版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第四章 PKI 与PMI认证技术,公钥基础设施(Public Key Infrastructure,PKI)是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。PKI技术采用证书管理公钥,通过第三方的可信任机构认证中心(Certificate Authority, CA)把用户的公钥和用户的标识信息捆绑在一起,在Intenet上验证用户的身份,提供安全可靠的信息处理。 目前通用的办法是采用建立在PKI基础之上的数字证书,通过把 要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。,相互关系示意图,证书序列号
2、xxxxx:,有效期: Nov.08,2001 - Nov.08,2008,用户名组织名 部门,Status:,公钥: ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl,签名信息,公钥,私钥,4.1 什么是PKI?,Public Key Infrastructure 公开密钥基础设施 普适性、系统 是用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施 (Carlistle Adams) 产生、管理、存储、分发和撤销基于公开密钥密码学的公钥证书所必须的软件、硬件、人、策略和处理过程的集合 (IETF)
3、 是硬件、软件、策略和人组成的系统,当完全并且正确的实施后,能够提供一整套的信息安全保障,这些保障对保护敏感的通信和交易是非常重要的 (GAO:美国审计总署 ),4.1.1 澄清概念,PKI Public Key Infrastructure CA Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件 可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是混用,PKI就在我们身边,电子商务(包括移动商务) 电子支付,电子合同、数字签名,国防 在线访问军事资源、通信保密、文件保密、秘密分级管理、各部门通信
4、协调。,电子政务 电子公章、资源访问控制、文件保密,登录授权,VPN,各种实例(一),中国各大银行已大规模地推广基于个人数字证书的网上银行身份认证,防止银行账号被窃和网银欺诈 25家银行采用数字证书,根据央行05年10月26日颁布的电子支付指引,凡使用数字证书等安全认证方式的网银用户,将不会存在每日、每笔网上支付金额的限制 ICAO(国际民用航空组织International Civil Aviation Organization)制定了PKI数字证书的电子护照标准 每个香港公民一人一个智能身份证,每个智能身份证上配发一个全球通用的由香港邮政局颁发的个人数字证书,各种实例(二),中国电子口岸基
5、于移动运营商无线网络(联通CDMA或移动GPRS),利用手机等移动终端,实现公众的,商务的,政务的应用。基于中国电子口岸CA系统,建立起电子口岸的WPKI,移动应用安全架构,最终满足企业的安全要求 CERNET2网络中间件技术研究与试验:证书服务和PKI技术 校园信息化基础平台:基于CA/PKI的信息安全技术 美国军方采用基于PKI技术的网络身份证/工作证,4.1.2 PKI的功能和特性,一个完整的PKI应具备以下功能: 根据X.509标准发放证书, 产生密钥对 密钥备份及恢复 证书、密钥对的自动更换 加密密钥对和签名密钥对的分离 管理密钥和证书 为用户提供PKI服务,如用户安全登录、增加和删
6、除用户、恢复密钥、检验证书等。,完整的PKI系统包括: 认证机构(CA)、 数字证书库、 密钥备份及恢复系统、 证书撤销处理系统 PKI应用接口系统 一般构建PKI也是围绕这五个系统进行的,PKI提供的基本服务,认证 采用数字签名技术,签名作用于相应的数据之上 被认证的数据 数据源认证服务 用户发送的远程请求 身份认证服务 远程设备生成的challenge信息 身份认证 完整性 PKI采用了两种技术 数字签名:既可以是实体认证,也可以是数据完整性 MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5 保密性 用公钥分发随机密钥,然后用随机密钥对数据加密 不可否认 发送方的不可否认
