《电子商务认证技术数字证书ppt课件.ppt》由会员分享,可在线阅读,更多相关《电子商务认证技术数字证书ppt课件.ppt(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第三章第三章电子商务安全电子商务安全主要内容1、电子商务安全基础2、数据加密技术3、认证技术4、安全技术协议电子商务电子商务安全安全3.3 3.3 认证技术认证技术n3.3.1身份认证身份认证n3.3.2认证中心认证中心n3.3.3数字证书数字证书n3.3.4数字摘要数字摘要n3.3.5数字签名数字签名n3.3.6数字时间戳数字时间戳认证技术是保证电子商务交易安全的认证技术是保证电子商务交易安全的一项重要技术。一项重要技术。主要包括身份认证和信息认证。前者主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整信双方的不可
2、抵赖性以及信息的完整性。性。电子商务身份认证的目标电子商务身份认证的目标信息来源的可信性信息来源的可信性完整性。信息没有被修改、延迟和替完整性。信息没有被修改、延迟和替换;换;不可抵赖性。信息的发送方或接收方不可抵赖性。信息的发送方或接收方不能否认不能否认访问控制。拒绝非法用户访问。访问控制。拒绝非法用户访问。3.3.1 3.3.1 身份认证身份认证 用户身份认证的最简单、最广的一种方法就是口令方式,口令由数字字母、特殊字符等组成。这种身份认证方法操作十分简单,但最不安全不能抵御口令猜测攻击。四种常用的身份认证方式四种常用的身份认证方式(1)口令方式口令方式 标记是一种用户所持有的某个秘密信息
3、(硬件),上面记录着用于系统识别的个人信息。(2)标记方式标记方式 某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。(3)人体生物学特征方式人体生物学特征方式 PKI是是Public Key Infrastructure的缩的缩写,是指用公钥概念和技术来实施和提供安全服写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。务的具有普适性的安全基础设施。使用使用CA中心颁发的数字证书进行网上身份的中心颁发的数字证书进行网上身份的识别识别。案例:网上银行支付(4)PKI方式方式n登陆支付宝主页下载支付宝数字证书,并登陆支付宝主页下载支付宝数字证书,并安装
4、,体会安装,体会PKI身份验证方式身份验证方式3.3 3.3 认证技术认证技术n3.3.1身份认证身份认证n3.3.2认证中心认证中心n3.3.3数字证书数字证书n3.3.4数字摘要数字摘要n3.3.5数字签名数字签名n3.3.6数字时间戳数字时间戳3.3.2 3.3.2 认证中心认证中心 (CA-Certificate AuthorityCA-Certificate Authority)。)。也也称称之之为为电电子子证证书书认认证证中中心心,是是承承担担网网上上安安全全电电子子交交易易认认证证服服务务,能能签签发发数数字字证证书书,确确认认用用户户身身份份的的、与与具具体体交交易易行行为为无
5、无关关的的第三方权威机构。第三方权威机构。国国外外的的认认证证中中心心通通常常是是企企业业性性的的服服务务机机构构,主主要要任任务务是是受受理理证证书书的的申申请请、签发和管理数字证书。签发和管理数字证书。认证机构的可靠程度取决于认证机构的可靠程度取决于系统的保密结构。系统的保密结构。确认用户身份的政策和方法。确认用户身份的政策和方法。用户是否能信赖他人的证明。用户是否能信赖他人的证明。机构在安全管理方面的经验。机构在安全管理方面的经验。1.1.认证中心的职能认证中心的职能 认认证证机机构构的的核核心心职职能能是是发发放放和和管管理理用用户户的的数数字证书。字证书。认证中心的四大具体职能认证中
6、心的四大具体职能认认证证中中心心接接受受个个人人、单单位位的的数数字字证证书书申申请请,何何时时申申请请人人的的各各项项资资料料是是否否真真实实,根根据据核核实实情情况况决定是否颁发数字证书。决定是否颁发数字证书。核发证书核发证书证证书书使使用用总总是是有有期期限限的的,在在证证书书发发行行签签字字时时都规定了失效日期;都规定了失效日期;具体使用期长短由具体使用期长短由CACA根据安全策略来定。根据安全策略来定。更换过期证书,密钥对也需要定期更换。更换过期证书,密钥对也需要定期更换。证书更新证书更新证证书书的的撤撤消消可可以以有有许许多多理理由由,如如发发现现、怀怀疑疑私私钥钥被被泄泄露露或或
