《《电子商务安全与支付》课件第4章-电子商务认证技术及应用.pptx》由会员分享,可在线阅读,更多相关《《电子商务安全与支付》课件第4章-电子商务认证技术及应用.pptx(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第四章 电子商务认证技术及应用电子商务安全与支付第第四四章章 电子商子商务认证技技术及及应用用本章导入 为了保证电子商务活动的正常开展,国家自2005年起相继颁布了中华人民共和国电子签名法电子支付指引(第一号)等法令法规。电子支付业务类型按指令发起方式,可分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员交易和其他电子支付。此前颁布的中华人民共和国电子签名法,也明确电子支付中数字签名的法律地位,但是对于银行是否必须采用第三方认证还缺乏硬性规定。中国金融认证中心总经理李晓峰说:“如果银行不通过第三方认证机构,那么就可能存在既当运动员又当裁判员的现象,这将会影响到客户对交易安全的信任。”电
2、子支付指引(第一号)指出:“银行采用数字证书方式时,应当有合法的第三方认证机构提供认证服务,以保证电子支付交易认证的公正性。”第三节 公钥基础设施PKI技术应用目录第二节 数字证书的安装和使用CONTENTS第一节 认识身份认证技术第第四四章章 电子商子商务认证技技术及及应用用掌握身份认证的概念和类型。熟悉常用的身份认证方式。知识目标能够顺利进行网上身份认证。技能目标第第四四章章 电子商子商务认证技技术及及应用用第一节 认识身份认证技术 认证(Authentication)是指对主客体身份进行确认的过程。身份认证(Identity Authentication)也称为“身份验证”或“身份鉴别”
3、,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。一.身份认证的概念第第四四章章 电子商子商务认证技技术及及应用用第一节 认识身份认证技术 (1)静态密码认证 静态密码认证是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。(2)动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式,口令一次一密。二.常用的身份认证方式第第四四
4、章章 电子商子商务认证技技术及及应用用(3)USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应模式和基于PKI体系的认证模式。二.常用的身份认证方式第一节 认识身份认证技术第第四四章章 电子商子商务认证技技术及及应用用(4)生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户区别于其他用户的唯一生理特征或行为方式。生理特征包括声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等,行为特征包括签名、语音、行走步态等。二.常用的身份认证方式
5、第一节 认识身份认证技术第第四四章章 电子商子商务认证技技术及及应用用第一节 认识身份认证技术(5)CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程。二.常用的身份认证方式第第四四章章 电子商子商务认证技技术及及应用用1.Basic认证模式 Basic认证模式是较早被广泛应用的一种HTTP标准提供的认证模式。最常见的形式之一就是在url中直接写上用户名密码向服务器提供身份。在Basic模式之中,每次向服务器请求受保护资源的时候都要在url中带上明文或仅
6、被Base64编码过的用户名密码。而且在这种模式下,如果我们要实现“记住登录状态”功能,就需要将用户名密码这样的敏感信息直接缓存在浏览器中。这样就形成了它最主要的两个缺点,一是每个请求中都要带有用户名和密码凭据,二是安全性堪忧。第一节 认识身份认证技术三、身份认证技术第第四四章章 电子商子商务认证技技术及及应用用2.基于session的认证模式 为了解决每次请求敏感资源都要带有用户名密码凭证的问题,Web开发者们形成了一套基本的实践模式,就是将用户认证后的身份存储于服务端管理的会话(session)之中,以此来减少使用过程中对凭据的传输。用户想要请求受保护资源,先要登录,向服务端发送用户名密码
