【正文】 4．電子商務(wù)活動中使用數(shù)字證書有何作用？ 5．完整的PKI系統(tǒng)由哪幾部分組成？,。 公鑰基礎(chǔ)設(shè)施PKI。,本課小結(jié),信息認(rèn)證技術(shù)簡介。 基于網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)加密/簽名的應(yīng)用將越來越廣泛，PKI作為技術(shù)基礎(chǔ)可以很好地實現(xiàn)通行于網(wǎng)絡(luò)的統(tǒng)一標(biāo)準(zhǔn)的身份認(rèn)證，其中既包含有線網(wǎng)絡(luò)，也涵蓋了無線通信領(lǐng)域。,第6章 認(rèn)證與數(shù)字簽名 6.4 公鑰基礎(chǔ)設(shè)施（PKI）,6.4.4 PKI的基本組成 (4) 5．應(yīng)用接口 PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。與日常生活中的各種身份證件一樣，證書有效期以內(nèi)也可能需要作廢，原因可能是密鑰介質(zhì)丟失或用戶身份變更等。并且，密鑰備份與恢復(fù)只能針對解密密鑰，簽名私鑰為確保其惟一性而不能夠作備份。為避免這種情況的，PKI提供備份與恢復(fù)密鑰的機制。,6.4.4 PKI的基本組成 (2) 2．?dāng)?shù)字證書庫 用于存儲已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰。,6.4.4 PKI的基本組成 (1) 完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機關(guān)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。 簡言之，用于加密的密鑰對：用公鑰加密，用私鑰解密。接收者收到數(shù)據(jù)后，使用私鑰對其簽名并通過網(wǎng)絡(luò)傳輸給發(fā)送者，發(fā)送者用公鑰解開簽名，由于私鑰具有惟一性，可證實此簽名信息確實為由接收者發(fā)出。此過程中，假如發(fā)送的數(shù)據(jù)被非法截獲，由于私鑰并未上網(wǎng)傳輸，非法用戶將無法將數(shù)據(jù)解密，更無法對文件做任何修改，從而確保了文件的機密性和完整性。,6.4.3 密鑰對的用法 (1) 現(xiàn)在，我們將講述PKI加密/簽名體系是如何實現(xiàn)數(shù)據(jù)安全傳輸?shù)?。CA中心在認(rèn)證該人的真實身份后，頒發(fā)包含用戶公鑰的數(shù)字證書，它包含用戶的真實身份，并證實用戶公鑰的有效期和作用范圍（用于交換密鑰還是數(shù)字簽名）。CA目前采用的標(biāo)準(zhǔn)是X.509 V3。在PKI 中，為了確保用戶及他所持有密鑰的正確性，公共密鑰系統(tǒng)需要一個值得信賴而且獨立的第三方機構(gòu)充當(dāng)認(rèn)證中心（CA），來確認(rèn)聲稱擁有公共密鑰的人的真正身份。,6.4.2 PKI密碼算法及應(yīng)用 (8) 從上面的分析看，公鑰密碼技術(shù)可以提供網(wǎng)絡(luò)中信息安全的全面解決方案。它也可用于由第三方去確定簽名和所簽數(shù)據(jù)的真實性。,6.4.2 PKI密碼算法及應(yīng)用 (7) 3．公開密鑰數(shù)字簽名算法（簽名） DSA（Digital Signature Algorithm，數(shù)字簽名算法，用作數(shù)字簽名標(biāo)準(zhǔn)的一部分），它是另一種公開密鑰算法，它不能用作加密，只用作數(shù)字簽名。 RSA既能用于加密又能用于數(shù)字簽名，在已提出的公開密鑰算法中，RSA最容易理解和實現(xiàn)的，這個算法也是最流行的。RSA算法的安全性基于數(shù)論中大素數(shù)分解的困難性，所以，RSA需采用足夠大的整數(shù)。,6.4.2 PKI密碼算法及應(yīng)用 (6) RSA公鑰密碼算法是一種公認(rèn)十分安全的公鑰密碼算法。凡是獲悉用戶公鑰的任何人若想向用戶傳送信息，只需用用戶的公鑰對信息加密，將信息密文傳送給用戶便可。,6.4.2 PKI密碼算法及應(yīng)用 (5) 公鑰密碼算法中的密鑰依據(jù)性質(zhì)劃分，可分為公鑰和私鑰兩種。相反，在公鑰密碼算法中，同一個商戶只需自己產(chǎn)生一對密鑰，并且將公開密鑰對外公開。對于參加電子交易的商戶來說，希望通過公開網(wǎng)絡(luò)與成千上萬的客戶進行交易。前者可用于數(shù)字加密，后者可用于數(shù)字簽名。這兩個密鑰之間存在著相互依存關(guān)系：即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。公鑰密碼算法不同于單鑰密碼算法，它使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，通信雙方無需事先交換密鑰就可進行保密通信。最典型的是DES（Data Encryption Standard）算法。在對稱密鑰密碼算法中，加密運算與解密運算使用同樣的密鑰。,6.4.2 PKI密碼算法及應(yīng)用 (1) 1．單鑰密碼算法（加密） 單鑰密碼算法，又稱對稱密碼算法：是指加密密鑰和解密密鑰為同一密鑰的密碼算法。,6.4.1 PKI基礎(chǔ) (4) 由于PKI基礎(chǔ)設(shè)施是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案，國外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品，如美國的Verisign、IBM，加拿大的Entrust、SUN等安全產(chǎn)品供應(yīng)商為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品，為電子商務(wù)的發(fā)展以及政府辦公網(wǎng)、EDI等提供了安全保證。 ? 自動管理歷史密鑰。 ? 密鑰的備份和恢復(fù)。 ? 公鑰密碼證書管理。,6.4.1 PKI基礎(chǔ) (2) 從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性，數(shù)據(jù)的機密性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。公開密鑰基礎(chǔ)設(shè)施（PKI）則是希望從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務(wù)。,公鑰基礎(chǔ)設(shè)施（PKI）,6.4.1 PKI基礎(chǔ)(1) 什么是PKI？PKI就是利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機構(gòu)—認(rèn)證中心CA（Certificate Authority），把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、Email、身份證號等）捆綁在一起，在Internet上驗證用戶的身份。,6.3.5 數(shù)字證書的應(yīng)用(4) 5．安全電子郵件 郵件的發(fā)送方利用接收方的公開密鑰對郵件進行加密，郵件接受方用自己的私有密鑰解密，確保了郵件在傳輸過程中信息的安全性、完整性和惟一性。通過該網(wǎng)上招投標(biāo)系統(tǒng)，使企業(yè)能夠制定正確的投資取向，根據(jù)自身的實際情況，選擇合適的合作者。,6.3.5 數(shù)字證書的應(yīng)用(2) 3．網(wǎng)上招標(biāo) 以往的招投標(biāo)受時間、地域、人文的影響，存在著許多弊病，例如外地投標(biāo)者的不便、招投標(biāo)各方的資質(zhì)，以及招標(biāo)單位和投標(biāo)單位之間存在的貓膩關(guān)系。,6.3.5 數(shù)字證書的應(yīng)用(2) 1．網(wǎng)上交易 利用數(shù)字安全證書的認(rèn)證技術(shù)，對交易雙方進行身份確認(rèn)以及資質(zhì)的審核，確保交易者信息的惟一性和不可抵賴性，保護了交易各方的利益，實現(xiàn)安全交易。,6.3.5 數(shù)字證書的應(yīng)用(1) 數(shù)字安全證書主要應(yīng)用于電子政務(wù)、網(wǎng)上購物、企業(yè)與企