第四章 电子商务的安全认证体系 本章主要内容 本章要点 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构

Presentation on theme: "第四章 电子商务的安全认证体系 本章主要内容 本章要点 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构"— Presentation transcript:

1 第四章 电子商务的安全认证体系 本章主要内容 本章要点 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构
第四章 电子商务的安全认证体系 本章主要内容 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构 4.4 安全认证体系及其实施标准 本章要点 身份认证的几个重要的基本概念：认证、授权、审计 身份认证的分类以及体系 身份认证的常用协议 数字证书的基本概念、功能、认证机构 PKI的体系结构、特性、功能

2 § 4.1 身份认证与认证体系 本节的主要内容 身份认证的概念 身份认证的分类 身份认证体系

3 现代密码的两个重要的分支 加密 认证 防止对方获得机密信息
认证是为了防止敌方的主动攻击，包括验证信息真伪及防止信息在通信过程中被篡改、删除、插入、伪造、延迟及重放等。 认证主要包括三个方面：消息认证、身份认证和数字签名。

4 消息认证是信息的合法接收者对消息的真伪进行判定的技术。消息认证的内容包括：  ①信息的来源 
②信息的完整性  ③信息的序号和时间  主要采用数字签名技术和身份识别技术.数字签名技术可以识别消息的真伪,而身份识别技术则可证实发送人的身份.   

5 消息认证的方法 信息的来源 消息认证常用的方法有两种：
一种方法是通信双方事先约定发送消息的数据加密密钥，接收者只需证实发送来的消息是否能用该密钥还原成明文就能鉴定发送者。如果双方使用同一个数据加密密钥，那么只需在消息中嵌入发送者的识别符即可。 另一种方法是通信双方事先约定各自发送消息所使用的通行字，发送消息中含有此通行字并进行加密，接收者只需判别消息中解密的通行字是否等于约定的通行字就能鉴定发送者。为了安全起见，通行字应该是可变的。

6 信息的完整性 信息的完整性认证方法的基本途径有两条：
采用消息认证码（Message Authentication Code, MAC）。MAC法利用函数f(x)( f(x)必须满足一定的条件）和密钥k将要发送的明文x或密文y变换成r比特的消息认证码f(x,k) 或称其为认证符附加在x或y之后发出，通常将f选为带密钥的Hash函数(与加密函数的区别在于,其函数输出不需要可逆)。 采用篡改检测码（manipulation detection code ,MDC）。MDC法利用函数f(x)( f(x)必须满足一定的条件）将要发送的明文x变换成r比特的篡改检测码f（x）附加在x之后一起加密；当然，也可以只对篡改检测码f（x）加密。通常将f选为不带密钥的Hash函数。

7 信息的序号和时间 消息的序号和时间性的认证主要是阻止消息的重放攻击。常用的方法有：消息的流水作业号、随机数认证法和时间戳等。

8 消息认证的模式 单向验证：在A和B之间建立的单向通信．B确认A的身份和A发送消息的完整性．

9

10 身份认证又成为身份识别，它在数字签名和身份鉴别技术的一个重要的应用领域。
身份认证的作用就是对资源使用者即用户的身份进行鉴别。能够保护网络中的数据和服务不会被未授权的用户访问；能够保障有足够的信息进行双方身份的确认。

11 (1) 信息加密函数(Message encryption)
认证函数 可用来做认证的函数分为三类： (1) 信息加密函数(Message encryption) 用完整信息的密文作为对信息的认证。 (2) 信息认证码MAC(Message Authentication Code) 是对信源消息的一个编码函数。 (3) 散列函数(Hash Function) 是一个公开的函数，它将任意长的信息映射成一个固定长度的信息。

12 加密方法的基本用法

13 MAC的基本用法

14 散列函数的基本用法

15 4.1.1 身份认证的概念 身份认证的定义 证实客户的真实身份与其所声称的身份是否相符的过程.
身份认证一般是通过对被认证对象（人或事）的一个或多个参数进行验证，从而确定被认证对象是否名实相符或有效。 这要求要验证的参数与被认证对象之间应存在严格的对应关系，最好是唯一对应的。

