计算机信息安全专题第二讲信息加密技术及数字证书

上传人:新** 文档编号:571672536 上传时间:2024-08-11 格式:PPT 页数:38 大小:308KB
返回 下载 相关 举报
计算机信息安全专题第二讲信息加密技术及数字证书_第1页
第1页 / 共38页
计算机信息安全专题第二讲信息加密技术及数字证书_第2页
第2页 / 共38页
计算机信息安全专题第二讲信息加密技术及数字证书_第3页
第3页 / 共38页
计算机信息安全专题第二讲信息加密技术及数字证书_第4页
第4页 / 共38页
计算机信息安全专题第二讲信息加密技术及数字证书_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《计算机信息安全专题第二讲信息加密技术及数字证书》由会员分享,可在线阅读,更多相关《计算机信息安全专题第二讲信息加密技术及数字证书(38页珍藏版)》请在金锄头文库上搜索。

1、作业作业l网络安全中的保密性、完整性、不可网络安全中的保密性、完整性、不可抵赖性、身份认证性分别用什么技术抵赖性、身份认证性分别用什么技术解决解决?l对称加密与公钥加密各有什么优缺点对称加密与公钥加密各有什么优缺点?l试述简单的数字签名过程试述简单的数字签名过程l试述试述PKI和数字证书的含义和数字证书的含义1计算机信息安全专题第二讲信息加密技术及数字证书密码技术及数字证书信息安全讲座 广东商学院信息学院 胡玉平 2计算机信息安全专题第二讲信息加密技术及数字证书主要内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书3计算机信息安全专题第二讲信息加密技术

2、及数字证书网络安全的四个问题网络安全的四个问题l信息保密性您的通信信息或隐私被别人信息保密性您的通信信息或隐私被别人偷看了吗?偷看了吗?l信息完整性其他人发给您的消息或者您信息完整性其他人发给您的消息或者您发给其他人的消息被人篡改甚至伪造了发给其他人的消息被人篡改甚至伪造了吗?吗?l行为不可否认行为不可否认(抵赖性抵赖性)其他人会否认他其他人会否认他给您发送的信息内容吗?给您发送的信息内容吗?l身份认证性和您通信的人是您所了解的身份认证性和您通信的人是您所了解的真实的那个人吗?真实的那个人吗?4计算机信息安全专题第二讲信息加密技术及数字证书主要内容主要内容l网络安全问题网络安全问题l密码技术密

3、码技术l数字签名数字签名l数字证书数字证书5计算机信息安全专题第二讲信息加密技术及数字证书对称加密的原理对称加密的原理 l明文明文P(plaintext):可以理解的信息原文可以理解的信息原文l加密加密E(Encryption): 用某种方法伪装明文以隐藏真正内容的过程用某种方法伪装明文以隐藏真正内容的过程l密文密文C(Ciphertext): 经过加密后将明文变成不容理解的信息经过加密后将明文变成不容理解的信息l解密解密D(Decryption): 将密文恢复成明文的过程将密文恢复成明文的过程l加密加密/解密解密 算法算法(Algorithm) 用于加密用于加密/解密的方法解密的方法(数学函

4、数数学函数)l密钥密钥(Key):用于控制加密和解密实现的字符串用于控制加密和解密实现的字符串6计算机信息安全专题第二讲信息加密技术及数字证书 加密密钥和解密密钥相同的密码称之为对称加密。7计算机信息安全专题第二讲信息加密技术及数字证书对称加密的例子对称加密的例子 -恺撒密码恺撒密码 l传说在公元前一世纪,古罗马的恺撒大帝出于军事传说在公元前一世纪,古罗马的恺撒大帝出于军事目的发明了一种对称密码,我们称之为目的发明了一种对称密码,我们称之为恺撒密码恺撒密码。这种密码是针对这种密码是针对26 个英文字母(不区分大小写)个英文字母(不区分大小写)在字母表中的排列位置来设计的,每个字母都有一在字母表

5、中的排列位置来设计的,每个字母都有一个固定的位置:个固定的位置:8计算机信息安全专题第二讲信息加密技术及数字证书l对这些字母作这样一个变换:将每个字母变换为与对这些字母作这样一个变换:将每个字母变换为与它位置间隔为它位置间隔为5的那个字母的那个字母 现在让我们来看看这将发生什么吧。假设恺撒在一次战役中损失惨重,他需要告诉盟军自己的处境并请求支援。现在他用恺撒密码加密一条消息,IAMINDANGER(意思是我处境危险),加密后将变成什么呢?根据字母转换对照表,IAMINDANGER将被加密成NFRNSIFSLJW, 9计算机信息安全专题第二讲信息加密技术及数字证书现代对称加密标准现代对称加密标准

