身份识别协议
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.5.1身份识别
数字签名的一个最主要的应用领域就 是身份识别。
Bob? or Eve? Alice? or Eve?
?
Alice Eve
?
Bob
7.5.1身份识别
• 身份识别:又称为身份鉴别、实体认证、身份认 证等。 • 身份识别是在计算机网络中确认操作者身份的过 程。在这个过程中,其中一方确信参与协议的第 二方的身份,并确信第二方真正参与了该过程。 • 用户的身份识别是许多应用系统的第一道防线, 其目的在于识别用户的合法性,从而阻止非法用 户访问系统。身份识别(认证)对确保系统和数 据的安全保密是极其重要的。
7.5.1身份识别
识别过程归纳为: 1)用户将自己的识别对象技术传送给计算机。 2)计算机完成识别对象的单向函数值的计算。 3)计算机把单向函数值与机内存储值进行比 较。
7.5.1身份识别
身份认证工具 • 静态密码 • 智能卡(IC卡) • 短信密码 • 动态口令牌 • USBKey • 双因素身份认证,如USBKey+静态密码
7.5.6USBKey原理
USB Key身份认证主要有如下两种应用模式 • 基于冲击-响应认证模式 • 基于PKI的数字证书的认证模式
7.5.6USBKey原理
基于冲击-响应认证模式 • USB Key内置单向散列算法(MD5),预先在USB Key和 服务器中存储一个证明用户身份的密钥,当需要在网络上 验证用户身份时,先由客户端向服务器发出一个验证请求。 服务器接到此请求后生成一个随机数回传给客户端PC上 插着的USB Key,此为“冲击”。USB Key使用该随机数 与存储在USB Key中的密钥进行MD5运算得到一个运算结 果作为认证证据传送给服务器,此为“响应”。与此同时, 服务器使用该随机数与存储在服务器数据库中的该客户密 钥进行MD5运算,如果服务器的运算结果与客户端传回的 响应结果相同,则认为客户端是一个合法用户。
7.5.6USBKey原理
• 每一个USB Key都具有硬件PIN码保护,PIN码和硬件构 成了用户使用USB Key的两个必要因素。用户只有同时取 得了USB Key和用户PIN码,才可以登录系统。即使用户 的PIN码被泄漏,只要用户持有的USB Key不被盗取,合 法用户的身份就不会被仿冒;如果用户的USB Key遗失, 拾到者由于不知道用户PIN码,也无法仿冒合法用户的身 份。 • USB Key具有安全数据存储空间,可以存储数字证书、密 钥等秘密数据,对该存储空间的读写操作必须通过程序实 现,用户无法直接读取,其中用户密钥是不可导出的,杜 绝了复制用户数字证书或身份信息的可能性。 • USB Key 内置CPU,可以实现加解密和签名的各种算法, 加解密运算在USB Key内进行,保证了密钥不会出现在计 算机内存中,从而杜绝了用户密钥被黑客截取的可能性。 • PIN码(PIN1)-全称Personal Identification Number
• 身份证实:只对个人身份进行肯定或否定 判断。 • 身份识别:主要用来判别身份标识的真伪。
7.5.2身份识别协议
• 用于实现身份识别的协议。
• 协议:是一系列步骤,它包括两方和多方,
设计它的目的是要完成一项任务。
– 协议是从开始到结束的一个序列,每步必须依 次执行 – 完成协议至少需要两个人 – 协议的目的是为了做一些事情
7.5.3基于身份的识别方案
• 是身份的识别协议的一种实现方案。 • Shamir在1984年提出一种基于身份的密码 方案,该方案用户在网上无需交换私钥和 公钥,无需第三方服务即可进行安全的通 信和相互验证签名。
7.5.3基于身份的识别方案
• KAC(密钥认证中心)只负责给每位用户 颁发一个带有私钥的Smart卡,用户可选择 他的名字和回路地址作为公开密钥。 • 当用户入网时,KAC首先对用户进行识别。 若接纳,KAC就为该用户以Smart卡形式颁 布一个秘密密钥。用户之间通信,只需知 道对方的姓名和地址就行。
7.5.2身份识别协议
