《电子商务系统安全》PPT课件.ppt

《《电子商务系统安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《电子商务系统安全》PPT课件.ppt（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第三章第三章第三章第三章电子商务系统安全电子商务系统安全电子商务系统安全电子商务系统安全一、电子商务系统安全的概念一、电子商务系统安全的概念v电子商务系统硬件安全电子商务系统硬件安全v电子商务系统软件安全电子商务系统软件安全l保护软件和数据不被窜改、破坏和非法复制保护软件和数据不被窜改、破坏和非法复制v电子商务系统运行安全电子商务系统运行安全l保证系统连续正常运行。保证系统连续正常运行。v电子商务安全立法电子商务安全立法l利用国家机器保证电子商务的安全利用国家机器保证电子商务的安全1 1二、电子商务的安全需求二、电子商务的安全需求v信息的保密性信息的保密性l防止窃听防止窃听 v信息的完整性信息

2、的完整性l防止篡改防止篡改v信息的不可否认性信息的不可否认性l防止行为否认防止行为否认v交易者身份的真实性交易者身份的真实性l防止身份冒用防止身份冒用v信息的有效性信息的有效性2 2三、电子商务系统安全常用的方法三、电子商务系统安全常用的方法v网络安全策略网络安全策略l先进的安全技术先进的安全技术-根本保证根本保证,防患未然防患未然.l格的安全管理格的安全管理-用户管理用户管理 授权管理授权管理 审计跟踪体系审计跟踪体系l完善的法律法规完善的法律法规-加以惩处约束加以惩处约束,减少损失减少损失l3 3三、电子商务系统安全常用的方法三、电子商务系统安全常用的方法v防火墙技术防火墙技术v信息保密技

3、术信息保密技术-密钥系统密钥系统l对称加解密和公钥加解密对称加解密和公钥加解密v完整性校验技术完整性校验技术-消息摘要消息摘要lHASH函数、函数、MAC码码v身份认证身份认证 技术技术l 数字证书数字证书.v防抵赖技术防抵赖技术l数字签名数字签名l数字时间戳数字时间戳4 4四、四、防火墙防火墙vInternet的安全概念的安全概念l保护企业内部资源，防止外部入侵，保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的控制和监督外部用户对企业内部网的访问访问l控制、监督和管理企业内部对外部控制、监督和管理企业内部对外部Internet的访问的访问5 5四、四、防火墙防火墙v防火墙防火

4、墙l定义：定义：指一个由软件系统和硬件设备结合而成的，在内指一个由软件系统和硬件设备结合而成的，在内部网和外部网之间的界面上构造的保护屏障。部网和外部网之间的界面上构造的保护屏障。l产品类型：包过滤型和应用网关型产品类型：包过滤型和应用网关型l安全策略：安全策略：*没有被列为允许访问的服务都是被禁止的没有被列为允许访问的服务都是被禁止的*没有被列为禁止访问的服务都是被允许的没有被列为禁止访问的服务都是被允许的6 6防火墙结构防火墙结构DBWeb服务器服务器外部外部WWW客户客户客户机客户机电子邮件电子邮件服务器服务器Intranet四、四、防火墙防火墙7 7五、密钥系统五、密钥系统v原始的信息

5、加密方法原始的信息加密方法 l代替加密：如代替加密：如 ROT13.l 换位加密：打乱顺序换位加密：打乱顺序.l l特点特点:安全性基于变换算法本身安全性基于变换算法本身.加密方法解密方法明文明文 密文密文 原始明文原始明文8 8五、密钥系统五、密钥系统v现代对称加密现代对称加密 加密算法加密算法解密算法解密算法明文明文 加密密钥加密密钥 密文密文 解密密钥解密密钥 原始明文原始明文l特点：特点：*加密算法与解密算法是公开的加密算法与解密算法是公开的*加密密钥与解密密钥相同加密密钥与解密密钥相同 *要求加解密算法是协议安全的要求加解密算法是协议安全的*其安全性基于密钥的保密性其安全性基于密钥的