7、。服务端验证用户名密码成功之后将用户的身份验证标识存储在session中,然后将sessionId(一个session的key)存储在cookie中。之后当用户再去请求受保护资源的时候,只要携带好cookie中的sessionId就可以验证其身份,返回受保护资源了。第一节 认识身份认证技术三、身份认证技术第第四四章章 电子商子商务认证技技术及及应用用3.基于cookie的认证模式 既然使用session会产生诸多的问题,需要一种优化方案来解决这种问题,于是出现了将认证信息直接存储在客户端的cookie中。但是存储在客户端还会面临着一系列的安全问题。例如,用户直接在cookie中以用户id存储标
8、识,甚至自己篡改cookie改成别的用户id,就可以切换自己的身份,为了避免这类情况,就要涉及cookie信息加密和解密。第一节 认识身份认证技术三、身份认证技术第三节 公钥基础设施PKI技术应用目录第二节 数字证书的安装和使用CONTENTS第一节 认识身份认证技术第第四四章章 电子商子商务认证技技术及及应用用掌握数字证书的定义和分类。了解数字证书的作用。知识目标能够在网上申请下载安装个人数字证书。技能目标第第四四章章 电子商子商务认证技技术及及应用用一、数字证书的定义 数字证书又称为数字标识,是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式,是用来标志和证明网络通信
9、双方身份的数字信息文件。通俗地讲,数字证书就是个人或单位在互联网的身份证。第二节 数字证书的安装和使用一、数字证书的定义第第四四章章 电子商子商务认证技技术及及应用用 从数字证书的技术角度分,CA中心发放的证书分为两类:SSL证书和SET证书。从数字证书使用对象的角度分,目前的数字证书类型主要包括:个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。第二节 数字证书的安装和使用二、数字证书的分类第第四四章章 电子商子商务认证技技术及及应用用 1.个人身份证书 数字证书的标准有X.509证书、简单PKI证书、PGP证书和属性证书几种,其中X.509格式
10、证书是被广泛使用的数字证书标准,是用于标志通信各方身份信息的一系列数据。2.企业或机构身份证书 符合 X.509 标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中,可以用于企业在电子商务方面的对外活动。签订、网上证券交易、交易支付信息等方面。第二节 数字证书的安装和使用二、数字证书的分类第第四四章章 电子商子商务认证技技术及及应用用 3.支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解密的主要工具,用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(互联
11、网 上各种安全协议与银行现有网络数据格式的转换)。4.服务器证书 符合 X.509 标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通信中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。第二节 数字证书的安装和使用二、数字证书的分类第第四四章章 电子商子商务认证技技术及及应用用5.企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 互联网 上,
12、当用户在 互联网 上下载该软件时,将会得到提示,从而可以确信软件的来源;软件自签名后到下载前,没有遭到修改或破坏。6.安全电子邮件证书 符合 X.509 标准的安全电子邮件证书,通过 IE 或 Netscape 申请,用 IE 申请的证书存储于 Windows 的注册表中,用 Netscape 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 Web 服务器(Https 服务)表明身份。第二节 数字证书的安装和使用二、数字证书的分类第第四四章章 电子商子商务认证技技术及及应用用7个人代码签名证书 个人代码签名证书是CA签发给软件提供人的数字证书,包含软件提供人的身份信息、
13、公钥及CA的签名。软件提供人使用代码签名证书对软件进行签名后放到互联网上,当用户在互联网上下载该软件时,将会得到提示,从而可以确信软件的来源,以及软件自签名后到下载前,没有遭到修改或破坏。第二节 数字证书的安装和使用二、数字证书的分类第第四四章章 电子商子商务认证技技术及及应用用 第一,安全性。用户申请证书时会有两份不同证书,分别用于工作电脑以及用于验证用户的信息交互,即使他人窃取了证书,也无法获取用户的账户信息,保障了账户信息。第二,唯一性。数字证书依用户身份不同给予其相应的访问权限,若换电脑进行账户登录,而用户无证书备份,其是无法实施操作的,只能查看账户信息,数字证书就犹如“钥匙”一般,所
