信息安全技术之个人数字证书与CA认证课件

是因特网的普及，密码学得到了广泛的重视。如 今，密码技术不仅服务于信息的加密和解密，还 是身份认证、访问控制、数字签名等多种安全机 制的基础。
3.2
加密技术与DES加解密算法

信息安全主要包括系统安全和数据安全两个方面
。系统安全一般采用防火墙、防病毒及其他安全
防范技术等措施，属于被动型安全措施；数据安
身份证。

数字证书主要包括三方面的内容：

证书所有者的信息 证书所有者的公开密钥 证书颁发机构的签名
3.1.1 个人数字证书

标准的X.509 数字证书包含 (但不限于) 以下内容：

1) 证书版本信息； 2) 证书序列号，每个证书都有一个唯一的证书序列号； 3) 证书所使用的签名算法； 4) 证书的发行机构名称 (命名规则一般采用X.500 格式)
3.1.1 个人数字证书

数字证书采用公钥密码体制，即利用一对互相匹
配的密钥进行加密、解密。每个用户拥有一把仅
为本人所掌握的私有密钥 (私钥) ，用它进行解
密和签名；同时拥有一把公共密钥 (公钥) 并可 以对外公开，用于加密和验证签名。
3.1.1 个人数字证书

当发送一份保密文件时，发送方使用接收方的公
及其私钥的签名；

5) 证书的有效期； 6) 证书使用者的名称及其公钥的信息。
3.1.1 个人数字证书

以数字证书为核心的加密技术可以对网络上传输
的信息进行加密和解密、数字签名和签名验证，
以确保网上传递信息的机密性、完整性，以及交
易实体身份的真实性，签名信息的不可否认性， 从而保障网络应用的安全性。
信息安全技术
第 3章

同时，为了使用方便，避免在线查询集中存放的公钥 带来的性能瓶颈问题，PKI又引入了数字证书的概念。 实际上，PKI体系是采用证书的形式对用户的公钥进 行管理，而这一管理的实施者就是可信的第三方CA。
1.3 我国PKI/CA的现状
市场需求骤增，发展势头迅猛 行业推动形成开发热点 部分发展过热，但必须加以调整
通 常 PKI 的 最 高 管 理 是 通 过 一 个 政 策 管 理 机 构 （Policy Management Authority,PMA）来实现的。 这个机构主要是对PKI进行宏观的决策管理，确定 大的原则和策略。而PAA则根据PMA的决策进行 运行管理 。
2.3 一般结构图
证书链起始端叫“信任锚”，证书链的末端为 验证的用户证书。
选择信任模式是构建和运作PKI所必须的一个环 节。
“信任锚”的选择和证书链的构造方式不是唯 一的。
1.级链模式
A对B进行验证: A - CA3 - CA1 - CA2 - CA4 - B
1 根CA
2
4
B
3
A
5 表示CA 表示终端实体
2.网状模式
A对B进行验证: A→CA3→CA5→CA4→B
3.3 非对称密码体制
非对称密码体制是指加密密钥与脱密密钥是 相关联的不同的两个密钥，且满足：
（1）用一个密钥加密的消息可用另一个进行 解密。
（2）已知加密算法和公开密钥，要求取秘密 密钥是很难的。
使用RSA加密（解密）步骤
（1）生成随机的两个互素的大素数p和q，且满足 n=p·q，φ（n）=(p-1)·（q-1）
（2）随机选择整数e,1<e<φ(n)，使得gcd(e,φ(n))=1 （3）计算d,1<d<φ(n)C，d 且使得e·d≡1 mod (φ(n)) （4）将（n,e）公开，将d秘藏 （5）加脱密公式：

