數(shù)字簽名與身份認(rèn)證技術(shù).ppt

《數(shù)字簽名與身份認(rèn)證技術(shù).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)字簽名與身份認(rèn)證技術(shù).ppt（22頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

數(shù)字簽名與身份認(rèn)證技術(shù) 數(shù)字簽名技術(shù)電子商務(wù)安全交易的關(guān)鍵環(huán)節(jié) 身份認(rèn)證數(shù)字證書電子商務(wù)認(rèn)證中心安全方案OutlookExpress的操作實(shí)例 1 數(shù)字簽名技術(shù)的基本原理與應(yīng)用 2 CA認(rèn)證中心的定義與作用 3 數(shù)字證書的標(biāo)準(zhǔn)和數(shù)字證書的使用 4 電子商務(wù)認(rèn)證中心的作用 學(xué)習(xí)目標(biāo) 數(shù)字簽名技術(shù) 數(shù)字簽名技術(shù)帶加密的數(shù)字簽名RSA公鑰簽名技術(shù)數(shù)字簽名的應(yīng)用 數(shù)字簽名技術(shù) 數(shù)字簽名技術(shù)是公開密鑰加密技術(shù)和報(bào)文分解函數(shù)相結(jié)合的產(chǎn)物 與加密不同 數(shù)字簽名的目的是為了保證信息的完整性和真實(shí)性 數(shù)字簽名必須保證以下三點(diǎn) 1 接受者能夠核實(shí)發(fā)送者對(duì)消息的簽名 2 發(fā)送者事后不能抵賴對(duì)消息的簽名 3 接受者不能偽造對(duì)消息的簽名 假定A發(fā)送一個(gè)簽了名的信息M給B 則A的數(shù)字簽名應(yīng)該滿足下述條件 1 B能夠證實(shí)A對(duì)信息M的簽名 2 任何人 包括B在內(nèi) 都不能偽造A的簽名 3 如果A否認(rèn)對(duì)信息M的簽名 可以通過仲裁解決A和B之間的爭(zhēng)議 假定A向B發(fā)送一條消息M 則其過程如下 1 A計(jì)算出C DA M 對(duì)M簽名 2 B通過檢查EA C 是否恢復(fù)M 驗(yàn)證A的簽名 3 如果A和B之間發(fā)生爭(zhēng)端 仲裁者可以用 2 中的方法鑒定A的簽名 帶加密的數(shù)字簽名 在公鑰數(shù)字簽名系統(tǒng)中還要求保密性 必須對(duì)上述方案進(jìn)行如下修改 發(fā)送者A先將要傳送的消息M用自己的秘密變換DA簽名 MA DA M 再用接收者B的公開變換EB進(jìn)行加密 C EB MA EB DA M 最后 將簽名后的加密消息C發(fā)送給B B收到C后 先用自己的秘密變換DB解密C DB C DB EB MA MA然后用A的公開變換EA恢復(fù)M EA MA EA DA M M使用公開密鑰算法的帶加密的數(shù)字簽名的基本過程如圖3 1所示 以上就是數(shù)字簽名的基本原理 它的現(xiàn)實(shí)意義在于徹底解決了收發(fā)雙方就傳送內(nèi)容可能發(fā)生的爭(zhēng)端 為在商業(yè)上廣泛應(yīng)用創(chuàng)造了條件 現(xiàn)在被廣泛應(yīng)用的基于公鑰密碼體制的數(shù)字簽名技術(shù)主要有 1 RSA體制 它是基于求解一個(gè)大整數(shù)分解為兩個(gè)大素?cái)?shù)問題的困難性 2 E1Gamal體制 它是基于求解有限域上的乘法群的離散對(duì)數(shù)問題的困難性 橢圓曲線密碼體制是一種基于代數(shù)曲線的公鑰密碼機(jī)制 以其良好的安全性 曲線選取范圍廣 在同等長(zhǎng)度的密鑰下具有比RSA體制更快的加 解密速度及更高的密碼強(qiáng)度而備受青睞 RSA公鑰簽名技術(shù) RSA方法的加密和解密算法互為逆變換 所以可以用于數(shù)字簽名系統(tǒng) 假定用戶的公鑰是 nA eA 秘密鑰是dA 加密和解密變換分別為EA和DA 則A發(fā)送的簽名后的消息是 收到C后的B 可以用A的公開變換EA恢復(fù)M 因?yàn)橹挥蠥知道DA 所以簽名不可能偽造 并且A與B之間的任何爭(zhēng)議都可以通過仲裁加以解決 數(shù)字簽名的應(yīng)用 1 文件簽名和時(shí)間標(biāo)記2 電子商務(wù)中的應(yīng)用 電子商務(wù)安全交易的關(guān)鍵環(huán)節(jié) 身份認(rèn)證 CA的定義CA的作用 CA的定義 CA機(jī)構(gòu) 又稱為證書授權(quán)中心 作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方 承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任 CA機(jī)構(gòu)應(yīng)包括兩大部門 