unit 3-2 认证技术

1、对称加密算法对称加密算法信息加密和解密使用相同的密钥。信息加密和解密使用相同的密钥。常用加密算法常用加密算法:DES :DES 。加密和解密使用不同的密钥。常用算法：加密和解密使用不同的密钥。常用算法：RSARSA每个用户保存着两个密钥：公钥，私钥。商户每个用户保存着两个密钥：公钥，私钥。商户可以公开其公钥，私钥由用户自己严密保管。可以公开其公钥，私钥由用户自己严密保管。通信时，发送方用接收方的公钥对明文加密后通信时，发送方用接收方的公钥对明文加密后发送，接收方用自己的私钥进行解密。发送，接收方用自己的私钥进行解密。非对称加密算法非对称加密算法4.3 4.3 认证技术认证技术认证技术主要包括身

2、份认证和信息认证。认证技术主要包括身份认证和信息认证。身份认证：身份认证：用于鉴别用户身份。用于鉴别用户身份。信息认证：信息认证：用于保证通信双方的不可抵赖用于保证通信双方的不可抵赖性以及信息的完整性。性以及信息的完整性。4.3.1 4.3.1 身份认证身份认证 交易双方通过网络开展业务，彼此交易双方通过网络开展业务，彼此互不谋面，因此互不谋面，因此必须采取一定的身份识必须采取一定的身份识别技术证实各方的真实身份别技术证实各方的真实身份。 口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单，但最不安全，不能抵御口令猜测攻击。常用的身份认证方式常用的身份认证方式(1) 口令方式口令方

3、式 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统身份识别的个人信息。如银行卡。(2) 标记方式标记方式 某些人体生物学特征，如指纹、声音、视网膜扫描等方式进行身份认证。(3) 人体生物特征方式人体生物特征方式 PKI（Pubic Key Infrastructure）公钥基础设施。 使用认证中心颁发的数字证书来证实网络交易各方的真实身份。(4) PKI方式方式4.3.2 4.3.2 认证中心认证中心 （CACA-Certificate Authority-Certificate Authority）。）。也称为电子认证中心，是承担网上安全电也称为电子认证中心，是承担网上安全电

4、子交易认证服务、能签发数字证书，确认子交易认证服务、能签发数字证书，确认用户身份、与具体交易行为无关的第三方用户身份、与具体交易行为无关的第三方权威机构。权威机构。 认证中心是电子商务环境中整个认证中心是电子商务环境中整个信任信任链的起点链的起点，如果认证中心不安全或不具，如果认证中心不安全或不具有权威性，则网上安全电子交易无从谈有权威性，则网上安全电子交易无从谈起。起。 认证中心的设置有两种途径：认证中心的设置有两种途径：n政府组建或授权：如我国的政府组建或授权：如我国的CACA机构机构n市场竞争中建立信用：如美国的市场竞争中建立信用：如美国的VerisignVerisign公司等。公司等。

5、VeriSignVeriSign公司介绍公司介绍VeriSign(VeriSign(纳斯达克上市代码纳斯达克上市代码: VRSN): VRSN)是全球是全球最大的数字证书颁发机构，是一个提供智能信最大的数字证书颁发机构，是一个提供智能信息基础设施服务的上市公司。息基础设施服务的上市公司。数字证书业务是其起家的核心业务，其数字证书业务是其起家的核心业务，其 SSL SSL 证书被全球证书被全球 500 500 强中有强中有 93% 93% 的企业选用、全的企业选用、全球前球前 40 40 大银行都选用、全球大银行都选用、全球 50 50 大电子商务大电子商务网站中有网站中有4747个网站使用，共

6、有超过个网站使用，共有超过 50 50 万个网万个网站选用站选用 VeriSign VeriSign 的的 SSLSSL证书来确保网站机密证书来确保网站机密信息安全。信息安全。1.1.认证中心的职能认证中心的职能 认证机构的核心职能是发放和管理用户认证机构的核心职能是发放和管理用户的数字证书。的数字证书。认证中心的四大具体职能认证中心的四大具体职能认证中心接受个人、单位的数字证认证中心接受个人、单位的数字证书申请，核实申请人的各项资料是书申请，核实申请人的各项资料是否真实，根据核实情况决定是否颁否真实，根据核实情况决定是否颁发数字证书。发数字证书。证书发放证书发放证书使用是有期限的，在证书发行

7、签证书使用是有期限的，在证书发行签字时都规定了失效日期字时都规定了失效日期 证书更新证书更新证书的撤消可以有许多理由，如发现、证书的撤消可以有许多理由，如发现、怀疑私钥被泄露或检测出证书已被篡改，怀疑私钥被泄露或检测出证书已被篡改，则则CACA可以提前撤销或暂停使用该证书。可以提前撤销或暂停使用该证书。申请撤销。申请撤销。证书撤销表证书撤销表CRLCRL。 证书撤销证书撤销证书验证证书验证证书是通过信任分级层次体系来验证的，证书是通过信任分级层次体系来验证的，每一个证书与签发数字证书的机构的签名证每一个证书与签发数字证书的机构的签名证书关联。书关联。验证时，逐级向上一层验证。验证时，逐级向上一