6、保密性(密钥空间、随机性、保密钥空间、随机性、保密性密性)*分为块分为块(分组分组)加密和流加密和流(序列序列)加密加密*典型算法：典型算法：DESDES，3DES3DES，IDEAIDEA，RC4RC4，RC5 RC5 9 9对称密钥加密解密过程对称密钥加密解密过程加密加密XXXX密文密文HiHoware you原信息原信息发送端发送端XXXX密文密文HiHoware you原信息原信息接收端接收端解密解密Internet五、密钥系统五、密钥系统10 10a b c d e f g h i j k l m n o p q r s t u v w x y zE F G H I J K L M

7、N O P Q R S T U V W X Y Z A B C DKey=4How are youLSAEVICSY例：例：加密加密加密和密钥加密和密钥五、密钥系统五、密钥系统11 11五、密钥系统五、密钥系统v非对称加密非对称加密-公开钥加密公开钥加密加密算法解密算法l加密算法与解密算法是公开的加密算法与解密算法是公开的l加密密钥与解密密钥不相同加密密钥与解密密钥不相同(公开钥公开钥 PK PK、秘密钥、秘密钥 SK)SK)l公开钥用来加密信息，秘密钥用来解密信息公开钥用来加密信息，秘密钥用来解密信息l公开钥可以公开，秘密钥必须保密公开钥可以公开，秘密钥必须保密l典型算法典型算法:RSA，E

8、lGamall算法本身基于数学上的难题，如：大整数分解、离散对算法本身基于数学上的难题，如：大整数分解、离散对数问题数问题明文明文 公开钥公开钥 密文密文 秘密钥秘密钥 原始明文原始明文12 12非对称密钥加密解密过程非对称密钥加密解密过程XXXX密文密文HiHoware you原信息原信息发送端发送端XXXX密文密文HiHoware you原信息原信息接收端接收端Internet接收者接收者公钥公钥加密加密解密解密接收者接收者私钥私钥五、密钥系统五、密钥系统1313五、密钥系统五、密钥系统v对称加密和公钥加密的比较对称加密和公钥加密的比较l对称加密的优点：对称加密的优点：*速度快速度快,处理

9、量大，适用于对应用数据的直接加密。处理量大，适用于对应用数据的直接加密。*加密密钥长度相对较短加密密钥长度相对较短,如如4040比特比特-128-128比特。比特。*除了加密，还可构造各种加密体制，如产生伪随机数，除了加密，还可构造各种加密体制，如产生伪随机数，HASHHASH函数等。函数等。*历史悠久。历史悠久。l对称加密的缺点：对称加密的缺点：*密钥在双方都要一致、保密，传递较难。密钥在双方都要一致、保密，传递较难。*大型网络中密钥量大，难以管理，一般需要大型网络中密钥量大，难以管理，一般需要TTPTTP。*密钥需要经常更换。密钥需要经常更换。14 14五、密钥系统五、密钥系统l公钥加密的

10、优点：公钥加密的优点：*只有秘密钥只有秘密钥(私钥私钥)保密，公开钥公开。保密，公开钥公开。*网络上密钥管理只需要一个功能性网络上密钥管理只需要一个功能性TTPTTP，而不是一个绝，而不是一个绝对安全的对安全的TTPTTP，不需在线，可以离线。，不需在线，可以离线。*密钥生命周期相对较长密钥生命周期相对较长.*许多公钥方案可以产生数字签名机制。许多公钥方案可以产生数字签名机制。*在大型网络上，所需的密钥相对较少在大型网络上，所需的密钥相对较少。l公钥加密的缺点：公钥加密的缺点：*速度慢，处理量少，适用于密钥交换。速度慢，处理量少，适用于密钥交换。*密钥长度相对较长。密钥长度相对较长。*安全性没

