课题3-2 认证技术应用.ppt

《课题3-2 认证技术应用.ppt》由会员分享，可在线阅读，更多相关《课题3-2 认证技术应用.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、图1下页下页3.1 电子商务系统的安全要求电子商务系统的安全要求3.2 数据加密技术数据加密技术3.3 认证技术认证技术3.4 电子商务的安全交易标准电子商务的安全交易标准目目录录课题课题3 3 电子商务安全电子商务安全图23.3 3.3 认证技术认证技术n3.3.1身份认证身份认证n3.3.2认证中心认证中心n3.3.3数字证书数字证书n3.3.4数字摘要数字摘要n3.3.5数字签名数字签名n3.3.6数字时间戳数字时间戳图3认证技术是保证电子商务交易安全的一项认证技术是保证电子商务交易安全的一项重要技术。重要技术。主要包括身份认证和信息认证。前者用于主要包括身份认证和信息认证。前者用于鉴别

2、用户身份，后者用于保证通信双方的鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性。不可抵赖性以及信息的完整性。图4电子商务身份认证的目标电子商务身份认证的目标信息来源的可信性信息来源的可信性完整性。信息没有被修改、延迟和替完整性。信息没有被修改、延迟和替换；换；不可抵赖性。信息的发送方或接收方不可抵赖性。信息的发送方或接收方不能否认不能否认访问控制。拒绝非法用户访问。访问控制。拒绝非法用户访问。3.3.1 3.3.1 身份认证身份认证图5 用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击

3、。四种常用的身份认证方式四种常用的身份认证方式(1)口令方式口令方式图6 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。(2)标记方式标记方式图7 某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。(3)人体生物学特征方式人体生物学特征方式图8 使用使用CA中心颁发的数字证书中心颁发的数字证书进行网上身份的识别进行网上身份的识别。(4)PKI方式方式图93.3.2 3.3.2 认证中心认证中心 （CA-CA-Certificate AuthorityCertificate Authority）。）。也也称称之之为为电电子子证证书书认认证证

4、中中心心，是是承承担担网网上上安安全全电电子子交交易易认认证证服服务务，能能签签发发数数字字证证书书，确确认认用用户户身身份份的的、与与具具体体交交易易行行为为无无关关的的第第三三方方权权威威机构。机构。国国外外的的认认证证中中心心通通常常是是企企业业性性的的服服务务机机构构，主主要要任任务务是是受受理理证证书书的的申申请请、签签发发和和管管理理数数字字证证书书。其其核核心心是是公公共共密密钥钥基基础设施（础设施（PKIPKI）。）。图10认证机构的可靠程度取决于认证机构的可靠程度取决于系统的保密结构。系统的保密结构。确认用户身份的政策和方法。确认用户身份的政策和方法。用户是否能信赖他人的证明

5、。用户是否能信赖他人的证明。机构在安全管理方面的经验。机构在安全管理方面的经验。图111.1.认证中心的职能认证中心的职能 认认证证机机构构的的核核心心职职能能是是发发放放和和管管理理用户的数字证书。用户的数字证书。图12认证中心的四大具体职能认证中心的四大具体职能认认证证中中心心接接受受个个人人、单单位位的的数数字字证证书书申申请请，何何时时申申请请人人的的各各项项资资料料是是否否真真实实，根根据据核核实实情情况况决决定是否颁发数字证书。定是否颁发数字证书。核发证书核发证书图13证证书书使使用用总总是是有有期期限限的的，在在证证书书发发行签字时都规定了失效日期；行签字时都规定了失效日期；具具

6、体体使使用用期期长长短短由由CACA根根据据安安全全策策略略来定。来定。更更换换过过期期证证书书，密密钥钥对对也也需需要要定定期期更换。更换。证书更新证书更新图14证证书书的的撤撤消消可可以以有有许许多多理理由由，如如发发现现、怀怀疑疑私私钥钥被被泄泄露露或或检检测测出出证证书书已已被被篡篡改改，则则CACA可以提前撤销或暂停使用该证书。可以提前撤销或暂停使用该证书。申请撤销。申请撤销。证书撤销表证书撤销表CRLCRL。举例：。举例：深圳深圳CACA 证书撤销证书撤销图15证书验证证书验证证证书书是是通通过过信信任任分分级级层层次次体体系系（通通常常称称为为证证书书的的树树形形验验证证结结构构