假设A和B是通信的双方,当A与B进行通信 时,A首先要向B证明自己的身份,这个过 程使用身份识别协议。 • 一个安全的身份识别协议至少应满足以下 两个条件: 1)证明者P能向验证者V证实他的确是P。 2)当证明者P向验证者B出示证明自己的身 份后,验证者V无法获取有关P的任何有用 信息,并伪造P向第三方证明自己是P。
X.509 的认证(1)
• 单向认证
X.509 的认证(2)
• 双向认证
X.509 的认证(3)
• 三向认证
7.5.6USBKey原理
电子交易过程: • 用户登录银行Web服务器,填写账号和密 码。银行数据库认证通过。 • 用户填写交易账单,插USBKey,确认后输 入PIN码。 • 账单经数字签名后传送至服务器。 • 银行服务器对账单进行验证,验证通过, 则处理。
7.5.4 数字证书
数字证书就是互联网通讯中标志通讯各方身份信 息的一系列数据,提供了一种在Internet上验证您 身份的方式,其作用类似于司机的驾驶执照或日 常生活中的身份证。它是由一个由权威机构----CA机构,又称为证书授权(Certificate Authority) 中心发行的,人们可以在网上用它来识别对方的 身份。数字证书是一个经证书授权中心数字签名 的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书 授权中心的数字签名。
7.5.1身份识别
• 2011年3月15日,《中国人民银行关于推 进金融IC卡应用工作的意见》正式发布。 由此,人民银行在全国范围内启动金融IC 卡的应用工程。根据央行推广的时间表, 从明年1月1日起,全国性的商业银行都应 开始发行金融IC卡,2015年1月1日起在经 济发达地区和重点合作行业领域,商业银 行发行的、以人民币为结算账户的银行卡 均应为金融IC卡。
7.5.3基于身份的识别方案
• 当用户A想给用户B发一个m信息时,可用 自己的Smart卡中的私钥对m签名。用B的 名字和网络地址作为密钥来加密签名和消 息m,之后将密文连同A的名字和地址发给 B,当B收到消息时,则使用B的Smart卡中 私钥对消息m进行解密,最后用A的名字和 网络地址作为密钥对签名进行验证。
7.5.6USBKey原理
• 一般来说,USBKey有:一个唯一的序列号(SN);数字证书,数字 证书含有自己的公钥信息和CA对该证书的签名值;您数字证书对应 的私钥。 • CA的公钥一般不保存在USBKey里,而在安装包程序里,在安装的时 候,安装包会向系统注册您数字证书的CA的证书。 • 证书的生成:1、USBKey内部产生RSA密钥对。2、将个人信息,密 钥对的公钥,HASH算法等组成的数据使用密钥对的私钥签名,填充 P10格式的数据提交给CA。3、CA针对P10数据审核,再使用CA的私 钥对该P10签名,组合成证书数据。4、客户端保存证书数据,成为 客户证书。 • 用户的公钥保存在数字证书里有体现,但一般也会在USBKey内部单 独保存一个公钥数据。 • CA的私钥是用来签发客户证书用的。 • 用户登录网银一般是做的双向认证,CA会给网银服务器颁发一个服 务器证书,客户端首先会验证服务器证书,再用客户端证书与服务器 协商一个SSL通讯用的对称密钥,来保证数据数据通讯过程的安全。
• 证书由可信证书权威机构(CA - Certficate Authority) 创建
– 用户或 CA 将证书存放在目录服务器中; – 表示法:证书机构 Y 颁发给用户 X 的证书表示为 Y<<X>>
• CA<<A>> 表示 CA 颁发给用户 A 的证书。
• CA 用其私有密钥对证书进行了签名
– 用户可用 CA 的公开密钥验证证书的有效性; – 任何拥有 CA 公开密钥的用户都可以从证书中提取被该证书认 证的用户的公开密钥; – 除了CA外,任何用户都无法伪造证书或篡改证书的内容; – 由于证书是不可伪造的,可将证书存放数据库(即目录服务) 中,而无需进行特殊的保护。
பைடு நூலகம்
7.5.1身份识别
在真实世界,对用户的身份识别基本方法 可以分为这三种: • (1) 根据你所知道的信息来证明你的身份 (what you know ,你知道什么 ) ; • (2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ; • (3) 直接根据独一无二的身体特征来证明你 的身份 (who you are ,你是谁 ) ,比如指 纹、面貌等。