11、有得到理论证明。安全性没有得到理论证明。*历史较短。历史较短。15 15六、消息摘要六、消息摘要v单向单向HASHHASH函数函数l 功能：任意长的二进制数据变换成定长的二进制数据功能：任意长的二进制数据变换成定长的二进制数据l 特性：特性：找到两个不同的输入得到相同的找到两个不同的输入得到相同的HASH值在计算上值在计算上是不可是不可 能的。即能的。即HASH碰撞率极低。碰撞率极低。一般一般HASH函数不需要密钥。函数不需要密钥。当用来确保输入信息没有被篡改时，叫做当用来确保输入信息没有被篡改时，叫做MDC码。码。包含密钥的包含密钥的HASH函数，用来提供数据源认证和数函数，用来提供数据源认

12、证和数据完整据完整 性校验时，叫做性校验时，叫做MAC码。码。典型算法：典型算法：MD2，MD4，MD5，SHA1等。等。16 16v消息摘要消息摘要HiHoware you原信息原信息发送端发送端XXXX摘要摘要HiHoware you原信息原信息接收端接收端XXXX摘要摘要Hash函数加密函数加密XXXX摘要摘要Hash函数加密函数加密InternetInternet对比对比六、消息摘要六、消息摘要17 17v数字签名过程数字签名过程原信息原信息摘要摘要数字数字签名签名Hash函数函数加密加密发送者发送者私钥加密私钥加密发送端发送端接收端接收端摘要摘要数字数字签名签名原信息原信息发送者发送

13、者公钥解密公钥解密摘要摘要Hash函数函数加密加密对比对比InternetInternet七、数字签名七、数字签名18 18v数字时间戳数字时间戳原信原信息息摘要摘要1摘要摘要1时间时间Hash函数函数加密加密第三方第三方加时间加时间Internet数字时间戳数字时间戳数字时间戳数字时间戳Internet发送端发送端摘要摘要1摘要摘要1时间时间加了加了时间时间后的后的新摘新摘要要第三方私第三方私钥加密钥加密Hash函数函数加密加密八、八、数字时间戳数字时间戳19 19九、数字证书九、数字证书v数字证书数字证书l简介简介*采用一个功能性采用一个功能性TTP（Third Trusted Party

14、），即认证），即认证中心（中心（CA），确保用户的公开钥与用户的实际身份相），确保用户的公开钥与用户的实际身份相一致。一致。*使用的技术是使用的技术是CA对用户的公开钥与用户身份信息通过对用户的公开钥与用户身份信息通过数字签名有效捆绑。数字签名有效捆绑。*由由用户的公开钥用户的公开钥与与用户身份信息用户身份信息以及以及CA的签名信息的签名信息所所构成的实体，叫做公钥数字证书构成的实体，叫做公钥数字证书,简称证书简称证书(Certificate)。*证书是由认证中心签发的。证书是由认证中心签发的。*证书种类：证书种类：用途：加密、签名、密钥交换等。用途：加密、签名、密钥交换等。对象：个人、团体、

15、服务器、客户端等。对象：个人、团体、服务器、客户端等。2020九、数字证书九、数字证书l数字证书的内容数字证书的内容*证书拥有者的姓名证书拥有者的姓名*证书拥有者的公钥证书拥有者的公钥*公钥的有效期公钥的有效期*颁发数字证书的单位颁发数字证书的单位*颁发数字证书单位的数字签名颁发数字证书单位的数字签名*数字证书的序列号数字证书的序列号21 21九、数字证书九、数字证书l数字证书的认证原理数字证书的认证原理 *认证中心认证中心CACA有自己的一个公钥对，用于对用户认证（数字有自己的一个公钥对，用于对用户认证（数字签名），签名），CACA的秘密钥有高度的保密性，公开钥公开（以自的秘密钥有高度的保密

