電子商務(wù)安全技術(shù)第5章公鑰基礎(chǔ)設(shè)施與數(shù)字證書5.1.3PKI的功能（1）身份認證PKI通過數(shù)字證書進行認證，認證時對方知道你就是你，但卻無法知道你為什么是你。（2）密鑰管理通過加密證書，通信雙方可以協(xié)商一個秘密，而這個秘密可以作為通信加密的密鑰。（3）完整性和不可否認性PKI提供的完整性是可以通過第三方仲裁的，并且這種可以由第三方進行仲裁的完整性是通信雙方都不可否認的。5.1.4PKI的標準第一代PKI標準主要包括：國際電信聯(lián)盟的ITU2TX.509、美國RSA公司的公鑰加密標準PKCS系列；Internet工程任務(wù)組IETF和PKI工作組定義的，具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議PKIX（基于X.509和PKCS）標準系列；和無線應(yīng)用協(xié)議論壇的WPKI標準等。第二代PKI標準是2001年，由Microsoft、Verisign和WebMethods三家公司共同發(fā)布的XML密鑰管理規(guī)范XKMS。我國的GB/T20518-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、GB/T20519-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施特定權(quán)限管理中心技術(shù)規(guī)范》和GB/T20520-2006《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范》三項信息安全國家標準，作為公鑰基礎(chǔ)設(shè)施的關(guān)鍵基礎(chǔ)標準，已于2007年2月1日正式實施。5.2.1PKI的組成（1）認證機構(gòu)CACA（CertificateAuthority）是PKI的核心執(zhí)行機構(gòu)，它是數(shù)字證書的申請注冊、證書簽發(fā)和管理機構(gòu)。（2）證書和證書庫證書是數(shù)字證書或電子證書的簡稱，它符合X.509標準，是網(wǎng)上實體身份的證明。（3）密鑰備份及恢復(fù)當(dāng)用戶證書生成時，加密密鑰即被CA備份存儲；當(dāng)需要恢復(fù)時，用戶只需向CA提出申請，CA就會為用戶自動進行恢復(fù)。（4）證書作廢處理系統(tǒng)CA簽署的證書同樣具有有效期和作廢的情況，PKI必須提供一系列證書作廢機制。（5）客戶端證書處理系統(tǒng)客戶端證書與瀏覽器有關(guān)，證書申請人可以通過瀏覽器申請、下載證書，并且安裝在瀏覽器上使用。圖5-3PKI認證體系的基本模型圖5-2一個典型的全國性CA5.2.2PKI的工作原理公共（非對稱）密鑰算法使用加密算法和一對密鑰（公鑰和私鑰）由一個密鑰進行加密的信息內(nèi)容，只能由與之配對的另一個密鑰才能進行解密公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者，私鑰則需要十分安全地存放起來公鑰通過數(shù)字證書與其擁有者的姓名、工作單位、郵箱地址等捆綁在一起，由權(quán)威機構(gòu)CA負責(zé)認證、發(fā)放和管理把證書交給對方時就把自己的公鑰傳送給了對方，證書也可以存放在一個公開的地方，讓別人能夠方便地找到和下載PKI系統(tǒng)可以應(yīng)用于以下幾個方面：（1）虛擬專用網(wǎng)絡(luò)（VPN）企業(yè)在架構(gòu)VPN時通常會利用防火墻和訪問控制技術(shù)來提高VPN的安全性。（2）安全電子郵件可以通過基于PKI的加密和簽名技術(shù)來實現(xiàn)電子郵件的安全。（3）Web安全可以通過PKI認證系統(tǒng)構(gòu)建SSL通道，實現(xiàn)網(wǎng)頁的HTTPS協(xié)議的訪問，以保證其安全性。5.2.3PKI的信任模型PKI信任模型就是用來描述PKI體系在分布式網(wǎng)絡(luò)環(huán)境下如何進行信任傳遞和信任管理的模型。主要解決以下三個問題：（1）一個實體能夠信任的證書是怎樣確定的?（2）這種信任是怎樣建立的?（3）在什么情形下能夠限制或控制這種信任?5.2.3PKI的信任模型圖5-6單一CA信任模型圖5-7嚴格層次結(jié)構(gòu)信任模型圖5-8網(wǎng)狀信任模型圖5-9橋式信任模型5.2.3PKI的信任模型在同一信任域內(nèi)采用嚴格層次結(jié)構(gòu)信任模型是最好的，而在信任域間的認證和中等規(guī)模環(huán)境下則網(wǎng)狀信任模型比較實用，在非常大的模式下橋CA信任模型為最佳的選擇，但是如果采用橋CA信任模型的話，需要有一個與所有域都交叉認證的橋CA，這個橋CA的選取要得到大家的認可，要有一個大家都信任的第三方來承擔(dān)圖5-10Web信任模型圖5-11以用戶為中心的信任模型5.3數(shù)字證書的管理5.3.1數(shù)字證書的基本概念1．?dāng)?shù)字證書的定義數(shù)字證書是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。證書就是一份文檔，記錄了用戶的公開密鑰和其他身份信息。數(shù)字證書是由CA認證中心頒發(fā)的、包含了公開密鑰持有者信息以及公開密鑰的文件。身份證項目數(shù)字證書項目姓名主體名身份證號序列號起始日期相同終止日期相同簽發(fā)者發(fā)證機構(gòu)照片公鑰簽章數(shù)字簽名2．?dāng)?shù)字證書的功能

