第四章 电子商务的安全认证体系第四章 电子商务的安全认证体系本章主要内容本章主要内容

4.14.1 身份认证与认证体系身份认证与认证体系 4.24.2 身份认证协议身份认证协议 4.34.3 数字证书与认证机构数字证书与认证机构 4.4 4.4 安全认证体系及其实施标准安全认证体系及其实施标准

本章要点本章要点 身份认证的几个重要的基本概念：认证、授权、审计身份认证的几个重要的基本概念：认证、授权、审计 身份认证的分类以及体系身份认证的分类以及体系 身份认证的常用协议身份认证的常用协议 数字证书的基本概念、功能、认证机构数字证书的基本概念、功能、认证机构 PKIPKI 的体系结构、特性、功能的体系结构、特性、功能

§ 4.1 § 4.1 身份认证与认证体系身份认证与认证体系

本节的主要内容本节的主要内容

• 身份认证的概念身份认证的概念

• 身份认证的分类身份认证的分类

• 身份认证体系身份认证体系

现代密码的两个重要的分支

• 加密加密

防止对方获得机密信息防止对方获得机密信息

• 认证认证

认证是为了防止敌方的主动攻击，包括验证信息真伪及防止信息在通信认证是为了防止敌方的主动攻击，包括验证信息真伪及防止信息在通信

过程中被篡改、删除、插入、伪造、延迟及重放等。过程中被篡改、删除、插入、伪造、延迟及重放等。

认证主要包括三个方面：消息认证、身份认证和数字签名。认证主要包括三个方面：消息认证、身份认证和数字签名。

• 消息认证是信息的合法接收者对消息的真伪进行判定的技术。消息消息认证是信息的合法接收者对消息的真伪进行判定的技术。消息

认证的内容包括： 认证的内容包括： 

              ①信息的来源 

    ②信息的完整性 

③信息的序号和时间 

• 主要采用数字签名技术和身份识别技术 .数字签名技术可以识别消息

的真伪 ,而身份识别技术则可证实发送人的身份 . 

 

消息认证的方法 消息认证的方法

• 信息的来源信息的来源   消息认证常用的方法有两种：消息认证常用的方法有两种：

• 一种方法是通信双方事先约定发送消息的数据加密密钥，接收者只需证实发一种方法是通信双方事先约定发送消息的数据加密密钥，接收者只需证实发

送来的消息是否能用该密钥还原成明文就能鉴定发送者。如果双方使用同一送来的消息是否能用该密钥还原成明文就能鉴定发送者。如果双方使用同一

个数据加密密钥，那么只需在消息中嵌入发送者的识别符即可。个数据加密密钥，那么只需在消息中嵌入发送者的识别符即可。

• 另一种方法是通信双方事先约定各自发送消息所使用的通行字，发送消息中另一种方法是通信双方事先约定各自发送消息所使用的通行字，发送消息中

含有此通行字并进行加密，接收者只需判别消息中解密的通行字是否等于约含有此通行字并进行加密，接收者只需判别消息中解密的通行字是否等于约

定的通行字就能鉴定发送者。为了安全起见，通行字应该是可变的。 定的通行字就能鉴定发送者。为了安全起见，通行字应该是可变的。 

• 信息的完整性 信息的完整性  信息的完整性认证方法的基本途径有两条：信息的完整性认证方法的基本途径有两条：

• 采用消息认证码（采用消息认证码（ Message Authentication Code, MACMessage Authentication Code, MAC ）。）。 MACMAC法利用函法利用函

数数 f(x)( f(x)f(x)( f(x)必须满足一定的条件）和密钥必须满足一定的条件）和密钥 kk将要发送的明文将要发送的明文 xx或密文或密文 yy变换变换

成成 rr比特的消息认证码比特的消息认证码 f(x,k) f(x,k) 或称其为认证符附加在或称其为认证符附加在 xx或或 yy之后发出，通常之后发出，通常

将将 ff选为带密钥的选为带密钥的 HashHash函数函数 ((与加密函数的区别在于与加密函数的区别在于 ,,其函数输出不需要可其函数输出不需要可

逆逆 ))。。

•      采用篡改检测码（采用篡改检测码（ manipulation detection code ,MDCmanipulation detection code ,MDC ）。）。 MDCMDC法利用法利用

函数函数 f(x)( f(x)f(x)( f(x)必须满足一定的条件）将要发送的明文必须满足一定的条件）将要发送的明文 xx变换成变换成 rr比特的篡改比特的篡改

检测码检测码 ff（（ xx）附加在）附加在 xx之后一起加密；当然，也可以只对篡改检测码之后一起加密；当然，也可以只对篡改检测码 ff

（（ xx）加密。通常将）加密。通常将 ff选为不带密钥的选为不带密钥的 HashHash函数。 函数。 

• 信息的序号和时间 信息的序号和时间 

消息的序号和时间性的认证主要是阻止消息的重放攻击。常用的方法有：消息的序号和时间性的认证主要是阻止消息的重放攻击。常用的方法有：

消息的流水作业号、随机数认证法和时间戳等。消息的流水作业号、随机数认证法和时间戳等。 

消息认证的模式消息认证的模式• 单向验证：在单向验证：在 AA 和和 BB之间建立的单向通信．之间建立的单向通信． BB确认确认 AA 的身份和的身份和 AA 发发

送消息的完整性．送消息的完整性． 

• 身份认证又成为身份识别，它在数字签名和身份鉴别技术的一个重身份认证又成为身份识别，它在数字签名和身份鉴别技术的一个重

要的应用领域。要的应用领域。

• 身份认证的作用就是对资源使用者即用户的身份进行鉴别。能够保身份认证的作用就是对资源使用者即用户的身份进行鉴别。能够保

护网络中的数据和服务不会被未授权的用户访问；能够保障有足够护网络中的数据和服务不会被未授权的用户访问；能够保障有足够

的信息进行双方身份的确认。的信息进行双方身份的确认。

认证函数认证函数• 可用来做认证的函数分为三类：可用来做认证的函数分为三类：

(1) (1) 信息加密函数信息加密函数 (Message encryption)(Message encryption)• 用完整信息的密文作为对信息的认证。用完整信息的密文作为对信息的认证。

(2) 信息认证码信息认证码 MAC(MessageMAC(Message Authentication Code)• 是对信源消息的一个编码函数。是对信源消息的一个编码函数。

(3) 散列函数散列函数 (Hash Function)• 是一个公开的函数，它将任意长的信息映射成一个固定长度是一个公开的函数，它将任意长的信息映射成一个固定长度的信息。的信息。

加密方法的基本用法加密方法的基本用法

MACMAC 的基本用法的基本用法

散列函数的基本用法散列函数的基本用法

4.1.1 4.1.1 身份认证的概念身份认证的概念

身份认证的定义身份认证的定义

• 证实客户的真实身份与其所声称的身份是否相符的过程证实客户的真实身份与其所声称的身份是否相符的过程 ..