7、检检测测出出证证书书已已被被篡篡改改,则则CACA可可以提前撤销或暂停使用该证书。以提前撤销或暂停使用该证书。申请撤销。申请撤销。证书撤销表证书撤销表CRLCRL。证书撤销证书撤销nCRL证书撤销列表 如果一个小公司通过商业性CA购买的证书被盗了,只要将相关信息告知CA,这家CA就会将这个证书的内容添加到CRL中。随后任何一个用户在执行涉及到证书的操作,例如安装带有数字签名的软件,或者访问SSL网站的时候,系统都会通过这个CRL地址检索吊销清单,并查看当前软件或网站使用的证书是否位于清单中。如果不在,就证明这个证书依然是可信任的;如果在,就证明该证书已经被盗,因此软件或网站存在仿冒的可能。证书
8、验证证书验证证证书书是是通通过过信信任任分分级级层层次次体体系系(通通常常称称为为证证书书的的树树形形验验证证结结构构)来来验验证证的的。每每一一个个证证书书与与签签发数字证书的机构的发数字证书的机构的签名证书关联签名证书关联。在在两两方方通通信信时时,通通过过出出示示由由某某个个CA签签发发的的证证书书来来证证明明自自己己的的身身份份,如如果果对对签签发发证证书书的的CA本本身身不不信信任任,则则可可验验证证CA的的身身份份,依依次次类类推推,一一直直到到公认的权威公认的权威CA处。就可确信证书的有效性。处。就可确信证书的有效性。证书链n访问支付宝主页,观察地址栏的不同?n查看支付宝网站的数
9、字证书链2.CA2.CA的树型验证结构的树型验证结构 世世界界上上较较早早的的数数字字证证书书认认证证中中心心、处处于于领领导导地地 位位 和和 全全 球球 最最 大大 的的 PKIPKI CACA运运 营营 商商 是是 美美 国国VeriSignVeriSign公公司司,该该公公司司成成立立于于19951995年年4 4月月,位位于于美美国国的的加加利利福福尼尼亚亚州州。它它为为全全世世界界5050个个国国家家提提供供数数字字证证书书服服务务,有有超超过过4500045000个个因因特特网网服服务务器器接接受受该该公公司司的的服服务务器器数数字字证证书书,使使用用它它提提供供的的个人数字凭证
10、的人数也已经超过个人数字凭证的人数也已经超过200200万。万。另外一家著名的公司是加拿大的另外一家著名的公司是加拿大的ENTRUSTENTRUST。国外国外CACA中心介绍中心介绍3.3.我国认证中心现状我国认证中心现状我我国国安安全全认认证证体体系系(CA)(CA)可可分分为为金金融融CACA与与非非金金融融CACA两种类型来处理。两种类型来处理。在在金金融融CACA方方面面,根根证证书书由由中中国国人人民民银银行行管管理理,根根认认证证管管理理一一般般是是脱脱机机管管理理;品品牌牌认认证证中中心心采采用用“统一品牌、联合建设统一品牌、联合建设”的方针进行。的方针进行。在在非非金金融融CA
11、CA方方面面,最最初初主主要要由由中中国国电电信信负负责责建建设。设。我国的我国的CACA又可分为行业性又可分为行业性CACA和区域性和区域性CACA两大类。两大类。行行业业性性CACA:中中国国金金融融认认证证中中心心(CFCACFCA)和和中中国国电电信认证中心(信认证中心(CTCACTCA)是行业性是行业性CACA中影响最大的两家。中影响最大的两家。区区域域性性CACA大大多多以以地地方方政政府府为为背背景景,以以公公司司机机制制来来运运作作,如如广广东东CACA中中心心(CNCACNCA)、上上海海CACA中中心心(SHECA)(SHECA)、深深圳圳CACA中中心心(SZCA)(SZ
12、CA),其其中中影影响响最最大大的的是是广广东东CACA中中心心(CNCACNCA)和上海和上海CACA中心中心(SHECA)(SHECA)。v如果按照技术来源划分,CA中心还可分为引进国外技术与完全自主开发两类。vCFCA和天威诚信属于前者,广东CA和上海CA都属于后者。vCFCA的SET系统由IBM公司承建,NON-SET系统由德达/SUN/Entrust集团承建。天威诚信天威诚信的技术平台来自VeriSign。但它们的密码模块却都是由国内自主开发,经国家安全部门认可的。CFCA CFCA 是是全全国国惟惟一一的的金金融融根根认认证证中中心心,由由中中国国人人民民银银行行负负责责统统一一规