7、 数字签名 接受方的不可否认 收条 + 数字签名,4.1.2 PKI的功能和特性,PKI应具有的性能: 可扩展性。满足电子商务不断发展的需要。 方便用户。保证安全性和经济性。 支持与远程参与者通行无阻。 支持多政策。允许不同用户接受不同的政策。 透明性和易用性。PKI屏蔽了整个提供服务的过程。 互操作型。PKI建立在标准的平台基础之上(加密标准、签名标准、hash标准等),是保证多厂商PKI环境的互操作性的关键。 简单的风险管理。 支持多平台。PKI适合不同的开发环境和不同的开发平台,如windows、unix等 。 支持多应用。如文件传送安全、文件存储安全、电子邮件安全、Web应用安全等保护
8、。,PKI基本构成,7.1.3 PKI的基本组成,4.1.3 PKI的基本组成,一个完整的PKI系统由认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)五大系统构成。 1.认证中心PKI的核心是信任关系的建立和管理。直接信任和第三方信任是所有网络安全产品实现的基础。假设甲国公民A和乙国公民B互相不认识,更不信任对方,如果存在公正的可信任的第三方C(比如护照签发机关),使A和B都直接信任C,那么此时公民A和B就可以信任对方了,这就是所谓的第三方信任。由此可以看出在建立第三方信任时,公正、可信任的第三方C对于信任关系的建立和巩固起到至关重要的作用。而认证中心(CA)
9、就扮演着一个具有权威性的第三方角色,是PKI的主要组成部分之一,它的核心职责就是认证用户的身份。 CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,4.1.3 PKI的基本组成,2.数字证书库 证书库是网上的一种公共信息存储仓库,用于存储CA已签发证书及公钥、撤消证书及公钥,可供公众进行开放式查询。一般来说,查询的目的有两2个:一是获得商务活动时对方的公钥,以便加密数据并通过网络传送,完成商务活动;二是验证对方的证书是否已经作废,即该证书是否已经
10、不再被使用。 3.密钥备份及恢复系统密钥备份及恢复是PKI密钥管理的重要内容之一。如果某用户由于某种原因不慎丢失密钥,则意味着加密数据的完全丢失,那么就有可能造成合法的数据大量丢失,导致不可挽回的巨大经济损失。为了避免灾难的发生,PKI提供了密钥备份及恢复系统。当用户证书生成的同时,解密密钥就被CA备份并存储起来,当需要恢复时,用户只需要向CA提出申请,CA就会为用户自动进行恢复。当然,签名私钥为确保其惟一性而不能够作备份和恢复。,密钥备份和恢复,进一步授权(# 可定制),授权恢复密钥,加密密钥的历史,新的签名密钥对和证书,Password?,Help!,4.1.3 PKI的基本组成,4.密钥
11、和证书的更新系统与日常生活中我们使用的各种各样的身份证件相似,证书也有自己的使用期限,而且由于某种原因在有效期内也可能作废,比如密钥丢失、用户的个人身份信息发生改变、CA对用户不再信任或者用户对该CA不再信任等各种情况。为此,证书和密钥必须要有一定的更新频率。 证书的更新一般可以有3种方式:更换一个或多个主题的证书;更换由某一对密钥签发的所有证书;更换某一个CA签发的所有证书。即使在用户正常使用证书的过程中,PKI也会自动不定时地到目录服务器中检查证书的有效期,当有效期将满时,CA会自动启动更新程序,将旧证书列入作废证书列表(俗称黑名单),同时生成一个新证书来代替原来旧证书,并通知用户。,7.
12、1.3 PKI的基本组成,5.证书历史档案经过若干时间以后,每一个用户都会形成多个旧证书和一个当前证书。这些旧证书及相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是非常重要的。 例如,某用户几年前用自己的公钥加密的数据或者其他人用自己的公钥加密的数据就无法用现在的私钥解密,那么该用户就必须提出申请,从他的密钥历史档案中,查找到当年使用的私钥来解密这些数据,保证数据使用的连贯性。,4.1.3 PKI的基本组成,6.应用接口系统为方便用户操作,解决PKI的应用问题,一个完整的PKI还必须提供良好的应用接口系统,以实现数字签名、加密传输数据等安全服务,使得各种应用能够安全、一致、可信地
13、与PKI交互,确保安全网络环境的完整性、易用性和可信度。 7.交叉认证交叉认证是为了解决公共PKI体系中各个CA机构互相分割互不关联的“信任孤岛”问题,实现多个PKI域之间互联互通,从而满足安全域可扩展性的要求。目前,比较典型的交叉认证的模型有:树状认证模型、网状认证模型、桥式模型、信任列表模型、相互承认模型、鉴定认可模型、代理路径查询与验证模型等。,PKI基本组成,注册机构RA 可以将RA看成是PKI的一个扩展部分,但他已逐渐成为PKI的一个必不可少的组成部分。RA充当了CA和最终用户之间的桥梁,分担了CA的部分任务,协助CA完成证书处理任务。 RA 功能如下: 接收和验证新注册人的注册信息
