网络信息安全 第四章 数字签名与CA认证技术 网络信息安全 数字签名与CA认证技术.

Slides:



Advertisements
Similar presentations
上海市场首次公开发行股票 网下发行电子化方案 初步询价及累计投标询价 上海证券交易所 上市公司部.
Advertisements

數位學習中心 大仁科技大學遠距教學 數位學習中心
Public key infrastructure
“321人才计划”情况介绍 南京高新技术产业开发区 人才工作办公室.
南宁市中考网上报名录取系统 使用手册 2014年5月.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
密码学应用 培训机构名称 讲师名字.
電子商務安全防護 線上交易安全機制.
电子商务基础(第二版).
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
PKI在金融领域的应用及前景展望 中国金融认证中心 赵宇 2012年9月.
住房和城乡建设部科技发展促进中心 全国建设行业电子认证平台应用介绍 电子认证工作办公室 曹吉昌.
第18章 网络安全III —身份认证和公钥基础设施
类风湿性关节炎的中医治疗 广州中医药大学第一附属医院 陈纪藩.
邮币卡开户、银行签约、出入金流程.
实验一:分析“征途游戏”网站的类型与推广手段
簡報內容 網路請購系統說明 經費授權注意事項 請購單&授權應用範例 系統環境及設定. 簡報內容 網路請購系統說明 經費授權注意事項 請購單&授權應用範例 系統環境及設定.
《电子商务概论》 第4章 企业网络经营战略.
安徽地税金三电子税务局 系统培训 2015年12月.
06資訊安全-加解密.
第五章电子商务安全管理.
电子商务企业认证机构简介 制作PPT :马彦虎 资料查找:陈楠 李大鹏 旅游管理122班 时间:2014年11月23日.
第5章 网络营销 5.1 市场和营销理念的变迁 5.2 网络营销 5.3 网络营销模式与策略 5.4 网络营销技术 5.5 网上购物流程
實踐課程學習申請系統操作 畫面流程-學生版
文書檔案與實務概述 103年7月30日 主講人:總務處文書組單秀琴組長.
電子戶籍謄本申辦及驗證實務作業與問題討論
大專院校校園e 化 PKI、智慧卡應用與整合.
法 师 带 观 修 互 动 答 题 法 师 答 疑. 法 师 带 观 修 互 动 答 题 法 师 答 疑.
北京市医师定期考核信息管理系统 在线考试培训会 北京市卫生和计划生育委员会 北京市医师定期考核办公室 2016年9月
第22章 汽车制动系 学习目标 1.掌握制动系的工作原理 2.掌握液压传动装置的结构 3.掌握气压传动装置的结构.
電子商務 11-1 電子商務概論 11-2 電子商務交易安全與 加密機制 11-3 電子商務交易付費機制
以憑證中心機制強化跨校無線漫遊認證環境安全 ;
資訊安全-資料加解密 主講:陳建民.
第10章 网络安全 本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒.
Windows 2000 Server Certificate Authority架設
Module 2:電子商務之安全.
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
電子商務付費系統 講師:王忍忠.
第 15 章 網路安全.
第十二讲 数字签名算法 郑东 上海交通大学计算机科学与工程系.
正荣集团企业门户 基本流程培训
吉林省信息技术与教学融合优质课大赛 参赛教师提交大赛作品流程 吉林省电化教育馆.
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第十六讲 椭圆曲线.
第4章 电子商务交易安全 电子商务安全概述 电子商务的安全问题 1.卖方面临的问题 (1)中央系统安全性被破坏
宿舍系統 學期申請作業 操作說明 學務處.
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
機械製造期末報告- 加工切削 組員:高德全4A 林威成4A 陳柏源4A
1072學期教學助理勞僱化 行政流程說明會 報告單位: 教發中心 108年2月22日.
首届全国高校数学微课程教学设计竞赛 济南大学 吕洪波.
招募與甄選 招募作業流程 履歷資料處理及面試時程安排約須2~3週,透過網路人力銀行及奇美電子網頁登錄者優先處理,於收到求職者從人力銀行遞送之電子履歷後將會以 回函通知已收到履歷,以書面寄送之履歷表暫無法進行回覆。
杭州国家粮食交易中心 欢迎您!.
研究生出国申请流程 学生使用手册.
財物管理實務作業 及財產管理系統操作說明 總務處事務組:董湘君 分機:
整合線上軟體開發工具、線上廣播與加密技術之軟體工程線上考試系統
大葉服務學習執行說明 課外活動暨服務學習中心:黃泰元.
進貨管理介接更動 有關「匯入進貨資料」傳,請注意「上游業者出貨單號」,上游業者出貨單號要配合「匯出上游出貨資料」中的「出貨單號」或是「自有系統上傳的出貨單號」。 Ø  若「自有系統上傳的出貨單號」有值,則「匯入進貨資料」中的「上游業者出貨單號」就要key入「匯出上游出貨資料」中的「自有系統上傳的出貨單號」。
目 录: 一、网络存储系统的登录 二、网络存储系统的基本使用 三、学生提交作业功能的使用 四、教师开放资源功能的使用.
一切都是課程 『國際教育』在明道.
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
道家的中心觀念.
學生學習診斷與進展評量 測驗科目:第一次國語文、第二次數學 (數學要帶紙筆計算)
應用加密技術 張維哲 指導老師:梁明章.
網路安全技術 淺談金鑰系統的應用 A 陳靖宇.
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

