PKI基础与证书系统.docx
- 文档编号:9062497
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:30
- 大小:39.79KB
PKI基础与证书系统.docx
《PKI基础与证书系统.docx》由会员分享,可在线阅读,更多相关《PKI基础与证书系统.docx(30页珍藏版)》请在冰豆网上搜索。
PKI基础与证书系统
第四章PKI基础与证书系统
4.1PKI概述
由于网络的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由接入。
电子商务在这样的环境中,时时处处受到安全的威胁,认识电子商务的安全威胁与对它的全面防范是十分重要的。
公钥基础设施PKI是随着电子商务安全技术的高速发展而发展起来的新概念。
PKI就是用公钥概念与技术来实施和提供安全服务的具有普遍适应性的基础设施。
换句话说是指一系列的基础服务,这些基础服务最主要用来支持以公钥密码体制为基础的加密和数字签名技术的广泛应用。
PKI是一种基础设施,因此它遵循统一的标准,具有可扩展性,根据安全技术的进步与更新。
为用户提供安全、便捷的安全服务平台,能够为用户透明地提供采用加密和数字签名等安全服务所需要的密钥和证书管理。
PKI是电子商务和其他信息系统的安全基础,用来建立不同实体间的“信任”关系。
它的基础是加密技术,核心是证书服务。
用户使用由认证中心签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、真实性及交易的不可抵赖性,并可进行用户身份的识别。
PKI具有可信的权威认证机构CA,在公钥加密技术基础上实现数字证书的产生、发放、管理、存档以及证书作废管理等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及PKI体系中的各成员提供全部的安全服务。
4.1.1PKI的基本概念
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用PKI。
PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
用户可利用PKI平台提供的服务进行安全通信。
PKI通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份。
例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。
PKI让个人或企业安全从事其商业行为。
企业员工可以在互联网上安全发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。
企业可以建立其内部Web站点,只对其信任的客户发送信息。
PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的这种信任机制。
例如,许多个人和企业都信任合法的驾驶证或护照。
这是因为他们都信任颁发这些证件的同一机构——政府,因而他们也就信任这些证件。
数字证书也一样。
通过公钥基础设施(PKl),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。
典型的是采用数字证书的应用软件和CA信任的机制。
例如,有相同客户端浏览器中,根证书列表里包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的具有合法身份并显示此站点的网页。
如果该认证中心根证书不在信任CA根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。
通常,浏览器会弹出提供永久的信任、临时的信任或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。
“公开密钥基础设施”PKI是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系,而且还在发展之中。
PKI体系支持:
.身份认证;
.信息传输、存储的完整性;
.信息传输、存储的机密性;
.操作的不可否认性。
“基础设施”的目的就是:
只要遵循必要的原则,不同的实体就可以方便地使用基础设施提供的服务。
PKI公开密钥基础设施就是为整个组织提供安全的基本框架,可以被组织中任何需要安全的应用和对象使用。
安全设施的“接入点”是统一的,便于使用(就像是TCP/IP栈和墙上的电源插座一样)。
PKI安全基础设施适用于多种环境的框架。
这个框架避免了零碎的、点对点的,特别是没有互操作性的解决方案,引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。
PKI公开密钥基础设施可以实现“应用支撑”的功能。