6、l在国际上广泛采用的而且被证明足够安全在国际上广泛采用的而且被证明足够安全的对称密码算法有的对称密码算法有DES,AES,IDEA,RC2,RC4,RC5等,当然还有很多其它好的等,当然还有很多其它好的算法。算法。lDES(data encryption standard)20世纪世纪70年代由年代由IBM公司研制的首个国际加密标公司研制的首个国际加密标准准,它打破了以往加密算法研究的保密限制它打破了以往加密算法研究的保密限制.lAES 2000年由美国商务部推荐的高级加密年由美国商务部推荐的高级加密标准标准(密钥长密钥长128位位,DES密钥长密钥长56位位)10计算机信息安全专题第二讲信息

7、加密技术及数字证书对称加密的缺点对称加密的缺点l由于对称密码用于加密和解密的密钥是完由于对称密码用于加密和解密的密钥是完全相同的,因此,当您想和谁传递一个秘全相同的,因此,当您想和谁传递一个秘密消息时,您不得不和他事先单独找个地密消息时,您不得不和他事先单独找个地方一起协商好相互间的密钥并非常小心地方一起协商好相互间的密钥并非常小心地保管好它保管好它 .l如果和如果和100个人通信,就要保管个人通信,就要保管100个密钥,个密钥,和和1000个人通信,就要保管个人通信,就要保管1000个密钥,个密钥,这绝对不是一个好主意。这个问题不解决,这绝对不是一个好主意。这个问题不解决,将极大影响密码技术

8、在更大范围的推广使将极大影响密码技术在更大范围的推广使用。用。11计算机信息安全专题第二讲信息加密技术及数字证书公钥加密的诞生公钥加密的诞生 l1976年,美国斯坦福大学的研究生年,美国斯坦福大学的研究生Diffie和教授和教授Hellman极富想象力和创极富想象力和创造力的设想,引来了密码学思想上的造力的设想,引来了密码学思想上的一场深刻变革。一场深刻变革。Diffie和和Hellman是基是基于这样一种考虑的,即用于加密和解于这样一种考虑的,即用于加密和解密的密钥是两个不同的但又相互关联密的密钥是两个不同的但又相互关联的密钥的密钥 12计算机信息安全专题第二讲信息加密技术及数字证书公钥加密

9、公钥加密带独特锁的保险箱带独特锁的保险箱l起初起初,人们把加解密比喻成利用钥匙给坚固人们把加解密比喻成利用钥匙给坚固的保险箱上锁开锁。这里的保险箱上锁开锁。这里带锁的保险箱带锁的保险箱好比是密码算法,可以用来保存明文文件,好比是密码算法,可以用来保存明文文件,钥匙钥匙好比是密钥,好比是密钥,将明文文件放入保险将明文文件放入保险箱并用钥匙锁上箱并用钥匙锁上就是加密过程,相反地,就是加密过程,相反地,用钥匙将用钥匙将锁有文件的保险箱锁有文件的保险箱打开取出文打开取出文件就是解密过程。整个过程如果没有钥匙,件就是解密过程。整个过程如果没有钥匙,其他人即使能看到上锁的保险箱(密文),其他人即使能看到上

10、锁的保险箱(密文),也不可能取出该文件,从而达到了保密的也不可能取出该文件,从而达到了保密的效果。效果。 13计算机信息安全专题第二讲信息加密技术及数字证书公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱l一般来说,对一个普通的锁,我们总是用一般来说,对一个普通的锁,我们总是用相同的钥匙进行上锁和开锁的相同的钥匙进行上锁和开锁的 (对称加密对称加密)l假设有一位聪明绝顶的锁匠打造了这样一假设有一位聪明绝顶的锁匠打造了这样一种种“独特的锁独特的锁”,之所以说独特,是因为,之所以说独特,是因为这种锁配备有两把不同的钥匙,而且当我这种锁配备有两把不同的钥匙,而且当我们用其中一把钥匙把锁锁上时,必须而