网络信息安全 第四章 数字签名与CA认证技术 网络信息安全 数字签名与CA认证技术

教学目的和要求 网络信息安全 数字签名与CA认证技术 安全认证技术的主要作用是进行信息认证,信息认证是为了确认信息发送者的身份并验证信息的完整性,本章综合介绍各种安全认证技术,包括数字签名技术、数字证书技术、身份认证技术及CA认证中心的原理与应用。使读者能够了解信息安全认证技术在信息安全中的重要性,熟悉不同安全认证技术的使用方法和应用领域,掌握安全认证技术在网络信息处理中的应用。

主要内容 网络信息安全 数字签名与CA认证技术 4.1 数字签名原理、种类与方法 4.2 数字证书 4.3 身份认证技术 4.4 产品与应用

4.1 数字签名原理、种类与方法 4.1.1数字签名的概念 4.1.2 数字签名的原理 4.1.3 数字签名的的方法与种类 网络信息安全 4.1 数字签名原理、种类与方法 网络信息安全 数字签名与CA认证技术 4.1.1数字签名的概念 4.1.2 数字签名的原理 4.1.3 数字签名的的方法与种类

概述--安全认证技术 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。 数字签名为电子商务提供不可否认服务 。 网络信息安全 数字签名与CA认证技术 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。 数字签名为电子商务提供不可否认服务 。 认证中心 (CA)是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。 公钥基础设施PKI是一个包括硬件、软件、人员、政策和手续的集合,用来实现基于公钥密码体制的证书产生、管理存储、发行和撤销等功能。

4.1.1数字签名的概念 网络信息安全 数字签名与CA认证技术 所谓数字签名(Digital Signature),也称为电子签名,是指利用电子信息加密技术实现在网络传送信息报文时,附加一小段只有信息发送者才能产生而别人无法伪造的特殊个人数据标记(数字标签),代表发送者个人身份,起到传统书面文件的上手书签名或印章的作用,表示确认、负责、经手、真实作用等。

一、数字签名满足以下条件: (1)签名是可以被确认的,即接收方可以确认或证实签名确实是由发送方签名的; 网络信息安全 数字签名与CA认证技术 (1)签名是可以被确认的,即接收方可以确认或证实签名确实是由发送方签名的; (2)签名是不可伪造的,即任何其他人不能伪造签名; (3)签名不可重用,即签名是消息(文件)的一部分,不能把签名移到其它消息(文件)上; (4)签名是不可抵赖的,即签名者事后不能抵赖自己的签名; (5)第三方可确认签名但不能篡改,如果当事人双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。

二、数字签名的安全性 网络信息安全 数字签名与CA认证技术 (1)数字签名利用密码技术进行,是一组其他任何人无法伪造的数字串,通过数字签名可以达到与传统签名同样的效果,并且比真实的签名更具有不可伪造性。 (2)数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化,并没有第二个人可以做出同样的签名。 (3)数字签名技术的实质在于对特定数据单元的签名,而不是加密整个文件。因此,数字签名在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证文件确实是由合法者产生,而不是由其他人假冒, (4)当该签名得到检验之后,能够在任何时候向第三方即仲裁人提供签名人的身份的证明。

