电子商务安全与管理-公钥基础设施PKI

公钥基础设施PKI25.1PKI概述5.2CA的结构5.3CA的证书策略5.4CP和CPS的主题内容5.5PKI中的不可否认机制5.6几类不同的PKI目录3引例——PKI的应用模式

PKI是什么呢？它怎么会有如此广的应用范围？它是如何为电子商务安全提供保障？45.1PKI概述5.1.1PKI简介5.1.2PKI核心——CA55.1.1PKI简介

公钥基础设施PKI

(publickeyinfrastructure)又叫公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。PKI应用系统的功能：公钥数字证书的管理证书撤销表的发布和管理密钥的备份和恢复自动更新密钥自动管理历史密钥支持交叉认证5.1PKI概述65.1.2PKI的核心——CA

认证机构CA

(certificateauthority)又叫认证中心，是一个网上各方都信任的机构，专门负责数字证书的发放和管理。CA的功能：接收验证用户数字证书的申请确定是否接收用户数字证书的申请向申请者颁发数字证书接收、处理用户的数字证书更新请求接收用户数字证书的查询、撤销产生和发布数字证书撤销表（CRL）数字证书的归档密钥归档历史数据归档5.1PKI概述75.2CA的结构5.2.1认证路径5.2.2树型层次结构5.2.3森林型层次结构5.2.4通用结构85.2.1认证路径交叉认证数字证书：是由一个认证机构对另一个认证机构签发的包含了该CA的签名密钥的数字证书。认证路径：5.2CA的结构95.2.2树型层次结构5.2CA的结构105.2.3森林型层次结构5.2CA的结构115.2.4通用结构寻找认证路径确认认证路径5.2CA的结构125.3CA的证书策略5.3.1证书策略CP与证书实施说明CPS5.3.2保证等级与证书等级5.3.3证书策略的内容135.3.1证书策略CP与证书实施说明CPS

证书策略CP

，是一套制定的规则，用于说明满足一般安全性要求的数字证书在某个特定的团体里和（或）某一类应用中的应用能力。

证书实施说明CPS

，规定了在认证过程中要遵循的操作程序。5.3CA的证书策略145.3.2保证等级与证书等级保证等级：初级基本级中级高级证书等级：验证要求私钥保护要求操作、管理和物理控制方面的要求5.3CA的证书策略155.3.3证书策略的内容介绍一般规定识别与数字证书策略操作要求物理、过程、与人员的安全控制技术安全控制数字证书及数字证书撤销表文件管理规范5.3CA的证书策略165.4CP和CPS的主题内容5.4.1第一部分：介绍5.4.2第二部分：一般规定5.4.3第三部分：身份识别和身份验证5.4.4第四部分：操作要求5.4.5第五部分：物理、过程和人员的安全控制5.4.6第六部分：技术安全控制5.4.7第七部分：证书和证书撤销表5.4.8第八部分：规范管理175.4.1第一部分：介绍社团成员和互操作性证书使用数字签名验证过程记录和签名标识符5.4CP和CPS的主题内容185.4.2第二部分：一般规定义务责任支付能力解释和实施证书发行和证书库符合性审计机密性调查损害的权利犯罪活动5.4CP和CPS的主题内容195.4.3第三部分：身份识别和身份验证初始注册：命名初始注册：身份验证个人到场带外验证个人数据的第三方验证5.4CP和CPS的主题内容205.4.4第四部分：操作要求证书申请证书发行证书接收证书中止和撤销记录归档灾难及灾难恢复认证机构终止服务5.4CP和CPS的主题内容215.4.5第五部分：物理、过程和人员的安全控制物理控制过程控制人员控制5.4CP和CPS的主题内容225.4.6第六部分：技术安全控制密钥对的产生和安装私钥保护其他技术安全控制5.4CP和CPS的主题内容235.4.7第七部分：证书和证书撤消表

主要描述了与认证机构签发的数字证书及数字证书撤销表内容有关的需求。5.4CP和CPS的主题内容245.4.8第八部分：规范管理规范改变程序发行和通知程序CPS批准程序5.4CP和CPS的主题内容255.5PKI中的不可否认机制5.5.1基本概念5.5.2三种不可否认机制5.5.3不可否认机制所涉及的活动5.5.4可信任的第三方作用5.5.5不可否认机制的实施265.5.1基本概念

在电子商务中，不可否认机制被定义为一种通信属性，它保护通信的一方不受另一方谎称通信没有发生而导致的损害。5.5PKI中的不可否认机制275.5.2三种不可否认机制来源的不可否认机制主要解决是否某一方生成了特定消息、生成的时间如何等问题。送递的不可否认机制主要解决是否某一方受到了特定的数据消息、收到的时间如何等问题。提交的不可否认机制主要解决是否某一方传送或提交了特定数据消息，提交的时间如何等问题。5.5PKI中的不可否认机制285.5.3不可否认机制所涉及的活动不可否认的请求记录的生成记录的分发记录的核实记录的保存5.5PKI中的不可否认机制295.5.4可信任的第三方的作用

可信任第三方，就是指一个能够帮助实现基于计算机的信息传送的安全性和可信性的独立和中立的第三方。作用：公钥认证身份确认时间戳影响因素：防伪性、耐久性、可审核性、独立性、精确性、间隔记录的保存送递中介争议解决5.5PKI中的不可否认机制305.5.5不可否认机制的实施一、来源不可否认机制的实施由发送方进行数字签名由可信任的第三方进行数字签名由可信任的第三方对摘要进行数字签名内嵌可信任的第三方二、送递不可否认机制的实施由接收方发送数字签名回执利用可信任的送递代理生成分段送递报告三、提交不可否认机制的实施5.5PKI中的不可否认机制315.6几种不同的PKI5.6.1基于PEM的PKI5.6.2基于SET的PKI5.6.3VeriSign信任网络325.6.1基于PEM的PKI5.6几类不同的PKI335.6.2基于SET的PKI5.6几类不