16 身份认证是安全系统中的第一道关卡，如图4-1所示

17 身份认证包括几个重要概念 认证（Authentication）：在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。认证又称为鉴别、确认。身份认证主要是通过表示和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。 授权（Authorization）：授权是指当用户身份被确认合法后（即通过认证），赋予该用户操作文件和数据等的权限。赋予的权限包括读、写、执行及从属权。 审计（Auditing）：每一个人都应该为自己所作的操作负责，所以在事情完成后都应该有记录，以便核查责任。

18 用户对资源的访问过程

19 身份认证的分类 根据个人信息的不同 基于个人生物特征的身份认证 基于个人拥有物的身份认证 基于个人身份标识码的身份认证

20 基于个人生物特征的身份认证 对用户固有的某些特征进行测量，如指纹、声音或签字。 优点： 缺点： 绝对无法仿冒的使用者认证技术。 较昂贵。
不够稳定(辩识失败率高)。

21 基于个人拥有物的身份认证 个人拥有物可以是身份证、护照、军官证、驾驶证、图章、IC卡或其他有效证件。身份证是目前我国应用最广发的身份识别证件，每个人唯一对应一个数字。当然其他的证件也在不同行业和部门起着身份识别的作用。

22 基于个人身份标识码的身份认证 个人身份标识码可以是注册的口令、账号、身份证号码或移动电话号码等。一般来说，某人的身份可以用用户帐号加上口令进行识别。用户账号代表计算机网络信息系统中某人的身份，口令则是用来验证是否真的是计算机网络系统所允许的用户。

23 4.1.3 身份认证体系 现已普遍采用国际上提出了基于PKI的数字证书的解决方案，电子商务中的安全措施的实现都是围绕数字证书展开。 数字证书
电子商务认证中心CA

24 数字证书 数字证书就是在互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证用户身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。

25 数字证书与传输密钥和签名密钥对的产生相对应。
对每一个公钥做一张数字证书，私钥用最安全的方式交给用户或用户自己生产密钥对。 数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名及用户的其他一些身份认证的有用信息。 公钥的拥有者是身份的象征。对方可以据此验证身份。对于密钥的丢失情况、则采用恢复密钥、密切托管等方法。另外对于证书的有效期在政策上加以规定、已过期的证书应重新签发，对于私钥丢失或被非法使用应废止。

26 电子商务认证中心CA（Certificate Authority）
认证中心是公正的第三方，它为建立身份认证过程的权威性框架奠定了基础，为交易的参与方提供了安全保障。它为网上交易构筑了一个互相信任的环境，解决了网上身份认证、公钥分发及信息安全等一系列问题。 由此可见，认证中心是保证电子商务安全的关键。 认证中心对含有公钥的证书进行数字签名，使证书无法伪造。每个用户可以获得认证中心的公开密钥（认证中心根证书），验证任何一张数字证书的数字签名，从而确定证书是否是认证中心签发、数字证书是否合法。

27 § 身份认证协议 本节的主要内容 身份认证协议概述 一次一密机制 X.509认证协议 Kerberos认证协议

28 4.1.3 身份认证协议概述 认证协议概念 认证协议用来对被验证方（通常是指客户端系统）和验证方（服务器系统）之间的与验证有关的数据通信进行管理。认证协议一般都是建立在通信协议环境之上的，如网络层协议或应用层协议。 从使用的角度来看，一个安全的身份识别协议至少应该满足以下两个条件： ①识别者A能向验证者B证明他的确是A； ②在识别者A向验证者B证明他的身份后，验证者B不能获得A的任何有用信息，B不能模仿A向第三方证明他是A。

29 认证协议的分类 认证协议按照认证的方向 双向认证协议 单向认证协议. 按照使用的密码技术 基于对称密码的认证协议 基于公钥密码的认证协议。

30 双向认证协议是最常用的协议，它使得通信双方互相认证对方的身份。
单向认证协议是通信的一方认证另一方的身份，比如服务器在提供用户申请的服务之前，先要认证用户是否是这项服务的合法用户，但是不需要向用户证明自己的身份。 基于对称密钥的认证协议往往需要双方事先已经通过其他方式(比如电话、信函或传递等物理方法)拥有共同的密钥。 基于公钥的认证协议的双方一般需要知道对方的公钥。

