《认证技术》PPT课件

2.3.1 身份认证
• 身份认证是信息认证技术中十分重要的内容，它 一般又涉及两个方面的内容：
• 识别，所谓识别就是要指明用户是谁？ • 验证，所谓验证就是指在用户声称自己的身份后，认
证方还要对他所声称的身份进行验证，以防假冒。
• 一般来说，用户身份认证可通过3种基本方式或者 其组合方式来实现：
① 用户所知道的某种秘密信息，例如，口令； ② 用户所持有的某种秘密信息（硬件），例如，智能卡； ③ 用户所具有的某些生物学特征，如指纹、声音、DNA
数字证书的颁发
2.3.3 公钥基础设施PKI
——为解决Internet的安全问题，世界各国对其进 行了多年的研究，初步形成了一套完整的Interne t安全解决方案，即目前被广泛采用的PKI-公钥基 础设施。 什么是PKI? PKI(Pubic Key Infrastructure)是一种遵循标准 的利用公钥加密技术为电子商务的开展提供一套 安全基础平台的技术和规范。用户可利用PKI平台 提供的服务进行安全通信。 简单来说，PKI就是 利用公钥理论和技术建立的提供安全服务的基础 设施。
主体，证书持有者的姓名等标识信息 主体公钥信息，证书持有者的公开密钥信
Signature
签名，认证中心对证书的签名
数字证书与居民身份证的对应关系
数字证书
居民身份证
证书序列号
身份证号
证书持有者的姓名
姓名/性别/民族/出生日期/地址
认证证书的有效期
颁发日期/有效年限
认证中心名称
发证公安机关
证书持有人的公开密钥信息 照片
数字证书的类型
6）证书撤消表与作废证书（也称证书作废清单或 证书撤消清单）
当用户的私人密钥由于泄密等原因，对用户 证书需要申请作废时，用户需要向认证中心提出 证书作废请求，认证中心根据用户的请求确定是 否将该证书作废。还有一种情况是证书已经过了 有效期，认证中心自动将该证书作废，成为作废 证书。认证中心通过维护证书作废列表来完成作 废证书的功能。 其它证书：支付网关证书、发卡行证书、收款行证 书……
• 一次性口令，即用户在每次服务器连接过程中所使用 的口令在网上传输时都是加密的密文，而且这些密文 每次连接时都是不同的，也就是说口令密文是一次有 效的。
一次性口令使用过程图
① 发出连接请求
② 提示输入用户名
用
③ 输入用户名
服
④ 给用户名一个原始口令
⑤ 利用原始口令和通
务
信短语,采用加密算法
户
生成一次性口令,并把 ⑥ 利一用次原性始口口令令传和给通服信务短
• 目前最有效的认证方式是由权威的第三方认证机构 来认证各方的身份。(发放数字证书)
甲方
乙方 数字签名
乙方 的公钥
百度文库
已方
2.3.2.1 数字证书
• 数字证书（ Digital Certificate,DC），也称电子 证书或数字凭证（digital ID，DID）就是标志网络 用户身份信息的一系列数据，用来在网络通讯中识别 通讯各方的身份。
• 优点：简单，方便。 • 缺点：安全性极差。
2.3.1.1 基于口令的身份认证
• 如何加强口令的安全性？
• 口令的密文传输，由于传输的是用户口令的密文形式， 系统仅保存用户口令的密文，因而窃听者不易获得用 户的真实口令。（口令猜测攻击）
• 将用户的口令采用单向函数运算存储，即计算机存储 的是口令的单向函数运算值，从而保证了攻击者利用 密文形式的口令恢复出明文形式的口令在计算上是不 可能的。（但这种保护也抵抗不住口令的字典式攻击 方法）
证书及公钥； • 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，
这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。
PKI的基本组成
• 证书作废系统（证书撤消处理系统）：与日常生 活中的各种身份证件一样,证书有效期以内也可能 需要作废，原因可能是密钥介质丢失或用户身份 变更等。为实现这一点,PKI必须提供作废证书的 一系列机制。通过证书撤消列表CRL实现．
• PKI中“加密”技术图解：
发送
接收
发送者用接收方的公钥加接密收方用自己的私钥解密
• PKI中“签名”技术图解：
PKI原理
