数字证书与数字签名.ppt

单方认证 双方认证 网络安全 数字签名与认证技术 （1）数字证书 （2）数字签名 （3）SSL 安全的网络信息最基本的3个特征 1．机密性---- 2．完整性---- 3．可用性---- 信息仅能够被授权的用户得到 信息不被未授权者篡改和破坏 保证信息和信息系统随时为 授权者服务 概括起来，安全的网络信息就是指授权的用户可以访问到完整的信息。 采用对网上传输的信息进行加密的方式 信息的发送方对要传输的信息进行加密，在Internet上传输的信息是加密后的信息。信息的接受方收到加密后的信息进行解密，还原成原来的信息，这就是网络信息加密技术的原理。 常规加解密技术 加密算法 解密算法 Internet/Intranet 明文 明文 密文传送 发送方/接受方 共同的密钥 发送方/接收方 共同的密钥 发送方 接收方 常规加解密技术的名词 明文：未被加密的信息 密文：被加密后的信息 加密：使用某种方法伪装信息以隐藏其内容的过程，把明文转变为密文。 解密：把密文转变为明文的过程。 加密算法：对明文进行加密时采用的一组算法 解密算法：对密文进行解密时采用的一组规则 加密密钥：加密过程中使用的密钥 解密密钥：解密过程中使用的密钥 常规加解密技术中，接受方和发送方使用同样的密钥，加密密钥和解密密钥完全相同。 网络信息安全的新需求 1．身份认证和鉴别: 对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。 2．不可否认性: 信息的发送方必须对自己的操作承担责任，不可否认。 3．数字签名: 日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。 数字签名的目的：用于证明是作者的签名、签名日期和时间；在签名的同时对内容的真伪进行鉴别；签名能够被公正、权威的第三方进行仲裁。 公钥加密技术 公钥加解密技术的结构： 每个网络用户有两个密钥，称为公钥和私钥。在信息的发送和接受过程中，使用一个密钥加密，使用另一个密钥解密，同一个用户的两个密钥可以互相加解密，但这两个密钥相互之间很难相互推导得出。 公钥：称为公开密钥，可以向其他用户公开 私钥：称为私有密钥，是用户自己拥有，不能公开。 公钥结构的保密通信原理 加密算法 解密算法 Internet/Intranet 密文传送 明文 明文 发送方 接收方 发送方的私钥 接收方的私钥 发送方的公钥 发送方的公钥 接收方的公钥 接收方的公钥 要进行保密通信，发送方使用接收方的公钥对明文进行加密，接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因此可以实现保密通信。 公钥结构的鉴别通信的原理 加密算法 解密算法 Internet/Intranet 密文传送 明文 明文 发送方 接收方 发送方的私钥 接收方的私钥 发送方的公钥 发送方的公钥 接收方的公钥 接收方的公钥 要进行鉴别通信，发送方使用自己的私钥对明文进行加密，接收方使用发送方的公钥对密文进行解密。接收方使用发送方的公钥进行解密，可以确信信息是由发送方加密的，也就可以鉴别了发送方的身份。 数字证书服务 使用浏览器访问Web页面能够轻松实现网上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。TCP/IP在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，首先考虑的是安全性。 数字证书 ⑴认证中心 专门验证交易双方的身份 ⑵数字证书(digital ID) 又称为数字凭证、数字标识。它含有证书持有者的有关信息，以标识他们的身份。 ⑶数字证书的类型 有三种类型：个人数字证书、企业（服务器）数字证书、软件（开发者）数字证书。 数字证书 在Internet上从事一些需要保密的业务时必备的“个人身份证”，有权威机构发行，在网络通信中标志通信各方身份的一系列数据。 网络上通信各方向PKI的数字证书颁发机构申请数字证书，通过PKI系统建立的一套严密的身份认证系统来保证： 1． 信息除发送方和接受方外不被其他人截取 2． 信息在传输过程中不被篡改 3． 发送方能够通过数字证书来确认接受方的身份 4． 发送方对于自己的信息不能抵赖 数字证书的格式 版本、序列号、签名算法、颁发者、使用者、标识、有效期。 数字证书的原理 公钥 公钥 私钥 私钥 数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，它将存放在用户的计算机