31 公钥的获得相对于对称密钥要简便，比如通过CA获得对方的数字证书，这是基于公钥认证协议的优势。
但是，公钥的缺点是加/解密速度慢、代价大，所以认证协议的最后，双方要协商出一个对称密钥作为下一步通信的会话密钥。 产生会话密钥有助于增加系统的安全性。一旦会话密钥泄漏，则只会泄漏本次通信的内容，而不会带来更大的损失，而且通信者一旦发现会话密钥泄漏后，就可以用原有的密钥协商出新的会话密钥，重新开始新的会话。所以，无论是基于公钥还是基于对称密钥的认证协议，都要经常产生对称会话密钥。

32 (1)基于对称密码的双向认证协议 Needham/Schroeder是一个基于对称加密算法的协议，它要求有可信任的第三方KDC参与，采用challenge/Response的方式，使得A、B互相认证对方的身份。协议过程是: A→KDC：IDA || IDB || N1； KDC→A：EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ]； A→B：EKb [ Ks || IDA ]； B→A：EKs [ N2 ]； A→B：EKs [ f(N2) ]。

33 这个协议仍然有漏洞。假定攻击方C已经掌握A和B之间通信的一个老的会话密钥，C可以在第(3)步冒充A，利用老的会话密钥欺骗B。除非B记住所有以前使用的与A通信的会话密钥，否则B无法判断这是一个重放攻击。然后，如果C可以中途阻止第(4)步的握手信息则可以冒充A在第(5)步响应。从这一点起C就可以向B发送伪造的消息，而B认为是在与A进行正常的通信。

34 Denning结合了时间戳的方法，进行了改进：
(1)A→KDC：IDA || IDB; (2)KDC→A：EKa [Ks || IDB || T || EKb [ Ks || IDA || T ] ]； (3)A→B：EKb [ Ks || IDA || T ]； (4)B→A：EKs [ N1 ]； (5)A→B：EKs [ f(N1) ]。 | Clock –T | < △t1 + △t2

35 Denning Protocol 比Needham/Schroeder Protocol在安全性方面增强了一步。然而，又提出新的问题：即必须依靠时钟同步。
如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。 一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否与KDC的时钟同步。 另一种避免同步开销的方法是采用临时数握手协议。

36 Kehn92协议 如果A要再次访问B，可以不再通过KDC A → B：EKb[IDA || Ks || Tb] || Na’
B检查ticket是否在有效时间，若是，则 B → A：Nb||EKs[Na] A → B：EKs[Nb’]

37 (2) 基于公钥密码的双向认证协议 使用公钥密码算法，可以克服基于对称密码的认证协议中的一些问题。但同样需要有可信的第三方参与，现以WOO92b协议为例来说明： A→KDC：IDA || IDB; KDC→A：EKRauth [ IDB || KUb ]； A→B：EKUb [ Na || IDA ]； B→KDC：IDB || IDA || EKUauth [ Na ]； KDC→B：EKRauth [ IDA || KUa ] || EKUb [ EKRauth [ Na || Ks || IDA || IDB ]; B→A：EKUa [ EKRauth [ Na || Ks || IDA || IDB ] || Nb ]； A→B：EKs [Nb ]。

38 (3) 单向认证协议 单向认证协议中只有一方向另一方证明自己的身份，因此过程一般都相对简单。下面是一个不需要第三方的基于对称密码的单向认证协议，要求A和B事先拥有共享密钥。 A→B：IDA || N1； B→A：EKab [ Ks || IDB || f(N1) || N2 ]； A→B：EKs [ f(N2) ]，即f(x)=x+1。

39 下述方案要求通信双方都事先与第三方有共享密钥。
A→B：IDA || IDB || N1； KDC→A：EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ]； A→B：EKb [ Ks || IDA ] || EKs[ M ]；

40 基于公钥密码的单向身份认证协议可以非常简单，例如如下方案：
A→B：EKUb [ Ks ] || EKs[ M || EKRa[ H(M) ] ]； 这种方案要求A和B互相知道对方的公钥。首先，A用B的公钥加密一个会话密钥，然后A用会话密钥加密数据和用自己私钥签名的消息摘要，A将这些内容一起发送给B。B收到后，首先用自己的私钥解密出会话密钥，然后解密消息和A的签名，最后计算出消息摘要以验证A的签名，从而确定A的身份。

41 在实际应用中的具体协议有： 一次一密机制 X.509认证协议 Kerberos认证协议 PPP口令认证协议 PPP质询-握手协议
TACACS+协议 RADIUS协议等。

