基于公钥体系的数字证书认证技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ChinBaidu Nhomakorabea Electronic Business Center Class B CA
(山东) SDECA
(上海) SHCA
证书 1 证书 2
证书 3
证书 4
CA的树形结构
RA(Registration Authority)
? 数字证书注册审批机构:是CA的证书发放、 管理的延伸。
?它负责证书申请者的信息录入、审核以及 证书发放等工作;同时,对发放的证书完 成相应的管理功能。
8.7 安全电子交易SET分析
?由visa和MasterCard组织共同制定 ?涉及范围:P240 ?目标
?保证信息在 internet 上安全传输 ?订单信息和个人帐号的隔离 ?持卡人和商家相互认证,由第三方机构负责担保 ?要求软件遵循相同协议和报文格式
消费者
网上商店 Internet
支付网关 银行网络
核心 参与者
数字证书
? 数字证书:网络通信中标志通信各方身份信息的一系列数据,作用类似于 现实生活中身份证,由权威机构颁发
? 一个标准的X.509数字证书包含以下两部分:
? 申请者的信息 ·第一部分申请者的信息,数字证书里的数据包括以下信息: ·版本信息,用来与X.509的将来版本兼容; ·证书序列号,每一个由CA发行的证书必须有一个唯一的序列号; ·A所使用的签名算法; ·发行证书CA的名称; ·证书的有效期限; ·证书主题名称; ·被证明的公钥信息,包括公钥算法、公钥的位字符串表示; ·包含额外信息的特别扩展。
SSL记录协议 TCP
IP
?安全连接特点
?连接保密:每个连接都有唯一会话密钥 (DES,RCS)
?连接可靠,传输采用信息验证算法 (MD5,SHA)进 行完整性检验
?对端实体的鉴别采用非对称秘密体制 (RSA)进行认 证
过程
?初始化逻辑连接(Hello):协商安全能力 ?服务器发送证书和会话密钥 ?客户通知服务器,完成握手 ?开始发送
?发放的数字证书可以存放于IC卡、硬盘或 软盘等介质中。RA系统是整个CA中心得以 正常运营不可缺少的一部分。
8.6 安全套接层(SSL)协议
?SSL(secure sockets layer)是netscape公司 1995年推出的一种安全通信协议
?对整个会话进行加密,保证安全传输
HTTPS,FTPS,TELNETS等 SSL握手协议
?是利用公钥理论和技术建立的提供安全服务的基础设 施。
?用户可利用 PKI平台提供的服务进行安全的电子交易, 通信和互联网上的各种活动。
?PKI是基于公钥算法和技术,为网上通信提供安全服 务的基础设施
?PKI技术是信息安全技术的核心,也是电子商 务的关键和基础技术
?PKI的基础技术包括加密、数字签名、数据完 整性机制、数字信封、双重数字签名等
8.5 基于公钥体系的数字证书认证技术
?公钥体系的定义 ?CA认证中心及数字证书 ?数字证书类型
公钥体系的定义
? 为解决 Internet 的安全问题,世界各国对其进行了多 年的研究,初步形成了一套完整的 Internet安全解决 方案,即目前被广泛采用的 PKI-公钥基础设施
?PKI(public key infrastructure ):是一种遵循既定标 准的密钥管理平台,为网络应用提供加密和数字签名 等密码服务及所需密钥和证书的管理体系
?组成:公钥密码技术,数字证书,认证机构 (CA),有关公钥的安全策略
?核心元素是数字证书,核心执行者是CA认证 机构
典型PKI系统
?注册机构(registration authority RA) ?认证中心(certificate authority CA) ?证书库(certificate repository CR) ?证书信任方 ?证书申请者
CA认证中心
?是证书的签发机构,也是PKI核心 ?负责发放和管理数字证书的权威机构 ?认证中心复杂完成证书的颁发,更新,查
询,作废,归档管理 ?验证过程:用证书颁发机构的公钥对证书
签字进行解密,得到证书信息的原始摘要, 并对证书信息进行HASH运算,得到当前摘 要,与原摘要对比
根 CA 电子商务中心
认证中心 CA
发卡银行
收单银行
1订单 消
在 2审核
支
费
线
付
者 6确认 商 5确认 网
家
关
认证 认证
认证
收 单 行
3审核 4批准
认证中心
发卡行
订单和付款指令进行数 字签名,双重签名保证 商家看不到帐号信息
网上商店
消费者
Internet
支付网关 银行网络
认证中心 CA
发卡银行
收单银行
? 发放证书CA的信息 第二部分CA的信息,数字证书包含发行证书CA的签名和用来生成数字
签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是 由CA的签名密钥签发的。