• （5）在安装证书时，系统会提示是否安装 此数字证书，单击“是”。数字证书安装 完毕。
• 2．查看数字证书
• （1）打开Internet Explorer浏览器，单击 【工具】菜单中的【Internet选项】→【内 容】→【证书】按钮，如图所示。
• （2）在【证书】对话框中，单击【个人】 选项卡，可以查看到已经申请的个人数字 证书列表，如图所示。
CA认证
目录
1 任务1 CA中心 2 任务2 数字证书的申请和使用 3 任务3 利用数字证书加密和签名
任务1 CA中心
• 任务目标： • 通过对CA中心任务的学习，掌握CA中心的
基本功能与职责。
• 1．CA中心定义
• CA中心又称CA机构，即证书授权中心 (CertificateAuthority)，或称证书授权机 构，作为电子商务交易中受信任的第三方 ，承担公钥体系中公钥的合法性检验的责 任。
• 从CA的层次结构来看，可以分为认证中心 （根CA）、密钥管理中心（KM）、认证 下级中心（子CA）、证书审批中心（RA中 心）、证书审批受理点（RAT）等。
• 3．CA中心的职责
• CA中心主要职责是颁发和管理数字证书。 其中心任务是颁发数字证书，并履行用户 身份认证的责任。CA中心在安全责任分散 、运行安全管理、系统安全、物理安全、 数据库安全、人员安全、密钥管理等方面 ，需要十分严格的政策和规程，要有完善 的安全机制。
• ②输入导入文件的路径和文件名，如图所 示。单击【下一步】。
• ③输入密码，如图所示，单击【下一步】 。
• ④选择证书存储区，通常选择的是系统自 动存储，如图所示。然后单击【下一步】 。
• ④完成导入，如图所示，单击【完成】按 钮，出现【导入成功】对话框，单击【确 定】完成证书的导入。

3
4
数字认证
4、认证中心（CA） 认证中心是承担网上安全电子交易认证服务、签发数字 证书并能确认用户身份的服务机构。它的主要任务是受理数 字凭证的申请，签发数字证书及对数字证书进行管理。 CA认证体系由根 CA、品牌CA、地方CA 以及持卡人CA、商家 CA、支付网关CA等不 同层次构成，上一级 CA负责下一级CA数字 证书的申请签发及管 理工作。
根CA 品牌CA 地方CA 持卡证件
商家MCA
支持网关PCA
持卡人CCA 商家证件 支付网关证件 Mr.ruiwu@gm CA认证体系的层次结构
身份认证技术
1、基于生理特征的身份认证 指纹、脸型、声音等进行身份认证 要求使用诸如指纹阅读器，脸型扫描器，语音阅读器等价 格昂贵的硬件设备。 由于验证身份的双方一般都是通过网络而非直接交互，所 以该类方法并不适合于在诸如 Internet 或无线应用等字认证从某个功能上来说很像是密码，是用来证实你的身份或对网 络资源访问的权限等可出示的一个凭证。数字证书包括：
1
2
客户证书：以证明他（她）在网上的有效身份。该证书一般是 由金融机构进行数字签名发放的，不能被其它第三方所更改。 商家证书：是由收单银行批准、由金融机构颁发、对商家是否 具有信用卡支付交易资格的一个证明。 网关证书：通常由收单银行或其它负责进行认证和收款的机构 持有。客户对帐号等信息加密的密码由网关证书提供。 CA系统证书：是各级各类发放数字证书的机构所持有的数字证 Mr.ruiwu@gm 书，即用来证明他们有权发放数字证书的证书。
数 字 摘 要
初 初 始 始 文 文 件 件 Mr.ruiwu@gm 数字签名的验证及文件的窜送过程
数 字 摘 要
一 致