7.5.1身份识别
• ID卡全称身份识别卡,信息储存在内置芯片,是一种不可 写入的感应卡,含固定的卡号,一般用于门禁。 • IC卡全称集成电路卡,信息储存在内置芯片里,可读写, 容量大,有加密功能,数据记录安全可靠,使用更方便, 如公交一卡通。 • 区别:1)ID卡无法写,只能读取ID号;而IC卡是能读能 写的,能加密,相对于ID卡使用安全很多。IC卡的安全性 远大于ID卡。2)ID卡内的卡号读取无任何权限,易于仿制。 IC卡内所记录数据的读取,写入均需相应的密码认证,甚至 卡片内每个区均有不同的密码保护,全面保护数据安全,IC 卡写数据的密码与读出数据的密码可设为不同,提供了良 好分级管理方式,确保系统安全。
7.5.4 数字证书
• CA(Certificate Authority)认证机构,也称作认证中心,是 一个实体,它可以是人、群体、部门、公司或其他实体。 它是证书的签发机关,是公钥基础设施PKI(Public Key Infrastructure )体系中的核心环节。它不仅为客户提供签 发公钥证书、认证证书、分配证书和管理证书的服务,还 为生命周期内的密钥提供管理服务。它将客户的公钥与客 户的名称及其它属性关联起来,并制定政策和具体步骤来 验证、识别用户身份,再对用户证书进行签名,以确保证 书持有者的身份和公钥的拥有权,对客户之间的电子身份 进行认证。 • CA的主要功能有证书发放、证书更新、证书撤销和证书 验证。
7.5.1身份识别
• 磁卡是采用磁条来记录或交换数据。磁卡 的缺点是容易磨损、容易被其他磁场干扰。 所以最好不要把它和手机、钥匙放在一个 口袋里,因为手机产生的磁场会使磁卡失 效,钥匙会划伤磁条。 • IC卡是可以存储数据在卡的芯片内的,并 且大部分可以进行加密处理,数据稳定, 不易被复制,使用时间,保存时间都较长, 不易被外力因素损坏,还有就是美观了但 是它的缺点也很明显,造价较高,另外, 相对磁卡来说损坏或丢失后补办不易。
7.5.1身份识别
• USB Key是一种USB接口的硬件设备。它 内置单片机或智能卡芯片,有一定的存储 空间,可以存储用户的私钥以及数字证书, 利用USB Key内置的公钥算法实现对用户 身份的认证。由于用户私钥保存在密码锁 中,理论上使用任何方式都无法读取,因 此保证了用户认证的安全性。
7.5.1身份识别
7.5.4 数字证书
证书存放方式 1)使用IC卡存放 即把用户的数字证书写到IC卡中,供用户随身 携带。这样用户在所有能够读IC卡证书的电子商 务终端上都可以享受电子商务服务。 2)直接存放在磁盘或自己的终端上 用户将从证书授权中心申请来的证书下载或复 制到磁盘或自己的PC机或智能终端上,当用户使 用自己的终端享受电子商务服务时,直接从终端 读入即可。
7.5.5X.509证书系统
数字证书的结构:
7.5.5X.509证书系统
• 用户证书的获取 • 通信双方 A 和 B 如何获得对方的证书
– 小型网络中,共同信任同一个 CA。
• 通过访问公共目录服务获取对方的证书,或直接传递。
– 大型网络, 多个 CA,层次化管理。
• CA 之间交换公开密钥(即交换证书)。
7.5.6USBKey原理
• USB Key是一种USB接口的硬件设备。它 内置单片机或智能卡芯片,有一定的存储 空间,可以存储用户的私钥以及数字证书, 利用USB Key内置的公钥算法实现对用户 身份的认证。由于用户私钥保存在密码锁 中,理论上使用任何方式都无法读取,因 此保证了用户认证的安全性。
7.5.5X.509证书系统
• 由ITU-T制定的。 • X.509是ITU-T的X.500(目录服务)系列建议中 的一部分。 • X.500是一套有关目录服务的建议,而X.509定义 了目录服务中向用户提供认证服务的框架。 • X.509协议的实现基于公开密钥加密算法和数字签 名技术。
7.5.5X.509证书系统
数字签名的一个最主要的应用领域就 是身份识别。
Bob? or Eve? Alice? or Eve?