11、且们用其中一把钥匙把锁锁上时,必须而且只能用另外一把钥匙才能打开。只能用另外一把钥匙才能打开。(公钥加密公钥加密)14计算机信息安全专题第二讲信息加密技术及数字证书公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱lDiffie和和Hellman的想法是,我们每个人都只需要保管好的想法是,我们每个人都只需要保管好其中一把钥匙并保证它是秘密和安全的,而另一把钥匙其中一把钥匙并保证它是秘密和安全的,而另一把钥匙则需要大家慷慨解囊贡献出来,并放在一个任何人都能则需要大家慷慨解囊贡献出来,并放在一个任何人都能够看到,都能够取到的地方,也就是说另一把钥匙是需够看到,都能够取到的地方,也就是说另一把钥匙是需

12、要公开的。要公开的。l我们把上面所说的这种独特的锁称为公钥密码(算法)我们把上面所说的这种独特的锁称为公钥密码(算法)(也可称为非对称密码(算法),与锁配对的两把钥(也可称为非对称密码(算法),与锁配对的两把钥匙称为密钥,其中公开的那把钥匙称为公钥,自己保管匙称为密钥,其中公开的那把钥匙称为公钥,自己保管的那把钥匙称为私钥。用公钥把锁锁上的过程称为公钥的那把钥匙称为私钥。用公钥把锁锁上的过程称为公钥加密,用私钥把锁打开的过程称为私钥解密。加密,用私钥把锁打开的过程称为私钥解密。15计算机信息安全专题第二讲信息加密技术及数字证书公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱l假设假设Alice

13、要给要给Bob发送如下一条订购信息发送如下一条订购信息 , ,Alice希望能希望能绝对保密,并只让绝对保密,并只让Bob能知道。为此,能知道。为此,Alice可把订单放入可把订单放入保险箱保险箱(这只是一个数字保险箱,而非真实保险箱)中,(这只是一个数字保险箱,而非真实保险箱)中,并用并用Bob的公钥(的公钥(Alice 总是能取到)给总是能取到)给保险箱保险箱上锁(加上锁(加密),然后通过密),然后通过Internet将将保险箱保险箱邮寄给邮寄给Bob ,只有只有Bob才能用他的私钥打开才能用他的私钥打开保险箱保险箱阅读订单,任何其他人因为阅读订单,任何其他人因为没有没有Bob的私钥而无法

14、做到这一点。的私钥而无法做到这一点。16计算机信息安全专题第二讲信息加密技术及数字证书两种加密算法的比较两种加密算法的比较l对称密码对称密码保险箱的诞生和使用由来已久,迄今为止,各式各保险箱的诞生和使用由来已久,迄今为止,各式各样的对称密码保险箱(算法)不断被设计、被使用,目前在样的对称密码保险箱(算法)不断被设计、被使用,目前在国际上广泛使用的对称密码保险箱(算法)国际上广泛使用的对称密码保险箱(算法)具有足够的安全具有足够的安全强度,且加解密速度非常快,其缺点是所有这些对称密码保强度,且加解密速度非常快,其缺点是所有这些对称密码保险箱(算法)均无一例外地需要事先协商好密钥,因此带来险箱(算

15、法)均无一例外地需要事先协商好密钥,因此带来密钥管理上的困难;密钥管理上的困难;l公钥密码公钥密码保险箱的思想自保险箱的思想自1976年由年由Diffie和和Hellman提出来提出来以后,在两年后的以后,在两年后的1978年,才正式由美国麻省理工大学的三年,才正式由美国麻省理工大学的三位知名教授位知名教授Rivest、Shamir和和Adleman等人联合设计出来,等人联合设计出来,密码学上称为密码学上称为RSA(三人名字的第一个字母)公钥密码系统。(三人名字的第一个字母)公钥密码系统。公钥密码用全新的方式解决了对称密码存在的密钥管理难的公钥密码用全新的方式解决了对称密码存在的密钥管理难的问

16、题,但其缺点是加密解密速度较慢问题,但其缺点是加密解密速度较慢 17计算机信息安全专题第二讲信息加密技术及数字证书对称加密与公钥密码的结合使用对称加密与公钥密码的结合使用 l当您要向对方传递一个秘密消息的时候,您临时产当您要向对方传递一个秘密消息的时候,您临时产生一个对称密钥,用对称密码保险箱加密消息文件,生一个对称密钥,用对称密码保险箱加密消息文件,同时你用公钥密码保险箱加密刚才产生的对称密钥同时你用公钥密码保险箱加密刚才产生的对称密钥(因为对称密钥一般数据量很小,加密起来只需用(因为对称密钥一般数据量很小,加密起来只需用很短的时间),然后您将两个保险箱同时传递给对很短的时间),然后您将两个