42 一次一密机制 一次一密机制 采用请求应答机制: 用户登录时，系统随机提示一条信息，用户根据一信息产生一个口令，完成一次登录．
满足以下条件的密码才是真正的一次一密： 密钥是随机产生的，并且必须是真随机数，而不是伪随机数； 密钥不能重复使用； 密钥的有效长度不小于密文的长度。 一次一密机制主要包括两种实现方式: 采用请求应答机制: 用户登录时，系统随机提示一条信息，用户根据一信息产生一个口令，完成一次登录． 询问应答方式:验证者提出问题，由识别者回答，然后由验证者验证其真伪。

43 X.509认证协议 X.509认证协议 X.509 是一个认证证书的管理标准，是定义目录业务的X.500系列一个组成部分。由国际电信同盟ITU（International Telecommunications Union）的ITU - T Study Group 17 小组负责制定和维护。 X.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。 X.509还定义了基于公钥证书的认证协议。 因为X.509中定义的证书结构和认证协议已经被广泛应用于S/MIME、IPSec、SSL/TLS以及SET等诸多应用过程，所以X.509已经成为一个重要的标准

44 X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。
一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。 用户可用常规密钥（如DES）为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。 该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款项中获得相应的公开密钥，用于各种安全服务。

45 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法；
证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为 ;  证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。

46 Kerberos认证协议 Kerberos认证协议
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

47 Kerberos协议的前提条件： Client与KDC， KDC与Service 在协议工作前已经有了各自的共享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制了Kerberos协议往往用于一个组织的内部， 使其应用场景不同于X.509 PKI。

48 Kerberos协议分为两个部分： 1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT。（此过程避免了Client直接向KDC发送密码，以求通过验证的不安全方式） 2. Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。 Kerberos协议的重点在于第二部分，简介如下：

49

50 1.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC，KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。然后KDC将这个Session Key和用户名，用户地址（IP），服务名，有效期, 时间戳一起包装成一个Ticket(这些信息最终用于Service对Client的身份鉴别)发送给Service， 不过Kerberos协议并没有直接将Ticket发送给Service，而是通过Client转发给Service.所以有了第二步。 2.此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的，不能让Client看到，所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key)， KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。

51 3. 为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service
3.为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service. 由于Client不知道KDC与Service之间的密钥，所以它无法算改Ticket中的信息。同时Client将收到的Session Key解密出来，然后将自己的用户名，用户地址（IP）打包成Authenticator用Session Key加密也发送给Service。 4.Service 收到Ticket后利用它与KDC之间的密钥将Ticket中的信息解密出来，从而获得Session Key和用户名，用户地址（IP），服务名，有效期。然后再用Session Key将Authenticator解密从而获得用户名，用户地址（IP）将其与之前Ticket中解密出来的用户名，用户地址（IP）做比较从而验证Client的身份。 5.如果Service有返回结果，将其返回给Client。

52 Kerberos 协议建立在一些假定之上的，只有在满足这些假定的环境中它才能正常运行
（1）不存在拒绝服务(Denial of service)攻击。Kerberos 不能解决拒绝服务(Denial of service)攻击，在该协议的很多环节中，攻击者都可以阻断正常的认证步骤。这类攻击只能由管理员和用户来检测和解决。 （2）主体必须保证他们的私钥的安全。如果一个入侵者通过某种方法窃取了主体的私钥，他就能冒充身份。

53 （3）Kerberos 无法应付口令猜测(Password guessing)攻击。如果一个用户选择了弱口令，那么攻击都就有可能成功地用口令字典破解掉，继而获得那些由源自于用户口令加密（由用户口令形成的加密链）的所有消息。 （4）网络上每个主机的时钟必须是松散同步的（loosely synchronized）。这种同步可以减少应用服务器进行重放攻击检测时所记录的数据。松散程度可以以一个服务器为准进行配置。时钟同步协议必须保证自身的安全，才能保证时钟在网上同步。 （5）主体的标识不能频繁地循环使用。由于访问控制的典型模式是使用访问控制列表(ACLs)来对主体进行授权。如果一个旧的ACL 还保存着已被删除主体的入口，那么攻击者可以重新使用这些被删除的用户标识，就会获得旧ACL 中所说明的访问权限。