13、规划划管管理理,中中国国工工商商银银行行、中中国国银银行行、中中国国农农业业银银行行、中中国国建建设设银银行行、交交通通银银行行、招招商商银银行行、中中信信实实业业银银行行、华华夏夏银银行行、广广东东发发展展银银行行、深深圳圳发发展展银银行行、光光大大银银行行、民民生生银银行行和和福福建建兴兴业业银银行行共共十十三三家家商商业业银银行行联联合合建建设设,由由银银行行卡卡信信息息交交换换总总中中心心承承建建,建建立立了了SETCASETCA和和Non-SETCANon-SETCA两两套套系系统统,于于20002000年年6 6月月2929日正式开始为全国的用户提供证书服务。日正式开始为全国的用户
14、提供证书服务。中国金融认证中心(CFCA)在在管管理理分分工工上上,中中国国人人民民银银行行负负责责管管理理根根认认证证中中心心CFCACFCA,并并负负责责审审批批、认认证证统统一一的的品品牌牌认认证证中中心心。一般脱机进行。一般脱机进行。品品牌牌认认证证中中心心由由成成员员银银行行接接受受中中国国人人民民银银行行的的委委托托建建设设、运运行行和和管管理理,建建立立对对最最终终持持卡卡人人、商商业业用用户户和和支支付付网网关关认认证证证证书书的的审审批批、管管理理和和认认证证等等工工作作,其其中中管管理理包包括括证证书书申申请请、补补发发、重重发发和和注注销销等等内容。内容。广东CA及“网证
15、通”(NETCA)系统广广东东省省电电子子商商务务认认证证中中心心是是国国家家电电子子商商务务的的试试点点工工程程,其其前前身身是是中中国国电电信信南南方方电电子子商商务务中中心心,创创立立于于19981998年年。20012001年年1 1月月,广广东东省省电电子子商商务务认认证证中中心心的的“网网证证通通”电电子子认认证证系系统统通通过过国国家家公公安安部部计计算算机机信信息息系系统统安安全全产产品品质质量量监监督督检检测测,被被认认定定为为安安全全可可信信的的产产品品。20012001年年8 8月月,国国家家密密码码管管理理委委员员会会办办公公室室批批准准广广东东省省电电子子商商务务认认
16、证证中中心心使使用用密密码码和和建建立立密密钥钥管管理理中中心心,成成为为国内提供网络安全认证服务的重要力量。国内提供网络安全认证服务的重要力量。上海CA(SHECA)上上海海市市CACA中中心心是是中中国国第第一一个个CACA认认证证中中心心,创创建建于于19981998年年,经经过过国国家家批批准准并并被被列列为为信信息息产产业业部部全全国的示范工程。国的示范工程。中中国国协协卡卡认认证证体体系系(SHECASHECA)是是在在遵遵循循PKIPKI架架构构标标准准体体系系基基础础上上,根根据据中中国国国国情情,由由上上海海、北北京京、天天津津三三地地发发起起,由由上上海海市市电电子子商商务
17、务安安全全证证书书管管理理中中心心有有限限公公司司(简简称称上上海海CACA中中心心)设设计计、建建设设、并并组组织织运运行行,联联合合国国内内多多家家CACA机机构构和和地地区区行行业联合共建的认证体系。业联合共建的认证体系。国内主要的电子商务认证中心北京数字证书认证中心:http:/深圳市电子商务认证中心:http:/广东省电子商务认证中心:http:/海南省电子商务认证中心:http:/湖北省电子商务认证中心:http:/上海电子商务安全证书管理中心:http:/中国数字认证网:http:/http:/山西省电子商务安全认证中心:http:/中国金融认证中心:http:/天津电子商务运作
18、中心:http:/ 3.3 认证技术认证技术n3.3.1身份认证身份认证n3.3.2认证中心认证中心n3.3.3数字证书数字证书n3.3.4数字摘要数字摘要n3.3.5数字签名数字签名n3.3.6数字时间戳数字时间戳3.3.3 3.3.3 数字证书数字证书数数字字证证书书就就是是标标志志网网络络用用户户身身份份信信息息的的一一系系列列数数据据,用用于于证证明明某某一一主主体体(如如个个人人用用户户、服服务务器器等等)的的身身份份以以及及其其公公钥钥的的合合法法性性的的一一种种权权威威性性的的电电子子文文档,由权威公正的第三方机构,即档,由权威公正的第三方机构,即CACA中心签发。中心签发。1.