4.1.2 数字签名的原理 网络信息安全 数字签名与CA认证技术 数字签名方案一般由两部分组成:签名算法和验证算法。其中,签名算法是秘密的,只有签名人知道,而验证算法是公开的,任何接收方都可进行验证。

一、数字签名机制 网络信息安全 数字签名与CA认证技术 把数字摘要和公钥算法这两种机制结合起来就可以产生所谓的数字签名。数字签名技术利用公开密钥加密算法和数字摘要技术,分别解决电子文件或信息报文网络传送与交换后的不可否认性与真实性,通俗地讲,就是防抵赖与防伪、防篡改。

二、数字签名的应用原理 (1)发送方利用数字摘要技术,使用单向Hash函数对信息报文M进行数学变换,得到信息报文的数字摘要A; 网络信息安全 数字签名与CA认证技术 (1)发送方利用数字摘要技术,使用单向Hash函数对信息报文M进行数学变换,得到信息报文的数字摘要A; (2)发送方使用公开密钥加密算法,利用自己的私人密钥对数字摘要A进行加密(签名),得到一个特殊的字符串,称为数字标记(这个特殊的数字标记就是发送者加在信息报文上的数字签名): (3)发送方把产生的数字签名附在信息报文之后,一同通过因特网发给接收方:

二、数字签名的应用原理 网络信息安全 数字签名与CA认证技术 (4)接收方收到数字签名和信息报文M’。由于信息报文可能在传输过程中被篡改,接收方收到信息报文用M’表示,与发送方发送的信息报文M可能有区别。 (5) 接收方收到附加签名的信息原文后,需验证对方的真实身份,接收方利用发送方的公开密钥对收到的对签名部分进行解密,得到数字摘要A,并且由此确定发送方的确发来了他的数字标记,认证发送方的身份,其行为不可抵赖; (6)接收方再将得到的信息报文M’利用单向Hash函数进行数学变换,产生信息报文M’的数字摘要A’; (7)接收方比较数字摘要A与数字摘要A’ 是否相同,如果相同,说明信息报文M’与信息报文M是一致而真实的,数字签名有效,否则收到的信息报文M’不是发送方发送的真实报文M,签名无效。 如图4.1所示。

图4.1使用公钥密码体系的数字签名 网络信息安全 数字签名与CA认证技术 HASH 数字摘要A 数字摘要A 数字签名 数字签名 发送者私钥 因特网 发送者公钥 报文M 对比 原文M’ HASH 数字摘要A’ 发送方 接收方

三、数字签名的应用 1、 基于RSA的数字签名 网络信息安全 数字签名与CA认证技术 1、 基于RSA的数字签名 利用RSA公钥密码机制进行数字签名的。在RAS签名机制中,单向散列函数(Hash)的输出(散列和)的长度是固定的,而且远远小于原信息报文的长度。RSA密码的加密运算和解密运算具有相同的形式,都是幂运算,其加密算法和解密算法是互逆的,因此可用于数字签名设计。从安全性上分析,RSA数字签名安全性依赖于整数因子分解的困难性,同时由于签名体制的特点是其他人不能伪造,所以是比较安全的。

三、数字签名的应用 2、基于椭圆曲线密码的数字签名 网络信息安全 数字签名与CA认证技术 2、基于椭圆曲线密码的数字签名 椭圆曲线密码具有安全、密钥短、软硬件实现节省资源等特点, 利用椭圆曲线密码可以很方便地实现数字签名。ECDSA就是基于椭圆曲线离散对数问题的数字签名方法,2000年美国政府已将椭圆曲线密码引入数字签名标准DSS。

三、数字签名的应用 3、基于ElGamal密码的数字签名 网络信息安全 数字签名与CA认证技术 3、基于ElGamal密码的数字签名 ElGamal公钥密码体制是由T. ElGamal于1985年提出的一个即可用于公钥密码体制,又可用于数字签名的密码体制。ElGamal公钥密码机制是根据求解离散对数为困难问题来保证其安全性,通过选取随机数来对消息进行签名。其特点是由于随机数选取的不同,对同一消息会有不同的签名结果。因此采用ElGamal公钥密码机制的ElGamal数字签名属“非确定性”签名方案,即对于给定的消息有多种合法的签名。ElGamal数字签名的安全性基于求解离散对数的困难上,若攻击者不知道签名者的密钥而伪造签名时就需要求解离散对数问题,这一般是很难成功的。