17、保险箱同时传递给对方。对方可以首先用自己的私钥打开公钥密码保险方。对方可以首先用自己的私钥打开公钥密码保险箱取出对称密钥,然后用对称密钥打开对称密码保箱取出对称密钥,然后用对称密钥打开对称密码保险箱取出消息文件阅读。这种传递秘密的方式,既险箱取出消息文件阅读。这种传递秘密的方式,既克服了对称密码需要事先商量好密钥的问题,又弥克服了对称密码需要事先商量好密钥的问题,又弥补了公钥密码直接加密消息速度慢的缺点。同时,补了公钥密码直接加密消息速度慢的缺点。同时,用公钥密码保险箱安全传递对称密钥,就好比用保用公钥密码保险箱安全传递对称密钥,就好比用保密信封邮寄钥匙一样,因此我们形象地称之为密信封邮寄钥匙

18、一样,因此我们形象地称之为数数字信封字信封。 18计算机信息安全专题第二讲信息加密技术及数字证书 加密技术能帮助我们解决了前面提到的四个问题当中的第一个问题,即信息保密性问题。采用加密技术,从此我们不用再担心通信信息或隐私被他人偷看了!19计算机信息安全专题第二讲信息加密技术及数字证书主要内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书20计算机信息安全专题第二讲信息加密技术及数字证书网络安全的四个问题网络安全的四个问题l信息保密性您的通信信息或隐私被别人信息保密性您的通信信息或隐私被别人偷看了吗?偷看了吗?l信息完整性其他人发给您的消息或者您信息完

19、整性其他人发给您的消息或者您发给其他人的消息被人篡改甚至伪造了发给其他人的消息被人篡改甚至伪造了吗?吗?l行为不可否认性其他人会否认他给您发行为不可否认性其他人会否认他给您发送的信息内容吗?送的信息内容吗?l身份认证性和您通信的人是您所了解的身份认证性和您通信的人是您所了解的真实的那个人吗?真实的那个人吗?21计算机信息安全专题第二讲信息加密技术及数字证书简单的数字签名和验证过程简单的数字签名和验证过程假名假名Alice要发送一个消息要发送一个消息m给给BoblAlice用其私钥对消息用其私钥对消息m加密加密,密文密文s就是就是Alice对消息对消息m的签名的签名lAlice将签名及消息将签名

20、及消息(m,s)发送给发送给BoblBob用用Alice的公开密钥对的公开密钥对s进行解密进行解密,得到得到M,如果如果M=m,则确认则确认s是是m的有效签的有效签名名, m是由是由Alice发来的且没有被篡改发来的且没有被篡改.22计算机信息安全专题第二讲信息加密技术及数字证书数字签名的特性数字签名的特性 数字签名是对数字消息进行签名数字签名是对数字消息进行签名,以防止以防止消息的冒名伪造或篡改消息的冒名伪造或篡改l可信性可信性:任何人都可以验证签名的有效性任何人都可以验证签名的有效性.l不可伪造性不可伪造性:任何其他人伪造合法签名者签任何其他人伪造合法签名者签名是很团难的名是很团难的l不可

21、篡改性不可篡改性:一旦签名的消息被篡改一旦签名的消息被篡改,任何任何人都可以发现消息与签名之间的不一致性人都可以发现消息与签名之间的不一致性l不可抵赖性不可抵赖性:签名者事后不能否认自己的签签名者事后不能否认自己的签名名23计算机信息安全专题第二讲信息加密技术及数字证书l还记得我们前面提到的四个问题吧?还记得我们前面提到的四个问题吧?数字签名数字签名是是不是能解决其中的第二和第三两个问题呢?答案是不是能解决其中的第二和第三两个问题呢?答案是肯定的。肯定的。l接下来我们只剩下第四个问题需要解决,即我怎么接下来我们只剩下第四个问题需要解决,即我怎么样才能知道和我通信的那个人就是我所了解的真实样才能