16、性，公开钥公开（以自签名证书的方式），用户需要签名证书的方式），用户需要安全安全获得。获得。*对于由对于由CACA签发的证书，有不可伪造性。用户可以通过签发的证书，有不可伪造性。用户可以通过CACA的的自签名证书验证用户证书的有效性。自签名证书验证用户证书的有效性。*验证内容包括：验证内容包括：CACA的自签名证书验证自身签名是否正确；的自签名证书验证自身签名是否正确；用户证书中的证书签发者与用户证书中的证书签发者与CACA证书中的证书拥有者是否一致；证书中的证书拥有者是否一致；用用CACA的自签名证书中的公开钥验证用户证书中的签名是否正确；的自签名证书中的公开钥验证用户证书中的签名是否正确；

17、证书有效期是否有效；证书有效期是否有效；其它检查（如密钥的用途等）其它检查（如密钥的用途等）最后确定证书的拥有者是否是想通信的对象最后确定证书的拥有者是否是想通信的对象。2222九、数字证书九、数字证书l数字证书的应用数字证书的应用通过某种安全协议，用户数字证书得以交换，根据证通过某种安全协议，用户数字证书得以交换，根据证书的种类（签名证书或加密证书），使用其中的公钥书的种类（签名证书或加密证书），使用其中的公钥加密、交换密钥或验证签名等。加密、交换密钥或验证签名等。AB -A：随机产生随机产生KD(会话密钥会话密钥)用用B的证书中的的证书中的PK(公钥公钥)加密加密KD，产生密钥交换报文，产

18、生密钥交换报文CIPHER 将将CIPHER传送给传送给B -B：用自己的私钥解密用自己的私钥解密CIPHER，得到，得到KD -AB：以后以后A和和B使用使用KD作为对称密钥加密和解密交换的信息。作为对称密钥加密和解密交换的信息。KDKD2323九、数字证书九、数字证书v认证中心认证中心lCA定义定义Certificate Authority的缩写的缩写，即证书，即证书中心或认证机构。它是一个在互连网中心或认证机构。它是一个在互连网络中为网络用户提供安全认证服务的络中为网络用户提供安全认证服务的可信赖的第三方机构可信赖的第三方机构2424九、数字证书九、数字证书lCACA功能功能*政策制订：

19、政策制订：包括对申请证书用户的审核要求，及认证中心包括对申请证书用户的审核要求，及认证中心 自身运转的要求等。自身运转的要求等。*密钥管理：密钥管理：用于签名用户证书的密钥和其他密钥的产生、用于签名用户证书的密钥和其他密钥的产生、更新、备份、恢复等。更新、备份、恢复等。*证书管理：证书管理：包括接收用户的证书请求，审核用户的合法身包括接收用户的证书请求，审核用户的合法身 份，发放用户的数字证书，管理用户的证书等。份，发放用户的数字证书，管理用户的证书等。*黑名单管理：黑名单管理：包括注销用户的数字证书，定期产生黑名单，包括注销用户的数字证书，定期产生黑名单，发布黑名单。发布黑名单。*目录管理：

20、目录管理：目录服务器设置、证书、目录服务器设置、证书、CRLCRL等的更新等。等的更新等。*系统维护：系统维护：包括系统运行日志、审计、备份和灾难恢复等包括系统运行日志、审计、备份和灾难恢复等2525九、数字证书九、数字证书lCACA的层次性结构的层次性结构根CA子CA子CA子CA子CA子CA用户用户用户子CA用户N+1层N层N-1层子CA子CA顶层2626十、安全套接层协议（十、安全套接层协议（SSL）vSSL（Secure Sockets Layer）协议）协议l是是NETSCAPE公司最早制定的适合于公司最早制定的适合于C/S结构的点到点结构的点到点加密通道网络信息安全传输协议，包括加密