14、谓“一把钥匙只能开一把锁”,就是其唯一性的体现。第三,便利性。用户可即时申请、开通并使用数字证书,且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理,就能够直接通过数字证书来进行安全防护,十分便捷高效。第二节 数字证书的安装和使用三数字证书的特点第第四四章章 电子商子商务认证技技术及及应用用一信息的保密性二交易者身份的确定性三不可否认性四不可修改性第二节 数字证书的安装和使用四数字证书的作用第三节 公钥基础设施PKI技术应用目录第二节 数字证书的安装和使用CONTENTS第一节 认识身份认证技术第第四四章章 电子商子商务认证技技术及及应用用掌握PKI的概念。熟悉PKI的体系
15、结构。熟悉PKI的应用和发展趋势。知识目标能够通过操作获取私钥和公钥。技能目标第第四四章章 电子商子商务认证技技术及及应用用n PKI是Public Key Infrastructure的缩写,意为“公钥基础设施”。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性,如图4-5所示。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。第三节公公钥基
16、基础设施施PKI技技术应用用一PKI的概念第第四四章章 电子商子商务认证技技术及及应用用第三节公公钥基基础设施施PKI技技术应用用第第四四章章 电子商子商务认证技技术及及应用用(1)认证 在现实生活中,认证采用的方式通常是两个人事前进行协商,确定一个秘密,然后,依据这个秘密进行相互认证。随着网络的扩大和用户的增加,事前协商秘密会变得非常复杂,特别是在电子政务中,经常会有新聘用和退休的情况。另外,在大规模的网络中,两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难,而且当网络规模巨大时,密钥管理中心甚至有可能成为网络通信的瓶颈。第三节公公钥基基础设施施PKI技技术应用用二PK
17、I技术的信任服务 第第四四章章 电子商子商务认证技技术及及应用用(2)支持密钥管理 通过加密证书,通信双方可以协商一个秘密,而这个秘密可以作为通信加密的密钥。在需要通信时,可以在认证的基础上协商一个密钥。在大规模的网络中,特别是在电子政务中,密钥恢复也是密钥管理的一个重要方面。政府可以通过法定的手续解密其通信内容,保护政府的合法权益。PKI能够通过良好的密钥恢复能力,提供可信的、可管理的密钥恢复机制。PKI的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力,保证网上活动的健康有序发展。第三节公公钥基基础设施施PKI技技术应用用二PKI技术的信任服务 第第四四章章 电子商子商务认证技技
18、术及及应用用(3)完整性与不可否认 完整性与不可否认是PKI提供的最基本的服务。一般来说,完整性也可以通过双方协商一个秘密来解决,但一方有意抵赖时,这种完整性就无法接受第三方的仲裁。而PKI提供的完整性是可以通过第三方仲裁的,并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。“不可否认”就是通过这样的PKI数字签名机制来提供服务的。当法律许可时,该“不可否认性”可以作为法律依据。正确使用时,PKI的安全性应该高于目前使用的纸面图章系统。第三节公公钥基基础设施施PKI技技术应用用二PKI技术的信任服务 第第四四章章 电子商子商务认证技技术及及应用用 1.通过PKI可以构建一个可管、可控
19、、安全的互联网络 2.通过PKI可以在互联网中构建一个完整的授权服务体系 3.通过PKI可以建设一个普适性好、安全性高的统一平台 第三节公公钥基基础设施施PKI技技术应用用三PKI技术的意义 第第四四章章 电子商子商务认证技技术及及应用用 一个典型的PKI系统包括PKI策略、软硬件系统、认证机构CA、证书/CRL库、证书撤销处理系统、密钥备份及恢复系统和应用程序接口等部分。第三节 公公钥基基础设施施PKI技技术应用用四 PKI的系统结构第第四四章章 电子商子商务认证技技术及及应用用1.PKI策略 PKI策略体系的建立和运行是需要一套策略的,如CA可以为哪些人颁发证书,颁发证书的流程是怎样的,这
20、都需要一套策略来指导。PKI策略是一个包含增强和支持安全策略的一些操作过程的详细文档。在PKI中有两种类型的策略:一是证书策略(CP),用来说明证书的适用范围或应用分类,例如证书策略可以限定证书的用户群、用户使用证书的目的等;另一种是认证惯例声明(CPS),它是一份详细的文档,包括如何建立和执行CA,如何发行、接受和废除证书,如何生成、注册和鉴定密钥,以及如何确立证书的存放位置和如何让用户使用。第三节公公钥基基础设施施PKI技技术应用用四 PKI的系统结构第第四四章章 电子商子商务认证技技术及及应用用 2.软硬件系统 软硬件系统是PKI系统运行所需硬件和软件的集合,主要包括认证服务器、目录服务