• 通过"解密"和"签名"技术的结合试用就可解决网络的如下问题： • 身份认证 • 信息传输、存储的完整性 • 信息传输、存储的机密性 • 操作的不可否认性
PKI原理
PKI原理
2.3.2.2 认证机构
• 电子商务认证机构是为了解决电子商务中交易参与各方身份及资信的认定，维护交易 活动的安全，从根本上保证电子商务交易活动顺利进行而设立的。它通过对电子商务 各参与方发放并管理数字证书，来确认各方的身份，保证在Internet及内部网上传达 数据的安全及电子支付的安全性。
什么是CA
器
语,采器用加密算法生成一次
性口令,并把生成的口令与
用户传来的口令进行比较,
进而传给用户相应的认证信
息。
2.3.2 数字证书与认证机构
• 为了保证互联网上电子交易及支付的安全性,保密性 等，防范交易及支付过程中的欺诈行为，必须在网 上建立一种信任机制。这就要求参加电子商务的买 方和卖方都必须拥有合法的身份，并且在网上能够 有效无误的被进行验证。
2）单位证书 颁发给独立的单位、组织，在互联网上证明该单位、
组织的身份。单位数字证书根据各个单位的不同需要，可 以分为单位证书和单位员工证书。单位证书对外代表整个 单位，单位员工证书对外代表单位中具体的某一位员工。
数字证书的类型
3）服务器证书 主要颁发给Web站点或其他需要安全鉴别的服务器，
证明服务器的身份信息。拥有万维网（Web）服务器的企 业可以用具有证书的Internet网站来进行安全电子交易服 务． 4）安全邮件证书
图案、视网膜等。
2.3.1.1 基于口令的身份认证
• 认证用户身份最常用也是最简单的方法就是口令 核对法，系统为每一个合法用户建立一个用户名/ 口令对。当用户登陆系统或使用某项功能时，提 示用户输入自己的用户名和口令，系统通过核对 用户输入的用户名、口令与系统内已有的合法用 户的用户名/口令对是否匹配，如与某一项用户名 /口令对匹配，则该用户的身份就得到了认证。
• 应用接口（API）：一个完整的PKI必须提供良好 的应用接口系统，使得各种各样的应用能够以安 全、一致、可信的方式与PKI交互，确保安全网络 环境的完整性和易用性。
通常来说，CA是证书的签发机构,它是PKI的核心。
PKI原理
• 公钥基础设施PKI原理，顾名思义就是基于公钥密码技术的，它的核心技术基础是公钥 密码学的"加密"和"签名"技术。
…
第2章
电子商务安全的技术保
障
——认证技术
本讲内容
2.1 加密技术 2.2 数字签名 2.3 认证技术
2.3.1 身份认证 2.3.2 数字证书与认证机构 2.3.3 公钥基础设施PKI
…
2.3.1 身份认证
身份认证是指计算机及网络系统确认操作者身份的过 程。
• 如何保证以数字身份进行操作的访问者就是这个数字身份 的合法拥有者，即如何保证操作者的物理身份与数字身份 相对应。
上一堂课内容回顾
常用签名体制:
• RSA签名体制 • EIGamal签名体制 • DSA签名体制（DSS标准） • 有特殊用途的签名
• 无可争辩签名 • 盲签名 • ……
• ……
第2章
电子商务安全的技术保
障
——认证技术
本讲内容
2.1 加密技术 2.2 数字签名 2.3 认证技术
2.3.1 身份认证 2.3.2 数字证书与认证机构 2.3.3 公钥基础设施PKI
• CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字 证书的机构。它作为电子交易中受信任的第三方，负责为电子商务环境中各个实体颁 发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书。
CA的功能
CA的核心功能就是发放和管理数字证书。概括地 说，CA认证中心的功能主要有：证书发放、证书 更新、证书撤销和证书验证。具体描述如下：
数字证书的内容
• 数字证书的内容包括证书申请者和发放证书的认证中心的有关内容，认证中心所颁发 的数字证书均遵循X.509V3标准。数字证书的格式是在ITU标准和X.509V3标准中定义的。 根据这项标准，数字证书不仅包括证书申请者的信息，还包括发放证书的认证中心的 信息。
X.509 标准数字证书的内容和各部分的含义
PKI的基本组成