• 身份认证一般是通过对被认证对象（人或事）的一个或多个参数进身份认证一般是通过对被认证对象（人或事）的一个或多个参数进

行验证，从而确定被认证对象是否名实相符或有效。行验证，从而确定被认证对象是否名实相符或有效。

• 这要求要验证的参数与被认证对象之间应存在严格的对应关系，最这要求要验证的参数与被认证对象之间应存在严格的对应关系，最

好是唯一对应的。好是唯一对应的。

身份认证是安全系统中的第一道关卡，如图身份认证是安全系统中的第一道关卡，如图 4-14-1 所示所示

身份认证包括几个重要概念身份认证包括几个重要概念• 认证（认证（ AuthenticationAuthentication ）：在进行任何操作之前必须有有效的方法来）：在进行任何操作之前必须有有效的方法来

识别操作执行者的真实身份。认证又称为鉴别、确认。身份认证主识别操作执行者的真实身份。认证又称为鉴别、确认。身份认证主

要是通过表示和鉴别用户的身份，防止攻击者假冒合法用户获取访要是通过表示和鉴别用户的身份，防止攻击者假冒合法用户获取访

问权限。问权限。• 授权（授权（ AuthorizationAuthorization ）：授权是指当用户身份被确认合法后（即通）：授权是指当用户身份被确认合法后（即通

过认证），赋予该用户操作文件和数据等的权限。赋予的权限包括过认证），赋予该用户操作文件和数据等的权限。赋予的权限包括

读、写、执行及从属权。读、写、执行及从属权。• 审计（审计（ AuditingAuditing ）：每一个人都应该为自己所作的操作负责，所以）：每一个人都应该为自己所作的操作负责，所以

在事情完成后都应该有记录，以便核查责任。在事情完成后都应该有记录，以便核查责任。

用户对资源的访问过程用户对资源的访问过程

4.1.2 4.1.2 身份认证的分类身份认证的分类

根据个人信息的不同根据个人信息的不同

• 基于个人生物特征的身份认证基于个人生物特征的身份认证

• 基于个人拥有物的身份认证基于个人拥有物的身份认证

• 基于个人身份标识码的身份认证基于个人身份标识码的身份认证

基于个人生物特征的身份认证基于个人生物特征的身份认证• 对用户固有的某些特征进行测量，如指纹、声音或签字。对用户固有的某些特征进行测量，如指纹、声音或签字。

优点： 优点： 

• 绝对无法仿冒的使用者认证技术。绝对无法仿冒的使用者认证技术。  

缺点： 缺点： 

• 较昂贵。 较昂贵。 

• 不够稳定不够稳定 ((辩识失败率高辩识失败率高 ))。。

基于个人拥有物的身份认证基于个人拥有物的身份认证

• 个人拥有物可以是身份证、护照、军官证、驾驶证、图章、个人拥有物可以是身份证、护照、军官证、驾驶证、图章、 ICIC 卡或卡或

其他有效证件。身份证是目前我国应用最广发的身份识别证件，每其他有效证件。身份证是目前我国应用最广发的身份识别证件，每

个人唯一对应一个数字。当然其他的证件也在不同行业和部门起着个人唯一对应一个数字。当然其他的证件也在不同行业和部门起着

身份识别的作用。身份识别的作用。

基于个人身份标识码的身份认证基于个人身份标识码的身份认证

• 个人身份标识码可以是注册的口令、账号、身份证号码或移动电话个人身份标识码可以是注册的口令、账号、身份证号码或移动电话

号码等。一般来说，某人的身份可以用用户帐号加上口令进行识别。号码等。一般来说，某人的身份可以用用户帐号加上口令进行识别。

用户账号代表计算机网络信息系统中某人的身份，口令则是用来验用户账号代表计算机网络信息系统中某人的身份，口令则是用来验

证是否真的是计算机网络系统所允许的用户。  证是否真的是计算机网络系统所允许的用户。  

4.1.3 4.1.3 身份认证体系身份认证体系

现已普遍采用国际上提出了基于现已普遍采用国际上提出了基于 PKIPKI 的数字证书的解决方案，的数字证书的解决方案，电子商务中的安全措施的实现都是围绕数字证书展开。电子商务中的安全措施的实现都是围绕数字证书展开。

• 数字证书数字证书

• 电子商务认证中心电子商务认证中心 CACA

数字证书数字证书

• 数字证书就是在互联网通讯中标志通讯各方身份信息的一系列数据，数字证书就是在互联网通讯中标志通讯各方身份信息的一系列数据，

提供了一种在提供了一种在 InternetInternet 上验证用户身份的方式，其作用类似于司机上验证用户身份的方式，其作用类似于司机

的驾驶执照或日常生活中的身份证。的驾驶执照或日常生活中的身份证。

• 数字证书与传输密钥和签名密钥对的产生相对应。数字证书与传输密钥和签名密钥对的产生相对应。

• 对每一个公钥做一张数字证书，私钥用最安全的方式交给用户或用对每一个公钥做一张数字证书，私钥用最安全的方式交给用户或用户自己生产密钥对。户自己生产密钥对。

• 数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名及用户的其他一些身份认证的有用信息。及用户的其他一些身份认证的有用信息。

• 公钥的拥有者是身份的象征。对方可以据此验证身份。对于密钥的公钥的拥有者是身份的象征。对方可以据此验证身份。对于密钥的丢失情况、则采用恢复密钥、密切托管等方法。另外对于证书的有丢失情况、则采用恢复密钥、密切托管等方法。另外对于证书的有效期在政策上加以规定、已过期的证书应重新签发，对于私钥丢失效期在政策上加以规定、已过期的证书应重新签发，对于私钥丢失或被非法使用应废止。或被非法使用应废止。

电子商务认证中心电子商务认证中心 CACA （（ Certificate AuthorityCertificate Authority ））• 认证中心是公正的第三方，它为建立身份认证过程的权威性框架奠认证中心是公正的第三方，它为建立身份认证过程的权威性框架奠定了基础，为交易的参与方提供了安全保障。它为网上交易构筑了定了基础，为交易的参与方提供了安全保障。它为网上交易构筑了一个互相信任的环境，解决了网上身份认证、公钥分发及信息安全一个互相信任的环境，解决了网上身份认证、公钥分发及信息安全等一系列问题。等一系列问题。

• 由此可见，认证中心是保证电子商务安全的关键。由此可见，认证中心是保证电子商务安全的关键。• 认证中心对含有公钥的证书进行数字签名，使证书无法伪造。每个认证中心对含有公钥的证书进行数字签名，使证书无法伪造。每个用户可以获得认证中心的公开密钥（认证中心根证书），验证任何用户可以获得认证中心的公开密钥（认证中心根证书），验证任何一张数字证书的数字签名，从而确定证书是否是认证中心签发、数一张数字证书的数字签名，从而确定证书是否是认证中心签发、数字证书是否合法。字证书是否合法。

§ 4.2 § 4.2 身份认证协议身份认证协议

本节的主要内容本节的主要内容

• 身份认证协议概述身份认证协议概述

• 一次一密机制一次一密机制

• X.509X.509认证协议认证协议

• KerberosKerberos 认证协议认证协议

4.1.3 4.1.3 身份认证协议概述身份认证协议概述

认证协议概念认证协议概念

• 认证协议用来对被验证方（通常是指客户端系统）和验证方（服务认证协议用来对被验证方（通常是指客户端系统）和验证方（服务

器系统）之间的与验证有关的数据通信进行管理。认证协议一般都器系统）之间的与验证有关的数据通信进行管理。认证协议一般都

是建立在通信协议环境之上的，如网络层协议或应用层协议。是建立在通信协议环境之上的，如网络层协议或应用层协议。

• 从使用的角度来看，一个安全的身份识别协议至少应该满足以下两从使用的角度来看，一个安全的身份识别协议至少应该满足以下两

个条件：个条件： ①①识别者识别者 AA能向验证者能向验证者 BB证明他的确是证明他的确是 AA；；

②②在识别者在识别者 AA向验证者向验证者 BB证明他的身份后，验证者证明他的身份后，验证者 BB不能获得不能获得 AA的任的任

何有用信息，何有用信息， BB不能模仿不能模仿 AA向第三方证明他是向第三方证明他是 AA。。

认证协议的分类认证协议的分类

• 认证协议按照认证的方向认证协议按照认证的方向

双向认证协议双向认证协议

单向认证协议单向认证协议 ..