22、知道和我通信的那个人就是我所了解的真实的那个人呢?看起来数字签名也帮我们解决了这个的那个人呢?看起来数字签名也帮我们解决了这个问题,因为我们总能够用问题,因为我们总能够用Alice的公钥来验证保险的公钥来验证保险箱(尝试将其打开)是不是箱(尝试将其打开)是不是Alice发出的。但问题发出的。但问题在于公钥只是一串随机的数字,它并没有记录上在于公钥只是一串随机的数字,它并没有记录上Alice的名字,就像我们钥匙上不会记录钥匙持有的名字,就像我们钥匙上不会记录钥匙持有人的名字一样。前面我们反复提到,我们总是能取人的名字一样。前面我们反复提到,我们总是能取到到Alice的公钥,但究竟怎么取呢?我们怎

23、么知道的公钥,但究竟怎么取呢?我们怎么知道所取到的公钥就是所取到的公钥就是Alice的呢?换句话说,我们每的呢?换句话说,我们每个人该怎样公布我们那把公开的钥匙,并将钥匙和个人该怎样公布我们那把公开的钥匙,并将钥匙和我们的名字捆绑在一起呢?我们的名字捆绑在一起呢?24计算机信息安全专题第二讲信息加密技术及数字证书主要内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书25计算机信息安全专题第二讲信息加密技术及数字证书网络信息时代的安全宣言网络信息时代的安全宣言 -PKI及数字证书及数字证书 l公钥基础设施,即公钥基础设施,即PKI,是通过使用公开密是通过

24、使用公开密钥技术和数字证书来提供网络信息字全服钥技术和数字证书来提供网络信息字全服务的基础设施务的基础设施,其最主要的任务就是要确,其最主要的任务就是要确立可信赖的数字身份,并管理数字证书及立可信赖的数字身份,并管理数字证书及与数字证书相对应的密钥与数字证书相对应的密钥.换句话说,我们换句话说,我们的公钥是要靠的公钥是要靠PKI来公布的,公钥与身份的来公布的,公钥与身份的绑定也要靠绑定也要靠PKI来完成。来完成。l目前,国际上已逐渐形成了一整套成熟的目前,国际上已逐渐形成了一整套成熟的PKI技术标准,建设技术标准,建设PKI这个公钥密码的基这个公钥密码的基础设施,就犹如础设施,就犹如20世纪世

25、纪80年代建设网络的年代建设网络的基础设施一样重要。基础设施一样重要。26计算机信息安全专题第二讲信息加密技术及数字证书信任的原理信任的原理lPKI的最基本原理是互相信任。在互联网上的最基本原理是互相信任。在互联网上的安全隐患中,最难解决的就是的安全隐患中,最难解决的就是可信任的可信任的关系关系,也即,也即我如何才能够被人信任?什我如何才能够被人信任?什么样的人我才可以相信?么样的人我才可以相信?的问题,因为在的问题,因为在互联网中人们彼此不直接见面,完全处于互联网中人们彼此不直接见面,完全处于一种虚拟的境界,一种虚拟的境界,在在Internet上,没人知上,没人知道你是一条狗道你是一条狗,这

26、一,这一名言名言就是对网民虚就是对网民虚拟身份的生动写照。拟身份的生动写照。PKI目前已经成为网络目前已经成为网络信息安全的信任基础平台。信息安全的信任基础平台。27计算机信息安全专题第二讲信息加密技术及数字证书什么是认证中心(什么是认证中心(CA)?)? l在在PKI当中,认证中心(当中,认证中心(Certificate Authority,CA)是)是负责创建或者证明身份的可信赖的权威机构。负责创建或者证明身份的可信赖的权威机构。l认证中心的权威来自于国家的授权。通常,国家授权一认证中心的权威来自于国家的授权。通常,国家授权一个第三方机构负责创建数字身份并允许其在一定范围内个第三方机构负责

27、创建数字身份并允许其在一定范围内使用使用.l被授权的认证中心在一定范围内颁发数字证书,人们通被授权的认证中心在一定范围内颁发数字证书,人们通过在网络上彼此出示数字证书来证明各自的身份过在网络上彼此出示数字证书来证明各自的身份 l目前我们国家的认证中心是以省(直辖市)为区域来划目前我们国家的认证中心是以省(直辖市)为区域来划分范围的。即国家在每个省(或省级市)都授权成立一分范围的。即国家在每个省(或省级市)都授权成立一个认证中心,由它们来负责各自省内数字证书的颁发和个认证中心,由它们来负责各自省内数字证书的颁发和管理,并维护各自省内的信任环境。管理,并维护各自省内的信任环境。 28计算机信息安全