对称加密体系：
将128比特的密钥分为64比特的两组，对明文多次进行普 通的DES加解密操作，从而增强加密强度。
对称算法最主要的问题是：由于加解密双方都要使用相同 的密钥，因此在发送、接收数据之前，必须完成密钥的分 发。因而，密钥的分发便成了该加密体系中的最薄弱因而 风险最大的环节。各种基本的手段均很难保障安全地完成 此项工作。从而，使密钥更新的周期加长，给他人破译密 钥提供了机会。在对称算法中，尽管由于密钥强度增强， 跟踪找出规律破获密钥的机会大大减小了，但密钥分发的 困难问题几乎无法解决。如，设有n方参与通信，若n方都 采用同一个对称密钥，一旦密钥被破解，整个体系就会崩 溃；若采用不同的对称密钥则需 n(n-1) 个密钥，密钥数与 参与通信人数的平方数成正比。这便使大系统密钥的管理 几乎成为不可能。
互联网络的用户群决不是几个人互相信任的小集体， 在这个用户群中，从法律角度讲用户彼此之间都不能 轻易信任。所以公钥加密体系采取了另一个办法，将 公钥和公钥的主人名字联系在一起，再请一个大家都 信得过有信誉的公正、权威机构确认，并加上这个权 威机构的签名，这就形成了证书。 数字证书实际上是存于计算机上的一个记录，是由CA 签发的一个声明，证明证书主体（“证书申请者”拥 有了证书后即成为“证书主体”）与证书中所包含的 公钥的唯一对应关系。证书包括证书申请者的名称及 相关信息、申请者的公钥、签发证书的CA的数字签名 及证书的有效期等内容。数字证书的作用是使网上交 易的双方互相验证身份，保证电子商务的安全进行。 由于证书上有权威机构的签字，所以大家都认为证书 上的内容是可信任的；又由于证书上有主人的名字等 身份信息，别人就很容易地知道公钥的主人是谁。
C = M mod (n) 对于密文C，用私钥(n，d)解密可得到明文M。

:// 输入到“将该网站添加到区域 ”下面的输入框中，点击添加 。注意如果不用 s协议访问 ，则要把“对该区域中的所有 站点要求服务器验证（ s） ”前面的对勾去掉，然后可信 站点显示在网站框中，如下34图
4.IE安全设置
B）自定义安全级别 （1）选中“可信站点”，点击 “自定义级 别”按钮，弹出如下安全设置对话框。
16
1 使用数字证书前的准备工作 2 如何使用USBKey登录应用系统 3 证书使用中出现问题及解决办法
17
1. 基本环境准备 2. 安装USBKey驱动 3. 用户驱动工具设置 4. IE安全设置
18
1.基本环境准备
要求： A）使用Windows操作系统，包括WinXP，
win7，win2003等； B）浏览器推荐使用IE6.0以上版本。不推荐使用
31
4.IE安全设置-手工
（A）添加可信站点 （1）打开IE，点击
IE菜单中的工具 Internet选项 ，如下图所示。
32
4.IE安全设置
（2）点击Internet 菜单选项中的点击 “安全”，选择“ 可信站点”， 点击 下面的“站点”按 钮。
33
4.IE安全设置
（3）在可信站点对话框中， 将应用系统的
解决办法： 这种现象是由于输入了错误的USBKey口令造成的，请重新输入正 确的USBKey口令即可解决。 注意： 1、USBKey口令错误输入限制次数是15次，超过15次USBKey将锁 定，不能使用。 2、如果USBKey密码忘记或被锁定，请持本人有效身份证件至交 易中心CA锁办理窗口解锁或者拨打陕西CA的客服 在外网远程 进行密码解锁业务，客服 029—82300556； 3、陕西CA驻交易中心联系 ：
35