• 按照使用的密码技术按照使用的密码技术

基于对称密码的认证协议基于对称密码的认证协议

基于公钥密码的认证协议。基于公钥密码的认证协议。

• 双向认证协议是最常用的协议，它使得通信双方互相认证对方的身双向认证协议是最常用的协议，它使得通信双方互相认证对方的身

份。份。

• 单向认证协议是通信的一方认证另一方的身份，比如服务器在提供单向认证协议是通信的一方认证另一方的身份，比如服务器在提供

用户申请的服务之前，先要认证用户是否是这项服务的合法用户，用户申请的服务之前，先要认证用户是否是这项服务的合法用户，

但是不需要向用户证明自己的身份。但是不需要向用户证明自己的身份。

• 基于对称密钥的认证协议往往需要双方事先已经通过其他方式基于对称密钥的认证协议往往需要双方事先已经通过其他方式 (( 比如比如

电话、信函或传递等物理方法电话、信函或传递等物理方法 )) 拥有共同的密钥。拥有共同的密钥。

• 基于公钥的认证协议的双方一般需要知道对方的公钥。基于公钥的认证协议的双方一般需要知道对方的公钥。 

• 公钥的获得相对于对称密钥要简便，比如通过公钥的获得相对于对称密钥要简便，比如通过 CACA 获得对方的数字证获得对方的数字证书，这是基于公钥认证协议的优势。书，这是基于公钥认证协议的优势。

• 但是，公钥的缺点是加但是，公钥的缺点是加 //解密速度慢、代价大，所以认证协议的最后，解密速度慢、代价大，所以认证协议的最后，双方要协商出一个对称密钥作为下一步通信的会话密钥。双方要协商出一个对称密钥作为下一步通信的会话密钥。

• 产生会话密钥有助于增加系统的安全性。一旦会话密钥泄漏，则只产生会话密钥有助于增加系统的安全性。一旦会话密钥泄漏，则只会泄漏本次通信的内容，而不会带来更大的损失，而且通信者一旦会泄漏本次通信的内容，而不会带来更大的损失，而且通信者一旦发现会话密钥泄漏后，就可以用原有的密钥协商出新的会话密钥，发现会话密钥泄漏后，就可以用原有的密钥协商出新的会话密钥，重新开始新的会话。所以，无论是基于公钥还是基于对称密钥的认重新开始新的会话。所以，无论是基于公钥还是基于对称密钥的认证协议，都要经常产生对称会话密钥。证协议，都要经常产生对称会话密钥。

(1)(1) 基于对称密码的双向认证协议基于对称密码的双向认证协议• Needham/SchroederNeedham/Schroeder 是一个基于对称加密算法的协议，它要求有可是一个基于对称加密算法的协议，它要求有可信任的第三方信任的第三方 KDCKDC 参与，采用参与，采用 challenge/Responsechallenge/Response 的方式，使得的方式，使得 AA 、、BB互相认证对方的身份。协议过程是互相认证对方的身份。协议过程是 ::

①①A→KDCA→KDC：： IDA || IDB || N1IDA || IDB || N1；；

②②KDC→AKDC→A：： EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ]EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ] ；；

③③A→BA→B：： EKb [ Ks || IDA ]EKb [ Ks || IDA ] ；；

④④B→AB→A：： EKs [ N2 ]EKs [ N2 ]；；

⑤⑤A→BA→B：： EKs [ EKs [ f(N2)f(N2) ] ]。。

• 这个协议仍然有漏洞。假定攻击方这个协议仍然有漏洞。假定攻击方 CC 已经掌握已经掌握 AA 和和 BB之间通信的一之间通信的一

个老的会话密钥，个老的会话密钥， CC 可以在第可以在第 (3)(3) 步冒充步冒充 AA ，利用老的会话密钥欺，利用老的会话密钥欺

骗骗 BB。除非。除非 BB记住所有以前使用的与记住所有以前使用的与 AA 通信的会话密钥，否则通信的会话密钥，否则 BB无无

法判断这是一个重放攻击。然后，如果法判断这是一个重放攻击。然后，如果 CC 可以中途阻止第可以中途阻止第 (4)(4) 步的握步的握

手信息则可以冒充手信息则可以冒充 AA 在第在第 (5)(5) 步响应。从这一点起步响应。从这一点起 CC 就可以向就可以向 BB发发

送伪造的消息，而送伪造的消息，而 BB认为是在与认为是在与 AA 进行正常的通信。进行正常的通信。 

DenningDenning 结合了时间戳的方法，进行了改进：结合了时间戳的方法，进行了改进：

• (1)A→KDC(1)A→KDC ：： IDA || IDB;IDA || IDB;

• (2)KDC→A(2)KDC→A ：： EKa [Ks || IDB || T || EKb [ Ks || IDA || T ] ]EKa [Ks || IDB || T || EKb [ Ks || IDA || T ] ] ；；

• (3)A→B(3)A→B ：： EKb [ Ks || IDA || T ]EKb [ Ks || IDA || T ] ；；

• (4)B→A(4)B→A ：： EKs [ N1 ]EKs [ N1 ] ；；

• (5)A→B(5)A→B ：： EKs [ f(N1) ]EKs [ f(N1) ] 。。

• | Clock –T | < t1 + t2△ △| Clock –T | < t1 + t2△ △

• Denning Protocol Denning Protocol 比比 Needham/Schroeder ProtocolNeedham/Schroeder Protocol 在安全性方面增在安全性方面增

强了一步。然而，又提出新的问题：即必须依靠时钟同步。强了一步。然而，又提出新的问题：即必须依靠时钟同步。

• 如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃如果发送者的时钟比接收者的时钟要快，攻击者就可以从发送者窃

听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。听消息，并在以后当时间戳对接收者来说成为当前时重放给接收者。

这种重放将会得到意想不到的后果。（称为抑制重放攻击）。这种重放将会得到意想不到的后果。（称为抑制重放攻击）。

• 一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否一种克服抑制重放攻击的方法是强制各方定期检查自己的时钟是否

与与 KDCKDC 的时钟同步。的时钟同步。

• 另一种避免同步开销的方法是采用临时数握手协议。另一种避免同步开销的方法是采用临时数握手协议。

Kehn92 协议

• 如果如果 AA 要再次访问要再次访问 BB，可以不再通过，可以不再通过 KDCKDC A → BA → B：： EKb[IDA || Ks || Tb] || Na’EKb[IDA || Ks || Tb] || Na’ BB检查检查 ticketticket是否在有效时间，若是，则是否在有效时间，若是，则

B → AB → A：： NbNb||EKs[Na||EKs[Na]] A → BA → B：： EKs[Nb’]EKs[Nb’]

(2) (2) 基于公钥密码的双向认证协议基于公钥密码的双向认证协议• 使用公钥密码算法，可以克服基于对称密码的认证协议中的一些使用公钥密码算法，可以克服基于对称密码的认证协议中的一些

问题。但同样需要有可信的第三方参与，现以问题。但同样需要有可信的第三方参与，现以WOO92bWOO92b 协议为例协议为例来说明：来说明：①① A→KDCA→KDC：： IDA || IDB;IDA || IDB;