54 Kerberos协议中共涉及三个服务器 AS: TGS 应用服务器

55 PPP口令认证协议 PAP身份认证的过程

56 PAP认证过程用文字描述如下： 被验证方发送用户名和口令到验证方，示例中是以客户（client）端grfwgz02向服务器（Server）端grfwgz01请求身份验证； 验证方grfwgz01根据自己的网络用户配置信息查看是否有此用户己口令是否正确，然后返回不同的响应（Acknowledge or Not Acknowledge）。 如果正确，则会给对端发送ACK（应答确认）报文，通告对端已被允许进入下一阶段协商；否则发送NCK（不确认）报文，通知对方验证失败。但此时并不会直接将链路关闭，客户端还可以继续偿试新的用户密码。只有当验证不通过次数达到一定值时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。

57 PPP质询-握手协议 CHAP身份认证的过程

58 CHAP身份验证文字描述： 当客户端要求与验证服务器连接时，并不是像PAP验证方式那样直接由客户端输入密码，而首先由验证方grfwgz01向被验证方grfwgz02发送一个作为身份认证请求的随机产生的报文，并同时将自己的主机名附带上一起发送给被验证方； 被验证方得到验证方的验证请求(Challenge)后，便根据此报文中验证方的主机名和自己的用户表查找对应用户帐户口令。如找到用户表中与验证方主机名相同的用户帐户，便利用接受到的随机报文和该用户的密匙，以Md5算法生成应答(Response)，随后将应答和自己的主机名发送给验证服务器； 验证方接到此应答后，再利用对方的用户名在自己的用户表中查找自己系统中保留的口令字，找到后再用自己的保留口令字(密匙)和随机报文，以Md5算生成结果，与被验证方应答比较。验证成功验证服务器会发送一条ACK报文，否则会发送一条NAK报文。

59 TACACS+协议 TACACS+协议 Tacacs ＋协议是在Tacacs协议和XTacacs协议基础上设计与开发的新一Tacacs协议。它实现对路由器，网络访问服务器及其它网络计算设备的身份验证，权限验证和统计等访问控制。 Tacacs+协议除了提供Radius认证协议提供的集中认证功能外，还能完成集中的授权功能。用户在网络设备上每执行一条命令，网络设备都将向指定的Tacacs+服务器发送命令授权请求，只有接收授权成功的响应报文将执行用户输入的命令。Tacacs+服务器也可以在用户成功登录网络设备后，将该用户可执行的命令集下发给网络设备，由网络设备自己来判断用户输入的命令是否在可执行的命令集中。

60 RADIUS协议 RADIUS协议 RADIUS协议是一种提供在NAS）和共享认证服务器间传送认证、授权和配置信息等服务的协议。 RADIUS是一种基于UDP协议的超轻便协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如，ISP之间相互合作，通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接Internet和VPN。如果ISP发现用户名不是本地注册用户，就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下，有效的使用ISP的网络基础设施，使企业的网络费用开支实现最小化。

61 零知识证明 零知识证明 Goldwasser等人在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。

62 § 4.3 数字证书与认证机构 本节的主要内容 什么是数字证书 为什么要用数字证书 数字证书的安全机理 数字证书的认证机构 如何使用数字证书
§ 数字证书与认证机构 本节的主要内容 什么是数字证书 为什么要用数字证书 数字证书的安全机理 数字证书的认证机构 如何使用数字证书 获得及安装免费数字证书

63 4.3.1什么是数字证书? 数字证书 称为数字标识 （Digital Certificate ，Digital ID）。它提供了一种在 Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关交易操作。通俗地讲，数字证书就是个人或单位在 Internet上的身份证。

64 比较专业的数字证书定义是，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。有了数字证书，我们在网络上就可以畅通无阻。

65 如图1是一个数字证书在网络应用中的原理图。

66 4.3.2为什么要用数字证书  数字证书使用的原因 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买 方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使 顾客、商家和企业等交易各方都具有绝对的信心，因而因特网（Internet）电子商务 系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份 的确定性。

67 4.3.3 数字证书的安全机理 数字证书的安全机理 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。 当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。

68 通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。
在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。 按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。 公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥 进行解密。

69 4.3.4数字证书的认证机构 认证机构 CA机构，又称为证书授证（Certificate Authority）中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