14、; 代表最终用户生成密钥对; 接收和授权密钥备份和恢复请求; 接收和授权证书吊销请求; 按需分发或恢复硬件设备,如令牌,4.1.4 PKI加密/签名原理,1.PKI加密密钥对的使用原理 公钥加密私钥解密,保证文件的机密性和完整性。 2.PKI签名密钥对的使用原理 私钥签名公钥验证,达到数据真实性和不可抵赖性的要求。,4.2 PKI系统的常用信任模型,选择信任模型(Trust Model)是构筑和运作PKI所必需的一个环节。选择正确的信任模型以及与它相应的安全级别是非常重要的,同时也是部署PKI所要做的较早和基本的决策之一。 信任模型主要阐述了以下几个问题: 一个PKI用户能够信任的证书是怎样被
15、确定的? 这种信任是怎样被建立的? 在一定的环境下,这种信任如何被控制?,4.2 PKI系统的常用信任模型,为了进一步说明信任模型,我们首先需要阐明信任的概念。每个人对术语信任(Trust)的理解并不完全相同,在这里我们只简单地叙述在ITU-T推荐标准X.509 规范(X.509,Section3.3.23)中给出的定义:当实体A假定实体B严格地按A所期望的那样行动,则A信任B。从这个定义可以看出,信任涉及假设、期望和行为,这意味着信任是不可能被定量测量的,信任是与风险相联系的并且信任的建立不可能总是全自动的。 在PKI中,我们可以把这个定义具体化为:如果一个用户假定CA可以把任一公钥绑定到某
16、个实体上,则他信任该CA。,4.2 PKI系统的常用信任模型,本文将介绍目前常用的四种信任模型: 认证机构的严格层次结构模型(Strict Hierarchy of Certification Authorities Model)、 分布式信任结构模型(Distributed Trust Architecture Model)、 Web模型(Web Model) 以用户为中心的信任模型(User-Centric Trust Model)。,4.2 PKI系统的常用信任模型,4.2.1 认证机构的严格层次结构模型 认证机构(CA)的严格层次结构可以被描绘为一棵倒立的树,根在顶上,树枝向下伸展,树
17、叶在下面。在这棵倒立的树上,根代表一个对整个PKI系统的所有实体都有特别意义的CA通常叫做根CA(root CA),它充当信任的根或信任锚(trust anchor)也就是认证的起点或终点。在根CA的下面是零层或多层中介CA(intermediate CA),也被称作子CA(subordinate CA),因为它们从属于根CA。子CA用中间节点表示,从中间节点再伸出分支。与非CA的PKI实体相对应的树叶通常被称作终端实体(end-entities)或被称作终端用户(end-users)。在这个模型中,层次结构中的所有实体都信任唯一的根CA。这个层次结构按如下规则建立: 根CA认证(更准确地说是
18、创立和签署证书)直接连接在它下面的CA。 每个CA都认证零个或多个直接连接在它下面的CA。 倒数第二层的CA认证终端实体。,4.2.1 认证机构的严格层次结构模型,在认证机构的严格层次结构中,每个实体(包括中介CA和终端实体)都必须拥有根CA的公钥。 有一个例子,说明在认证机构的严格层次结构模型中进行认证的过程。一个持有根CA公钥的终端实体A可以通过下述方法检验另一个终端实体B的证书。假设B的证书是由CA2签发的,而CA2的证书是由CA1签发的,CA1的证书又是由根CA签发的。A(拥有根CA的公钥KR)能够验证CA1的公钥K1,因此它可以提取出可信的CA1的公钥。然后,这个公钥可以被用作验证C
19、A2的公钥,类似地就可以得到CA2的可信公钥K2。公钥K2能够被用来验证B的证书,从而得到B的可信公钥KB。A现在就可以根据密钥的类型来使用密钥KB,如对发给B的消息加密或者用来验证据称是B的数字签名,从而实现A和B之间的安全通信。,CA层次结构,对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构,中间CA,CA层次结构的建立,根CA具有一个自签名的证书 根CA依次对它下面的CA进行签名 层次结构中叶子节点上的CA用于对安全个体进行签名 对于个体而言,它需要信任根CA,中间的CA可以不必关心(透明的);同时它的证书是由底层的CA签发的 在CA
20、的机构中,要维护这棵树 在每个节点CA上,需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs,层次结构CA中证书的验证,假设个体A看到B的一个证书 B的证书中含有签发该证书的CA的信息 沿着层次树往上找,可以构成一条证书链,直到根证书 验证过程: 沿相反的方向,从根证书开始,依次往下验证每一个证书中的签名。其中,根证书是自签名的,用它自己的公钥进行验证 一直到验证B的证书中的签名 如果所有的签名验证都通过,则A可以确定所有的证书都是正确的,如果他信任根CA,则他可以相信