②A然后使用他的秘密签名算法对要 发送的信息M进行签名得到Y；
③A把密文X和签名Y一同发送给B；
④B使用自己的密钥对密文X解密， 还原成明文；
⑤B使用A的公开验证算法验证签 名Y，若得出的回答是“真”，则可 确认信息确实是A发送的。
三、数字证书
１、证书
⑴持卡人证书 ⑵商家证书
公钥证书的结构
２、认证机构
５、一次口令机制
这是很安全的身份认证方式 ——用户每次登录系统时口令互不相同
⑴“请求应答”方式 ⑵“时钟同步”方式
二、数字签名技术
１、一个数字签名应满足三个条件
A、签名者事后不能否认自己的签名； B、接收者能验证签名，而任何其他人都不能 伪造签名； C、当双方关于签名的真伪发生争执时，由第 三方CA(Certification Authority)——认证机构 来仲裁。
２、数字签名算法的组成
一个数字签名算法主由两个算法组成： 即签名算法和验证算法。
签名算法由用户秘密保存，验证算法是 公开的。
签名者使用签 名算法签一个消息， 所得的签名可以通 过验证算法来验证， 即给定一个签名， 使用验证算法得出 “真”或“假”的 回答。
３、信息加密和数字签名的应用过程
①A首先使用B的公钥对要发送的信息 M进行加密处理得到密文X;
⑶用户所具有的某些生物学特征 如指纹、声音、DNA
３、身份认证的单因素法
典型代表——口令 这是身份认证最简单的方法，安全性较差。
应用： 系统事先保存每个用户的二元组信息，进
入系统时用户输入二元组信息，系统将其与所 保存的信息相比较，从而判断用户身份的合法 性。
４、基于智能卡的用户身份认证
这种认证机制属于双因素法 ——将物理介质与口令两个因素结合起来