21、通道网络信息安全传输协议，包括V2和和V3版本。版本。后来国际标准组织对其改进，形成国际标准后来国际标准组织对其改进，形成国际标准TLS(Transport Layer Security)。l通过数字证书实现身份认证。通过数字证书实现身份认证。l通过单方或双方的身份认证，完成对称密钥的共享。通过单方或双方的身份认证，完成对称密钥的共享。l通过共享对称密钥加密完成所传输的任何信息的加密。通过共享对称密钥加密完成所传输的任何信息的加密。l通过通过MAC码实现信息的完整性。码实现信息的完整性。l工作层次：工作层次：TCP之上，应用层之下。之上，应用层之下。2727十、安全套接层协议（十、安全套接层协

22、议（SSL）ServerClientClientSSLSSL2828十、安全套接层协议（十、安全套接层协议（SSL）vSSLSSL协议构成协议构成协议由五个子协议和两个状态组成。协议由五个子协议和两个状态组成。l五个协议：五个协议：*握手协议（握手协议（Handshake ProtocolHandshake Protocol）*加密配置改换协议（加密配置改换协议（Change Cipher Spec Change Cipher Spec ProtocolProtocol）*警告协议（警告协议（Alert ProtocolAlert Protocol）*数据组层协议（数据组层协议（Record

23、Layer ProtocolRecord Layer Protocol）*应用数据协议（应用数据协议（Application Data ProtocolApplication Data Protocol）l两个状态：两个状态：*联系状态（联系状态（Connection StateConnection State）*会话状态（会话状态（Session StateSession State）2929十、安全套接层协议（十、安全套接层协议（SSL）vSSLSSL协议示意图协议示意图3030十、安全套接层协议（十、安全套接层协议（SSL）vSSLSSL协议运行协议运行l接通阶段：客户向服务商打招呼，服

24、务商回应接通阶段：客户向服务商打招呼，服务商回应l密码交换阶段：客户与服务商之间交换双方认密码交换阶段：客户与服务商之间交换双方认可的密码可的密码l会谈密码阶段：客户与服务商之间产生彼此交会谈密码阶段：客户与服务商之间产生彼此交谈的密码谈的密码l检验阶段：检验服务商取得的密码检验阶段：检验服务商取得的密码l客户认证阶段：验证客户的可信度客户认证阶段：验证客户的可信度l结束结束上述过程结束后，双方可安全交换信息上述过程结束后，双方可安全交换信息3131十、安全套接层协议（十、安全套接层协议（SSL）vSSLSSL协议的应用协议的应用客户客户商家商家银行银行lSSLSSL协议缺乏对商家的认证协议缺

25、乏对商家的认证lSSLSSL协议有利于商家而不利于客户协议有利于商家而不利于客户lSSLSSL协议运行的基点是商家对客户信息协议运行的基点是商家对客户信息保密的承诺保密的承诺l随着电子商务的广泛开展，随着电子商务的广泛开展，SSLSSL协议的协议的缺点越来越明显缺点越来越明显3232十一、安全电子交易协议（十一、安全电子交易协议（SET）vSET(Secure Electric Transaction)lSET协议是由协议是由Visa、MasterCard、IBM、Microsoft及多及多家著名金融、科技机构共同制定的国际公认的安全电子家著名金融、科技机构共同制定的国际公认的安全电子交易标准

26、，专门解决以信用卡持有人、商家、银行为核交易标准，专门解决以信用卡持有人、商家、银行为核心，信用卡在网上电子购物和电子支付的问题。它为信心，信用卡在网上电子购物和电子支付的问题。它为信用卡的持有者在网上消费提供了一种更安全更保密的机用卡的持有者在网上消费提供了一种更安全更保密的机制。制。lSET标准包括了信用卡在电子交易中的交易协议、资料标准包括了信用卡在电子交易中的交易协议、资料隐私性、资料完整性以及资料认证、数字签名等。隐私性、资料完整性以及资料认证、数字签名等。lSET技术主要由电子钱包、支付网关、商家电子商店、技术主要由电子钱包、支付网关、商家电子商店、安全认证中心（安全认证中心（SE

