73数字证书.ppt

《73数字证书.ppt》由会员分享，可在线阅读，更多相关《73数字证书.ppt（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 7.3数字证书数字证书电子商务基础电子商务基础 7.3数字证书数字证书1.数字证书的用途数字证书的用途电子签名服务电子签名服务电子签章服务电子签章服务企业企业“电子执照电子执照”的商务应用与管理的商务应用与管理企业身份认证企业身份认证2.2.数字证书的类别数字证书的类别个人数字证书个人数字证书企业数字证书企业数字证书设备数字证书设备数字证书代码签名数字证书代码签名数字证书电子商务基础电子商务基础 7.3数字证书数字证书3.数字证书的原理数字证书的原理（1）数字证书采用公钥体制，即利用一对互相）数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。匹配的密钥进行加密、解密。（2）每个用

2、户自己设定一把特定的、仅为本人）每个用户自己设定一把特定的、仅为本人所知的私有密钥（私钥），用它进行解密和签名；所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。一组用户所共享，用于加密和验证签名。（3）当发送一份保密文件时，发送方使用接收方）当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。解密，这样信息就可以安全无误地到达目的地了。电子商务基础电子商务基础 7

3、.3数字证书数字证书4.数字证书的作用数字证书的作用（1）提供了电子验证身份的方法，提供了更完全）提供了电子验证身份的方法，提供了更完全的解决方案来验证有关交易过程中各参与方的真实的解决方案来验证有关交易过程中各参与方的真实身份。身份。（2）提供了被称作）提供了被称作“不可否认不可否认”的功能，从根本的功能，从根本上防止有人否认他发送过的信息。上防止有人否认他发送过的信息。5.证书授权中心（证书授权中心（CA机构）机构）作为电子商务交易中受信任的第三方，承担着公钥作为电子商务交易中受信任的第三方，承担着公钥体系中公钥的合法性检验的责任。体系中公钥的合法性检验的责任。电子商务基础电子商务基础 7

4、.3数字证书数字证书6.认证中心的作用认证中心的作用（1）为保证客户之间在网上传递信息的安全性、）为保证客户之间在网上传递信息的安全性、真实性、可靠性和不可抵赖性，不仅需要对客户真实性、可靠性和不可抵赖性，不仅需要对客户的身份进行验证，也需要一个具有权威性、公正的身份进行验证，也需要一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标颁发并管理符合国内、国际安全电子交易协议标准的安全证书。准的安全证书。（2）认证中心是保证电子商务的基础机构，它负）认证中心是保证电子商务的基础机构，它负责电子证书的申请

5、、签发、制作、废止、认证和管责电子证书的申请、签发、制作、废止、认证和管理，提供网上客户身份认证、数字签名、电子公证、理，提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务性作业。安全电子邮件等服务性作业。电子商务基础电子商务基础 7.3数字证书数字证书7.认证系统的结构认证系统的结构（1）CA：证书认证颁发部门：证书认证颁发部门（2）RA：证书发放审核部门：证书发放审核部门（3）WP：证书的公布系统：证书的公布系统8.CRL和和OCSP（1）CRL：证书作废，也称证书黑名单：证书作废，也称证书黑名单（2）OCSP：在线证书状态查询：在线证书状态查询9.申请证书申请证书登录认证中心申

6、请证书登录认证中心申请证书电子商务基础电子商务基础 7.3数字证书数字证书10.国内外其他认证中心机构国内外其他认证中心机构VerisignVerisign认证中心认证中心中国电信中国电信CACA安全认证系统安全认证系统中国金融认证中心中国金融认证中心上海市电子商务安全证书管理中心上海市电子商务安全证书管理中心其他认证中心其他认证中心11.11.数字证书的储存数字证书的储存一般储存在硬盘、一般储存在硬盘、USB KeyUSB Key、ICIC卡等介质中。卡等介质中。电子商务基础电子商务基础 7.3数字证书数字证书12.算法的分类算法的分类（1）对称加密（单密钥加密）对称加密（单密钥加密）是指加

7、密和解密使用相同的密钥，所以发送者和是指加密和解密使用相同的密钥，所以发送者和接收者都必须知道密钥，主要采用接收者都必须知道密钥，主要采用DES算法。算法。优点：加密、解密速度快，算法容易实现；密优点：加密、解密速度快，算法容易实现；密钥量短，容易被穷尽。钥量短，容易被穷尽。缺点：由于加密、解密双方都使用相同密钥，缺点：由于加密、解密双方都使用相同密钥，因此在发送、接收之前，必须完成密钥的分发，因此在发送、接收之前，必须完成密钥的分发，而且，密钥要经常产生、分配、交换，风险大，而且，密钥要经常产生、分配、交换，风险大，有困难；无法实现数字签名或身份验证。有困难；无法实现数字签名或身份验证。电子