數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。數(shù)字證書主要有以下主要功能：（1）文件加密（2）數(shù)字簽名（3）身份認證3．?dāng)?shù)字證書的內(nèi)容（1）版本號：標示證書的版本（v1，v2，或是v3）。（2）序列號：由證書頒發(fā)者分配的本證書的唯一標識符。（3）簽名算法：用于說明本證書所用的數(shù)字簽名算法，例如SHA-1和RSA。（4）頒發(fā)者：證書頒發(fā)者的可識別名，這是必須說明的。（5）有效期：證書有效的時間段。（6）主體：證書擁有者的可識別名稱。（7）主體公鑰信息：主體的公鑰以及算法標識符，這是必須說明的。（8）頒發(fā)者唯一標識符：僅在版本2和版本3中要求，屬于可選項。（9）主體唯一標識符：僅在版本2和版本3中要求，屬于可選項。（10）擴展：可選的標準和專用擴展，僅在版本3中使用。圖5-12X.509數(shù)字證書的格式

圖5-13Windows中的證書4．?dāng)?shù)字證書的類型5.3.2認證機構(gòu)CA1．認證中心CA的概念認證機構(gòu)CA（CertificateAuthority）采用PKI公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認證服務(wù)，負責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機構(gòu)，它的作用就像我們現(xiàn)實生活中頒發(fā)證件的公司，如護照辦理機構(gòu)。2．CA系統(tǒng)的組成一個典型的CA系統(tǒng)包括：安全服務(wù)器注冊機構(gòu)RACA服務(wù)器LDAP目錄服務(wù)器數(shù)據(jù)庫服務(wù)器等圖5-16典型CA框架模型3．認證中心CA的功能（1）證書申請：接收證書申請者的申請并驗證身份；（2）證書審批和發(fā)放：產(chǎn)生證書申請的審批，確定是否給申請者發(fā)放證書，若同意則發(fā)放公鑰證書，反之，拒絕發(fā)放；（3）證書更新：接收并處理申請者的證書更新請求；（4）接收并處理合法身份者的證書查詢和撤消申請；（5）產(chǎn)生并管理證書廢止列表CRL；（6）將各用戶的數(shù)字證書歸檔；（7）產(chǎn)生并管理密鑰，包括密鑰備份及恢復(fù)；（8）將用戶的歷史數(shù)據(jù)歸檔。5.3.3數(shù)字證書的管理過程1．證書的生成2．證書的頒發(fā)3．?dāng)?shù)字證書的使用4．?dāng)?shù)字證書的驗證5．?dāng)?shù)字證書的存放圖5-18數(shù)字證書的應(yīng)用圖5.4PKI的應(yīng)用現(xiàn)狀5.4.1PKI的應(yīng)用領(lǐng)域1.電子商務(wù)在雙方身份被互相確認后，建立起安全通道，并進行討價還價，之后向商場提交訂單。2.電子政務(wù)PKI在其中的應(yīng)用主要是解決身份認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可抵賴性等問題。3.網(wǎng)上銀行網(wǎng)上銀行主要通過SSL協(xié)議保障身份認證、加密通信、不可否認等安全需求。4．網(wǎng)上證券通過數(shù)字簽名和認證實現(xiàn)網(wǎng)上證券信息服務(wù)、網(wǎng)上股票交易和網(wǎng)上銀證轉(zhuǎn)賬等。5.4.2PKI國內(nèi)外的發(fā)展1．國外PKI的發(fā)展美國是最早提出PKI概念的國家，并于1996年成立了美國聯(lián)邦PKI籌委會加拿大在1993就已經(jīng)開始了政府PKI體系雛形的研究工作歐洲在PKI基礎(chǔ)建設(shè)方面也成績顯著在亞洲，韓國是最早開發(fā)PKI體系的國家2．我國PKI的發(fā)展1998年，國內(nèi)第一家以實體形式運營的上海CA中心（SHECA）成立2001年11月，上海CA組織京津滬等地的CA成立了協(xié)卡體系2003年是PKI技術(shù)全面走向規(guī)范化和標準化的一年從目前情況看，CA的概念已經(jīng)深入到電子商務(wù)的各個層面存在一些問題：（1）我國CA業(yè)建設(shè)“群雄并立”（2）CA認證中心的技術(shù)基礎(chǔ)差（3）CA認證中心責(zé)任、義務(wù)不清5.4.3我國典型的認證中心行業(yè)CA認證機構(gòu)有：（1）中國金融認證中心（CFCA）（2）中國電信認證中心（CTCA）（3）中國電子郵政安全證書管理中心（CPCA）（4）泰康認證中心地方政府建立的CA認證機構(gòu)主要有：（5）南方認證中心（NFCA）（6）上海市電子商務(wù)安全認證中心（SHECA）（7）廣東省電子商務(wù)認證中心（CNCA）企業(yè)CA認證機構(gòu)有：（8）天威誠信安全身份認證服務(wù)中心（iTruschina）（9）吉大正元認證中心（JITChinas）（10）國福安（GFAPKI）本章小結(jié)PKI采用證書進行公鑰管理，通過第三方的可信任機構(gòu)，把用戶的公鑰和用戶的其他標識信息捆綁