27、T-CA）组成。）组成。3333十一、安全电子交易协议（十一、安全电子交易协议（SET）vSETSET解决方案一般组成解决方案一般组成l客户电子钱包客户电子钱包 提供客户证书申请、查询和浏览；发送购货及支付提供客户证书申请、查询和浏览；发送购货及支付指令；购货信息的管理等功能。指令；购货信息的管理等功能。l商户电子商店商户电子商店 提供商户证书申请、查询和浏览；购货请求应答；提供商户证书申请、查询和浏览；购货请求应答；获取网关缴款授权信息；销货记录的管理等功能。获取网关缴款授权信息；销货记录的管理等功能。l支付网关支付网关提供网关证书申请、查询和浏览；黑名单管理；支提供网关证书申请、查询和浏览

28、；黑名单管理；支付授权；缴款和退款等功能。付授权；缴款和退款等功能。lSET-CASET-CA证书中心证书中心负责签发数字证书和对黑名单的维护管理。负责签发数字证书和对黑名单的维护管理。3434十一、安全电子交易协议（十一、安全电子交易协议（SET）vSETSET协议的应用协议的应用网上购物流程描述网上购物流程描述 l1.持卡人登录商家电子商店浏览商品目录持卡人登录商家电子商店浏览商品目录.选择要购买的商品选择要购买的商品.l2.商家形成订单信息商家形成订单信息(包括商品名称、价格、数量、总计金额、交货方包括商品名称、价格、数量、总计金额、交货方式等式等)。l3.持卡人选择支付方式持卡人选择支

29、付方式(支付卡支付支付卡支付)。通过电子钱包，向商家发送订单。通过电子钱包，向商家发送订单信息和支付信息，此时，信息和支付信息，此时，SET开始介入。订单信息和支付信息均进行数开始介入。订单信息和支付信息均进行数字签名并加密字签名并加密l4.商家保存订单信息，并将支付信息转送银行网关认证商家保存订单信息，并将支付信息转送银行网关认证.l5.商家向持卡人发送确认信息商家向持卡人发送确认信息.l6.商家向持卡人交送货物商家向持卡人交送货物.l7.商家向银行缴款商家向银行缴款.3535十一、安全电子交易协议（十一、安全电子交易协议（SET）v网上购物对安全的需要网上购物对安全的需要 l保证支付信息的

30、保密性以及与之一起的订单信息的保密保证支付信息的保密性以及与之一起的订单信息的保密性性.l保证所有传输信息的完整性保证所有传输信息的完整性.l对持卡人是某一品牌支付卡帐号的合法用户进行认证对持卡人是某一品牌支付卡帐号的合法用户进行认证.l对商家可以接受某一品牌支付卡交易进行认证对商家可以接受某一品牌支付卡交易进行认证.l保证最好的安全应用和系统设计来保护在电子商务交易保证最好的安全应用和系统设计来保护在电子商务交易中的每一个参与者中的每一个参与者.l设计的电子商务协议与其安全协议应具有独立性。设计的电子商务协议与其安全协议应具有独立性。3636十一、安全电子交易协议（十一、安全电子交易协议（S

31、ET）vSETSET协议对安全的处理协议对安全的处理为了增加系统的信息保密性、完整性、身份认证和为了增加系统的信息保密性、完整性、身份认证和交易的不可否认性，安全处理如下：交易的不可否认性，安全处理如下：l建设建设CACA系统，为交易参与实体签发各种数字证书。系统，为交易参与实体签发各种数字证书。l交易参与实体（持卡人、商家、银行网关）利用数字证书，包括加交易参与实体（持卡人、商家、银行网关）利用数字证书，包括加密证书和签名证书，实现交易中身份认证和加密密钥传输；密证书和签名证书，实现交易中身份认证和加密密钥传输；l采用公开钥加密技术和对称加密技术以及数字签名技术，实现高强采用公开钥加密技术和

