(信息安全技术)第3-1讲个人数字证书与CA认证.ppt

计算机网络技术 信息安全技术 第 3章 个人数字证书与CA认证 3.1 个人数字证书与CA认证 3.2 加密技术与DES加解密算法 3.3 认证技术与MD5算法 3.1 个人数字证书与CA认证 3.1.1 个人数字证书 3.1.2 实验与思考 3.1 个人数字证书与CA认证 数字证书又称数字标识，是用来标志和证明网络通信双方身份的数字信息文件。数字证书一般由权威、公正的第三方机构即CA (Certificate Architecture) 中心签发，包括一串含有客户基本信息及CA 签字的数字编码。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。 3.1.1 个人数字证书 通俗地讲，数字证书就是个人或单位在因特网的身份证。 数字证书主要包括三方面的内容： 证书所有者的信息 证书所有者的公开密钥 证书颁发机构的签名 3.1.1 个人数字证书 标准的X.509 数字证书包含 (但不限于) 以下内容： 1) 证书版本信息； 2) 证书序列号，每个证书都有一个唯一的证书序列号； 3) 证书所使用的签名算法； 4) 证书的发行机构名称 (命名规则一般采用X.500 格式) 及其私钥的签名； 5) 证书的有效期； 6) 证书使用者的名称及其公钥的信息。 3.1.1 个人数字证书 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，以确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 3.1.1 个人数字证书 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥 (私钥) ，用它进行解密和签名；同时拥有一把公共密钥 (公钥) 并可以对外公开，用于加密和验证签名。 3.1.1 个人数字证书 当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的是RSA体制。 3.1.1 个人数字证书 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。 3.1.1 个人数字证书 数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动等。 3.1.1 个人数字证书 根据加密密钥和解密密钥是否相同或本质上相同,即从其中一个容易推出另一个，可将现有的加密体制分为两种，即单钥加密体制和双钥加密体制 (又称公开密钥体制) 。 前者的加密密钥和解密密钥或者相同或者本质上相同，即从其中一个可以很容易的推出另一个，其典型代表是美国的数据加密标准 (DES) ； 后一种加密体制中的加密密钥和解密密钥不相同，并且从其中一个很难推出另一个，因此它的加密密钥可以公开，而解密密钥可以由用户自己保存。 3.1.1 个人数字证书 在公开密钥体制中，应用得最多的是RSA体制。RSA算法是由Rivest，Shamir和Adleman于1978年提出的，曾被ISO/TC97的数据加密委员会SC20推荐为公开数据加密标准。RSA体制是根据寻求两个大素数容易，而将他们的乘积分解开则极其困难这一原理来设计的，其安全性在于对大数N的分解极其困难。例如，用每一微秒做一次操作的计算机，分解100位的十进制数N，需要时间为74年。 3.1.2 实验与思考 本节实验与思考的目的是： 1) 了解中华人民共和国《电子签名法》及其关于电子认证服务的相关规定。 2) 熟悉CA 认证的基本原理和作用，掌握数字证书的申请和使用过程。 周苏 教授 Zs@mail.hz.zj.cn QQ: