第五章-认证技术.ppt

1 保证信息在传输过程中的安全 加密技术 网上建立一种信任机制 使彼此能确认身份 认证技术 2 第三节认证技术 一 身份认证二 认证中心三 数字证书 3 用户身份认证的最简单 最广的一种方法就是口令方式 口令由数字字母 特殊字符等组成 这种身份认证方法操作十分简单 但最不安全不能抵御口令猜测攻击 一 身份认证 1 基于口令方式的身份认证 4 标记是一种用户所持有的某个秘密信息 硬件 上面记录着用于系统识别的个人信息 如磁卡和智能卡 2 基于标记方式的身份认证 5 生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术 某些人体生物学生理特征 如指纹 DNA图案 视网膜扫描图案进行身份认证 行为方式 签名 语音 3 基于生物识别技术的身份认证 6 PKI publickeyinfrastructure 公钥基础设施 是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范 用户可利用PKI平台提供的服务进行安全通信 PKI的核心 CA 使用CA中心颁发的数字证书进行网上身份的识别 4 PKI方式 7 二 认证中心 CA CertificateAuthority 认证中心 是承担网上安全电子交易认证服务 能签发数字证书 确认用户身份的 与具体交易行为无关的第三方权威机构 8 1 认证中心的职能 认证中心的核心职能是发放和管理用户的数字证书 9 认证中心的四大具体职能 认证中心接受个人 单位的数字证书申请 核实申请人的各项资料是否真实 根据核实情况决定是否颁发数字证书 核发证书 10 证书使用总是有期限的 在证书发行签字时都规定了失效日期 需要及时更新 证书更新 11 证书的撤消可以有许多理由 如发现 怀疑私钥被泄露或检测出证书已被篡改 则CA可以提前撤销或暂停使用该证书 申请撤销 证书撤销 12 证书验证 证书是通过信任分级层次体系 通常称为证书的树形验证结构 来验证的 每一个证书与签发数字证书的机构的签名证书关联 13 2 CA的树型验证结构 14 3 国外CA中心介绍 15 世界上较早的数字证书认证中心 处于领导地位和全球最大的PKI CA运营商是美国VeriSign公司 该公司成立于1995年4月 位于美国的加利福尼亚州 它为全世界50个国家提供数字证书服务 有超过45000个因特网服务器接受该公司的服务器数字证书 另外一家著名的公司是加拿大的ENTRUST 16 4 我国认证中心建设 我国安全认证体系 CA 可分为金融CA与非金融CA两种类型来处理 在金融CA方面 根证书由中国人民银行管理 品牌认证中心采用 统一品牌 联合建设 的方针进行 在非金融CA方面 最初主要由中国电信负责建设 中国金融认证中心 CFCA 和中国电信认证中心 CTCA 是行业性CA中影响最大的两家 17 CFCA是全国唯一的金融根认证中心 由中国人民银行负责统一规划管理 中国工商银行 中国银行 中国农业银行 中国建设银行 交通银行 招商银行 中信实业银行 华夏银行 广东发展银行 深圳发展银行 光大银行 民生银行和福建兴业银行共十三家商业银行联合建设 由银行卡信息交换总中心承建 建立了SETCA和Non SETCA两套系统 于2000年6月29日正式开始为全国的用户提供证书服务 中国金融认证中心 CFCA 18 在管理分工上 中国人民银行负责管理根认证中心CFCA 并负责审批 统一的品牌认证中心 品牌认证中心由成员银行建立对最终持卡人 商业用户和支付网关认证证书的审批 管理和认证等工作 其中管理包括证书申请 补发 重发和注销等内容 19 20 21 区域性CA大多以地方政府为背景 以公司机制来运作 如广东CA中心 CNCA 上海CA中心 SHECA 深圳CA中心 SZCA 其中影响最大的是广东CA中心 CNCA 和上海CA中心 SHECA 区域性CA 22 广东CA及 网证通 NETCA 系统 广东省电子商务认证中心是国家电子商务的试点工程 其前身是中国电信南方电子商务中心 创立于1998年 2001年1月 广东省电子商务认证中心的 网证通 电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测 被认定为安全可信的产品 2001年8月 国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心 成为国内提供网络安全认证服务的重要力量 23 24 上海CA SHECA 上海市CA中心是中国第一个CA认证中心 创建于1998年 经过国家批准并被列为信息产业部全国的示范工程 25 26 国内主要的电子商务认证中心 北京数字证书认证中心 深圳市电子商务认证中心 广东省电子商务认证中心 海南省电子商务认证中心 湖北省电子商务认证中心 上海电子商务安全证书管理中心 中国数字认证网 山西省电子商务安全认证中心 中国金融认证中心 天津电子商务运作中心 27 三 数字证书 数字证书指的是标志网络用户身份信息的一系列数据 用于证明某一主体 如个人用户 服务器等 的身份以及其公钥的合法性的一种权威性的电子文档 由权威公正的第三方机构即CA中心签发 1 数字证书的概念 28 29 2 数字证书的内容 数字证书的内部格式遵循X 509标准 X 509是由国际电信联盟 ITU T 制定的数字证书标准 根据这项标准 证书包括申请证书个人的信息和发行证书机构的信息 30 l证书拥有者的姓名 证书所有人的名称 命名规则一般采用X 500格式 l证书的版本信息 用来与X 509标准的将来版本兼容 l证书的序列号 每个证书都有一个唯一的证书序列号 l证书所使用的签名算法 l颁发者 即证书的发行机构名称 命名规则一般采用X 500格式 l证书的有效期限 现在通用的证书一般采用UTC时间格式 它的计时范围为1950 2049 l证书主题名称 l证书所有人的公开密