8、商务基础电子商务基础 7.3数字证书数字证书12.算法的分类算法的分类（2）非对称加密（公钥加密）非对称加密（公钥加密）是指加密和解密使用不同的密钥，主要采用是指加密和解密使用不同的密钥，主要采用RSA算法。算法。在非对称加密系统中，每个用户保存着一对密钥在非对称加密系统中，每个用户保存着一对密钥公钥和私钥，公钥是公开的，可以公开传给需公钥和私钥，公钥是公开的，可以公开传给需要的人；私钥只有本人知道，是保密的。用公钥要的人；私钥只有本人知道，是保密的。用公钥加密的信息只能用相关的私钥才能解密，并且在加密的信息只能用相关的私钥才能解密，并且在算法上保证从公钥无法推出私钥。这一加密体系算法上保证从

9、公钥无法推出私钥。这一加密体系解决了对称加密方法下密钥传输安全性问题。解决了对称加密方法下密钥传输安全性问题。电子商务基础电子商务基础 7.3数字证书数字证书12.算法的分类算法的分类（2）非对称加密（公钥加密）非对称加密（公钥加密）优点：网络中容易实现密钥管理；便于进行数优点：网络中容易实现密钥管理；便于进行数字签名，从而保证数据的不可抵赖性。字签名，从而保证数据的不可抵赖性。缺点：算法复杂，加密、解密速度慢；对大报缺点：算法复杂，加密、解密速度慢；对大报文加密困难，即无法对大于密钥长度的报文进行文加密困难，即无法对大于密钥长度的报文进行加密。加密。电子商务基础电子商务基础 7.3数字证书数

10、字证书12.算法的分类算法的分类（3）对称加密体系（）对称加密体系（DES）与非对称加密体系（）与非对称加密体系（RSA）结合的综合保密系统结合的综合保密系统先使用随机产生的对称密钥对报文进行加密；先使用随机产生的对称密钥对报文进行加密；然后再使用接收方的公钥密钥对加密报文所使用对称然后再使用接收方的公钥密钥对加密报文所使用对称密钥进行加密，经过加密后的密钥又叫数字信封；密钥进行加密，经过加密后的密钥又叫数字信封；最后将已加密的对称密钥连同密文发给接收方，接收最后将已加密的对称密钥连同密文发给接收方，接收方收到经过加密的密钥和密文后，先使用其私钥对已加方收到经过加密的密钥和密文后，先使用其私钥

11、对已加密的密钥进行解密，然后使用解密后所得的密钥对密文密的密钥进行解密，然后使用解密后所得的密钥对密文进行解密得明文。进行解密得明文。电子商务基础电子商务基础 7.3数字证书数字证书13.数字签名（电子签名）数字签名（电子签名）将报文按双方约定的将报文按双方约定的HASHHASH算法计算得到一个固定位数算法计算得到一个固定位数的报文摘要。的报文摘要。将该报文摘要值用发送者的私人密钥加密，然后连同将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发给接收者，产生的报文即称为数字签名。原报文一起发给接收者，产生的报文即称为数字签名。接收方收到数字签名后，用同样的接收方收到数字签名后，用同样的

12、HASHHASH算法对报文计算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较，如相同则说明确实来自发送者。报文摘要值相比较，如相同则说明确实来自发送者。采用数字签名能确认两点：采用数字签名能确认两点：保证信息是由签名者自己签名发送的，签名不能否认保证信息是由签名者自己签名发送的，签名不能否认或难以否认。或难以否认。保证信息自签发开始到收到为止未曾作过任何修改。保证信息自签发开始到收到为止未曾作过任何修改。电子商务基础电子商务基础 7.3数字证书数字证书14.数字签名与公钥加密的异同数字签名与公钥加密的异同数字签名也采用了非对称加密技术，因此两者的数字签名也采用了非对称加密技术，因此两者的实现原理是相同的。实现原理是相同的。但普通的非对称加密的发送者是用公钥加密，接但普通的非对称加密的发送者是用公钥加密，接收方用自己的私钥解密；而数字签名正好相反，收方用自己的私钥解密；而数字签名正好相反，发送者用自己的私钥加密，接收者用发送者的公发送者用自己的私钥加密，接收者用发送者的公钥解密。钥解密。