19、1.数字证书的概念数字证书的概念数字证书的拥有者可以将其证书提供给其他人、数字证书的拥有者可以将其证书提供给其他人、WebWeb站站点及网络资源,以证实他的合法身份,并且与对方建立点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的通信。加密的、可信的通信。以数字证书为核心的加密技术可以对网络上传输的信息以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全
20、性。签名信息的不可否认性,从而保障网络应用的安全性。目目前前大大多多数数商商务务网网站站使使用用用用户户名名和和口口令令的的方方式式来来对对用用户户进进行行认认证证,这这种种方方式式需需要要站站点点收收集集所所有有注注册册用用户户的的信信息息,维维护护庞庞大大的的用用户户信信息息数数据据库库。同同时时这这种种传传统统登登录录机机制制的的安安全全性性也也比比较较脆脆弱弱,容容易易遭遭到到外外界界的的攻攻击破坏。击破坏。数数字字证证书书的的安安全全与与认认证证功功能能消消除除了了传传统统的的口口令令机机制制中中内内在在的的安安全全脆脆弱弱性性,为为每每个个用用户户提提供供唯唯一一的的标标识识,以以
21、便便利利的的方方式式来来访访问问WebWeb服服务务器器,降降低低了了网网站站的的维维护护和支持成本。和支持成本。2.2.数字证书的内容数字证书的内容 数数字字证证书书的的内内部部格格式式遵遵循循X.509X.509标标准准。X.509X.509是是由由国国际际电电信信联联盟盟(ITU-T)(ITU-T)制制定定的的数数字字证证书书标标准准。根根据据这这项项标标准准,证证书书包包括括申申请请证证书书个个人人的的信信息息和和发行证书机构的信息。发行证书机构的信息。l证书拥有者的姓名;证书所有人的名称,命名规则一般采用X.500格式;l证书的版本信息。用来与X.509标准的将来版本兼容。l证书的序
22、列号。每个证书都有一个唯一的证书序列号。l证书所使用的签名算法。l颁发者。即证书的发行机构名称,命名规则一般采用X.500格式。l证书的有效期限。现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;l证书主题名称。l证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示(只适用于RSA加密体制);l包含额外信息的特别扩展。l证书发行者对证书的签名。标准的标准的X.509X.509数字证书包含内容:数字证书包含内容:3.3.数字证书的有效性数字证书的有效性 数字证书才有效条件:证书没有过期。密钥没有修改。用户仍然有权使用这个密钥。证书不在无效证书清单中。1.1.个人数字证书个
23、人数字证书2.2.单位证书单位证书3.3.服务器证书服务器证书4.4.代码签名证书代码签名证书数字证书按照使用对象划分数字证书按照使用对象划分:4.4.数字证书的类型数字证书的类型 个人证书个人证书(客户证书客户证书)个人身份证书个人身份证书 个人身份证书是用来表明和验个人身份证书是用来表明和验证个人在网络上身份的证书,它确保了网上交易的证个人在网络上身份的证书,它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在操作的安全性和可靠性。个人身份证书可以存储在软盘或软盘或ICIC卡中。卡中。个人安全电子邮件证书个人安全电子邮件证书 个人安全电子邮件证个人安全电子邮件证书可以确保邮件的真
24、实性和保密性。书可以确保邮件的真实性和保密性。单位证书单位证书单位证书单位证书单位(客户端)数字证书单位(客户端)数字证书 主要用于单位主要用于单位安全电子事务处理。具体应用如:安全电子邮件安全电子事务处理。具体应用如:安全电子邮件传送、网上公文传送、网上签约、网上招标投标、传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。网上办公系统等。服务器证书服务器证书服务器证书服务器证书服务器证书(站点证书)服务器证书(站点证书)服务器证书主要用服务器证书主要用于网站交易服务器的身份识别,使得连接到服务于网站交易服务器的身份识别,使得连接到服务器的用户确信服务器的真实身份。目的是保证客器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。实性、安全性、可信任性等。代码签名证书代码签名证书代码签名证书代码签名证书又称代码数字证书,代表软件开发者的身份,又称代码数字证书,代表软件开发者的身份,用于对其开发的软件进行数字签名,证明软件的用于对其开发的软件进行数字签名,证明软件的合法性。合法性。软件数字证书使用前软件数字证书使用前软件数字证书使用前软件数字证书使用前软件数字证书使用后软件数字证书使用后软件数字证书使用后软件数字证书使用后实践1.上http:/