j证注保miasn书：证cg，的 1给x5u打导其4n2l开i出他n2@1证/主导3s书8体i入9n管@ a颁即.理发q证q器数.书，字的选证备择书份当的/恢前认复用证户中的心个是人可证信书赖项的机构
❖❖ R自根以是作身认认可为颁证证信根发机路可认，构径靠证不上的R机 信需所构 任要 有，A验 认，法证 证A定机信受构任信及B任，其！B颁信其发任证证C书书，由都所 浏 证主注甲m第而在主注而＝在＝中子用注在用动c注以c在 第甲浏c在m企 主根如浏而中在如如R根如 亦注在根c1第证保用R软企1而主 中保m动＝ c用＝而Rc第＝注证企 c企第子用企中 在在根亦证而而主浏在中现 动第c在保m用保cooooooooo55作作作ssss览书要：公三软“要：软对电对级任A：开A感：w“二公览“业要认果览软级“果果认果称：开认三书证B件业软要级证感对R对软二身：书业业三任R业级““认称书软软要览开级在感三“电证A证mmmmmmmmm44cccc的的的的22e为 为 的 为 的， ， ， ，向）））器的 确 甲 司 步 件 帐 确 1件 称 邮 称 认 务 甲 始 地 1帐步 司 器 帐 通确 证 验 器 件 认 帐 验 验 证 验代 1始 证 步 的 给 （ 通 件 确认 给 地 称称 件 步 份 1的 通间 步 务 通 认帐 帐 证 代 的 件 件 确 器 始 认 用地 步 帐 邮 给 给（（添（（添22b5555证证证证根根证根证11方打打打打1向发发向“ 导保公雇：开户保开加客加证二公菜带户 ：雇“户过 保机证“开证户证证机证 码菜机：导其开过开保 证其带加 加开：信导过 在：一过证 户户机码导开保“菜证带：户客其其4444乙乙加乙乙加335书书书书2222认认书认书式开开开开88乙送送乙工 出个司员安发”个发密户密机：司单用” 设员工”自 个构成工发机”成成构成 签单构安出他发自发个 机他用密 密发设息出自 进安：自机 ””构签出发个工单机D用安”户他他4公 公 到 公 公 到2222992来来来来要证证来证来1111访证证证证公一一公@ @ 具 /人雇（全者对人者+端+构发雇运户对 置（具对己 人（功具者构对功功（功 名运（全/主者己者人 构主户++者置+/己 行全发己构 对对（名/者人具运构户全对端主主2司司O司司O导导导导3333非非非 非非验验验验1机机验机验使问书书书书8888司封封司EE” 电员收则话电则软（送员行（话 ”话的 电，”则（话，，， 证行收体）的则电 （体（则的 交收送的（ 话话证则则电”行（收话软体体1O1RRRORqq雇雇雇雇3入入入入9999qq55对对对 对对邮邮证证证证构构证构证））））用8uu邮管管管管雇机机雇@ @ @ @ 菜 子（发要框子要件加（框框 菜框网 子说菜要框说说说 书框发颁证网要子 颁要网 易发签网框框书要要子菜框发框件颁颁A1AA1AA1..44员员员员即即即即9tt333称称称 称称ll件件、BB、C、、 、B22，，，的的的AA的C箱理理理理oo@员密密员单 邮电向中邮向密中中 单中站 邮明单向中明明明 ，中电发书站向邮 发向站 时电名站中中，向向邮单中电中发发1O1Oqqqq777））））22证证证证的的的的的的oo的qqqq55加加加 加加帐帐BBBBB666法法法证证证证uu11，器器器器q（商商（kk－ 件子软，件软邮输， －，， 件－软，证输子数的，软件 数软，子邮，，，证软软件－输子，数数ARBR....44000书书书书33tt） 证 证 ） ） ）） 证证证证q证密密密 密密ll户户信信22EE定定定信 信书书书书888不，，，，oo88函函jj.－通邮件还通件件入还－还与通－件还明入邮字应与件通字件与其邮件与还还明件件通－入邮还字字ii22的的的的555aa的书书的的的 书xx书书书oo书99（（（ （任任受受受任任11能选选选选pp888nnkk@ @ 信件用可信用可 可公 信用可软件证用公用信 证用公 雇件公可可软用信件可证证IcIIcIcNNNN备备备备33证；；证证证 证；；；；rr，888ggeee公公公 公BCEE信信信AAee使择择择择88000、户以、户以 以众 、户以件书众户、 书户众 员众以以件户户、以书书TTTTqqxxrrr份份份份ss书！书书书 书xx！！！ttt必99uu111qq钥钥钥 钥EEEEmmm任任任ss用当当当当pp@ @ 网提查网提查 查进 网提查是的进提网 的提进 通进查查是提提网查的的nn）））..////RRRRrr须ggg恢恢恢恢加加加 加ll！！！ee证ii前前前前上供看上供看 看行 上供看安认行供上 认供行 常行看看安供供上看认认qqNNNNnnrrr在在在ss...要qq复复复复密密密 密@ @EEEEss书用用用用个软和个软和 和商 个软和全证商软个 证软商 要商和和全软软个和证证..““TTTT验））） ）ss工工户户户户人件修人件修 修品 人件修可中品件人 中件品 使品修修可件件人修中中选 选选选iinn证具具的的的的aa金正改金正改 改交 金正改信心交正金 心正交 用交改改信正正金改心心项 项项项..C””个个个个融版已融版已 已易 融版已的是易版融 是版易 电易已已的版版融已是是－ －－－的菜菜人人人人与验有与验有 有， 与验有正可，验与 可验， 子，有有正验验与有可可－ －－－证单单证证证证支证邮支证邮 邮或 支证邮版信或证支 信证或 邮或邮邮版证证支邮信信““ “ “书——书书书书付的箱付的箱 箱向 付的箱软赖向的付 赖的向 件向箱箱软的的付箱赖赖内 内内内的帐帐项项项项的机帐的机帐 帐公 的机帐件的公机的 的机公 交公帐帐件机机的帐的的容 容容容可户户安制户安制户 户众 安制户机众制安 机制众 换众户户制制安户机机” ”””靠——全的全的 的提 全的构提全 构提 大提的的全的构构标 标标标性““帐帐属属 属供 属供供 量供属属属签 签签签户户性性 性服 性服服 的服性性性－ －－－””。。 。务 。务务 机务。。。－ －－－对对， ，， 密，“ “““话话其 其其 商其证 证证证框框间 间间 务间书 书书书中中可 可可 信可” ”””，，能 能能 息能按 按按按点点存 存存 （存钮 钮钮钮右右在 在在 报在侧侧大 大大 价大的的量 量量 、量添添的 的的 询的加加机 机机 价机按按密 密密 、密钮钮商 商商 要商将将务 务务 约务信信 信、 信jjiiaa息 息息 承息nngg交 交交 诺交xxuu换 换换 、换nnll（ （（ 电（iinn@ @ 商 商商 子商品 品品 合品ssiinn名 名名 同名aa..称 称称 书称、 、、 等、数 数数 ）数量 量量 量、 、、 、价 价价 价格 格格 格； ；； ；