28、专题第二讲信息加密技术及数字证书 如图所示,Alice和Bob都信任认证权威CA,并都拥有CA颁发的数字证书。当Alice和Bob要在网络上通信时,他们彼此向对方出示数字证书,当双方各自都验证对方的数字证书是有效的之后,他们便认为彼此是值得信赖的。在这里,Alice 和Bob之间的信任关系是通过第三方认证中心CA建立起来的,我们称这种信任关系为第三方信任关系。29计算机信息安全专题第二讲信息加密技术及数字证书数字证书(数字证书(Digital Certificate)?l数字证书是由权威机构数字证书是由权威机构CA发行的一种权威发行的一种权威性的文档,是网络环境中的一种身份证,性的文档,是网络

29、环境中的一种身份证,用于证明某一用户的身份以及公开密钥的用于证明某一用户的身份以及公开密钥的合法性。合法性。l数字证书绑定了公钥及其持有者的真实身数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。方便灵活地运用在电子商务和电子政务中。30计算机信息安全专题第二讲信息加密技术及数字证书l与

30、身份证一样,数字证书也需要发放到用户手中。与身份证一样,数字证书也需要发放到用户手中。但由于数字证书不再是纸质的,而是一些电子数据,但由于数字证书不再是纸质的,而是一些电子数据,因此需要一定的存储介质。目前,我们采用一个叫因此需要一定的存储介质。目前,我们采用一个叫电子智能钥匙的硬件产品(类似于电子智能钥匙的硬件产品(类似于U盘)存储数字盘)存储数字证书。电子智能钥匙小巧美观,携带方便,它保存证书。电子智能钥匙小巧美观,携带方便,它保存用户的数字证书及私钥并能保证其安全,用户使用用户的数字证书及私钥并能保证其安全,用户使用时,只需将电子智能钥匙插入电脑,就能方便地使时,只需将电子智能钥匙插入电

31、脑,就能方便地使用数字证书。用数字证书。l目前数字证书的格式普遍采用的是目前数字证书的格式普遍采用的是X.509 V3国际国际标准,内容包括证书序列号、证书持有者名称、证标准,内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。数字证书和居民身份证内容大致对应数字签名等。数字证书和居民身份证内容大致对应关系如下关系如下 数字证书(数字证书(Digital Certificate)?31计算机信息安全专题第二讲信息加密技术及数字证书32计算机信息安全专题第二讲信息加密技术及数字证书假如您要从名叫假如您要从名叫A

32、lice的账户上划拨一笔款项,的账户上划拨一笔款项,怎么样才能够安全地进行呢?怎么样才能够安全地进行呢? l第一,第一, 您需要通过网络向银行出示您的数字证书;您需要通过网络向银行出示您的数字证书;l第二,您需要向银行提交您的划款请求,当然您的请求是需第二,您需要向银行提交您的划款请求,当然您的请求是需要放在保险箱中并用您的私钥锁上的(因为请求中将涉及到要放在保险箱中并用您的私钥锁上的(因为请求中将涉及到账号或金额等敏感信息)。账号或金额等敏感信息)。l那么银行在收到您的数字证书及划款请求后那么银行在收到您的数字证书及划款请求后,首先,银行将首先,银行将确信数字证书的持有人就是确信数字证书的持

33、有人就是Alice(看看数字证书中看看数字证书中“证书持证书持有者名称有者名称”一项即可一项即可);l然后银行将验证该数字证书是否是有效的,这点和验证居民然后银行将验证该数字证书是否是有效的,这点和验证居民身份证的有效性完全类似,即验证数字证书是否在有效期之身份证的有效性完全类似,即验证数字证书是否在有效期之内内,是否是可信的认证中心颁发的,是否有认证中心的签名是否是可信的认证中心颁发的,是否有认证中心的签名(类似于盖章)等等;(类似于盖章)等等;l接着,银行还将用数字证书中绑定的公钥(类似于身份证上接着,银行还将用数字证书中绑定的公钥(类似于身份证上的照片)来验证您向银行提交的保险箱(里面有

