù)字證書，確認用戶身份、與具體交易行為無關的第三方用戶身份、與具體交易行為無關的第三方權威機構。權威機構。 認證中心是電子商務環(huán)境中整個認證中心是電子商務環(huán)境中整個信任信任鏈的起點鏈的起點，如果認證中心不安全或不具，如果認證中心不安全或不具有權威性，則網(wǎng)上安全電子交易無從談有權威性，則網(wǎng)上安全電子交易無從談起。起。 認證中心的設置有兩種途徑：認證中心的設置有兩種途徑：n政府組建或授權：如我國的政府組建或授權：如我國的CACA機構機構n市場競爭中建立信用：如美國的市場競爭中建立信用：如美國的VerisignVerisign公司等。公司等。

5、VeriSignVeriSign公司介紹公司介紹VeriSign(VeriSign(納斯達克上市代碼納斯達克上市代碼: VRSN): VRSN)是全球是全球最大的數(shù)字證書頒發(fā)機構，是一個提供智能信最大的數(shù)字證書頒發(fā)機構，是一個提供智能信息基礎設施服務的上市公司。息基礎設施服務的上市公司。數(shù)字證書業(yè)務是其起家的核心業(yè)務，其數(shù)字證書業(yè)務是其起家的核心業(yè)務，其 SSL SSL 證書被全球證書被全球 500 500 強中有強中有 93% 93% 的企業(yè)選用、全的企業(yè)選用、全球前球前 40 40 大銀行都選用、全球大銀行都選用、全球 50 50 大電子商務大電子商務網(wǎng)站中有網(wǎng)站中有4747個網(wǎng)站使用，共

6、有超過個網(wǎng)站使用，共有超過 50 50 萬個網(wǎng)萬個網(wǎng)站選用站選用 VeriSign VeriSign 的的 SSLSSL證書來確保網(wǎng)站機密證書來確保網(wǎng)站機密信息安全。信息安全。1.1.認證中心的職能認證中心的職能 認證機構的核心職能是發(fā)放和管理用戶認證機構的核心職能是發(fā)放和管理用戶的數(shù)字證書。的數(shù)字證書。認證中心的四大具體職能認證中心的四大具體職能認證中心接受個人、單位的數(shù)字證認證中心接受個人、單位的數(shù)字證書申請，核實申請人的各項資料是書申請，核實申請人的各項資料是否真實，根據(jù)核實情況決定是否頒否真實，根據(jù)核實情況決定是否頒發(fā)數(shù)字證書。發(fā)數(shù)字證書。證書發(fā)放證書發(fā)放證書使用是有期限的，在證書發(fā)行

7、簽證書使用是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期字時都規(guī)定了失效日期 證書更新證書更新證書的撤消可以有許多理由，如發(fā)現(xiàn)、證書的撤消可以有許多理由，如發(fā)現(xiàn)、懷疑私鑰被泄露或檢測出證書已被篡改，懷疑私鑰被泄露或檢測出證書已被篡改，則則CACA可以提前撤銷或暫停使用該證書?？梢蕴崆俺蜂N或暫停使用該證書。申請撤銷。申請撤銷。證書撤銷表證書撤銷表CRLCRL。 證書撤銷證書撤銷證書驗證證書驗證證書是通過信任分級層次體系來驗證的，證書是通過信任分級層次體系來驗證的，每一個證書與簽發(fā)數(shù)字證書的機構的簽名證每一個證書與簽發(fā)數(shù)字證書的機構的簽名證書關聯(lián)。書關聯(lián)。驗證時，逐級向上一層驗證。驗證時，逐級向上一

8、層驗證。2.CA2.CA的樹型驗證結構的樹型驗證結構 3.3.我國認證中心現(xiàn)狀我國認證中心現(xiàn)狀我國安全認證體系我國安全認證體系(CA)(CA)可分為金融可分為金融CACA與與非金融非金融CACA兩種類型來處理。兩種類型來處理。在金融在金融CACA方面，根證書由中國人民銀行方面，根證書由中國人民銀行管理，根認證管理一般是脫機管理；品牌管理，根認證管理一般是脫機管理；品牌認證中心采用認證中心采用“統(tǒng)一品牌、聯(lián)合建設統(tǒng)一品牌、聯(lián)合建設”的的方針進行。方針進行。在非金融在非金融CACA方面，最初主要由中國電信方面，最初主要由中國電信負責建設。負責建設。CFCACFCA 是全國惟一的金融根認證中心，由是

9、全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一規(guī)劃管理，聯(lián)合中國中國人民銀行負責統(tǒng)一規(guī)劃管理，聯(lián)合中國工商銀行、中國銀行等商業(yè)銀行聯(lián)合建設，工商銀行、中國銀行等商業(yè)銀行聯(lián)合建設，由銀行卡信息交換總中心承建，于由銀行卡信息交換總中心承建，于20002000年年6 6月月2929日正式開始為全國的用戶提供證書服務。日正式開始為全國的用戶提供證書服務。 中國金融認證中心（CFCA） 廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電子商務認證中心廣東省電子商務認證中心是廣東省批準是廣東省批準成立的第一家專業(yè)數(shù)字證書認證機構，前成立的第一家專業(yè)數(shù)字證書認證機構，前身是中國電信南方電子商務中心，創(chuàng)立于身是