7、）来来验验证证的的。每每一一个个证证书书与与签签发发数数字字证书的机构的证书的机构的签名证书关联签名证书关联。验证举例说明验证举例说明图162.CA2.CA的树型验证结构的树型验证结构 图17国外国外CACA中心介绍中心介绍图18世世界界上上较较早早的的数数字字证证书书认认证证中中心心、处处于于领领导导地地位位和和全全球球最最大大的的PKIPKICACA运运营营商商是是美美国国VeriSignVeriSign公公司司，该该公公司司成成立立于于19951995年年4 4月月，位位于于美美国国的的加加利利福福尼尼亚亚州州。它它为为全全世世界界5050个个国国家家提提供供数数字字证证书书服服务务，有

8、有超超过过4500045000个个互互联联网网服服务务器器接接受受该该公公司司的的服服务务器器数数字字证证书书，使使用用它它提提供供的的个个人人数数字字凭凭证的人数也已经超过证的人数也已经超过200200万。万。另另 外外 一一 家家 著著 名名 的的 公公 司司 是是 加加 拿拿 大大 的的ENTRUSTENTRUST。图193.3.我国认证中心现状我国认证中心现状我我国国安安全全认认证证体体系系(CA)(CA)可可分分为为金金融融CACA与与非非金金融融CACA两种类型来处理。两种类型来处理。在在金金融融CACA方方面面，根根证证书书由由中中国国人人民民银银行行管管理理，根根认认证证管管理

9、理一一般般是是脱脱机机管管理理；品品牌牌认认证证中中心心采采用用“统一品牌、联合建设统一品牌、联合建设”的方针进行。的方针进行。在在非非金金融融CACA方方面面，最最初初主主要要由由中中国国电电信信负负责责建设。建设。图20我我国国的的CACA又又可可分分为为行行业业性性CACA和和区区域域性性CACA两两大大类。类。行行业业性性CACA：中中国国金金融融认认证证中中心心（CFCACFCA）和和中中国国电电信信认认证证中中心心（CTCACTCA）是是行行业业性性CACA中中影影响响最最大大的两家。的两家。区区域域性性CACA大大多多以以地地方方政政府府为为背背景景，以以公公司司机机制制来来运运

10、作作，如如广广东东CACA中中心心（CNCACNCA）、上上海海CACA中中心心(SHECA)(SHECA)、深深圳圳CACA中中心心(SZCA)(SZCA)，其其中中影影响响最最大大的的是是广东广东CACA中心（中心（CNCACNCA）和上海）和上海CACA中心中心(SHECA)(SHECA)。图21v如果按照技术来源划分，CA中心还可分为引进国外技术与完全自主开发两类。vCFCA和天威诚信属于前者，广东CA和上海CA都属于后者。v深圳CA与广东南海CAvCFCA的SET系统由IBM公司承建，NON-SET系统由德达/SUN/Entrust集团承建。天威诚信天威诚信的技术平台来自VeriSi

11、gn。但它们的密码模块却都是由国内自主开发，经国家安全部门认可的。图22CFCA CFCA 是是全全国国唯唯一一的的金金融融根根认认证证中中心心，由由中中国国人人民民银银行行负负责责统统一一规规划划管管理理，中中国国工工商商银银行行、中中国国银银行行、中中国国农农业业银银行行、中中国国建建设设银银行行、交交通通银银行行、招招商商银银行行、中中信信实实业业银银行行、华华夏夏银银行行、广广东东发发展展银银行行、深深圳圳发发展展银银行行、光光大大银银行行、民民生生银银行行和和福福建建兴兴业业银银行行共共十十三三家家商商业业银银行行联联合合建建设设，由由银银行行卡卡信信息息交交换换总总中中心心承承建建