②② KDC→AKDC→A：： EKRauth [ IDB || KUb ]EKRauth [ IDB || KUb ] ；；③③ A→BA→B：： EKUb [ Na || IDA ]EKUb [ Na || IDA ] ；；④④ B→KDCB→KDC：： IDB || IDA || EKUauth [ Na ]IDB || IDA || EKUauth [ Na ] ；；⑤⑤ KDC→BKDC→B：： EKRauth [ IDA || KUa ] || EKUb [ EKRauth [ Na || Ks || IDEKRauth [ IDA || KUa ] || EKUb [ EKRauth [ Na || Ks || ID

A || IDB ];A || IDB ];

⑥⑥ B→AB→A：： EKUa [ EKRauth [ Na || Ks || IDA || IDB ] || Nb ]EKUa [ EKRauth [ Na || Ks || IDA || IDB ] || Nb ] ；；⑦⑦ A→BA→B：： EKs [Nb ]EKs [Nb ]。。

(3) (3) 单向认证协议单向认证协议

• 单向认证协议中只有一方向另一方证明自己的身份，因此过程一般单向认证协议中只有一方向另一方证明自己的身份，因此过程一般

都相对简单。下面是一个不需要第三方的基于对称密码的单向认证都相对简单。下面是一个不需要第三方的基于对称密码的单向认证

协议，要求协议，要求 AA 和和 BB事先拥有共享密钥。事先拥有共享密钥。

①①A→BA→B：： IDA || N1IDA || N1；；

②②B→AB→A：： EKab [ Ks || IDB || f(N1) || N2 ]EKab [ Ks || IDB || f(N1) || N2 ] ；；

③③A→BA→B：： EKs [ f(N2) ]EKs [ f(N2) ] ，即，即 f(x)=x+f(x)=x+11。。

下述方案要求通信双方都事先与第三方有共享密钥。下述方案要求通信双方都事先与第三方有共享密钥。

①① A→BA→B：： IDA || IDB || N1IDA || IDB || N1 ；；

②② KDC→AKDC→A ：： EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ]EKa [Ks || IDB || N1 || EKb [ Ks || IDA ] ] ；；

③③ A→BA→B：： EKb [ Ks || EKb [ Ks || IDA IDA ]] || EKs[ || EKs[ M M ]] ；；

基于公钥密码的单向身份认证协议可以非常简单，例如如下基于公钥密码的单向身份认证协议可以非常简单，例如如下方案：方案：

• A→BA→B：： EKUb [ Ks ] || EKs[ M || EKRa[ H(M) ] ]EKUb [ Ks ] || EKs[ M || EKRa[ H(M) ] ] ；；

• 这种方案要求这种方案要求 AA 和和 BB互相知道对方的公钥。首先，互相知道对方的公钥。首先， AA 用用 BB的公钥加的公钥加

密一个会话密钥，然后密一个会话密钥，然后 AA 用会话密钥加密数据和用自己私钥签名的用会话密钥加密数据和用自己私钥签名的

消息摘要，消息摘要， AA 将这些内容一起发送给将这些内容一起发送给 BB。。 BB收到后，首先用自己的收到后，首先用自己的

私钥解密出会话密钥，然后解密消息和私钥解密出会话密钥，然后解密消息和 AA 的签名，最后计算出消息的签名，最后计算出消息

摘要以验证摘要以验证 AA 的签名，从而确定的签名，从而确定 AA 的身份。的身份。

在实际应用中的具体协议有：在实际应用中的具体协议有：• 一次一密机制一次一密机制

• X.509X.509 认证协议认证协议

• KerberosKerberos 认证协议认证协议

• PPPPPP 口令认证协议口令认证协议

• PPPPPP 质询质询 -- 握手协议握手协议

• TACACS+TACACS+ 协议协议

• RADIUSRADIUS 协议等。协议等。

一次一密机制一次一密机制

一次一密机制一次一密机制• 满足以下条件的密码才是真正的一次一密：满足以下条件的密码才是真正的一次一密：

密钥是随机产生的，并且必须是真随机数，而不是伪随机数；密钥是随机产生的，并且必须是真随机数，而不是伪随机数； 密钥不能重复使用；密钥不能重复使用； 密钥的有效长度不小于密文的长度。密钥的有效长度不小于密文的长度。

• 一次一密机制主要包括两种实现方式一次一密机制主要包括两种实现方式 ::

  采用请求应答机制采用请求应答机制 : : 用户登录时，系统随机提示一条信息，用户根据用户登录时，系统随机提示一条信息，用户根据一信息产生一个口令，完成一次登录．一信息产生一个口令，完成一次登录．

询问应答方式询问应答方式 ::验证者提出问题，由识别者回答，然后由验证者验证其验证者提出问题，由识别者回答，然后由验证者验证其真伪。  真伪。  

X.509X.509 认证协议认证协议

X.509X.509 认证协议认证协议• X.509 X.509 是一个认证证书的管理标准，是定义目录业务的是一个认证证书的管理标准，是定义目录业务的 X.500X.500 系列系列一个组成部分。由国际电信同盟一个组成部分。由国际电信同盟 ITUITU （（ International TelecommunicInternational Telecommunications Unionations Union ）的）的 ITU - T Study Group 17 ITU - T Study Group 17 小组负责制定和维护。小组负责制定和维护。

• X.509X.509 定义了定义了 X.500X.500 目录向用户提供认证业务的一个框架，目录的作目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。用是存放用户的公钥证书。

• X.509X.509 还定义了基于公钥证书的认证协议。还定义了基于公钥证书的认证协议。• 因为因为 X.509X.509 中定义的证书结构和认证协议已经被广泛应用于中定义的证书结构和认证协议已经被广泛应用于 S/MIMS/MIM

EE、、 IPSecIPSec 、、 SSL/TLSSSL/TLS 以及以及 SETSET等诸多应用过程，所以等诸多应用过程，所以 X.509X.509 已经已经成为一个重要的标准成为一个重要的标准

• X.509X.509 给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。

• 一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。都可利用的公共密钥。

• 用户可用常规密钥（如用户可用常规密钥（如 DESDES ）为信息加密，然后再用接收者的公共）为信息加密，然后再用接收者的公共密钥对密钥对 DESDES 进行加密并将之附于信息之上，这样接收者可用对应的进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开专用密钥打开 DESDES 密锁，并对信息解密。密锁，并对信息解密。

• 该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款项中获得相应的公开密钥，用于各种安全服务。项中获得相应的公开密钥，用于各种安全服务。

一个标准的一个标准的 X.509X.509 数字证书包含以下一些内容：数字证书包含以下一些内容：• 证书的版本信息；证书的版本信息；• 证书的序列号，每个证书都有一个唯一的证书序列号；证书的序列号，每个证书都有一个唯一的证书序列号；• 证书所使用的签名算法；证书所使用的签名算法；• 证书的发行机构名称，命名规则一般采用证书的发行机构名称，命名规则一般采用 X.500X.500 格式；格式；• 证书的有效期，现在通用的证书一般采用证书的有效期，现在通用的证书一般采用 UTCUTC 时间格式，它的计时时间格式，它的计时范围为范围为 1950-2049;  1950-2049; 

• 证书所有人的名称，命名规则一般采用证书所有人的名称，命名规则一般采用 X.500X.500 格式；格式；• 证书所有人的公开密钥；证书所有人的公开密钥；• 证书发行者对证书的签名。证书发行者对证书的签名。

KerberosKerberos 认证协议认证协议

KerberosKerberos 认证协议认证协议

• KerberosKerberos 协议主要用于计算机网络的身份鉴别协议主要用于计算机网络的身份鉴别 (Authentication), (Authentication), 其其

特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票

据据 (ticket-granting ticket)(ticket-granting ticket) 访问多个服务，即访问多个服务，即 SSO(Single Sign On)SSO(Single Sign On) 。。