70 4.3.5 如何使用数字证书 如何使用数字证书 收到数字签名的信息时，可以验证签名者的数字证书，确定没有伪造和假冒的发生。
如何使用数字证书 如何使用数字证书 收到数字签名的信息时，可以验证签名者的数字证书，确定没有伪造和假冒的发生。 您发送信息时，可以签名该信息并装入您的数字证书，使信息的接收者确信该信息是您发送的。多个数字证书可以装入一条信息中，构成一个分级链，在该分级链中，一个数字证书证明前一个数字证书的真实性。最高级认证中心在数字证书层次的末端，它的可靠性无需来自其它认证中心的数字证书的验证。最高级认证中心的公钥必须不受约束地为人所知，例如被广泛发行。您越熟悉接收者的信息，就越没有必要加入数字证书。 可以使用数字证书向安全服务器（如基于会员身份的 web 服务器）证明自己的身份。 通常，一旦获取数字证书，即可创建具有增强安全性的 web 或电子邮件应用程序来自动使用数字证书。

71 4.3.6 获得及安装免费数字证书 获得及安装免费数字证书 查看数字证书
获得及安装免费数字证书 获得及安装免费数字证书 通过使用免费数字证书，我们可以了解专业数字证书的相关技术。获得免费数字证书的方法有很多，目前国内有很多CA中心提供试用型数字证书，其申请过程在网上即时完成，并可以免费使用。 下面提供一个比较好的站点，申请地址为 登陆后，点击“证书申请”，选择“试用型个人数字证书申请”，特别强调，注意只有安装了根证书（证书链）的计算机，才能完成后面的申请步骤和正常使用读者在CA中心申请的数字证书。 查看数字证书

72 § 4.4 安全认证体系及其实施标准 本节的主要内容 PKI原理 PKI的体系 PKI的主要功能 PKI公钥设施标准

73 PKI的原理 PKI原理 PKI公共密钥体系是利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系，来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI 体系可以有多种不同的体系结构、实现方法和通信协议。公共（非对称）密钥算法使用加密算法和一对密钥：一个公共密钥和一个私有密钥。 其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方，让别人能够方便地找到和下载。

74 4.4.2 PKI的体系 PKI体系结构主要组件包括: PKI组件及其相互间的主要关系如下图所示: 终端实体（EE：End Entity）
证书机构（CA：Certificate Authority） 注册机构（RA：Registration Authority） CRL发布者（CRL Issuer） 资料库（Repository）等 PKI组件及其相互间的主要关系如下图所示:

75

76 终端实体： （1）PKI证书用户，应用软件的使用者； （2）最终用户使用的应用系统。

77 证书机构（CA）：发行和撤销PKI证书。
在SET交易中，CA不仅对持卡人、商户发放证书，还要对收款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

78 CA的职能 （1）接收验证最终用户数字证书的申请。 （2）确定是否接受最终用户数字证书的申请-证书的审批。
（3）向申请者颁发、拒绝颁发数字证书-证书的发放。 （4）接收、处理最终用户的数字证书更新请求-证书的更新。 （5）接收最终用户数字证书的查询、撤销。 （6）产生和发布证书废止列表CRL（Certificate Revocation List） 。 （7）数字证书的归档。 （8）密钥归档。 （9）历史数据归档。

79 注册机构（RA)： 是PKI的可选系统 是CA的证书发放、管理的延伸 执行CA委托的任务
RA系统是整个CA中心得以正常运营不可缺少的一部分。

80 CRL发布者： 资料库： PKI的可选系统，执行CA委托的发布证书撤销列表的任务.
一个系统或一个分布式系统的集合，用来（1）存储证书和CRL；（2）向终端实体提供证书和CRL的分发服务。

81 4.4.3 PKI的主要功能 PKI的主要功能 （1）注册 （2）初始化 （3）认证 （4）密钥对恢复 （5）密钥产生 （6）密钥更新
（7）交叉证书 （8）撤销 （9）证书与撤销通知的分发与发布

82 4.4.3 PKI公钥设施标准 从整个PKI体系建立与发展的历程来看，与PKI相关的标准主要包括以下一些：
1、X.209（1988）ASN.1基本编码规则的规范 2、X.500（1993）信息技术之开放系统互联：概念、模型及服务简述 3、X.509（1993）信息技术之开放系统互联：鉴别框架 4、PKCS系列标准 5、OCSP在线证书状态协议 6、LDAP 轻量级目录访问协议