例如,电力系统就是一个应用支撑,它可以让“应用”,如烤炉、电灯正常工作。
进一步,电力基础设施具有通用性和实用性的特点,它能支持新的“应用”(如吹风机),而这些“应用”在电力基础设施设计的时候还没有出现。
PKI公开密钥基础设施具有同样的特性。
与PKI安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块,例如Web浏览器、电子邮件客户端程序、IPSec支撑的设备等等。
PKI公开密钥基础设施能够让应用程序增强自己的数据和资源的安全;以及与其他数据和资源交换中的安全。
使用PKI安全基础设施像将电器插入墙上的插座一样简单。
它必须具有这样的特点:
.具有易用的、众所周知的界面。
.基础设施提供的服务是可预测的、且一致有效的。
.应用设施无需要了解基础设施是如何提供服务的。
遵循PKI基础设施的方法获得安全的好处很多。
单个应用程序随时可以从基础设施得到安全服务,增强并简化了登录过程,对终端用户透明,在整个环境中提供全面的安全。
实施PKI公开密钥基础设施的商业驱动包括了节省费用、互操作性、简化管理,真正安全的可能性。
PKI的核心的技术基础是给予公钥密码学的“加密”和“签名”技术。
PKl只提出了一种解决问题的安全框架模式,在实际应用中,针对不同的网络应用,出现了不同的商业实现标准,其中比较有名的就是由VISA、MasterCard和IBM等联合推出的安全电子交易协议(SET)和由Netscape、Verisign等推出的安全套接层协议(SSL)。
二者虽然都采用RSA公钥算法,但在应用中侧重点不同,因此技术上也有较大区别。
还有美国国防部公钥基础设施MISSI,支持安全电子邮件和其他政府应用等等。
4.1.2PKI的基础技术
PKI基础设施采用证书管理公钥,通过第三方的可信任机构——认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。
PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
1.加密及加密算法
加密是指使用密码算法对数据进行变换,使得只有密钥持有人才能恢复数据面貌,主要目的是防止信息的非授权泄漏。
现代密码学的基本原则是:
一切密码寓于密钥之中,即算法公开,密钥保密。
加密算法有两种:
对称加密(单钥密码)算法和非对称加密(公钥密码)算法。
对称密码算法是指加密密钥和解密密钥为同一密钥的密码算法。
因此,信息的发送者和信息的接收者在进行信息的传输与处理时,必须共同持有该密码(称为对称密码),在对称密钥密码算法中,加密运算与解密运算使用同样的密钥,通常,使用的加密算法比较简便高效,密钥简短,破译极其困难;由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。
最典型的是DES算法。
非对称密码体制(公开钥密码体制)是现代密码学的重要发明。
一般的意义上的密码学就是研究如何保护信息不被未授权者非法获取,实际上信息发送双方的身份的验证及数据的完整性、不可抵赖性这一方面内容也是密码学要考虑的内容,公钥密码体制就很好的解决了这个问题。
在公钥密码体制中,用户持有两个密钥,一个公开作为加密密钥(常称公钥),另一个则为用户保管专用的解密密钥(常称私钥)。
通信双方无需事先交换密钥,也就不用像DES等对称密钥体制在通信前必须将密钥传递给另一方。
用户只需持有一对密钥,且若一方想与该用户进行保密通信时,无需交换密钥信息,只需用该用户公开的密钥(公钥)将信息加密再传送给该用户,用户收到加密信息后用其持有的解密密钥(私钥)解读。
保密信息若被他人截取一般也无法解读,因为只有用户持有的保密的解密密钥才能解密。
反之,若用户以其私钥(常为解密密钥)作为加密密钥加密信息,则信息接收方就可以用发方公布的公钥对其解密得到明文,由于私钥只有用户一方持有,就可以通过此手段验证信息是否为此用户发出,作为数字签名。
迄今为止的所有非对称密码体制(公钥密码体制)中,RSA体制是最著名、使用最广泛的一种。
2.数字签名
签名是证明当事人的身份和数据真实性的一种信息。
在日常生活中可以是书面的签名、指印、印章等等。
在电子商务环境下,数据、文件乃至交易都是以计算机文件为基础、以计算机网络为依托传递的,对身份和数据的认证方法当然也要随之变换,就产生了电子形式的签名——数字签名(DigitalSignature)。
数字签名也称电子签名,是指使用密码算法,对待发的数据进行加密处理,生成一段数据摘要信息附在原文上一起发送,这段信息类似于现实中的签名或印章,接收方收到签名后,进行验证,判定原文的真伪(是否由真实发送方发送)。
为了达到有效的认证效果,数字签名应该具有以下的功能:
1)签名者事后不可否认自己的签名;
2)任何其他人不能伪造签名;
3)若当事双方出现争执,可以由公正的第三方通过验证确认签名真伪。
数字签名根据加密信息的不同分为两种:
一种是对信息整体签名;另一种是对摘要信息的签名(也称为对压缩信息的数字签名)。