12、，建建立立了了SETCASETCA和和Non-Non-SETCASETCA两两套套系系统统，于于20002000年年6 6月月2929日日正正式式开开始始为为全全国的用户提供证书服务。国的用户提供证书服务。中国金融认证中心（CFCA）图23在在管管理理分分工工上上，中中国国人人民民银银行行负负责责管管理理根根认认证证中中心心CFCACFCA，并并负负责责审审批批、认认证证统统一一的的品品牌牌认认证中心。一般脱机进行。证中心。一般脱机进行。品品牌牌认认证证中中心心由由成成员员银银行行接接受受中中国国人人民民银银行行的的委委托托建建设设、运运行行和和管管理理，建建立立对对最最终终持持卡卡人人、商商

13、业业用用户户和和支支付付网网关关认认证证证证书书的的审审批批、管管理理和和认认证证等等工工作作，其其中中管管理理包包括括证证书书申申请请、补补发发、重发和注销等内容。重发和注销等内容。图24图25图26 广东CA及“网证通”（NETCA）系统广广东东省省电电子子商商务务认认证证中中心心是是国国家家电电子子商商务务的的试试点点工工程程，其其前前身身是是中中国国电电信信南南方方电电子子商商务务中中心心，创创立立于于19981998年年。20012001年年1 1月月，广广东东省省电电子子商商务务认认证证中中心心的的“网网证证通通”电电子子认认证证系系统统通通过过国国家家公公安安部部计计算算机机信信

14、息息系系统统安安全全产产品品质质量量监监督督检检测测，被被认认定定为为安安全全可可信信的的产产品品。20012001年年8 8月月，国国家家密密码码管管理理委委员员会会办办公公室室批批准准广广东东省省电电子子商商务务认认证证中中心心使使用用密密码码和和建建立立密密钥钥管管理理中中心心，成成为为国国内内提提供供网网络络安安全全认认证证服服务务的的重要力量。重要力量。图27图28图29 上海CA（SHECA）图30上上海海CACA成成立立于于19981998年年，专专门门从从事事信信息息安安全全技技术术认认证证和和安安全全信信任任服服务务以以及及相相关关产产品品的的研研发发和和整整合合，提提供供包

15、包括括安安全全设设计计、安安全全评评估估（风风险险评评估估）、安安全全检检测测（入入侵侵检检测测、审审计计）、漏漏洞洞扫扫描描、安安全全敏敏感感数数据据托托管管、电电子子举举证证、公公正正时时间间戳戳等等服服务。务。图31国内主要的电子商务认证中心北京数字证书认证中心：http:/深圳市电子商务认证中心：http:/广东省电子商务认证中心：http:/海南省电子商务认证中心：http:/湖北省电子商务认证中心：http:/上海电子商务安全证书管理中心：http:/中国数字认证网：http:/山西省电子商务安全认证中心：http:/中国金融认证中心：http:/天津电子商务运作中心：http:/

16、 3.3.3 数字证书数字证书数数字字证证书书就就是是标标志志网网络络用用户户身身份份信信息息的的一一系系列列数数据据，用用于于证证明明某某一一主主体体（如如个个人人用用户户、服服务务器器等等）的的身身份份以以及及其其公公钥钥的的合合法法性性的的一一种种权权威威性性的的电电子子文文档档，由由权权威威公公正正的的第第三三方方机机构构，即即CACA中心签发。中心签发。1.1.数字证书的概念数字证书的概念图33数字证书的拥有者可以将其证书提供给其他人、数字证书的拥有者可以将其证书提供给其他人、WebWeb站点及网络资源，以证实他的合法身份，站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可

17、信的通信。并且与对方建立加密的、可信的通信。以数字证书为核心的加密技术可以对网络上传以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。认性，从而保障网络应用的安全性。图34图35目目前前大大多多数数商商务务网网站站使使用用用用户户名名和和口口令令的的方方式式来来对对用用户户进进行行认认证证，这这种种方方式式需需要要站站点点收收集集所所有