• 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书 作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手 构建。
PKI的基本组成
• 认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征； • 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的
• 用户就可以使用自己的数字证书进行相关的各种活动。 数字证书由独立的证书发行机构发布。数字证书各不 相同，每种证书可提供不同级别的可信度。可以从证 书发行机构获得您自己的数字证书。
数字证书的类型
1）个人数字证书（也称个人数字凭证、个人电子凭证、个 人用户凭证、个人身份证书） 它是为某一个人或用户提供的证书，以帮助个人在网 上进行安全的电子交易操作。用户使用此证书来向对方表 明个人的身份，同时应用系统也可以通过证书获得用户的 其他信息。
（1）接收验证用户数字证书的申请。 （2）确定是否接受用户数字证书的申请，即证书的审批。 （3）向申请者颁发（或拒绝颁发）数字证书。 （4）接收、处理用户的数字证书更新请求。 （5）接收用户数字证书的查询、撤销。 （6）产生和发布证书的有效期。 （7）数字证书的归档。 （8）密钥归档。 （9）历史数据归档。
数字证书的应用
• 随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始 广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网 上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上 炒股、网上购物和网上报关等。
见“邮件安全技术 ”案例。
Ｂ B的公钥
A的公钥 Ａ
• 公钥加密需要解决一个关键问题：加密信息的发 送者需要认定公钥确实是接收者的，如果他用第 三者的公钥去加密，他希望的接收者无法解密该 信息，而拥有对应私钥的第三者却可以做到。这 实际上就涉及到应用公钥技术的关键：如何确认 某个人真正拥有公钥（及对应的私钥）。
结合使用数字证书和S/MIME技术，对普通电子邮件做 加密和数字签名处理，确保电子邮件内容的安全性、机密 性、发件人身份确认性和不可抵赖性。 5）（企业或机构）代码签名证书
为软件开发商提供对软件代码做数字签名的技术，可 以有效防止软件代码被篡改，使用户免遭病毒与黑客程序 的侵扰，同时可以保护软件开发商的版权利益。
• 一般来说，电子商务安全中有两个问题涉及身份认证： ① 如果不进行身份认证，第三方就有可能假冒交易一方的 身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒 一方的交易成果等（防止互相猜疑）； ② 不可抵赖性。交易双方对自己的行为负有一定的责任， 信息发送方和接收方都不能对此予以否认（有了反驳的依 据）。 身份认证就是为了解决这些问题而产生的。
• 数字证书是由权威公正的第三方机构即CA证书授权(C ertificate Authority)中心签发的，人们可以在互 联网交往中用它来识别对方的身份。以数字证书为核 心的加密技术可以对网络上传输的信息进行加密和解 密、数字签名和签名验证，确保网上传递信息的机密 性、完整性，以及交易实体身份的真实性，签名信息 的不可否认性，从而保障网络应用的安全性。
数字证书的组成部分
含义
Version Serial Number Algorithm Identifier Issuer Period of Validity Subject
Subject’s Public
版本号 由证书颁发者分配的本证书的唯一标识符 本证书所使用的数字签名算法 证书颁发者的唯一识别名（认证中心的名 证书有效期
认证中心对证书（身份认证） 发证公安机关盖章和防伪标志 的签名
数字证书颁发过程
• 一般为：
• 用户首先产生自己的密钥对，并将公共密钥及部分个 人身份信息传送给认证中心。
• 认证中心在核实身份后，将执行一些必要的步骤，以 确信请求确实由用户发送而来，然后，认证中心将发 给用户一个数字证书，该证书内包含用户的个人信息 和他的公钥信息，同时还附有认证中心的签名信息。