由于在每个由于在每个 ClientClient 和和 ServiceService 之间建立了共享密钥，使得该协议具有之间建立了共享密钥，使得该协议具有

相当的安全性。相当的安全性。

KerberosKerberos 协议的前提条件：协议的前提条件： • ClientClient 与与 KDCKDC ， ，  KDCKDC 与与 Service Service 在协议工作前已经有了各自的共在协议工作前已经有了各自的共

享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制

了了 KerberosKerberos 协议往往用于一个组织的内部， 使其应用场景不同于协议往往用于一个组织的内部， 使其应用场景不同于

X.509 PKIX.509 PKI 。 。 

KerberosKerberos 协议分为两个部分：协议分为两个部分：• 1 . Client1 . Client 向向 KDCKDC 发送自己的身份信息，发送自己的身份信息， KDCKDC 从从 Ticket Granting STicket Granting S

erviceervice 得到得到 TGT(ticket-granting ticket)TGT(ticket-granting ticket) ， 并用协议开始前， 并用协议开始前 ClientClient 与与KDCKDC 之间的密钥将之间的密钥将 TGTTGT加密回复给加密回复给 ClientClient 。此时只有真正的。此时只有真正的 ClienClien

tt 才能利用它与才能利用它与 KDCKDC 之间的密钥将加密后的之间的密钥将加密后的 TGTTGT解密，从而获得解密，从而获得 TT

GTGT。（此过程避免了。（此过程避免了 ClientClient 直接向直接向 KDCKDC 发送密码，以求通过验证发送密码，以求通过验证的不安全方式）的不安全方式）

• 2. Client2. Client 利用之前获得的利用之前获得的 TGTTGT向向 KDCKDC 请求其他请求其他 ServiceService 的的 TicketTicket ，，从而通过其他从而通过其他 ServiceService 的身份鉴别。 的身份鉴别。  KerberosKerberos 协议的重点在于第二协议的重点在于第二部分，简介如下：部分，简介如下：

• 1.Client1.Client将之前获得将之前获得 TGTTGT和要请求的服务信息和要请求的服务信息 ((服务名等服务名等 ))发送给发送给 KDCKDC，，KDCKDC中的中的 Ticket Granting ServiceTicket Granting Service 将为将为 ClientClient和和 ServiceService之间生成一个之间生成一个 SesSes

sion Keysion Key用于用于 ServiceService对对 ClientClient的身份鉴别。然后的身份鉴别。然后 KDCKDC将这个将这个 Session KeySession Key

和用户名，用户地址（和用户名，用户地址（ IPIP），服务名，有效期），服务名，有效期 , , 时间戳一起包装成一个时间戳一起包装成一个 TiTi

cket(cket(这些信息最终用于这些信息最终用于 ServiceService对对 ClientClient的身份鉴别的身份鉴别 ))发送给发送给 ServiceService， ， 不过不过 KerberosKerberos协议并没有直接将协议并没有直接将 TicketTicket发送给发送给 ServiceService，而是通过，而是通过 ClientClient

转发给转发给 Service.Service.所以有了第二步。所以有了第二步。• 2.2.此时此时 KDCKDC将刚才的将刚才的 TicketTicket转发给转发给 ClientClient。由于这个。由于这个 TicketTicket是要给是要给 ServiServi

cece的，不能让的，不能让 ClientClient看到，所以看到，所以 KDCKDC用协议开始前用协议开始前 KDCKDC与与 ServiceService之间之间的密钥将的密钥将 TicketTicket加密后再发送给加密后再发送给 ClientClient。同时为了让。同时为了让 ClientClient和和 ServiceService之之间共享那个秘密间共享那个秘密 (KDC(KDC在第一步为它们创建的在第一步为它们创建的 Session Key)Session Key) ， ，  KDCKDC用用 CliCli

entent与它之间的密钥将与它之间的密钥将 Session KeySession Key 加密随加密的加密随加密的 TicketTicket一起返回给一起返回给 ClientClient。。

• 3.3.为了完成为了完成 TicketTicket 的传递，的传递， ClientClient 将刚才收到的将刚才收到的 TicketTicket 转发到转发到 ServServ

ice. ice. 由于由于 ClientClient 不知道不知道 KDCKDC 与与 ServiceService 之间的密钥，所以它无法算之间的密钥，所以它无法算改改 TicketTicket 中的信息。同时中的信息。同时 ClientClient 将收到的将收到的 Session KeySession Key 解密出来，然解密出来，然后将自己的用户名，用户地址（后将自己的用户名，用户地址（ IPIP ）打包成）打包成 AuthenticatorAuthenticator 用用 SessioSessio

n Keyn Key 加密也发送给加密也发送给 ServiceService 。。• 4.Service 4.Service 收到收到 TicketTicket 后利用它与后利用它与 KDCKDC 之间的密钥将之间的密钥将 TicketTicket 中的信中的信息解密出来，从而获得息解密出来，从而获得 Session KeySession Key 和用户名，用户地址（和用户名，用户地址（ IPIP ），），服务名，有效期。然后再用服务名，有效期。然后再用 Session KeySession Key 将将 AuthenticatorAuthenticator 解密从而解密从而获得用户名，用户地址（获得用户名，用户地址（ IPIP ）将其与之前）将其与之前 TicketTicket 中解密出来的用户中解密出来的用户名，用户地址（名，用户地址（ IPIP ）做比较从而验证）做比较从而验证 ClientClient 的身份。的身份。

• 5.5.如果如果 ServiceService 有返回结果，将其返回给有返回结果，将其返回给 ClientClient 。。

Kerberos Kerberos 协议建立在一些假定之上的，只有在满足这协议建立在一些假定之上的，只有在满足这些假定的环境中它才能正常运行些假定的环境中它才能正常运行

• （（ 11 ）不存在拒绝服务）不存在拒绝服务 (Denial of service)(Denial of service) 攻击。攻击。 Kerberos Kerberos

不能解决拒绝服务不能解决拒绝服务 (Denial of service)(Denial of service) 攻击，在该协议的很多攻击，在该协议的很多

环节中，攻击者都可以阻断正常的认证步骤。这类攻击只能环节中，攻击者都可以阻断正常的认证步骤。这类攻击只能

由管理员和用户来检测和解决。由管理员和用户来检测和解决。

• （（ 22 ）主体必须保证他们的私钥的安全。如果一个入侵者通）主体必须保证他们的私钥的安全。如果一个入侵者通

过某种方法窃取了主体的私钥，他就能冒充身份。过某种方法窃取了主体的私钥，他就能冒充身份。

• （（ 33 ）） Kerberos Kerberos 无法应付口令猜测无法应付口令猜测 (Password guessing)(Password guessing) 攻击。如果攻击。如果一个用户选择了弱口令，那么攻击都就有可能成功地用口令字典破一个用户选择了弱口令，那么攻击都就有可能成功地用口令字典破解掉，继而获得那些由源自于用户口令加密（由用户口令形成的加解掉，继而获得那些由源自于用户口令加密（由用户口令形成的加密链）的所有消息。密链）的所有消息。

• （（ 44 ）网络上每个主机的时钟必须是松散同步的（）网络上每个主机的时钟必须是松散同步的（ loosely synchroniloosely synchroni

zedzed ）。这种同步可以减少应用服务器进行重放攻击检测时所记录的）。这种同步可以减少应用服务器进行重放攻击检测时所记录的数据。松散程度可以以一个服务器为准进行配置。时钟同步协议必数据。松散程度可以以一个服务器为准进行配置。时钟同步协议必须保证自身的安全，才能保证时钟在网上同步。须保证自身的安全，才能保证时钟在网上同步。