3.数字信封
数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。
信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与自己用收到的原始数据产生的哈希摘要对照,便可确信原始信息是否被篡改。
这样就保证了数据传输的不可否认性。
数字信封的功能类似于普通信封。
普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
数字信封中采用了单钥密码体制和公钥密码体制。
信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。
在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。
这样就保证了数据传输的真实性和完整性。
4.数字证书
数字证书是各类实体(持卡儿个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证B身,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互之间的信任问题。
证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
简单说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性。
证书格式及证书内容遵循X.509标准。
数字证书的应用:
现有持证人甲向持证人乙传送数字信息,为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:
1)甲准备好要传送的数字信息(明文)。
2)甲对数字信息进行哈希(hash)运算,得到一个信息摘要。
3)甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上。
4)甲随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文。
5)甲用乙的公钥(PK)对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。
6)乙收到甲传送过来的密文和加过密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。
7)乙然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。
8)乙用甲的公钥(PK)对甲的数字签名进行解密,得到信息摘要。
9)乙用相同的hash算法对收到的明文再进行一次hash运算,得到一个新的信息摘要。
10)乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。
5.数据完整性机制
数据完整性机制是保证数据在存储、传输、处理过程中的真实有效性和一致性。
6.双重数字签名
有时一些场合需要寄出两个相关信息给接收者,接收者只能打开一个,而另一个只需转送,不能打开看其内容。
例如,电子交易中,持卡人向商户提出订购信息的同时,也给银行付款信息,以便授权银行付款,但持卡人不希望商户知道自己的账号的有关信息,也不希望开户行知道具体的消费内容,只需按金额贷记或借记账即可。
此时就可以通过双重数字签名实现。
一个人的双重签名可以分别传送信息给特约商户和开户行,商户只能解开与自己相关的信息却解不开给开户行的信息。
4.1.3PKI的功能与性能
一个完整的PKI产品应具备以下功能:
根据X.509标准发放证书,证书与CA产生密钥对,密钥备份及恢复,证书、密钥对的自动更换,加密密钥和签名密钥的分隔,管理密钥和证书,支持对数字签名的不可抵赖性,密钥历史的管理,为用户提供PKI服务,如用户安全登录、增加和删除用户、恢复密钥、检验证书等。
其他相关功能还包括交叉认证、支持LDAP协议、支持用于认证的智能卡等;此外,PKI的特性融入各种应用(如防火墙、浏览器、电子邮件、群件、网络操作系统)也正在成为趋势。
PKI的性能要求可扩展性能满足电子商务不断发展的需要,方便用户,保证其安全和经济性,支持与远程参与者通行无阻因此必须具有以下性能。
.支持多政策:
用户可能信赖某个证书机构CA,但未必信得过另一个CA。
因此,应允许不同用户接受不同的政策。
.透明性和易用性:
作为网络环境的一种基础设施,PKI必须具有良好的透明性和易用性,这是对PKI的最基本要求。
PKI必须尽可能地向上层应用屏蔽密码服务的实现细节,向用户提供屏蔽复杂的安全解决方案,使密码服务对用户而言简单易用,同时便于单位、企业完全控制其信息资源。
.互操作性:
PKI互操作性是电子商务通信的关键,建立对Internet交易保密性的信任,是电子商务发展所面临的最重要以及最具挑战性的问题之一。