10、中國電信南方電子商務中心，創(chuàng)立于19981998年。年。 上海CA（SHECA）上海市上海市CACA中心中心是中國第一家專業(yè)的第是中國第一家專業(yè)的第三方網(wǎng)絡安全和信任服務提供商，創(chuàng)建于三方網(wǎng)絡安全和信任服務提供商，創(chuàng)建于19981998年。年。4.3.3 4.3.3 數(shù)字證書數(shù)字證書數(shù)字證書就是標志網(wǎng)絡用戶身份信息數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體的身份的一系列數(shù)據(jù)，用于證明某一主體的身份以及其公鑰的合法性的一種權威性的以及其公鑰的合法性的一種權威性的電子電子文檔文檔，由權威公正的第三方機構，即，由權威公正的第三方機構，即CACA中中心簽發(fā)。心簽發(fā)。1.1.數(shù)字證書

11、的概念數(shù)字證書的概念 數(shù)字證書可以對網(wǎng)絡上傳輸?shù)男畔⑦M數(shù)字證書可以對網(wǎng)絡上傳輸?shù)男畔⑦M行行加密和解密加密和解密、數(shù)字簽名數(shù)字簽名和和簽名驗證簽名驗證，確，確保網(wǎng)上傳遞信息的機密性、完整性、交易保網(wǎng)上傳遞信息的機密性、完整性、交易實體身份的真實性和簽名信息的不可否認實體身份的真實性和簽名信息的不可否認性。性。2.2.數(shù)字證書的作用數(shù)字證書的作用3.3.數(shù)字證書的格式數(shù)字證書的格式 數(shù)字證書的內(nèi)部格式遵循數(shù)字證書的內(nèi)部格式遵循X.509X.509標準。標準。X.509X.509是由國際電信聯(lián)盟是由國際電信聯(lián)盟(ITU(ITUT)T)制定制定的數(shù)字證書標準。根據(jù)這項標準，證書包的數(shù)字證書標準。根據(jù)這

12、項標準，證書包括括證書申請人的信息證書申請人的信息和和證書發(fā)行機構的信證書發(fā)行機構的信息息。l 證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用X.500格式；l 證書的版本信息。用來與X.509標準的將來版本兼容。l 證書的序列號。每個證書都有一個唯一的證書序列號。l 證書所使用的簽名算法。l 頒發(fā)者。即證書的發(fā)行機構名稱，命名規(guī)則一般采用X.500格式。l 證書的有效期限?，F(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；l 證書主題名稱。l 證書所有人的公開密鑰。包括公鑰算法、公鑰的位字符串表示（只適用于RSA加密體制）；l 包含額外信息的特別擴展。l 證書發(fā)行

13、者對證書的簽名。 標準的標準的X.509X.509數(shù)字證書包含內(nèi)容：數(shù)字證書包含內(nèi)容：1. 1.個人身份證書個人身份證書2. 2.安全郵件證書安全郵件證書3. 3.單位證書單位證書4. 4.服務器證書服務器證書5. 5.代碼簽名證書代碼簽名證書數(shù)字證書按照使用對象劃分數(shù)字證書按照使用對象劃分: :4.4.數(shù)字證書的類型數(shù)字證書的類型 個人身份證書個人身份證書用來表明證書持有者的個人身份或訪問在線信用來表明證書持有者的個人身份或訪問在線信息或服務的權利。主要應用于：個人網(wǎng)上交易、網(wǎng)息或服務的權利。主要應用于：個人網(wǎng)上交易、網(wǎng)上支付、電子郵件等。上支付、電子郵件等。安全郵件證書安全郵件證書包含用戶

14、的郵箱地址信息，用于電子郵件的身包含用戶的郵箱地址信息，用于電子郵件的身份識別、數(shù)字簽名、加密，確保郵件的真實性和保份識別、數(shù)字簽名、加密，確保郵件的真實性和保密性。主要應用于：對電子郵件的內(nèi)容和附件的加密性。主要應用于：對電子郵件的內(nèi)容和附件的加密；對電子郵件進行簽名等。密；對電子郵件進行簽名等。 單位證書單位證書頒發(fā)給獨立的單位、組織，用來在互聯(lián)網(wǎng)上證明該單頒發(fā)給獨立的單位、組織，用來在互聯(lián)網(wǎng)上證明該單位、組織的身份。主要應用于：安全電子郵件傳送、網(wǎng)上位、組織的身份。主要應用于：安全電子郵件傳送、網(wǎng)上公文傳送、網(wǎng)上簽約、網(wǎng)上招標投標、網(wǎng)上辦公系統(tǒng)等。公文傳送、網(wǎng)上簽約、網(wǎng)上招標投標、網(wǎng)上辦

15、公系統(tǒng)等。服務器證書服務器證書頒發(fā)給頒發(fā)給WebWeb站點或其他需要安全鑒定的服務器，以證站點或其他需要安全鑒定的服務器，以證明服務器身份的真實性、安全性和可信任性等，需要和服明服務器身份的真實性、安全性和可信任性等，需要和服務器的務器的IPIP地址或域名進行綁定。地址或域名進行綁定。通?？蛻舳司W(wǎng)絡瀏覽器會自動完成服務器身份的認證，通?？蛻舳司W(wǎng)絡瀏覽器會自動完成服務器身份的認證，服務器端也會根據(jù)需要檢查客戶端證書的有效性。服務器端也會根據(jù)需要檢查客戶端證書的有效性。代碼簽名證書代碼簽名證書代表軟件開發(fā)者的身份，為軟件開發(fā)商提供代表軟件開發(fā)者的身份，為軟件開發(fā)商提供對軟件代碼做數(shù)字簽名的技術，證明軟件的合法對軟件代碼做數(shù)字簽名的技術，證明軟件的合法性，防止軟件代碼被篡改。性，防止軟件