?
Alice Eve
?
Bob
7.5.1身份识别
• 身份识别:又称为身份鉴别、实体认证、身份认 证等。 • 身份识别是在计算机网络中确认操作者身份的过 程。在这个过程中,其中一方确信参与协议的第 二方的身份,并确信第二方真正参与了该过程。 • 用户的身份识别是许多应用系统的第一道防线, 其目的在于识别用户的合法性,从而阻止非法用 户访问系统。身份识别(认证)对确保系统和数 据的安全保密是极其重要的。
7.5.1身份识别
识别过程归纳为: 1)用户将自己的识别对象技术传送给计算机。 2)计算机完成识别对象的单向函数值的计算。 3)计算机把单向函数值与机内存储值进行比 较。
7.5.1身份识别
身份认证工具 • 静态密码 • 智能卡(IC卡) • 短信密码 • 动态口令牌 • USBKey • 双因素身份认证,如USBKey+静态密码
7.5.6USBKey原理
USB Key身份认证主要有如下两种应用模式 • 基于冲击-响应认证模式 • 基于PKI的数字证书的认证模式
7.5.6USBKey原理
基于冲击-响应认证模式 • USB Key内置单向散列算法(MD5),预先在USB Key和 服务器中存储一个证明用户身份的密钥,当需要在网络上 验证用户身份时,先由客户端向服务器发出一个验证请求。 服务器接到此请求后生成一个随机数回传给客户端PC上 插着的USB Key,此为“冲击”。USB Key使用该随机数 与存储在USB Key中的密钥进行MD5运算得到一个运算结 果作为认证证据传送给服务器,此为“响应”。与此同时, 服务器使用该随机数与存储在服务器数据库中的该客户密 钥进行MD5运算,如果服务器的运算结果与客户端传回的 响应结果相同,则认为客户端是一个合法用户。
7.5.6USBKey原理
• 每一个USB Key都具有硬件PIN码保护,PIN码和硬件构 成了用户使用USB Key的两个必要因素。用户只有同时取 得了USB Key和用户PIN码,才可以登录系统。即使用户 的PIN码被泄漏,只要用户持有的USB Key不被盗取,合 法用户的身份就不会被仿冒;如果用户的USB Key遗失, 拾到者由于不知道用户PIN码,也无法仿冒合法用户的身 份。 • USB Key具有安全数据存储空间,可以存储数字证书、密 钥等秘密数据,对该存储空间的读写操作必须通过程序实 现,用户无法直接读取,其中用户密钥是不可导出的,杜 绝了复制用户数字证书或身份信息的可能性。 • USB Key 内置CPU,可以实现加解密和签名的各种算法, 加解密运算在USB Key内进行,保证了密钥不会出现在计 算机内存中,从而杜绝了用户密钥被黑客截取的可能性。 • PIN码(PIN1)-全称Personal Identification Number
• 身份证实:只对个人身份进行肯定或否定 判断。 • 身份识别:主要用来判别身份标识的真伪。
7.5.2身份识别协议
• 用于实现身份识别的协议。
• 协议:是一系列步骤,它包括两方和多方,
设计它的目的是要完成一项任务。
– 协议是从开始到结束的一个序列,每步必须依 次执行 – 完成协议至少需要两个人 – 协议的目的是为了做一些事情
7.5.3基于身份的识别方案
• 是身份的识别协议的一种实现方案。 • Shamir在1984年提出一种基于身份的密码 方案,该方案用户在网上无需交换私钥和 公钥,无需第三方服务即可进行安全的通 信和相互验证签名。
7.5.3基于身份的识别方案
• KAC(密钥认证中心)只负责给每位用户 颁发一个带有私钥的Smart卡,用户可选择 他的名字和回路地址作为公开密钥。 • 当用户入网时,KAC首先对用户进行识别。 若接纳,KAC就为该用户以Smart卡形式颁 布一个秘密密钥。用户之间通信,只需知 道对方的姓名和地址就行。
7.5.2身份识别协议
假设A和B是通信的双方,当A与B进行通信 时,A首先要向B证明自己的身份,这个过 程使用身份识别协议。 • 一个安全的身份识别协议至少应满足以下 两个条件: 1)证明者P能向验证者V证实他的确是P。 2)当证明者P向验证者B出示证明自己的身 份后,验证者V无法获取有关P的任何有用 信息,并伪造P向第三方证明自己是P。