18、有注注册册用用户户的的信信息息，维维护护庞庞大大的的用用户户信信息息数数据据库库。同同时时这这种种传传统统登登录录机机制制的的安安全性也比较脆弱，容易遭到外界的攻击破坏。全性也比较脆弱，容易遭到外界的攻击破坏。数数字字证证书书的的安安全全与与认认证证功功能能消消除除了了传传统统的的口口令令机机制制中中内内在在的的安安全全脆脆弱弱性性，为为每每个个用用户户提提供供唯唯一一的的标标识识，以以便便利利的的方方式式来来访访问问WebWeb服务器，降低了网站的维护和支持成本。服务器，降低了网站的维护和支持成本。图362.2.数字证书的内容数字证书的内容 数数字字证证书书的的内内部部格格式式遵遵循循X.5

19、09X.509标标准准。X.509X.509是是由由国国际际电电信信联联盟盟(ITU-T)(ITU-T)制制定定的的数数字字证证书书标标准准。根根据据这这项项标标准准，证证书书包包括括申申请请证证书书个个人人的的信信息息和和发发行行证证书书机机构构的信息。的信息。图37l证书拥有者的姓名；证书所有人的名称，命名规则一般采用X.500格式；l证书的版本信息。用来与X.509标准的将来版本兼容。l证书的序列号。每个证书都有一个唯一的证书序列号。l证书所使用的签名算法。l颁发者。即证书的发行机构名称，命名规则一般采用X.500格式。l证书的有效期限。现在通用的证书一般采用UTC时间格式，它的计时范围

20、为1950-2049；l证书主题名称。l证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示（只适用于RSA加密体制）；l包含额外信息的特别扩展。l证书发行者对证书的签名。标准的标准的X.509X.509数字证书包含内容：数字证书包含内容：图38图39图403.3.数字证书的有效性数字证书的有效性 数字证书才有效条件：证书没有过期。密钥没有修改。用户仍然有权使用这个密钥。证书不在无效证书清单中。图411.1.个人数字证书个人数字证书2.2.单位证书单位证书3.3.服务器证书服务器证书4.4.代码签名证书代码签名证书数字证书按照使用对象划分数字证书按照使用对象划分:4.4.数字证书的类型数字证

21、书的类型 图42 个人证书个人证书(客户证书客户证书)个人身份证书个人身份证书 个人身份证书是用来表个人身份证书是用来表明和验证个人在网络上身份的证书，它确保明和验证个人在网络上身份的证书，它确保了网上交易的操作的安全性和可靠性。个人了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或身份证书可以存储在软盘或ICIC卡中。卡中。个人安全电子邮件证书个人安全电子邮件证书 个人安全电子个人安全电子邮件证书可以确保邮件的真实性和保密性。邮件证书可以确保邮件的真实性和保密性。图43 单位证书单位证书单位证书单位证书单位（客户端）数字证书单位（客户端）数字证书 主要主要用于单位安全电子事务处理

22、。具体应用于单位安全电子事务处理。具体应用如：安全电子邮件传送、网上公文用如：安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网传送、网上签约、网上招标投标、网上办公系统等。上办公系统等。图44服务器证书服务器证书服务器证书服务器证书服务器证书（站点证书）服务器证书（站点证书）服务器服务器证书主要用于网站交易服务器的身份识证书主要用于网站交易服务器的身份识别，使得连接到服务器的用户确信服务别，使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。实性

23、、安全性、可信任性等。图45代码签名证书代码签名证书代码签名证书代码签名证书又称代码数字证书，代表软件又称代码数字证书，代表软件开发者的身份，用于对其开发的开发者的身份，用于对其开发的软件进行数字签名，证明软件的软件进行数字签名，证明软件的合法性。合法性。图46软件数字证书使用前软件数字证书使用前软件数字证书使用前软件数字证书使用前图47软件数字证书使用前软件数字证书使用前软件数字证书使用前软件数字证书使用前图48软件数字证书使用后软件数字证书使用后软件数字证书使用后软件数字证书使用后图49试用版证书申请访问链接中国数字认证网：http:/，为个人或非营利性机构提供有效期限为一年免费试用数字证书，同时也提供30天的免费临时测试证书；广东省电子商务认证中心：https:/，提供90天试用证书；图50谢谢观赏！谢谢观赏！深圳信息职业技术学院深圳信息职业技术学院制作人：万守付