三、数字签名的应用 4、美国数字签名标准(DSS) 网络信息安全 数字签名与CA认证技术 4、美国数字签名标准(DSS) 1994年美国政府颁布了数字签名标准DSS(Digital Signature Standard),这标志着数字签名已得到政府的支持。数字签名标准DDS是基于E1Gamal公开密钥密码的数字签名,2000年美国政府又将RSA和椭圆曲线密码引入数字签名标准DSS,进一步充实了DSS的算法。这是惟一由政府公布的签名算法,并被采纳为联邦信息处理标准。DDS特别适合于金融服务业。DDS的缺陷是密钥的长度太小,针对DSS密钥太短的批评,美国政府将DSS的密钥从原来的512位提高到512~l 024位,从而使DSS的安全性大大增强。

4.1.3 数字签名的的方法与种类 网络信息安全 数字签名与CA认证技术 一、双重签名 二、数字时间戳 三、不可否认签名 四、盲签名

双重签名(一) 网络信息安全 数字签名与CA认证技术 所谓双重签名,就是消息发送方对发给不同接收方的两条信息报文分别进行Hash运算,得到各自的数字摘要,然后将这两条数字摘要连接起来,再进行Hash运算,生成新的数字摘要,即双重数字摘要,最后用发送方的私人密钥对新的双重数字摘要加密,得到一个基于两条数字摘要基础上的数字签名。

双重签名(二) 网络信息安全 数字签名与CA认证技术 双重签名技术的应用不仅能够证实商家收到的信息没有被篡改,而且还能证实银行收到的信息也没有被篡改,同时保证了商家与银行只能知晓客户发出的完整购物单据信息中应看的那一部分,对对客户的其它隐私进行了保密。

双重签名(三) 网络信息安全 数字签名与CA认证技术 双重签名优点是发信者对两个消息M1和M2只需要计算一个签名,在电子商务系统中,许多支付系统都采用这一方案,在一次支付过程中,显然有两个关联数据,一个是关于转账的财务数据,另一个是关于所购的物品数据,因而与这一方案相适应。另外,双重签名还可应用于Intemet上其他多方实体问的安全有效通信。

数字时间戳(一) 网络信息安全 数字签名与CA认证技术 数字时间戳(Digital Time-Stamp,DTS) 是由专门的机构提供网络安全服务项目,提供电子文件发表时间的安全保护。Intemet上的 “数字时间戳”是一个经过加密后形成的凭证文档,如图4.2所示 。 时间戳可作为科学家的科学发明文献的时间认证。

图4.2数字时间戳的形成过程 摘要 数字时间戳 摘要时间 Hash 用DTS机构的私钥签名 加时间 发送方 原文 到了时间后的新摘要 因特网 网络信息安全 数字签名与CA认证技术 摘要 数字时间戳 摘要时间 Hash 用DTS机构的私钥签名 加时间 发送方 原文 到了时间后的新摘要 因特网 DTS机构

数字时间戳(二) 数字时间戳的形成过程 (1)用户将需要加时间戳的原文通过Hash加密形成摘要; (2)将此摘要通过因特网发送到DTS机构; 网络信息安全 数字签名与CA认证技术 数字时间戳的形成过程 (1)用户将需要加时间戳的原文通过Hash加密形成摘要; (2)将此摘要通过因特网发送到DTS机构; (3)DTS对收到的摘要加日期、时间信息进行数字签名形成数字时间戳; (4)DTS将数字时间戳回送到用户。

数字时间戳(三) 时间戳是一个经加密后形成的凭证文档,它包括三个部分: ①需加时间戳的文件的摘要(digest); ②收到文件的日期和时间; 网络信息安全 数字签名与CA认证技术 时间戳是一个经加密后形成的凭证文档,它包括三个部分: ①需加时间戳的文件的摘要(digest); ②收到文件的日期和时间; ③DTS的数字签名。

不可否认签名(一) 网络信息安全 数字签名与CA认证技术 对于软件等需要保护知识产权的电子出版物来说,却不希望容易地进行复制,否则其知识产权和经济利益将受到危害。这种不允许使用者任意复制的签名即为不可否认签名。 对于不可否认签名,在得不到签名者配合的情况下其他人不能正确进行签名验证,从而可以防止非法复制和扩散签名者所签署的文件。这对于保护软件等电子出版物的知识产权有积极意义。