• （（ 55 ）主体的标识不能频繁地循环使用。由于访问控制的典型模式）主体的标识不能频繁地循环使用。由于访问控制的典型模式是使用访问控制列表是使用访问控制列表 (ACLs)(ACLs) 来对主体进行授权。如果一个旧的来对主体进行授权。如果一个旧的 ACAC

L L 还保存着已被删除主体的入口，那么攻击者可以重新使用这些被还保存着已被删除主体的入口，那么攻击者可以重新使用这些被删除的用户标识，就会获得旧删除的用户标识，就会获得旧 ACL ACL 中所说明的访问权限。中所说明的访问权限。

KerberosKerberos 协议中共涉及三个服务器协议中共涉及三个服务器

• AS:AS:

• TGSTGS

• 应用服务器应用服务器

PPPPPP 口令认证协议口令认证协议

PAPPAP 身份认证的过程身份认证的过程

PAPPAP 认证过程用文字描述如下：认证过程用文字描述如下：• 被验证方发送用户名和口令到验证方，示例中是以客户（被验证方发送用户名和口令到验证方，示例中是以客户（ clientclient ）端）端

grfwgz02grfwgz02 向服务器（向服务器（ ServerServer ）端）端 grfwgz01grfwgz01 请求身份验证；请求身份验证；• 验证方验证方 grfwgz01grfwgz01 根据自己的网络用户配置信息查看是否有此用户己根据自己的网络用户配置信息查看是否有此用户己口令是否正确，然后返回不同的响应（口令是否正确，然后返回不同的响应（ Acknowledge or Not AcknowAcknowledge or Not Acknow

ledgeledge ）。）。• 如果正确，则会给对端发送如果正确，则会给对端发送 ACKACK （应答确认）报文，通告对端已被（应答确认）报文，通告对端已被允许进入下一阶段协商；否则发送允许进入下一阶段协商；否则发送 NCKNCK （不确认）报文，通知对方（不确认）报文，通知对方验证失败。但此时并不会直接将链路关闭，客户端还可以继续偿试验证失败。但此时并不会直接将链路关闭，客户端还可以继续偿试新的用户密码。只有当验证不通过次数达到一定值时，才会关闭链新的用户密码。只有当验证不通过次数达到一定值时，才会关闭链路，来防止因误传、网络干扰等造成不必要的路，来防止因误传、网络干扰等造成不必要的 LCPLCP 重新协商过程。重新协商过程。

PPPPPP 质询质询 -- 握手协议握手协议

CHAPCHAP 身份认证的过程身份认证的过程

CHAPCHAP 身份验证文字描述：身份验证文字描述： • 当客户端要求与验证服务器连接时，并不是像当客户端要求与验证服务器连接时，并不是像 PAPPAP 验证方式那样直验证方式那样直接由客户端输入密码，而首先由验证方接由客户端输入密码，而首先由验证方 grfwgz01grfwgz01 向被验证方向被验证方 grfwgzgrfwgz0202 发送一个作为身份认证请求的随机产生的报文，并同时将自己的发送一个作为身份认证请求的随机产生的报文，并同时将自己的主机名附带上一起发送给被验证方；主机名附带上一起发送给被验证方；

• 被验证方得到验证方的验证请求被验证方得到验证方的验证请求 (Challenge)(Challenge) 后，便根据此报文中验后，便根据此报文中验证方的主机名和自己的用户表查找对应用户帐户口令。如找到用户证方的主机名和自己的用户表查找对应用户帐户口令。如找到用户表中与验证方主机名相同的用户帐户，便利用接受到的随机报文和表中与验证方主机名相同的用户帐户，便利用接受到的随机报文和该用户的密匙，以该用户的密匙，以 Md5Md5 算法生成应答算法生成应答 (Response)(Response) ，随后将应答和自，随后将应答和自己的主机名发送给验证服务器；己的主机名发送给验证服务器；

• 验证方接到此应答后，再利用对方的用户名在自己的用户表中查找验证方接到此应答后，再利用对方的用户名在自己的用户表中查找自己系统中保留的口令字，找到后再用自己的保留口令字自己系统中保留的口令字，找到后再用自己的保留口令字 (( 密匙密匙 )) 和和随机报文，以随机报文，以 Md5Md5 算生成结果，与被验证方应答比较。验证成功验算生成结果，与被验证方应答比较。验证成功验证服务器会发送一条证服务器会发送一条 ACKACK 报文，否则会发送一条报文，否则会发送一条 NAKNAK 报文。报文。

TACACS+TACACS+ 协议协议

TACACS+TACACS+ 协议协议• Tacacs Tacacs ＋协议是在＋协议是在 TacacsTacacs 协议和协议和 XTacacsXTacacs 协议基础上设计与开发的协议基础上设计与开发的新一新一 TacacsTacacs 协议。它实现对路由器，网络访问服务器及其它网络计协议。它实现对路由器，网络访问服务器及其它网络计算设备的身份验证，权限验证和统计等访问控制。 算设备的身份验证，权限验证和统计等访问控制。 

• Tacacs+Tacacs+ 协议除了提供协议除了提供 RadiusRadius 认证协议提供的集中认证功能外，还认证协议提供的集中认证功能外，还能完成集中的授权功能。用户在网络设备上每执行一条命令，网络设能完成集中的授权功能。用户在网络设备上每执行一条命令，网络设备都将向指定的备都将向指定的 Tacacs+Tacacs+ 服务器发送命令授权请求，只有接收授权成服务器发送命令授权请求，只有接收授权成功的响应报文将执行用户输入的命令。功的响应报文将执行用户输入的命令。 Tacacs+Tacacs+ 服务器也可以在用户服务器也可以在用户成功登录网络设备后，将该用户可执行的命令集下发给网络设备，由成功登录网络设备后，将该用户可执行的命令集下发给网络设备，由网络设备自己来判断用户输入的命令是否在可执行的命令集中。网络设备自己来判断用户输入的命令是否在可执行的命令集中。 

RADIUSRADIUS 协议协议

RADIUSRADIUS 协议协议• RADIUSRADIUS 协议是一种提供在协议是一种提供在 NASNAS ）和共享认证服务器间传送认证、）和共享认证服务器间传送认证、授权和配置信息等服务的协议。授权和配置信息等服务的协议。  RADIUSRADIUS 是一种基于是一种基于 UDPUDP 协议的协议的超轻便协议。超轻便协议。 RADIUSRADIUS 服务器可以被放置在服务器可以被放置在 InternetInternet 网络的任何地网络的任何地方为客户方为客户 NASNAS 提供验证（包括提供验证（包括 PPP PAPPPP PAP ，， CHAPCHAP ，， MSCHAPMSCHAP 和和EAPEAP ）。另外，）。另外， RADIUSRADIUS 服务器可以提供代理服务将验证请求转发服务器可以提供代理服务将验证请求转发到远端的到远端的 RADIUSRADIUS 服务器。例如，服务器。例如， ISPISP 之间相互合作，通过使用之间相互合作，通过使用 RRADIUSADIUS 代理服务实现漫游用户在世界各地使用本地代理服务实现漫游用户在世界各地使用本地 ISPISP 提供的拨号提供的拨号服务连接服务连接 InternetInternet 和和 VPNVPN 。如果。如果 ISPISP 发现用户名不是本地注册用户，发现用户名不是本地注册用户，就会使用就会使用 RADIUSRADIUS 代理将接入请求转发给用户的注册网络。这样企代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下，有效的使用业在掌握授权权利的前提下，有效的使用 ISPISP 的网络基础设施，使的网络基础设施，使企业的网络费用开支实现最小化。 企业的网络费用开支实现最小化。 