网络信息安全
二、数字签名的应用原理
(1)发送方利用数字摘要技术，使用单向Hash函数对信息报文M进行数学变换，得到信息报文的数字摘要A； (2)发送方使用公开密钥加密算法，利用自己的私人密钥对数字摘要A进行加密(签名)，得到一个特殊的字符串，称为数字标记(这个特殊的数字标记就是发送者加在信息报文上的数字签名)： (3)发送方把产生的数字签名附在信息报文之后，一同通过因特网发给接收方：
网络信息安全
不可否认签名（二）
不可否认协议可以证实以下两点： a)签名者可以证实接收者所提供的假签名确实是假的； b)接收者提供的真签名不可能(极小的成功概率)被签名者证实是假的
网络信息安全
盲签名（一）
需要某个人对某数据签名，而又不能让他知道数据的内容，我们称这种签名为盲签名(Blind Signature)。在无记名投票选举和数字化货币系统中往往需要这种盲签名。
网络信息安全
二、数字签名的安全性
（1）数字签名利用密码技术进行，是一组其他任何人无法伪造的数字串，通过数字签名可以达到与传统签名同样的效果，并且比真实的签名更具有不可伪造性。（2）数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化，并没有第二个人可以做出同样的签名。（3）数字签名技术的实质在于对特定数据单元的签名，而不是加密整个文件。因此，数字签名在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证文件确实是由合法者产生，而不是由其他人假冒，（4）当该签名得到检验之后，能够在任何时候向第三方即仲裁人提供签名人的身份的证明。
网络信息安全
盲签名（二）
盲签名与普通签名相比有两个显著的特点： ①签名者不知道所签名的数据内容； ②在签名被接收者泄露后，签名者不能追踪签名。

新
7.证书废止列表CRL的管理。 8.CA本身的管理和CA自身密钥的管理。
证书的表现形式
证书的内容
使用证书提供的服务
• Web认证和专有信道 • 签名和加密的信息传递 • 签名的事务和表单签发 • 网络操作系统、主机和大型机认证 • 远程访问 • 虚拟专网 • 文件加密
它是电子商务和网上银行交易的权威性、可 信赖性及公正性的第三方机构。
公钥基础设施PKI
• PKI是用于发放公 开密钥的一种渠道。
• CA
• RA
• Directory —大量的查询操作 —少户
证书服务—分层次的证书颁发体系
CA的功能
1.证书的申请。在线申请或离线申请 2.证书的审批。在线审核或离线审核 3.证书的发放。在线发放和离线发放 4.证书的归档。 5证书的撤销。 6.证书的更新。人工密钥更新或自动密钥更
• CA数字证书服务 • CA服务器配置 • 证书申请及应用 • SSL协议 • SSL实现WEB加密通信 • SSL-VPN
本章目标
CA电子商务网络示意图
什么是CA
CA——认证中心 CA为电子政务、电子商务网络环境中各个实
体颁发数字证书，以证明身份的真实性， 并负责在交易中检验和管理证书；
CA对数字证书的签名使得第三者不能伪造和 篡改证书。