不可否认签名(二) 不可否认协议可以证实以下两点: a)签名者可以证实接收者所提供的假签名确实是假的; 网络信息安全 数字签名与CA认证技术 不可否认协议可以证实以下两点: a)签名者可以证实接收者所提供的假签名确实是假的; b)接收者提供的真签名不可能(极小的成功概率)被签名者证实是假的

盲签名(一) 网络信息安全 数字签名与CA认证技术 需要某个人对某数据签名,而又不能让他知道数据的内容,我们称这种签名为盲签名(Blind Signature)。在无记名投票选举和数字化货币系统中往往需要这种盲签名。

盲签名(二) 盲签名与普通签名相比有两个显著的特点: ①签名者不知道所签名的数据内容; ②在签名被接收者泄露后,签名者不能追踪签名。 网络信息安全 数字签名与CA认证技术 盲签名与普通签名相比有两个显著的特点: ①签名者不知道所签名的数据内容; ②在签名被接收者泄露后,签名者不能追踪签名。

盲签名(三) 网络信息安全 数字签名与CA认证技术 盲签名由D.Chaum首先提出,D.Chaum形象地将盲签名比喻成在信封上签名,即明文好比书信的内容,为了使签名者看不到明文,把信纸放进一个具有复写能力的信封中,这一过程称为盲化过程。经过盲化的文件,别人是不能读的。在盲化后的文件上签名,好比是使用硬笔在信封上签名。虽然是在信封上签名,但因为信封具有复写能力,所以签名也会签到信封内的信纸上。

4.2 数字证书 网络信息安全 数字签名与CA认证技术 4.2.1数字证书的格式 4.2.2证书的获取与管理 4.2.3验证证书

4.2.1数字证书的格式 网络信息安全 数字签名与CA认证技术 数字证书(Distal ceEtinea,Digital B)是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。数字证书包含用户身份信息、用户公钥信息以及证书发行机构对该证书的数字签名信息。数字证书即利用电子信息技术手段,确认、鉴定、认证Internet上信息交流参与者的身份或服务器的身份,是一个担保个人、计算机系统或者组织(企业或政府部门)的身份,并且发布加密算法类别、公开密钥及其所有权的电子文档。

4.2.1数字证书的格式(一) 基本数据信息和发行数据证书的CA签名与签名算法两部分组成 网络信息安全 数字签名与CA认证技术 基本数据信息和发行数据证书的CA签名与签名算法两部分组成 (1)版本信息(Version):用来区分X.509证书格式的版本;; (2) 数字证书序列号, 每个证书的序列号是惟一的; (3) 有效使用期限,包括起始、结束日期;: (4) 证书颁发者信息:包括颁发数字证书的单位及其数字签名; (5) 证书与公钥的使用者的相关信息,包括证书拥有者的姓名,证书拥有者的公钥; (6) 公钥信息,包括公开密钥加密体制的算法名称、公钥的有限期。 (7)发行数字证书的CA签名与签名算法,用以验证数字证书是否是由该CA的签名密钥签署的,以保让证书的真实性与内容的真实性。

4.2.1数字证书的格式(二) 数字证书认证机构CA 网络信息安全 数字签名与CA认证技术 数字证书认证机构CA 数字证书方要通过CA中心来验证真伪,并逐级往上验证各级认证机构数字证书的真伪。各级认证机构是按根认证机构(Root CA)、品牌认证机构(Brand CA)以及持卡人、商户或收单银行支付网关认证机构由上而下按层次结构建立的。

4.2.1数字证书的格式(三) 数字证书根据使用者不同分为 (1)个人证书 (2)服务器证书 (3)支付网关证书 (4)认证中心CA证书 网络信息安全 数字签名与CA认证技术 数字证书根据使用者不同分为 (1)个人证书 (2)服务器证书 (3)支付网关证书 (4)认证中心CA证书

4.2.2证书的获取与管理(一) 网络信息安全 数字签名与CA认证技术 数字证书的申请步骤是:用户向认证中心提出申请证书,并说明自己的身份,提供有关证明材料。认证中心在验证用户身份和核实证明材料后,向用户发放数字证书。