.PKI是在Internet上建立信任的一种技术选择,但是,部署PKI并不容易。
保证多厂商PKI环境的互操作性是在电子商务交易中建立信任的关键。
不同企事业单位的PKI实现可能是不同的,这就提出了互操作性要求。
要保证PKI的互操作性,必须将PKI建立在标准之上,这些标准包括加密标准、数字签名标准、HASH标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、安全应用程序接口规范等。
.简单的风险管理:
任何基础设施都需对所面临的风险有全面的了解,并适于在当地参与者之间进行分配。
.支持多平台:
PKI是遵循一种标准的,它必须适合于不同的开发环境和不同的开发平台,例如Windows、UNIX、MAC等。
.支持多应用:
PKI应该面向广泛的网络应用,提供文件传送安全、文件存储安全、电子邮件安全、电子表单安全、Web应用安全等保护。
4.1.4PKI的基本组成
典型的PKI系统由五个基本的部分组成:
证书申请者(Subscriber)、注册机构(RegistrationAuthority,RA)、认证中心(CertificateAuthority,CA)、证书库(CertificateRepository,CR)和证书信任方(RelyingParty)。
其中,认证中心、注册机构和证书库三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者。
在具体应用中,各部分的功能是有弹性的,有些功能并不在所有的应用中出现,PKI的许多详细功能要根据业务的操作规程确定。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(APl)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
1)认证机构(CA):
即数字证书的申请及签发机关,CA必须具备权威性的特征。
2)数字证书库:
用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。
3)密钥备份及恢复系统:
如果用户丢失了用于解密数据的密钥;则数据将无法被解密,这将造成合法数据丢失。
为避免这种情况,PKI提供备份与恢复密钥的机制。
但须注意,密钥的备份与恢复必须由可信的机构来完成。
并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其惟一性而不能够作备份。
4)证书作废系统:
证书作废处理系统是PKI的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
为实现这一点,PKI必须提供作废证书的一系列机制。
5)应用接口(API):
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
通常来说,CA是证书的签发机构,它是PKI的核心。
众所周知,构建密码服务系统的核心内容是如何实现密钥管理。
公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。
数字证书是公开密钥体系的一种密钥管理媒介。
它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性,又称为数字ID。
数字证书由一对密钥及用户信息等数据共同组成,并写入一定的存储介质内,确保用户信息不被非法读取及篡改。
4.1.5PKI加密与签名原理
早期的加密系统是基于对称加密理论(即单密钥加密理论),其特点是加密密钥和解密密钥可以互相推导,发送者和接收者在安全通信之前需要商定一个密钥,对称加密的安全性依赖于密钥,泄露密钥意味着任何人都能对信息进行加/解密。
随着对称加密理论的发展,出现了很多对称算法。
虽然对称加密算法解决了数据的保密传输,但是对称加密系统的致命缺陷,即依赖于密钥的安全,致使对称加密系统解决不了密钥分配与管理问题。
1.公钥加密/私钥解密完成对称算法密钥的交换
公密钥算法的速度比对称算法慢得多,并且由于任何人都可以得到公钥,公钥算法对选择明文攻击很脆弱,因此公钥加密/私钥解密不适用于数据的加密传输。
为了实现数据的加密传输,公钥算法提供了安全的对称算法密钥交换机制,数据使用对称算法加密传输。
两个用户(A和B)使用公钥理论进行密钥交换的过程如图4.1所示。
在对称算法密钥的协商过程中,密钥数据使用公钥加密。
在保证私钥安全的前提下,攻击者即使截获传输的信息也不能得到加密算法的密钥,这就保证了对称算法密钥协商的安全性。
2.私钥加密/公钥解密完成身份验证、提供数字签名
公开密钥算法可以实现通信双方的身份验证。
如图4.2示是一个简单的身份验证的例子(A验证B的身份)。
同样的道理,公开密钥算法可以进行数据的签名和验证。
A需要对一块数据签名,A只需要使用自己的私钥加密该数据就可以完成签名。