?在数字信息传输前,首先传输双方互相交 换证书,验证彼此的身份;然后,发送方 利用证书中的加密密钥和签名密钥对要传 输的数字信息进行加密和签名
(山东) SDECA
(上海) SHCA
证书 1 证书 2
证书 3
证书 4
CA的树形结构
RA(Registration Authority)
? 数字证书注册审批机构:是CA的证书发放、 管理的延伸。
?它负责证书申请者的信息录入、审核以及 证书发放等工作;同时,对发放的证书完 成相应的管理功能。
8.7 安全电子交易SET分析
?由visa和MasterCard组织共同制定 ?涉及范围:P240 ?目标
?保证信息在 internet 上安全传输 ?订单信息和个人帐号的隔离 ?持卡人和商家相互认证,由第三方机构负责担保 ?要求软件遵循相同协议和报文格式
消费者
网上商店 Internet
支付网关 银行网络
核心 参与者
数字证书
? 数字证书:网络通信中标志通信各方身份信息的一系列数据,作用类似于 现实生活中身份证,由权威机构颁发
? 一个标准的X.509数字证书包含以下两部分:
? 申请者的信息 ·第一部分申请者的信息,数字证书里的数据包括以下信息: ·版本信息,用来与X.509的将来版本兼容; ·证书序列号,每一个由CA发行的证书必须有一个唯一的序列号; ·A所使用的签名算法; ·发行证书CA的名称; ·证书的有效期限; ·证书主题名称; ·被证明的公钥信息,包括公钥算法、公钥的位字符串表示; ·包含额外信息的特别扩展。
SSL记录协议 TCP
IP
?安全连接特点
?连接保密:每个连接都有唯一会话密钥 (DES,RCS)
?连接可靠,传输采用信息验证算法 (MD5,SHA)进 行完整性检验
?对端实体的鉴别采用非对称秘密体制 (RSA)进行认 证
过程
?初始化逻辑连接(Hello):协商安全能力 ?服务器发送证书和会话密钥 ?客户通知服务器,完成握手 ?开始发送
?发放的数字证书可以存放于IC卡、硬盘或 软盘等介质中。RA系统是整个CA中心得以 正常运营不可缺少的一部分。
8.6 安全套接层(SSL)协议
?SSL(secure sockets layer)是netscape公司 1995年推出的一种安全通信协议
?对整个会话进行加密,保证安全传输
HTTPS,FTPS,TELNETS等 SSL握手协议
?是利用公钥理论和技术建立的提供安全服务的基础设 施。
?用户可利用 PKI平台提供的服务进行安全的电子交易, 通信和互联网上的各种活动。
?PKI是基于公钥算法和技术,为网上通信提供安全服 务的基础设施
?PKI技术是信息安全技术的核心,也是电子商 务的关键和基础技术
?PKI的基础技术包括加密、数字签名、数据完 整性机制、数字信封、双重数字签名等
8.5 基于公钥体系的数字证书认证技术
?公钥体系的定义 ?CA认证中心及数字证书 ?数字证书类型
公钥体系的定义
? 为解决 Internet 的安全问题,世界各国对其进行了多 年的研究,初步形成了一套完整的 Internet安全解决 方案,即目前被广泛采用的 PKI-公钥基础设施
?PKI(public key infrastructure ):是一种遵循既定标 准的密钥管理平台,为网络应用提供加密和数字签名 等密码服务及所需密钥和证书的管理体系
?组成:公钥密码技术,数字证书,认证机构 (CA),有关公钥的安全策略
?核心元素是数字证书,核心执行者是CA认证 机构
典型PKI系统
?注册机构(registration authority RA) ?认证中心(certificate authority CA) ?证书库(certificate repository CR) ?证书信任方 ?证书申请者
CA认证中心
?是证书的签发机构,也是PKI核心 ?负责发放和管理数字证书的权威机构 ?认证中心复杂完成证书的颁发,更新,查
询,作废,归档管理 ?验证过程:用证书颁发机构的公钥对证书
签字进行解密,得到证书信息的原始摘要, 并对证书信息进行HASH运算,得到当前摘 要,与原摘要对比
根 CA 电子商务中心
认证中心 CA
发卡银行
收单银行
1订单 消
在 2审核
支
费
线
付
者 6确认 商 5确认 网
家
关
认证 认证
认证
收 单 行
3审核 4批准
认证中心
发卡行
订单和付款指令进行数 字签名,双重签名保证 商家看不到帐号信息
网上商店
消费者
Internet
支付网关 银行网络
认证中心 CA
发卡银行
收单银行
? 发放证书CA的信息 第二部分CA的信息,数字证书包含发行证书CA的签名和用来生成数字
签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是 由CA的签名密钥签发的。
?在数字信息传输前,首先传输双方互相交 换证书,验证彼此的身份;然后,发送方 利用证书中的加密密钥和签名密钥对要传 输的数字信息进行加密和签名