4.2.2证书的获取与管理(二) 网络信息安全 数字签名与CA认证技术 证书管理的管理也是由认证中心来完成的,管理功能包括:用户能够方便地查找各种证书,包括已经撤销的证书,根据用户请求或证书的有效期撤销用户证书,完成证书数据库的备份工作,并有效地保护证书和密钥服务器的安全,特别是认证中心的签名密钥不被非法使用。

4.2.3验证证书(一) 网络信息安全 数字签名与CA认证技术 在X.509中的验证就是基于公开密钥密码系统的,分三种不同信赖程度的验证:分别是“单向认证”(0ne-way Authentication)、“双向验证”(Two-way Authentication)以及“三向验证”(Three-way Authentication)。

4.2.3验证证书(二) 1、单向验证 单向验证只包含一条信息,可达到下列验证的功能: 网络信息安全 数字签名与CA认证技术 1、单向验证 单向验证只包含一条信息,可达到下列验证的功能: (1)由发送方送出的身份识别数据,可以确认发送方的身份。 (2)由发送方送出的身份识别数据,确实是要送给接收方的。 (3)可以确保发送方送出饷身粉识别数据的完整性,且可确认数据是发送方_所送出的。

4.2.3验证证书(三) 网络信息安全 数字签名与CA认证技术 2、双向验证 双向验证是指通信双方同时对其另一方的验证,也称为相互认证。双向验证包含有两条信息,一条为单向验证的发送方送出的信息,另外一条为接收方回复给发送方的回复信息。功能包括: 由收方送回给发方的身份识别数据,且可确认数据是收方所产生的,信息的接收端确实是发方。 ·可以保证由收方送回给发方的身份识别数据的完整性。 ·双方可以共享身份识别数据中的秘密部分。

4.2.3验证证书(四) 网络信息安全 数字签名与CA认证技术 3、三向验证 三向验证除了包含双向验证的信息之外,发送方还需要再发送一道应答信息给接收方。其功能可达到双向识别的功能,但是不需要检查时间戳,只需检查不重复随机数是否正确即可。

4.3 身份认证技术 网络信息安全 数字签名与CA认证技术 4.3.1身份认证的方法 4.3.2CA认证中心

4.3.1身份认证的方法(一) 网络信息安全 数字签名与CA认证技术 认证(Authentication)又称鉴别、确认,它是证实某事是否名符其实或是否有效的一个过程。认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性,来达到验证称谓者是否名符其实的目的。

4.3.1身份认证的方法(二) 1、基于用户知道什么的身份认证 网络信息安全 数字签名与CA认证技术 1、基于用户知道什么的身份认证 这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术,但也有其它技术,如密钥。具体操作如下。 ①用户输入名字和口令 ②客户发送名字和口令 ③服务器使用口令来认证用户身份 ④服务器对已经认证用户进行授权

4.3.1身份认证的方法(三) 2、基于用户拥有什么的身份认证 基于用户拥有什么的身份认证技术使用的是令牌。 网络信息安全 数字签名与CA认证技术 2、基于用户拥有什么的身份认证 基于用户拥有什么的身份认证技术使用的是令牌。 令牌包括两种:记忆令牌和智能卡。 记忆令牌中对信息进行存储,而不对信息进行处理,使用专业读/写设备来对令牌上的信息进行读写。记忆令牌的最常见的形式就是磁卡。记忆令牌和身份识别码一起使用时比单独使用口令更安全。

4.3.1身份认证的方法 3、基于用户是谁的身份认证 网络信息安全 数字签名与CA认证技术 3、基于用户是谁的身份认证 这种机制采用用户的独特的生理特性来认证用户的身份,即生物特征识别技术。生理特征包括:生理属性,如指纹、视网膜;行为属性,如声音、手写签名。这些技术已经应用到了计算机的登录程序中。

4.3.2CA认证中心(一) 网络信息安全 数字签名与CA认证技术 所谓认证中心,也称数字证书认证中心,英文为Certification Authority,简称CA,是基于Internet平台建立的一个公正的、有权威性的、独立的、受信赖的组织机构,主要负责数字证书的发行、管理以及认证等服务,以保证网上业务安全可靠地进行。