21、B的证书和公钥 问题:证书链如何获得?,证书链的验证示例,CA认证模型,如果用户 i和j都属于CA111,那么i和j之间的密钥交换,只需要持有CA111开具的证明书就可以,即:对用户 i和j的公钥PKi 和PKj分别盖章,如(Pki)ca111, (Pkj)ca111,那么用户i和j就能证明密钥是对方的密钥。,CA认证模型,如果用户j的证明书是CA122开具的,那么情况就复杂了,各自具有: i方:(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方:(Pkj)ca122 , (CA122)CA12, (CA12)CA1 这就形成了层层证明的证明链( certificat
22、ion chain)。这里,符号(CA11)CA1是CA1对CA11的公钥盖章,只是证明本公钥是CA11的。,CA 证明链,CA,CA1,CA2,CA11,CA12,CA21,CA22,个人证书,个人证书,个人证书,个人证书,(PKI)CA11,(PKCA11)CA1,(PKCA1)CA (PKJ)CA21,(PKCA21)CA2,(PKCA2)CA,i,j,4.2.2 分布式信任结构模型,与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反,分布式信任结构把信任分散在两个或多个CA上。在这个结构中,可能有许多个根CA,每个实体都信任自己的根CA,他们只拥有自己根A的公钥。严格层次结
23、构的PKI系统往往在一个企业或部门实施。 每个根CA都与中心CA进行交叉认证。,交叉认证是一种把以前无关的CA连接在一起的机制,从而使得它们各自终端用户之间的安全通信成为可能。X.509规范定义交叉认证如下:一个认证机构可以是另一个认证机构颁发的证书的主体,该证书称为交叉证书。,4.2.2 分布式信任结构模型,例如,假设A已被CA1认证并持有一份可信的CA1的公钥,B已被CA2认证并持有一份可信的CA2的公钥。最初,A只信任证书由CA1签发的实体,因为他能够验证这些证书。他不能验证B的证书(因为他没有可信的CA2的公钥):类似地,B也不能检验A的证书。然而,在CA1和CA2交叉认证后,A的信任
24、能够扩展到CA2的实体群包括B,因为他可用他信任的CA1的公钥验证CA2的证书,然后用他现在信任的CA2的公钥验证B的证书。,4.2.3 Web模型,Web模型是在环球网(World Wide Web)上诞生的,而且依赖于流行的浏览器,如Netscape 公司的Navigator和Microsoft公司的Internet Explorer。在这种模型中,许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的CA。尽管这组根密钥可以被用户修改,然而几乎没有普通用户对于PKI和安全问题能精通到可以进行这种修改的程度。 初看之下,这种模型似乎与分布式信任结构模型相似,但从根本上
25、讲,它更类似于认证机构的严格层次结构模型。因为在实际上,浏览器厂商起到了根CA的作用,而与被嵌入的密钥相对应的CA就是它所认证的CA,当然这种认证并不是通过颁发证书实现的,而只是物理地把CA的密钥嵌入浏览器。,4.2.3 Web模型,Web模型在方便性和简单互操作性方面有明显的优势,但是也存在许多安全隐患。 例如,因为浏览器的用户自动地信任预安装的所有公钥,所以即使这些根CA中有一个是坏的(例如,该CA从没有认真核实被认证的实体),安全性将被完全破坏。A将相信任何声称是B的证书都是B的合法证书,即使它实际上只是由其公钥嵌入浏览器中的CAbad签署的挂在B名下的C的公钥。所以,A就可能无意间向C
26、透露机密或接受C伪造的数字签名。这种假冒能够成功的原因是:A一般不知道收到的证书是由哪一个根密钥验证的。在嵌入到其浏览器中的多个根密钥中,A可能只认可所给出的一些CA,但并不了解其他CA。然而在Web模型中,A的软件平等而无任何疑问地信任这些CA,并接受它们中任何一个签署的证书。,4.2.4 以用户为中心的信任模型,在以用户为中心的信任模型中,每个用户自己决定信任哪些证书。通常,用户的最初信任对象包括用户的朋友、家人或同事,但是否信任某证书则被许多因素所左右。 著名的安全软件Pretty Good Privacy(PGP)最能说明以用户为中心的信任模型。在PGP中,一个用户通过担当CA(签署其