数字签名与CA认证技术的比较与选择
数字签名和CA认证技术在实现 数据完整性和身份认证方面具
有不同的优势和适用场景。
CA认证适用于大规模的安全需 求场景，如企业网络、电子商 务等，可以提供全面的身份认 证和通信安全保障。
数字签名适用于较小规模的安 全需求场景，如电子邮件、软 件发布等，可以提供端到端的
详细描述
RSA数字签名算法基于数论中的一些基本原理，如大数因子分解和模幂运算。该算法使用一对密钥，一个公钥用 于加密和验证签名，另一个私钥用于解密和生成签名。私钥用于对消息进行签名，生成一个数字签名，公钥用于 验证该签名的有效性。
DSA数字签名算法
总结词
DSA数字签名算法是一种基于离散对数问题的数字签名算法，它使用一对密钥， 一个用于签名，另一个用于验证。
CA认证的定义
CA认证（Certificate Authority Authentication）是一种基于公钥基 础设施（PKI）的网络安全认证机制， 用于验证网络通信双方的身份真实性 和可信度。
CA认证通过颁发数字证书，对网络通 信中的用户或设备进行身份识别，确 保只有授权的用户或设备才能访问特 定的网络资源或服务。
详细描述
ECDSA数字签名算法基于椭圆曲线密码学，使用一对密钥进行签名和验证。私钥用于生成数字签名， 公钥用于验证签名的有效性。ECDSA数字签名算法具有较高的安全性和效率，被广泛应用于金融、电 子商务等领域。
04 CA认证技术的实现方式
证书颁发流程
用户向CA机构提出证书申请
01
用户需要在CA机构处注册账号，并提交必要的信息以进行身份
CA认证的原理
证书颁发
CA作为第三方信任机构，负责颁发数字证书，其中包含公钥、证书持有者的身份信息以 及CA的签名等。

（一）数字证书
（一）数字证书
（一）数字证书
数字证书的格式与种类 格式：目前数字证书的格式普遍采用的是X.509 V 3国际标准，内容包括证书序列号、证书持有者名 称、证书颁发者名称、证书有效期、公钥、证书 颁发者的数字签名等. 种类： 服务器证书 单位身份证书 个人身份证书
（一）数字证书 数字证书存储方式
OA访问控制
OA访问控制
******
（三）技术原理 2、如何采用数字签名实现数据的完整、保密和抗抵
赖性 （1）数字签名的全过程分两大部分，即签名与验证 (2)每个用户的数字证书拥有一对密钥：公钥和私钥
(3)签名由签名者采用自己的私钥进行 (4)验证由接收者采用签名人的公钥进行
（三）技术原理 (5)数字签名实现过程
（三）技术原理
采用数字签名实现数据完整、机密和抗抵赖 实例
（三）技术原理
（三）技术原理
（三）技术原理
（三）技术原理
（三）技术原理
（三）技术原理
电子印章
在传统商务活动中，为了保证交易的安全与真实，一 份书面合同或公文要由当事人或其负责人签字、盖章，以 便让交易双方识别是谁签的合同，保证签字或盖章的人认 可合同的内容，在法律上才能承认这份合同是有效的。
《数字证书介绍》PPT课 件
❖ 数字证书知识介绍
▪ 大纲内容
– 什么是数字证书 – 为什么要用数字证书 – 数字什么作用
2
（一）数字证书
数字证书—— 是由权威机构－－CA证书授权（C，能提供在Internet上进行身份验证 的一种权威性电子文档，人们可以在互联网交往 中用它来证明自己的身份和识别对方的身份。
（三）技术原理
实现原理 1、如何实现身份认证