零知识证明零知识证明 零知识证明零知识证明

• GoldwasserGoldwasser 等人在等人在 2020 世纪世纪 8080 年代初提出的。它指的是证明者能够年代初提出的。它指的是证明者能够

在不向验证者提供任何有用的信息的情况下，使验证者相信某个论在不向验证者提供任何有用的信息的情况下，使验证者相信某个论

断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，断是正确的。零知识证明实质上是一种涉及两方或更多方的协议，

即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验

证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向

验证者泄漏任何关于被证明消息的信息。验证者泄漏任何关于被证明消息的信息。

§ 4.3 § 4.3 数字证书与认证机构数字证书与认证机构

本节的主要内容本节的主要内容• 什么是数字证书什么是数字证书

• 为什么要用数字证书为什么要用数字证书

• 数字证书的安全机理数字证书的安全机理

• 数字证书的认证机构数字证书的认证机构

• 如何使用数字证书如何使用数字证书

• 获得及安装免费数字证书获得及安装免费数字证书

4.3.14.3.1 什么是数字证书什么是数字证书 ??

数字证书数字证书• 称为数字标识 （称为数字标识 （ Digital Certificate Digital Certificate ，， Digital IDDigital ID ）。它提供了一种）。它提供了一种在 在  Internet Internet 上身份验证的方式，是用来标志和证明网络通信双方身上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。数字份的数字信息文件，与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即证书它是由一个由权威机构即 CACA 机构，又称为证书授权（机构，又称为证书授权（ CertificCertific

ate Authorityate Authority ）中心发行的，人们可以在交往中用它来识别对方的）中心发行的，人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时，交易双方需要使用数字证书来身份。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关交易操作。通俗地讲，表明自己的身份，并使用数字证书来进行有关交易操作。通俗地讲，数字证书就是个人或单位在 数字证书就是个人或单位在  InternetInternet 上的身份证。 上的身份证。 

• 比较专业的数字证书定义是，数字证书是一个经证书授比较专业的数字证书定义是，数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。证书的序列号等信息，证书的格式遵循相关国际标准。有了数字证书，我们在网络上就可以畅通无阻。有了数字证书，我们在网络上就可以畅通无阻。

如图如图 11 是一个数字证书在网络应用中的原理图。是一个数字证书在网络应用中的原理图。

4.3.24.3.2 为什么要用数字证书为什么要用数字证书

数字证书使用的原因数字证书使用的原因• 基于基于 InternetInternet 网的电子商务系统技术使在网上购物的顾客能够极其网的电子商务系统技术使在网上购物的顾客能够极其

方便轻松地获 得商家和企业的信息，但同时也增加了对某些敏感或方便轻松地获 得商家和企业的信息，但同时也增加了对某些敏感或

有价值的数据被滥用的风险。买 方和卖方都必须对于在因特网上进有价值的数据被滥用的风险。买 方和卖方都必须对于在因特网上进

行的一切金融交易运作都是真实可靠的，并且要使 顾客、商家和企行的一切金融交易运作都是真实可靠的，并且要使 顾客、商家和企

业等交易各方都具有绝对的信心，因而因特网（业等交易各方都具有绝对的信心，因而因特网（ InternetInternet ）电子商）电子商

务 系统必须保证具有十分可靠的安全保密技术，也就是说，必须保务 系统必须保证具有十分可靠的安全保密技术，也就是说，必须保

证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、

发送信息的不可否认性、交易者身份 的确定性。 发送信息的不可否认性、交易者身份 的确定性。 

4.3.3 4.3.3 数字证书的安全机理数字证书的安全机理

数字证书的安全机理数字证书的安全机理• 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。密。

• 每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。开，为一组用户所共享，用于加密和验证签名。

• 当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目

的地了的地了。 

• 通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。钥才能解密。

• 在公开密钥密码体制中，常用的一种是在公开密钥密码体制中，常用的一种是 RSARSA 体制。其数学原理是将体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。密密钥（私密密钥），在计算上是不可能的。

• 按现在的计算机技术水平，要破解目前采用的按现在的计算机技术水平，要破解目前采用的 10241024 位位 RSARSA 密钥，密钥，需要上千年的计算时间。需要上千年的计算时间。

• 公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥 进行解密。钥 进行解密。 

4.3.44.3.4 数字证书的认证机构数字证书的认证机构

认证机构认证机构

• CACA 机构，又称为证书授证（机构，又称为证书授证（ Certificate AuthorityCertificate Authority ）中心，作为电）中心，作为电

子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验

的责任。的责任。 CACA 中心为每个使用公开密钥的用户发放一个数字证书，数中心为每个使用公开密钥的用户发放一个数字证书，数

字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开

密钥。密钥。 CACA 机构的数字签名使得攻击者不能伪造和篡改证书。它负责机构的数字签名使得攻击者不能伪造和篡改证书。它负责

产生、分配并管理所有参与网上交易的个体所需的数字证书，因此产生、分配并管理所有参与网上交易的个体所需的数字证书，因此

是安全电子交易的核心环节。是安全电子交易的核心环节。

4.3.5 4.3.5 如何使用数字证书如何使用数字证书

如何使用数字证书如何使用数字证书• 收到数字签名的信息时，可以验证签名者的数字证书，确定没有伪造收到数字签名的信息时，可以验证签名者的数字证书，确定没有伪造和假冒的发生。和假冒的发生。

• 您发送信息时，可以签名该信息并装入您的数字证书，使信息的接收您发送信息时，可以签名该信息并装入您的数字证书，使信息的接收者确信该信息是您发送的。多个数字证书可以装入一条信息中，构成者确信该信息是您发送的。多个数字证书可以装入一条信息中，构成一个分级链，在该分级链中，一个数字证书证明前一个数字证书的真一个分级链，在该分级链中，一个数字证书证明前一个数字证书的真实性。最高级认证中心在数字证书层次的末端，它的可靠性无需来自实性。最高级认证中心在数字证书层次的末端，它的可靠性无需来自其它认证中心的数字证书的验证。最高级认证中心的公钥必须不受约其它认证中心的数字证书的验证。最高级认证中心的公钥必须不受约束地为人所知，例如被广泛发行。您越熟悉接收者的信息，就越没有束地为人所知，例如被广泛发行。您越熟悉接收者的信息，就越没有必要加入数字证书。必要加入数字证书。 

• 可以使用数字证书向安全服务器（如基于会员身份的 可以使用数字证书向安全服务器（如基于会员身份的  web web 服务器）服务器）证明自己的身份。 通常，一旦获取数字证书，即可创建具有增强安证明自己的身份。 通常，一旦获取数字证书，即可创建具有增强安全性的 全性的  web web 或电子邮件应用程序来自动使用数字证书。或电子邮件应用程序来自动使用数字证书。

4.3.6 4.3.6 获得及安装免费数字证书获得及安装免费数字证书

获得及安装免费数字证书获得及安装免费数字证书• 通过使用免费数字证书，我们可以了解专业数字证书的相关技术。获得通过使用免费数字证书，我们可以了解专业数字证书的相关技术。获得