A把数据和数据签名(私钥加密的结果)一起发送给B,B使用A的公钥解密签名,然后和数据进行比较,如果相同则该签名确实是A签署的,并且数据没有被篡改。
同样是因为公开密钥的算法较慢,数据签名一般不直接使用私钥加密数据,而是加密数据的散列值。
数据块的散列值可以通过消息摘要算法计算得到。
消息摘要算法实际上就是一个单向散列函数。
数据块经过单向散列函数得到一个固定长度的散列值,攻击者不可能通过散列值而编造数据块,使得编造的数据块的散列值和原数据块的散列值相同。
数据块的签名就是先计算数据块的散列值,然后使用私钥加密数据块的散列值得到数据签名。
签名的验证就是计算数据块的散列值,然后使用公钥解密数据签名得到另一个散列值,比较两个散列值就可以判断数据块在签名后有没有被改动。
常用的消息摘要算法有MD5、SHA等。
公钥算法仍然要面对公钥分发、公钥/私钥密钥对与用户真实身份的绑定问题。
PKI引入证书机制解决了这个问题。
证书由证书中心颁发。
用户在获得自己的身份证书后,就可以使用证书来表明自己的身份,接收方只需要使用签发证书的公钥验证用户证书,如果验证成功,就可以信任该证书描述的用户的身份。
证书的签发/验证充分利用了公开密钥算法的数据签名和验证功能,杜绝了冒充身份的可能性。
3.PKI的安全性分析
PKI密钥交换和身份验证的安全性依赖于PKI使用的公开密钥算法、对称加密算法和消息摘要算法。
当前使用的公开密钥算法的安全性大都基于大数分解的难度。
从一个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。
当前可以完成的大数分解的位数是140位。
对于当前市场上广泛使用的1024位的RSA公开密钥算法,它被破解的可能性是微乎其微的。
对于128位密钥来说,即使全世界的计算机同时进行群举攻击,破译128位密钥所需要的时间也是一个天文数字。
对于消息摘要算法,单向散列函数的设计已经十分成熟。
市场上广泛使用的MD5、SHA算法的散列值分别为128位、160位,足以阻止所有的群举攻击的企图。
由此看来,PKI机制是一个成熟的、安全的技术。
4.PKI加密技术与签名技术图解
PKI的核心的技术基础是给予公钥密码学的“加密”和“签名”技术。
通过“解密”和“签名”技术的结合就可解决网络的身份认证、信息传输和存储的完整性、信息传输和存储的机密性操作的不可否认性等问题。
参见图4.3,PKI中加密技术图解和图4.4,PKI中签名技术图解。
公钥加密需要解决一个关键问题,即加密信息的发送者需要认定公钥确实是接收者的,如果他用第三者的公钥去加密,他希望的接收者无法解密该信息,而拥有对应私钥的第三者却可以做到。
这实际上就涉及到应用公钥技术的关键,如何确认某个人真正拥有公钥(及对应的私钥)。
在PKI中,为了确保用户的身份及他所持有密钥的正确匹配,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(CertificationAuthority,CA),来确认公钥拥有人的真正身份。
就像公安局发放的身份证一样,认证中心发放一个叫“数字证书”的身份证明。
这个数字证书包含了用户身份的部分信息及用户所持有的公钥。
认证中心利用本身的私钥为数字证书加上数字签名。
任何想发放自己公钥的用户,可以去认证中心申请自己的证书。
认证中心在鉴定该人的真实身份后,颁发包含用户公钥的数字证书。
其他用户只要能验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥,
认证中心是公钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便地使用公钥技术带来的安全服务。
进行电子交易的互联网用户所面临的安全问题有:
.保密性。
如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取。
.完整性。
如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。
.身份认证与授权。
在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性。
.抗抵赖。
在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。
4.2PKI管理机构——认证中心
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。
数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。
该数字证书具有惟一性。
它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PKI 基础 证书 系统
![提示](https://static.bdocx.com/images/bang_tan.gif)