21、器、PKI平台、应用程序接口、数据库等。3.密钥备份与恢复系统(1)当用户证书生成时,用户公钥即被PKI备份存储。(2)当需要恢复密钥时,用户只需向CA提出申请即可;但须注意,密钥备份与恢复系统只能备份用户的公钥,不能备份私钥。(3)归档密钥,如当一个公司的员工辞职时,PKI系统管理员一方面要使该证书作废,使证书中的公钥无效第三节公公钥基基础设施施PKI技技术应用用四 PKI的系统结构第第四四章章 电子商子商务认证技技术及及应用用4.PKI应用程序接口系统(1)为使用公钥证书的所有应用提供支持,以完成证书的验证工作。(2)为应用程序提供统一的密钥备份与恢复支持,向应用提供历史密钥的安全管理服务
22、。(3)阻止备份私钥的行为。(4)实现密钥更新的自动、透明与一致。(5)为所有用户访问统一的公用证书库提供支持。(6)向所有应用提供统一的证书撤销处理服务。(7)完成交叉证书的验证工作,为所有应用程序提供统一模式的交叉验证支持。(8)接口系统支持多种密钥存放介质,包括IC卡、安全文件等,并有相应的防复制技术。第三节公公钥基基础设施施PKI技技术应用用四 PKI的系统结构第第四四章章 电子商子商务认证技技术及及应用用 5.PKI的部署 部署PKI时,推荐将PKI的主要功能部件放在各自分开的系统中,即CA放在一台主机中,RA放在另一台主机中,而目录服务器又放在其他系统中。CA系统尤为重要,因为CA
23、出现一点问题就可能使整个PKI瘫痪,从而不得不重新签发所有的证书。因此建议将CA放在专设的防火墙之后,这样它就可以得到互联网防火墙和企业内的防火墙的双重保护。当然,企业内的防火墙应允许CA与RA及其他系统之间进行通信,如果不同PKI之间想互相访间对方的证书,它们的目录对对方必须是可用的,与此同时,目录服务器可能包含对于组织来说比较敏感的不适合公用的数据。第三节公公钥基基础设施施PKI技技术应用用四 PKI的系统结构第第四四章章 电子商子商务认证技技术及及应用用1.在身份认证方面的应用 PKI技术通过数字证书来进行身份认证,数字证书就相当于交易实体方的身份证明,通过公钥绑定用户的个人信息,包括个
24、人标识信息及其电子交易中的账号信息等,在每次电子交易的过程中,首先要通过验证数字证书是否有效来验证双方身份的合法性,只有验证通过,交易实体双方才能够建立相互信任的关系。其利用PKI进行身份认证的具体过程为:电子商务交易中发送的信息利用发送方的私钥进行加密,然后利用接收方的公钥再次进行加密;经过双重加密后把信息传输过去,然后再利用接收方的私钥,发送方的公钥进行解密,其中利用发送方的私钥进行加密和利用接收方的私钥进行解密的过程可以进行发送方、接收方身份的验证。第三节公公钥基基础设施施PKI技技术应用用五PKI 技术在电子商务安全方面的应用第第四四章章 电子商子商务认证技技术及及应用用2.在信息传输
25、方面的应用 在电子商务的数据信息传输中,进行交易货物的价格、金额和数量等信息只希望让交易实体双方获取,这就需要在数据信息的传输过程中严格保密,PKI技术利用交易实体间的公钥和私钥相互配合实现对数据信息的加密和解密,这样就能够保证传输数据的机密性,在传输中即使数据被不法分子非法获取到,因为没有接收方的私钥,也无法解密传输信息,从而保证了传输数据的安全性。3.网络间信任关系的建立 信任关系的建立由于网络的特殊性,商务交易的安全性备受买方和卖方的关注,交易双方建立对网络交易的信任是电子商务交易的前提。采用PKI技术,可以使合作伙伴之间的相互网络认证得以实现。第三节公公钥基基础设施施PKI技技术应用用
26、五PKI 技术在电子商务安全方面的应用第第四四章章 电子商子商务认证技技术及及应用用 随着PKI技术应用的不断深入,PKI技术本身也在不断发展与变化,近年来比较重要的变化有以下方面。(1)属性证书(2)漫游证书(3)无线PKI(WPKI)第三节公公钥基基础设施施PKI技技术应用用六、PKI的发展趋势本章总结 本章主要介绍了身份认证的概念、方式和技术,数字证书的种类以及电子商务安全认证技术及其应用。认证方式包括短消息认证、动态口令认证、UKEY认证、生物识别技术等。掌握数字证书的申请和安装是电子商务安全的关键和重要内容。思考题1.身份认证的方式包括哪些?2.数字证书的种类包括哪些?3.PKI技术的信任服务包含哪些方面?4.简述PKI 技术在电子商务安全方面的应用。课后训练1.了解Windows Server 2008的安全机制,并尝试在Windows Server 2008下建立一个CA认证中心。2.了解个人数字证书的申请、安装的过程,在互联网上申请个人数字证书。THANKS