X.509 的认证(1)
• 单向认证
X.509 的认证(2)
• 双向认证
X.509 的认证(3)
• 三向认证
7.5.6USBKey原理
电子交易过程: • 用户登录银行Web服务器,填写账号和密 码。银行数据库认证通过。 • 用户填写交易账单,插USBKey,确认后输 入PIN码。 • 账单经数字签名后传送至服务器。 • 银行服务器对账单进行验证,验证通过, 则处理。
7.5.4 数字证书
数字证书就是互联网通讯中标志通讯各方身份信 息的一系列数据,提供了一种在Internet上验证您 身份的方式,其作用类似于司机的驾驶执照或日 常生活中的身份证。它是由一个由权威机构----CA机构,又称为证书授权(Certificate Authority) 中心发行的,人们可以在网上用它来识别对方的 身份。数字证书是一个经证书授权中心数字签名 的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书 授权中心的数字签名。
7.5.1身份识别
• 2011年3月15日,《中国人民银行关于推 进金融IC卡应用工作的意见》正式发布。 由此,人民银行在全国范围内启动金融IC 卡的应用工程。根据央行推广的时间表, 从明年1月1日起,全国性的商业银行都应 开始发行金融IC卡,2015年1月1日起在经 济发达地区和重点合作行业领域,商业银 行发行的、以人民币为结算账户的银行卡 均应为金融IC卡。
7.5.3基于身份的识别方案
• 当用户A想给用户B发一个m信息时,可用 自己的Smart卡中的私钥对m签名。用B的 名字和网络地址作为密钥来加密签名和消 息m,之后将密文连同A的名字和地址发给 B,当B收到消息时,则使用B的Smart卡中 私钥对消息m进行解密,最后用A的名字和 网络地址作为密钥对签名进行验证。
7.5.6USBKey原理
• 一般来说,USBKey有:一个唯一的序列号(SN);数字证书,数字 证书含有自己的公钥信息和CA对该证书的签名值;您数字证书对应 的私钥。 • CA的公钥一般不保存在USBKey里,而在安装包程序里,在安装的时 候,安装包会向系统注册您数字证书的CA的证书。 • 证书的生成:1、USBKey内部产生RSA密钥对。2、将个人信息,密 钥对的公钥,HASH算法等组成的数据使用密钥对的私钥签名,填充 P10格式的数据提交给CA。3、CA针对P10数据审核,再使用CA的私 钥对该P10签名,组合成证书数据。4、客户端保存证书数据,成为 客户证书。 • 用户的公钥保存在数字证书里有体现,但一般也会在USBKey内部单 独保存一个公钥数据。 • CA的私钥是用来签发客户证书用的。 • 用户登录网银一般是做的双向认证,CA会给网银服务器颁发一个服 务器证书,客户端首先会验证服务器证书,再用客户端证书与服务器 协商一个SSL通讯用的对称密钥,来保证数据数据通讯过程的安全。
• 证书由可信证书权威机构(CA - Certficate Authority) 创建
– 用户或 CA 将证书存放在目录服务器中; – 表示法:证书机构 Y 颁发给用户 X 的证书表示为 Y<<X>>
• CA<<A>> 表示 CA 颁发给用户 A 的证书。
• CA 用其私有密钥对证书进行了签名
– 用户可用 CA 的公开密钥验证证书的有效性; – 任何拥有 CA 公开密钥的用户都可以从证书中提取被该证书认 证的用户的公开密钥; – 除了CA外,任何用户都无法伪造证书或篡改证书的内容; – 由于证书是不可伪造的,可将证书存放数据库(即目录服务) 中,而无需进行特殊的保护。
பைடு நூலகம்
7.5.1身份识别
在真实世界,对用户的身份识别基本方法 可以分为这三种: • (1) 根据你所知道的信息来证明你的身份 (what you know ,你知道什么 ) ; • (2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ; • (3) 直接根据独一无二的身体特征来证明你 的身份 (who you are ,你是谁 ) ,比如指 纹、面貌等。