免费数字证书的方法有很多，目前国内有很多免费数字证书的方法有很多，目前国内有很多 CACA 中心提供试用型数字中心提供试用型数字

证书，其申请过程在网上即时完成，并可以免费使用。证书，其申请过程在网上即时完成，并可以免费使用。

• 下面提供一个比较好的站点，申请地址为下面提供一个比较好的站点，申请地址为 https://testca.netca.net/。。

• 登陆后，点击“证书申请”，选择“试用型个人数字证书申请”，特别登陆后，点击“证书申请”，选择“试用型个人数字证书申请”，特别

强调，注意只有安装了根证书（证书链）的计算机，才能完成后面的申强调，注意只有安装了根证书（证书链）的计算机，才能完成后面的申

请步骤和正常使用读者在请步骤和正常使用读者在 CACA 中心申请的数字证书。中心申请的数字证书。  

查看数字证书查看数字证书

§ 4.4 § 4.4 安全认证体系及其实施标准安全认证体系及其实施标准

本节的主要内容本节的主要内容• PKIPKI原理原理 

• PKIPKI的体系的体系

• PKIPKI的主要功能的主要功能

• PKIPKI公钥设施标准公钥设施标准

4.4.1 PKI4.4.1 PKI 的原理的原理

PKIPKI 原理 原理 • PKIPKI 公共密钥体系是利用公共密钥算法的特点，建立一套证书发放、公共密钥体系是利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系，来支持和完成网络系统中的身份认证、信息加管理和使用的体系，来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。密、保证数据完整性和抗抵赖性。 PKI PKI 体系可以有多种不同的体系体系可以有多种不同的体系结构、实现方法和结构、实现方法和通信协议。公共（非对称）密钥算法使用加密算协议。公共（非对称）密钥算法使用加密算法和一对密钥：一个公共密钥和一个私有密钥。法和一对密钥：一个公共密钥和一个私有密钥。

• 其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构认证、发放和管理。把证书交给对方址等捆绑在一起，由权威机构认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方，让别人能够方便地找到和下载。方，让别人能够方便地找到和下载。

4.4.2 PKI4.4.2 PKI 的体系的体系

PKIPKI 体系结构主要组件包括体系结构主要组件包括 ::

• 终端实体（终端实体（ EEEE：： End EntityEnd Entity ））

• 证书机构（证书机构（ CACA ：： Certificate AuthorityCertificate Authority ））

• 注册机构（注册机构（ RARA ：： Registration AuthorityRegistration Authority ））

• CRLCRL发布者（发布者（ CRL IssuerCRL Issuer ））

• 资料库（资料库（ RepositoryRepository ）等）等

PKIPKI 组件及其相互间的主要关系如下图所示组件及其相互间的主要关系如下图所示 ::

终端实体：终端实体：• （（ 11 ）） PKIPKI 证书用户，应用软件的使用者；证书用户，应用软件的使用者；• （（ 22 ）最终用户使用的应用系统。）最终用户使用的应用系统。

证书机构（证书机构（ CACA ）：发行和撤销）：发行和撤销 PKIPKI 证书。证书。 • CACA 机构，又称为证书授证中心，是为了解决电子商务活动机构，又称为证书授证中心，是为了解决电子商务活动中交易参与的各方身份、资信的认定，维护交易活动中的安中交易参与的各方身份、资信的认定，维护交易活动中的安全，从根本上保障电子商务交易活动顺利进行而设立的，是全，从根本上保障电子商务交易活动顺利进行而设立的，是受一个或多个用户信任，提供用户身份验证的第三方机构，受一个或多个用户信任，提供用户身份验证的第三方机构，承担公钥体系中公钥的合法性检验的责任。承担公钥体系中公钥的合法性检验的责任。

• 在在 SETSET交易中，交易中， CACA 不仅对持卡人、商户发放证书，还要不仅对持卡人、商户发放证书，还要对收款的银行、网关发放证书。它负责产生、分配并管理所对收款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。易的核心环节。

CACA 的职能 的职能 • （（ 11 ）接收验证最终用户数字证书的申请。）接收验证最终用户数字证书的申请。

• （（ 22 ）确定是否接受最终用户数字证书的申请）确定是否接受最终用户数字证书的申请 -- 证书的审批。证书的审批。

• （（ 33 ）向申请者颁发、拒绝颁发数字证书）向申请者颁发、拒绝颁发数字证书 -- 证书的发放。证书的发放。

• （（ 44 ）接收、处理最终用户的数字证书更新请求）接收、处理最终用户的数字证书更新请求 -- 证书的更新。证书的更新。

• （（ 55 ）接收最终用户数字证书的查询、撤销。）接收最终用户数字证书的查询、撤销。

• （（ 66 ）产生和发布证书废止列表）产生和发布证书废止列表 CRLCRL（（ Certificate Revocation LisCertificate Revocation Lis

tt ） 。） 。

• （（ 77 ）数字证书的归档。）数字证书的归档。

• （（ 88 ）密钥归档。）密钥归档。

• （（ 99 ）历史数据归档。）历史数据归档。

注册机构（注册机构（ RA)RA) ：：• 是是 PKIPKI 的可选系统的可选系统

• 是是 CACA 的证书发放、管理的延伸的证书发放、管理的延伸

• 执行执行 CACA 委托的任务委托的任务

• 它负责证书申请者的信息录入、审核以及证书发放等工作；它负责证书申请者的信息录入、审核以及证书发放等工作；

同时，对发放的证书完成相应的管理功能。发放的数字证书同时，对发放的证书完成相应的管理功能。发放的数字证书

可以存放于可以存放于 ICIC 卡、硬盘或软盘等介质中。卡、硬盘或软盘等介质中。

• RARA 系统是整个系统是整个 CACA 中心得以正常运营不可缺少的一部分。中心得以正常运营不可缺少的一部分。 

CRLCRL 发布者：发布者：• PKIPKI 的可选系统，执行的可选系统，执行 CACA 委托的发布证书撤销列表的任务委托的发布证书撤销列表的任务 ..

资料库：资料库：• 一个系统或一个分布式系统的集合，用来（一个系统或一个分布式系统的集合，用来（ 11 ）存储证书和）存储证书和 CRLCRL；；

（（ 22 ）向终端实体提供证书和）向终端实体提供证书和 CRLCRL的分发服务。的分发服务。

4.4.3 PKI4.4.3 PKI 的主要功能的主要功能

PKIPKI 的主要功能的主要功能• （（ 11 ）注册）注册• （（ 22 ）初始化）初始化• （（ 33 ）认证）认证• （（ 44 ）密钥对恢复）密钥对恢复• （（ 55 ）密钥产生）密钥产生• （（ 66 ）密钥更新）密钥更新• （（ 77 ）交叉证书）交叉证书• （（ 88 ）撤销）撤销• （（ 99 ）证书与撤销通知的分发与发布）证书与撤销通知的分发与发布

4.4.3 PKI4.4.3 PKI 公钥设施标准公钥设施标准

从整个从整个 PKIPKI 体系建立与发展的历程来看，与体系建立与发展的历程来看，与 PKIPKI 相关的标准相关的标准主要包括以下一些：主要包括以下一些：

• 11、、 X.209X.209（（ 19881988）） ASN.1ASN.1基本编码规则的规范基本编码规则的规范

• 22、、 X.500X.500（（ 19931993）信息技术之开放系统互联：概念、模型及服务简）信息技术之开放系统互联：概念、模型及服务简

述 述 

• 33、、 X.509X.509（（ 19931993）信息技术之开放系统互联：鉴别框架 ）信息技术之开放系统互联：鉴别框架 

• 44、、 PKCSPKCS系列标准 系列标准 

• 55、、 OCSPOCSP在线证书状态协议 在线证书状态协议 

• 66、、 LDAP LDAP 轻量级目录访问协议轻量级目录访问协议