4.3.2CA认证中心(二) 网络信息安全 数字签名与CA认证技术 CA的技术基础是PKI(Public Key Infrastructure)体系,即公开密钥体系或公开密钥基础,是一种遵循既定标准的密钥管理平台,能为所有网络应用服务提供加密和数字签名等密码服务及其必需的密钥和证书管理体系。PKI利用公钥理论和技术建立网络安全服务的基础设施,PKI技术是信息安全技术的核心,也是电子商务交易与网络支付的关键和基础技术。PKI的基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。一个完整的PKI系统的基本构成包括权威的认证中心CA,数字证书库,密钥备份及恢复系统,证书作废系统,应用接口等。

4.3.2CA认证中心(三) 网络信息安全 数字签名与CA认证技术 CA认证数字证书采用一种树形验证结构。在双方通信时,通过出示由某个CA签发的证书证明自己的身份。如果对签发证书的CA本身不受信任,可再验证CA的身份,依次类推,一直到公认的权威CA处,才可确信证书的有效性。每个证书均与数字化签发证书的CA实体签名证书关联。沿着信任树直到一个公认的信任组织,就可确认该证书是有效的。例如,C的证书是由名称为B的CA签发的,而B的证书又由名称为A的CA签发的,A是权威的机构,通常称为Root CA。验证到了Root CA处,就可确信C的证书是合法的。

4.3.2CA认证中心(四) CA主要功能包括八个方面: (1)生成CA证书及公共密钥对 (2)验证申请人身份 (3)颁发数字证书 网络信息安全 数字签名与CA认证技术 CA主要功能包括八个方面: (1)生成CA证书及公共密钥对 (2)验证申请人身份 (3)颁发数字证书 (4)证书以及持有者身份认证查询 (5)证书管理及更新 (6)吊销证书 (7)制定相关政策 (8)有能力保护数字证书服务器的安全

4.3.2CA认证中心(五) 网络信息安全 数字签名与CA认证技术 CA分成CA证书服务中心和RA审核受理处两部分,证书服务中心负责证书的的申请、制作、发放,审核受理处负责用户身份认证。CA与RA之间一般通过专线连接。 RA审核受理处由能够认定用户身份的单位来担任。CA证书服务中心收到用户的证书请求后,向RA审核受理处要求证明用户的合法与真实性;得到证明后,CA证书服务中心向用户颁发证书。也可以让用户先到RA审核受理处当面申请填表,RA审核受理处批准后,将信息传送到CA证书服务中心;CA证书服务中心在收到用户的证书请求后,就能立即给以答复。 如图4.3所示。

图4.3功能较为完整的CA组成框架 网络信息安全 数字签名与CA认证技术 证书服务中心 RS CP 黑名单库 RA 业务受理点 网络专线 证书用户 网络

4.3.2CA认证中心(六) 网络信息安全 数字签名与CA认证技术 世界上最著名的CA认证中心是美国Verisign公司,早已在美国NASDAQ上市。发展到现在,已为超过2 700万Web站点提供了认证服务,其个人客户就更多了。世界500强的绝大多数企业的网上业务,特别是网络支付业务都用Verisign的认证服务。

4.3.2CA认证中心(七) 中国已经有了CA认证中心 北京数字证书认证中心 中国金融认证中心 上海市电子商务安全认证中心、 网络信息安全 数字签名与CA认证技术 中国已经有了CA认证中心 北京数字证书认证中心 中国金融认证中心 上海市电子商务安全认证中心、 山西省电子商务安全认证中心、 广东省电子商务认证中心

4.4 产品与应用 4.4.1上海市电子商务安全证书的数字证书的申请 4.4.2广东省交通行业虚拟CA数字证书办理流程 网络信息安全 4.4 产品与应用 网络信息安全 数字签名与CA认证技术 4.4.1上海市电子商务安全证书的数字证书的申请 4.4.2广东省交通行业虚拟CA数字证书办理流程

4.4.1上海市电子商务安全证书的数字证书的申请 网络信息安全 数字签名与CA认证技术 (1)携带申请表和有效证件至受理点,在www.sheca.com上下载证书申请(更新)表格 ,阅读SHECA个人证书申请责任书,填写申请表并准备申请所需的有效证件复印件。 (2)受理点审核,用户交纳证书年费,领取数字证书。 (3)网上申请数字证书,使用浏览器进入上海市电子商务安全证书管理中心。进入主页后,在线提交填写的证书申请表,单击页面中的“证书在线申请”选项。