8、层验证。2.CA2.CA的树型验证结构的树型验证结构 3.3.我国认证中心现状我国认证中心现状我国安全认证体系我国安全认证体系(CA)(CA)可分为金融可分为金融CACA与与非金融非金融CACA两种类型来处理。两种类型来处理。在金融在金融CACA方面，根证书由中国人民银行方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌管理，根认证管理一般是脱机管理；品牌认证中心采用认证中心采用“统一品牌、联合建设统一品牌、联合建设”的的方针进行。方针进行。在非金融在非金融CACA方面，最初主要由中国电信方面，最初主要由中国电信负责建设。负责建设。CFCACFCA 是全国惟一的金融根认证中心，由是

9、全国惟一的金融根认证中心，由中国人民银行负责统一规划管理，联合中国中国人民银行负责统一规划管理，联合中国工商银行、中国银行等商业银行联合建设，工商银行、中国银行等商业银行联合建设，由银行卡信息交换总中心承建，于由银行卡信息交换总中心承建，于20002000年年6 6月月2929日正式开始为全国的用户提供证书服务。日正式开始为全国的用户提供证书服务。 中国金融认证中心（CFCA） 广东CA及“网证通”（NETCA）系统广东省电子商务认证中心广东省电子商务认证中心是广东省批准是广东省批准成立的第一家专业数字证书认证机构，前成立的第一家专业数字证书认证机构，前身是中国电信南方电子商务中心，创立于身是

10、中国电信南方电子商务中心，创立于19981998年。年。 上海CA（SHECA）上海市上海市CACA中心中心是中国第一家专业的第是中国第一家专业的第三方网络安全和信任服务提供商，创建于三方网络安全和信任服务提供商，创建于19981998年。年。4.3.3 4.3.3 数字证书数字证书数字证书就是标志网络用户身份信息数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体的身份的一系列数据，用于证明某一主体的身份以及其公钥的合法性的一种权威性的以及其公钥的合法性的一种权威性的电子电子文档文档，由权威公正的第三方机构，即，由权威公正的第三方机构，即CACA中中心签发。心签发。1.1.数字证书

11、的概念数字证书的概念 数字证书可以对网络上传输的信息进数字证书可以对网络上传输的信息进行行加密和解密加密和解密、数字签名数字签名和和签名验证签名验证，确，确保网上传递信息的机密性、完整性、交易保网上传递信息的机密性、完整性、交易实体身份的真实性和签名信息的不可否认实体身份的真实性和签名信息的不可否认性。性。2.2.数字证书的作用数字证书的作用3.3.数字证书的格式数字证书的格式 数字证书的内部格式遵循数字证书的内部格式遵循X.509X.509标准。标准。X.509X.509是由国际电信联盟是由国际电信联盟(ITU(ITUT)T)制定制定的数字证书标准。根据这项标准，证书包的数字证书标准。根据这

12、项标准，证书包括括证书申请人的信息证书申请人的信息和和证书发行机构的信证书发行机构的信息息。l 证书拥有者的姓名；证书所有人的名称，命名规则一般采用X.500格式；l 证书的版本信息。用来与X.509标准的将来版本兼容。l 证书的序列号。每个证书都有一个唯一的证书序列号。l 证书所使用的签名算法。l 颁发者。即证书的发行机构名称，命名规则一般采用X.500格式。l 证书的有效期限。现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；l 证书主题名称。l 证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示（只适用于RSA加密体制）；l 包含额外信息的特别扩展。l 证书发行

13、者对证书的签名。 标准的标准的X.509X.509数字证书包含内容：数字证书包含内容：1. 1.个人身份证书个人身份证书2. 2.安全邮件证书安全邮件证书3. 3.单位证书单位证书4. 4.服务器证书服务器证书5. 5.代码签名证书代码签名证书数字证书按照使用对象划分数字证书按照使用对象划分: :4.4.数字证书的类型数字证书的类型 个人身份证书个人身份证书用来表明证书持有者的个人身份或访问在线信用来表明证书持有者的个人身份或访问在线信息或服务的权利。主要应用于：个人网上交易、网息或服务的权利。主要应用于：个人网上交易、网上支付、电子邮件等。上支付、电子邮件等。安全邮件证书安全邮件证书包含用户

14、的邮箱地址信息，用于电子邮件的身包含用户的邮箱地址信息，用于电子邮件的身份识别、数字签名、加密，确保邮件的真实性和保份识别、数字签名、加密，确保邮件的真实性和保密性。主要应用于：对电子邮件的内容和附件的加密性。主要应用于：对电子邮件的内容和附件的加密；对电子邮件进行签名等。密；对电子邮件进行签名等。 单位证书单位证书颁发给独立的单位、组织，用来在互联网上证明该单颁发给独立的单位、组织，用来在互联网上证明该单位、组织的身份。主要应用于：安全电子邮件传送、网上位、组织的身份。主要应用于：安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。公文传送、网上签约、网上招标投标、网上办

15、公系统等。服务器证书服务器证书颁发给颁发给WebWeb站点或其他需要安全鉴定的服务器，以证站点或其他需要安全鉴定的服务器，以证明服务器身份的真实性、安全性和可信任性等，需要和服明服务器身份的真实性、安全性和可信任性等，需要和服务器的务器的IPIP地址或域名进行绑定。地址或域名进行绑定。通常客户端网络浏览器会自动完成服务器身份的认证，通常客户端网络浏览器会自动完成服务器身份的认证，服务器端也会根据需要检查客户端证书的有效性。服务器端也会根据需要检查客户端证书的有效性。代码签名证书代码签名证书代表软件开发者的身份，为软件开发商提供代表软件开发者的身份，为软件开发商提供对软件代码做数字签名的技术，证明软件的合法对软件代码做数字签名的技术，证明软件的合法性，防止软件代码被篡改。性，防止软件