32、对称加密技术以及数字签名技术，实现高强度加密以及防止交易中的抵赖现象；度加密以及防止交易中的抵赖现象；l采用采用HASHHASH函数和函数和MACMAC码实现交易数据完整性校验；码实现交易数据完整性校验；l为了保证为了保证订单信息订单信息和和支付信息支付信息的互补性保密及其关联性（商家只能的互补性保密及其关联性（商家只能看到订单信息，银行网关只能看到支付信息，且订单信息和支付信看到订单信息，银行网关只能看到支付信息，且订单信息和支付信息是一一对应的），采用了双签技术。息是一一对应的），采用了双签技术。l持卡人证书中不包含帐号信息，但包含其摘要值，可以验证帐号和持卡人证书中不包含帐号信息，但包含

33、其摘要值，可以验证帐号和证书的一致性。证书的一致性。3737十二、十二、PKIPKI简介简介vPKIPKI简介简介 PKI(Public Key Infrastructure),PKI(Public Key Infrastructure),称为称为公钥公钥基础设施基础设施。即为管理用户的数字证书、公钥。即为管理用户的数字证书、公钥以及安全政策的一系列安全服务的集合。以及安全政策的一系列安全服务的集合。PKI PKI解决采用公开钥技术实现安全所需解决采用公开钥技术实现安全所需要的背景支撑。要的背景支撑。3838十二、十二、PKIPKI简介简介vPKIPKI组成组成 由三个核心组件构成：由三个核心

34、组件构成：l证书中心证书中心（Certificate AuthorityCertificate Authority）：为所有用户提）：为所有用户提供证书服务和密钥服务。如证书签发、证书注销、供证书服务和密钥服务。如证书签发、证书注销、证书更新、证书发布、加密密钥恢复、黑名单生证书更新、证书发布、加密密钥恢复、黑名单生成和发布等。一般成和发布等。一般CACA中心由中心由CACA和和RARA（Registry Registry AuthorityAuthority）构成。）构成。l目录服务目录服务（RepositoryRepository）：使用目录服务器管理用）：使用目录服务器管理用户密钥、证书

35、、黑名单等。户密钥、证书、黑名单等。l管理功能管理功能(Management function)(Management function)：管理终端实现：管理终端实现PKIPKI管理功能。管理功能。3939十二、十二、PKIPKI简介简介vPKIPKI的功能的功能 功能功能描述描述实现实现用户登记用户登记搜集用户信息，验证审核用户身份搜集用户信息，验证审核用户身份CA或或RA的功能的功能签发证书签发证书对用户的证书申请，签发证书对用户的证书申请，签发证书CA的功能的功能注销证书注销证书生成并发布黑名单生成并发布黑名单CRLCA管理终端的功能管理终端的功能存储、恢复证存储、恢复证书和黑名单书和黑

36、名单使用户证书和黑名单让授权用户可以使用户证书和黑名单让授权用户可以方便得到方便得到采用安全备份的目录服采用安全备份的目录服务器管理证书和黑名单务器管理证书和黑名单基于政策的证基于政策的证书路径验证书路径验证实现基于证书政策限制的证书链验证。实现基于证书政策限制的证书链验证。CA的功能的功能密钥生命周期密钥生命周期管理管理密钥的更新、存档、恢复等密钥的更新、存档、恢复等软件自动或手工实现软件自动或手工实现4040十三、十三、中国金融认证中心中国金融认证中心(CFCA)(CFCA)v简介简介l(China Finance Certification Authority)l由中国人民银行牵头，由中

37、国工商银行、中国银行、中由中国人民银行牵头，由中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等光大银行、民生银行等12家商业银行参加联合共建家商业银行参加联合共建l采用采用PKI技术，建立了技术，建立了SET和和NonSET两套系统，提两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用及证书的使用41 41十三、十三、中国金融认证中心中国金融认证中心(CFCA)(CFCA)4242