4.4.1上海市电子商务安全证书的数字证书的申请 网络信息安全 数字签名与CA认证技术 (4) 在 “证书”对话框中,单击“证书下载”按钮,进入证书下载页面,输入受理处所给的密码信封序列号,单击“开始下载”按钮,下载个人证书和根证书,如果没有证书管理器,也可下载。 (5)下载完成后,选择所要申请的证书类型,“个人E-mail证书申请”,按照受理点所给内容填写好密码信封序列号和密码,单击“现在登录”进入申请证书页面,按提示完成证书的安装。 (6) 申请成功后,会自动将证书下载并安装到浏览器中,并在网页上显示“你的证书已经申请成功并且装入了浏览器中”。 (7) 查看证书。在IE浏览器中,依次单击“工具”菜单一“Intemet选项”菜单,在“Intemet选项”窗口中,选择“内容”标签,再单击“证书”按钮,打开“证书管理器”窗口,在列表中可见SHECA颁发的证书,选定该证书,单击图中的查看按钮,可查看证书的详细信息。

4.4.2广东省交通行业虚拟CA数字证书办理流程 网络信息安全 数字签名与CA认证技术 申请证书 (1) 登陆网站,下载申请表格 (2)填写、保存并打印申请表格 (3)缴纳电子密钥工本费和数字证书服务费 (4)提交审核资料 (5)领取电子密钥

4.4.2广东省交通行业虚拟CA数字证书办理流程 网络信息安全 数字签名与CA认证技术 数字证书挂失 (1)登陆网站,下载申请表格 (2)填写、保存并打印申请表格(同“数字证书申请办理流程”) (3)提交审核资料

4.4.2广东省交通行业虚拟CA数字证书办理流程 网络信息安全 数字签名与CA认证技术 数字证书取消挂失 数字证书找回后,即可拨打上述电话或前往广东省交通行业虚拟CA办公所在地告知需取消挂失的数字证书业务受理号及其相关身份证明信息,办理取消挂失手续。

知识归纳 网络信息安全 数字签名与CA认证技术 本章介绍了网上的数字签名与数字证书的原理与应用,身份认证的方法与CA中心的功能与使用,通过应用实例使读者掌握CA中心的工作流程和用户申请数字证书的方法,从而在今后的网络通信中能够更好地保护自己的利益不受损害。

习题与思考题 1. 数字签名的概念 2. 数字签名的原理是什么?举例说明 3. 举例说明数字签名的应用领域。 网络信息安全 数字签名与CA认证技术 1.       数字签名的概念 2.       数字签名的原理是什么?举例说明 3.       举例说明数字签名的应用领域。 4.       什么是认证?认证与签名的区别是什么? 5.       什么是数字证书?它与数字签名的区别是什么? 6.       举例说明CA的作用与功能。 7.       试说明CA的框架体系结构。 8.       简述目前我国的CA中心的发展情况 9.       你认为未来我国CA发展的前景如何,为什么。

实训指南 掌握取得数字证书的方法 实训目的 熟悉数字证书的作用,掌握从网上申请数字证书的方法 实训环境 网络信息安全 数字签名与CA认证技术 掌握取得数字证书的方法 实训目的 熟悉数字证书的作用,掌握从网上申请数字证书的方法 实训环境 能够上互联网的机房,机器设备数量保证上课班级的学生人手一台计算机。 实训内容 1.    查找5个省市不同种类数字证书颁发的网站。 2.选择一个数字证书的颁发机构申请一个数字证书。

实训指南 方法和步骤 1. 打开IE,进入WWW.GOOGLE.COM,输入搜索关键字“数字证书”,选择按网站开始搜索。 网络信息安全 数字签名与CA认证技术 方法和步骤 1.    打开IE,进入WWW.GOOGLE.COM,输入搜索关键字“数字证书”,选择按网站开始搜索。 2.    根据搜索结果,进入相关网站查看内容。 3.    从众多的网站中,你选择认为比较权威或内容较丰富的5个网站,记录下它们的网址。 4.选择其中一个网站,进行数字证书的申请。 实训报告要求 1.              要求记录5个自己认为较权威或内容较丰富的网站的网址。 2.              要求记录申请证书的全过程。