一是審核授權(quán)部門 RegistryAuthority RA 作為電子商務(wù)交易中受信任的第三方 承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任 另一個(gè)是證書操作部門 CertificateProcessor CP 負(fù)責(zé)為已授權(quán)的申請(qǐng)者制作 發(fā)放和管理證書 并承擔(dān)因操作運(yùn)營(yíng)所產(chǎn)生的一切后果 包括失密和為沒有獲得授權(quán)者發(fā)放證書等 CA的作用 認(rèn)證中心在密碼管理方面的作用如下 1 自身密鑰的產(chǎn)生 存儲(chǔ) 備份 恢復(fù) 歸檔和銷毀 2 提供密鑰生成和分發(fā)服務(wù) 3 確定客戶密鑰生存周期 實(shí)施密鑰吊銷和更新管理 4 為安全加密通信提供安全密鑰管理服務(wù) 5 提供密鑰托管和密鑰恢復(fù)服務(wù) 6 其他密鑰生成和管理 密碼運(yùn)算功能 數(shù)字證書 什么是數(shù)字證書數(shù)字證書的標(biāo)準(zhǔn)數(shù)字證書的使用 什么是數(shù)字證書 1 電子證書的用途電子證書是進(jìn)行安全通信的必備工具 它保證信息傳輸?shù)谋Ｃ苄?數(shù)據(jù)完整性 不可抵賴性 交易者身份的確定性 數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份的信息的一系列數(shù)據(jù) 提供了一種在Internet上驗(yàn)證身份的方式 其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證 2 數(shù)字證書的內(nèi)容證書的版本信息 證書的序列號(hào) 每個(gè)證書都有一個(gè)惟一的證書序列號(hào) 證書所使用的簽名算法 證書的發(fā)行機(jī)構(gòu)名稱 命名規(guī)則一般采用X 500格式 證書的有效期 現(xiàn)在通用的證書一般采用UTC時(shí)間格式 它的計(jì)時(shí)范圍為1950 2049 證書所有人的名稱 命名規(guī)則一般采用X 500格式 證書所有人的公開密鑰 證書發(fā)行者對(duì)證書的簽名 數(shù)字證書的標(biāo)準(zhǔn) 數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息及公開密鑰的文件 最簡(jiǎn)單的證書包含一個(gè)公開密鑰 名稱以及證書授權(quán)中心的數(shù)字簽名 一般情況下證書還包括密鑰的有效時(shí)間 發(fā)證機(jī)關(guān) 證書授權(quán)中心 的名稱 該證書的序列號(hào)等信息 證書的格式遵循ITUTX 509國(guó)際標(biāo)準(zhǔn) 數(shù)字證書的使用 1 獲得一個(gè)用戶證書獲得電子證書的步驟如下 1 下載根證書 2 申請(qǐng)賬號(hào)認(rèn)證 3 下載安裝證書 2 獲得通信過程中驗(yàn)證簽名和公鑰的過程步驟1 A從目錄獲得由X1簽名的X2的證書 因?yàn)锳能安全地知道X1的公開密鑰 A從它的證書中能獲得X2的公開密鑰 并通過證書中X1的簽名來證實(shí)它 步驟2 然后A能回到目錄中得到由X2簽名的B的證書 因?yàn)楝F(xiàn)在A已經(jīng)擁有一個(gè)可信的X2的公開密鑰備份 因此A能驗(yàn)證這個(gè)簽名并安全地獲得B的公開密鑰 3 證書的撤銷4 證書的鑒別過程 1 單向鑒別 2 雙向鑒別 3 三向鑒別 在三向鑒別中 包括一個(gè)最后從A到B的報(bào)文 它含有一個(gè)現(xiàn)時(shí)B的簽名備份 這樣設(shè)計(jì)的目的是無須檢查時(shí)間戳 因?yàn)閮蓚€(gè)現(xiàn)時(shí)均由另一端返回 每一端可以檢查返回的現(xiàn)時(shí)來探測(cè)重放攻擊 當(dāng)沒有同步時(shí)鐘時(shí) 需要使用這種方法 圖顯示了X 509的強(qiáng)鑒別過程 電子商務(wù)認(rèn)證中心安全方案 1 物理與環(huán)境安全2 網(wǎng)絡(luò)安全3 應(yīng)用業(yè)務(wù)系統(tǒng)與數(shù)據(jù)安全4 人員安全與日常操作管理5 系統(tǒng)連續(xù)性管理 例 個(gè)人數(shù)字證書申請(qǐng) 本節(jié)以網(wǎng)證通NETCA電子認(rèn)證系統(tǒng) 試用型 為例 說明試用型個(gè)人數(shù)字證書的申請(qǐng)過程 OutlookExpress的操作實(shí)例 1 數(shù)字標(biāo)識(shí)的工作方式2 獲得數(shù)字標(biāo)識(shí)3 使用數(shù)字標(biāo)識(shí)4 備份數(shù)字標(biāo)識(shí)5 驗(yàn)證數(shù)字簽名6 安全電子郵件