27、他实体的公钥)并使其公钥被其他人所认证来建立(或参加)所谓的信任网(web of trust)。例如,当Alice收到一个据称属于Bob的证书时,她将发现这个证书是由她不认识的David签署的,但是David的证书是由她认识并且信任的Catherine签署的。在这种情况下,Alice可以决定信任Bob的密钥(即信任从Catherine到David再到Bob的密钥链),也可以决定不信任Bob的密钥(认为未知的 Bob与已知的Catherine之间的距离太远)。 因为要依赖于用户自身的行为和决策能力,因此以用户为中心的模型在技术水平较高和利害关系高度一致的群体中是可行的,但是在一般的群体(它的许多
28、用户有极少或者没有安全及PKI的概念)中是不现实的。而且,这种模型一般不适合用在贸易、金融或政府环境中,因为在这些环境下,通常希望或需要对用户的信任实行某种控制,显然这样的信任策略在以用户为中心的模型中是不可能实现的。,PKI的体系结构,交叉认证。,4.3 PKI管理机构认证中心,证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority,认证中心)以及配套的RA(Registration Authority,注册审批机构)系统。 CA是数字证书的签发机构,是PKI的核心,并且是PKI应用中权威的、可信任的、公正的第三方机构。RA系统是
29、CA的证书发放、管理的延伸,它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能;发放的数字证书可以存放于IC卡、硬盘或软盘等介质中;RA系统是整个CA中心得以正常运营不可缺少的一部分。,一般的证书产生流程,状态查询,认证机构,证书资料库,注册机构RA,发布证书及CRL,私钥,公钥,证书申请,证书,公钥,公钥,公钥,4.3 .1 CA的功能,1)接收验证最终用户数字证书的申请。 2)确定是否接受最终用户数字证书的申请,即证书的审批。 3)向申请者颁发、拒绝颁发数字证书,即证书的发放。 4)接收、处理最终用户的数字证书更新请求,即证书的更新。 5)接收最终用户
30、数字证书的查询、撤销。 6)产生和发布证书废止列表CRL(Certificate Revocation List)。 7)数字证书的归档。 8)密钥归档。 9)历史数据归档。,CA证书的分类,CA发放的证书有两类,即ssl证书和set证 Ssl证书是服务于银行对企业或企业对企业的电子商务活动。 Set证书服务于持卡消费、网上购物。 虽然他们都是用于身份和数字签名的证书,单他们的信息体系完全不同,而且所符合的标准也不一样。简单的说,ssl证书的作用是通过公钥证明持证人的身份。而set证书的作用是,通过公钥证明持卡人在指定的银行确定拥有该信用卡号,同时也证明了持证人的身份。,4.3.2 CA的组成
31、,注册服务器:通过 Web Server 建立的站点,可为客户提供24 不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。 证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。,4.3.3 CA体系结构,CA有着严格的层次结构。按照SET协议的要求,CA的体系结构如图所示:,4.3.3 CA体系结构,其中根CA式离线的并且被严格保护的,仅在发布新的品牌CA时才被访问;品牌CA发布地域政策CA、持卡人C 、商户CA和支付网关CA的证书,
32、并负责维护及分发其签字的证书和电子商务文字建议书;地域政策CA是可选的;持卡人CA负责向持卡人分发证书;商户CA负责发放商户证书;支付网关CA为支付网关(银行)发放证书。,4.4 PKI 核心产品数字证书,在PKI体系中,用户就是通过使用数字证书来保障信息的机密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性等安全特性。数字证书是PKI的核心要素,有权威的、可信任的、公正的第三方机构CA所签发。,4.4.1 数字证书的概念,数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。人们可以在交往中用它来识别对方的身份。 数字证书是由认证权威经过数字签
33、名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。 数字证书是PKI最主要的应用。,将用户的公钥和用户属性信息组合在一起,然后进行数字签名,按特定的格式标准组织,得到完整的PKI数字证书。,Name: Tom Serial number: 484865 Issued by: GACA Issue date: 1997 01 02 Expiration date: 2003 01 02 Public key: 38ighwejb,证书是用户名称和用户公开密钥的结合体; 证书由认证中心在审核用户的身份后颁发。,数字证书:与身份证对照,数字证书可用于发送安全电子邮件
34、、访问安全站点、网上证券、网上办公、网上缴税等网上安全事务处理和安全电子交易等活动。,4.4.2 X.509证书类型,(1)个人数字证书符合X.509标准的数字安全证书,证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于USBkey或IC卡中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 (2)机构数字证书 符合X.509标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于USBkey或IC卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交
35、易、交易致富信息等方面。,4.4.2 X.509证书类型(续),(3)个人签名证书 符合X.509标准的数字安全证书,证书中包含个人身份信息和个人的签名私钥,用于标识证书持有人的个人身份。签名私钥可以存储在USB key和IC卡、软盘、硬盘等介质中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 (4)机构签名证书 符合X.509标准的数字安全证书,证书中包含企业信息和企业的签名私钥,用于标识证书持有企业的身份。签名私钥可以存储在USB key和IC卡、软盘、硬盘等介质中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。,4
36、.4.2 X.509证书类型(续),(5)设备数字证书 符合X.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于USBkey或IC卡中,用于表征该服务器的身份。主要用于网站交易服务器,目的是保证客户和服务器产生与交易支付等信息相关时,确保双方身份的真实性、安全性、可信任度等。,4.4.3 数字证书功能,(1)信息的保密性网络业务处理中的各类信息均有不同程度的保密要求。如政务系统的用户名和密码被人知悉,身份就可能被冒用,网络交易的订货和付款的信息被竞争对手获悉,就可能丧失商机。而CA中心颁发的数字证书保证了电子政务、电子商务的信息传播中信息的保密。 (2)网络通讯双方身份的确定性网络通讯的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对于服务提供方,要考虑“客户端不能是骗子”;而对于客户一方,也会担心自己登录的服务是否是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的政府行政服务中心、银行、和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而CA中心颁发的数字证书可保证网上通讯双方的身份,行政服务中心、银行和电子商务公司可以通过CA认证确认身份,放心的开展网上业务。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 智能制造产业发展趋势与政策手册-1
- 2025-2026学年草原教学设计师电脑考试
- 2018年北京顺义 高中化学选修4 人教版 第一章 第一节 《化学反应与能量变化》教学设计
- 2025-2026学年计算机病毒教学设计
- 酒馆高压蒸汽烫伤急救处理手册
- 《金属制品折弯设备清洁除尘操作手册》
- 培训学校财务收支管理规范指南
- 2.2更好发挥政府的作用 教学设计-2023-2024学年高中政治统编版必修二经济与社会
- 2026年眉山市中考地理试卷(含答案)
- 《2.3 无线局域网的组建》教学设计
- 山东档案职称《档案工作实务》核心知识点(题目版)
- 山东省日照市2025-2026学年高一上学期期中校际联合考试数学试卷(含答案)
- 钢琴弹唱乐理知识培训课件
- 2025重庆机场集团笔试题库
- 《巴马瑶族自治县国土空间总体规划(2021-2035年)》
- 除锈涂装课件
- DB11∕T 2355-2024 农业机械作业规范 有机肥撒肥机
- 长江大学《计算机网络A》2024-2025学年第一学期期末试卷
- 钓鱼如何签约钓手合同协议
- 一升二小学数学(暑假口算每日一练)
- 《危险化学品目录》(2026版)
评论
0/150
提交评论