谢谢大家！
CA认证中心 CA认证中心
个 人 身 份 证 书
个 人 安 全 电 子 邮 件 证 书
企 业 身 份 CA 证 书
企 业 安 全 电 子 邮 件 证 书
信 用 卡 身 份 证 书
电 子 合 同 身 份 证 书
3. 注意事项
本实验室软件为方便操作， 本实验室软件为方便操作，在企业用户注册 自动完成证书申请； 时，自动完成证书申请；学生只需要在注册完 成后， 成后，根据系统发到电子信箱中的证书编号和 下载密码将CA证书下载到本地 证书下载到本地， 下载密码将 证书下载到本地 ， 便可以在登 录供应商（采购商）时候成功地通过身份验证。 录供应商（采购商）时候成功地通过身份验证。
CA认证 前台） 认证（ 1. CA认证（前台）流程图
个 人 身 份 证 书 安 CA CA CA CA CA CA CA CA 全 个人安全电子邮件证书 证 证 身 份 CA 证 书 安全电子邮件证书 放 身份证书 电子 身份证书 书 中 发 心 证 书 认 证 证 认 书 置 配
2. CA认证（后台）流程图 认证（ 认证 后台）
《电子商务师实验室》 电子商务A模块概述
本模块包含了丰富的理论知识， 本模块包含了丰富的理论知识，使师生们理解 CA证书的工作原理及作用，以及在电子商务 证书的工作原理及作用， 证书的工作原理及作用 中的应用。 中的应用。 师生们可以通过实验掌握CA证书的申请及配 师生们可以通过实验掌握 证书的申请及配 置使用，了解CA机构对电子证书的管理 机构对电子证书的管理。 置使用，了解 机构对电子证书的管理。

交叉认证的约束 名字约束 路径长度约束 策略约束
证书中心架构分类
CA的架构模型一般可分成：
层次式(Hierarchical) 网络式(Mesh) 混合式(Hybrid)
证书中心架构分类
层次型结构
国家级CA
－ 用户X的证书认证路径为CA4CA2 CA1（ROOT）
地区级CA 组织级CA
用户X
地区级CA 组织级CA 用户Y
－ 优点：
•类似政府之类的组织其管理结构大部分都是层次型的， 而 信任关系也经常符合组织结构，因此，层次型认证结构就 成为一种常规体系结构。 •分级方法可基于层次目录名 •认证路径搜索策略为“前向直通” •每个用户都有返回到根的认证路径。根为所有用户熟知 并 信任，因此，任一用户可向对方提供认证路径，而验证方 也能核实该路径。
PKI/CA标准与协议
基础标准/协议
加密标准
GSS-API v2.0 GCS-API CDSA RSA PKCS#11 Cryptographic Token Interface
Standard v2.01 RSA BSAFE API MS CryptoAPI v2.0 CTCA 证书存储介质接口规范v1.0
应用场合 ：电子商务购物、付款。是SET和nonSET中常用
交叉认证
同一个认证中心（CA）签发的证书能自动 进行认证，不同CA的不能自动认证，交叉 认证技术可以使不同CA签发的数字证书相 互认证。
交叉认证就是两个CA相互为对方的根CA签 发一张证书，从而使两个CA体系中的证书 可以相互验证。
第8章 数字证书与CA系统架构
8.1 CA是什么
CA是证书的签发机构，它是PKI的核心， 是PKI应用中权威的、可信任的、公正的第 三方机构。它主要的功能有证书发放、证 书更新、证书撤销和证书验证。

7.2个人CA证书的使用
电子商务基础>2.1
7.2个人 CA证书的使用
7.2.1电子商务系统安全的四要素 7.2.2发送具有数字签名的电子邮件 7.2.3发送加密的电子邮件
电子商务基础>2.1
7.2.1电子商务系统安全的四要素
1.信息的保密性 2.交易身份的确定性 3.不可否认性 4.不可修改性
电子商务基础>2.1
7.2.2发送具有数字签名的电子邮件
1.设置Outlook Express的账号属性 2.在Outlook Express中设置数字证书 3.发送签名电子邮件
电子商务基础>2.1
7.2.3发送加密的电子邮件
要发送加密的电子邮件，需要有收件人的数字证 书。可以让对方先发送一份签名邮件来获取对方的公 钥，或直接到CA认证中心，查询并下载对方的数字 证书，这样的数字证书只有公钥。
svhepeducnsvehepeducn72ca电子商务基础21svhepeducnsvehepeducn7272个人个人caca证书的使用证书的使用721电子商务系统安全的四要素722发送具有数字签名的电子邮件723发送加密的电子邮件电子商务基础21svhepeducnsvehepeducn721721电子商务系统安全的四要素电子商务系统安全的四要素1
获取对方数字证书的方法：P115
电子商务基础>2.1来自