7.5.1身份识别
• ID卡全称身份识别卡,信息储存在内置芯片,是一种不可 写入的感应卡,含固定的卡号,一般用于门禁。 • IC卡全称集成电路卡,信息储存在内置芯片里,可读写, 容量大,有加密功能,数据记录安全可靠,使用更方便, 如公交一卡通。 • 区别:1)ID卡无法写,只能读取ID号;而IC卡是能读能 写的,能加密,相对于ID卡使用安全很多。IC卡的安全性 远大于ID卡。2)ID卡内的卡号读取无任何权限,易于仿制。 IC卡内所记录数据的读取,写入均需相应的密码认证,甚至 卡片内每个区均有不同的密码保护,全面保护数据安全,IC 卡写数据的密码与读出数据的密码可设为不同,提供了良 好分级管理方式,确保系统安全。
7.5.4 数字证书
• CA(Certificate Authority)认证机构,也称作认证中心,是 一个实体,它可以是人、群体、部门、公司或其他实体。 它是证书的签发机关,是公钥基础设施PKI(Public Key Infrastructure )体系中的核心环节。它不仅为客户提供签 发公钥证书、认证证书、分配证书和管理证书的服务,还 为生命周期内的密钥提供管理服务。它将客户的公钥与客 户的名称及其它属性关联起来,并制定政策和具体步骤来 验证、识别用户身份,再对用户证书进行签名,以确保证 书持有者的身份和公钥的拥有权,对客户之间的电子身份 进行认证。 • CA的主要功能有证书发放、证书更新、证书撤销和证书 验证。
7.5.1身份识别
• 磁卡是采用磁条来记录或交换数据。磁卡 的缺点是容易磨损、容易被其他磁场干扰。 所以最好不要把它和手机、钥匙放在一个 口袋里,因为手机产生的磁场会使磁卡失 效,钥匙会划伤磁条。 • IC卡是可以存储数据在卡的芯片内的,并 且大部分可以进行加密处理,数据稳定, 不易被复制,使用时间,保存时间都较长, 不易被外力因素损坏,还有就是美观了但 是它的缺点也很明显,造价较高,另外, 相对磁卡来说损坏或丢失后补办不易。
7.5.1身份识别
• USB Key是一种USB接口的硬件设备。它 内置单片机或智能卡芯片,有一定的存储 空间,可以存储用户的私钥以及数字证书, 利用USB Key内置的公钥算法实现对用户 身份的认证。由于用户私钥保存在密码锁 中,理论上使用任何方式都无法读取,因 此保证了用户认证的安全性。
7.5.1身份识别
7.5.4 数字证书
证书存放方式 1)使用IC卡存放 即把用户的数字证书写到IC卡中,供用户随身 携带。这样用户在所有能够读IC卡证书的电子商 务终端上都可以享受电子商务服务。 2)直接存放在磁盘或自己的终端上 用户将从证书授权中心申请来的证书下载或复 制到磁盘或自己的PC机或智能终端上,当用户使 用自己的终端享受电子商务服务时,直接从终端 读入即可。
7.5.5X.509证书系统
数字证书的结构:
7.5.5X.509证书系统
• 用户证书的获取 • 通信双方 A 和 B 如何获得对方的证书
– 小型网络中,共同信任同一个 CA。
• 通过访问公共目录服务获取对方的证书,或直接传递。
– 大型网络, 多个 CA,层次化管理。
• CA 之间交换公开密钥(即交换证书)。
7.5.6USBKey原理
• USB Key是一种USB接口的硬件设备。它 内置单片机或智能卡芯片,有一定的存储 空间,可以存储用户的私钥以及数字证书, 利用USB Key内置的公钥算法实现对用户 身份的认证。由于用户私钥保存在密码锁 中,理论上使用任何方式都无法读取,因 此保证了用户认证的安全性。
7.5.5X.509证书系统
• 由ITU-T制定的。 • X.509是ITU-T的X.500(目录服务)系列建议中 的一部分。 • X.500是一套有关目录服务的建议,而X.509定义 了目录服务中向用户提供认证服务的框架。 • X.509协议的实现基于公开密钥加密算法和数字签 名技术。
7.5.5X.509证书系统