34、您的划款请的照片)来验证您向银行提交的保险箱(里面有您的划款请求),比如用公钥能打开保险箱的话,则证明保险箱就是您求),比如用公钥能打开保险箱的话,则证明保险箱就是您本人,也就是本人,也就是Alice提交的提交的(因为只有您才有锁上保险箱的私因为只有您才有锁上保险箱的私钥钥),这有点类似于比对身份证上的照片和您本人,因为只,这有点类似于比对身份证上的照片和您本人,因为只有您才能照出您自己的照片。有您才能照出您自己的照片。33计算机信息安全专题第二讲信息加密技术及数字证书 什么是注册机构(什么是注册机构(RA,Registration Authority)?l注册机构是从认证中心分离出来的专门负

35、责对用户注册机构是从认证中心分离出来的专门负责对用户身份信息进行登记审核的机构。身份信息进行登记审核的机构。认证中心在给用户认证中心在给用户颁发数字证书之前,用户需要携带自己的有效身份颁发数字证书之前,用户需要携带自己的有效身份证件(个人携带身份证或其它有效身份证件,企业证件(个人携带身份证或其它有效身份证件,企业携带法人营业执照等)到认证中心登记办理,认证携带法人营业执照等)到认证中心登记办理,认证中心需要对其身份进行审核。但由于用户遍及各地中心需要对其身份进行审核。但由于用户遍及各地市,而认证中心通常只设在省级城市,这势必会给市,而认证中心通常只设在省级城市,这势必会给外地用户带来办理的不

36、便。因此,认证中心通常会外地用户带来办理的不便。因此,认证中心通常会选择在各地市设立注册机构,用户可就近在当地的选择在各地市设立注册机构,用户可就近在当地的注册机构登记办理数字证书而不用直接到认证中心。注册机构登记办理数字证书而不用直接到认证中心。这就像您办理身份证,只需就近在您所在的街道派这就像您办理身份证,只需就近在您所在的街道派出所登记而不用亲自到公安局身份证颁发中心办理出所登记而不用亲自到公安局身份证颁发中心办理一样。一样。 34计算机信息安全专题第二讲信息加密技术及数字证书什么是证书发布系统(什么是证书发布系统(DA,Distributed Authority)?)? l证书发布系统

37、把认证中心颁发的所有数字证书集中证书发布系统把认证中心颁发的所有数字证书集中起来统一发布在一个公众目录服务器上,任何人都起来统一发布在一个公众目录服务器上,任何人都可以在这个公众目录服务器上查看自己想要的证书,可以在这个公众目录服务器上查看自己想要的证书,这有点像现实生活中的电话号码簿一样,它把电话这有点像现实生活中的电话号码簿一样,它把电话号码集中在一块供人查看。号码集中在一块供人查看。l此外,认证中心还将维护这些自己颁发的证书,一此外,认证中心还将维护这些自己颁发的证书,一旦发现有过期或失效的证书,将主动将其吊销,并旦发现有过期或失效的证书,将主动将其吊销,并以以黑名单黑名单(CRL)的形

38、式发布在公众目录服务)的形式发布在公众目录服务器上,用户可通过查看器上,用户可通过查看黑名单黑名单获知哪些证书是可获知哪些证书是可信的,哪些证书是不可信的信的,哪些证书是不可信的35计算机信息安全专题第二讲信息加密技术及数字证书36计算机信息安全专题第二讲信息加密技术及数字证书数字证书的应用数字证书的应用 l电子商务:网上证券,网上银行,企业电子商务:网上证券,网上银行,企业ERP(企业资源计划)系统,网络远程教(企业资源计划)系统,网络远程教育,网上购物等。育,网上购物等。l电子政务:网上税务申报,工商年检、企电子政务:网上税务申报,工商年检、企业组织代码申领、政府网上采购招标、网业组织代码申领、政府网上采购招标、网上审批和统计、企业年报、网上报关、网上审批和统计、企业年报、网上报关、网上驾证申请与变更等。上驾证申请与变更等。l个人应用:个人电子邮件安全,个人隐私个人应用:个人电子邮件安全,个人隐私保护,个人数据资源保护,个人计算机安保护,个人数据资源保护,个人计算机安全保护等。全保护等。37计算机信息安全专题第二讲信息加密技术及数字证书THANK YOU!38计算机信息安全专题第二讲信息加密技术及数字证书

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号