63认证技术与数字证书.doc

【课题】认证技术与数字证书【教材版本】尚建成.中等职业学校电子商务专业教育部推荐教学用书电子商务基础.北京：高等教育出版社，2004【教学目标】通过本节内容的学习，要求学生了解电子交易中用户身份认证的方式，理解各项认证技术的基本原理及其应用；掌握数字凭证的含义、类型，并能申请和使用数字凭证，对认证中心有一定了解。【教学重点、难点】教学重点：认证技术的原理，数字凭证的含义、类型。教学难点：认证技术的基本原理及其应用，数字凭证的申请和使用。【教学媒体及教学方法】使用第6章第三节配套教学课件。综合采用讲授法、举例法、图示法、演示法、模拟操作法等不同的教学方法。使用配套教学课件通过图示、举例、讲授身份认证的方式、各项认证技术的基本原理及其应用、认证中心。对数字凭证的含义、主要类型及作用等理论知识内容，采取以讲授法为主、辅以演示法加深形象思维的教学方法；对数字凭证的申请及使用等实际操作内容，则以学生模拟实作为主，辅以教师演示，使学生在亲身体验中实现技能的过手和能力的培养。【课时安排】90分钟。【教学建议】 由于本节中认证技术部分内容专业性、技术性较强，专业术语较多，学生可能在学习中感觉到抽象，不易理解，建议在教学中通过一些案例、图示并辅以多媒体演示增强学生的感性认识。而学习数字凭证部分内容时，建议最好能辅以电子商务模拟教学软件或直接上网演示及让学生动手操作。【教学过程】一、导入（5分钟）复习上节内容：电子商务的安全控制要求有哪些？学生思考回答。引入新课讲授：如何实现交易者身份的确定性？二、新课讲授 （75分钟）6.3认证技术与数字证书6.3.1身份认证教师结合实际举例分析：身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。教师举例讲解：用户身份认证可通过三种基本方式或其组合方式来实现：（1）用户所知道的某个秘密信息，如用户知道自己的口令。（2）用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，如智能卡中存储用户个人化参数，访问系统资源时必须要有智能卡。（3）用户所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等。但这种方案一般造价较高，适用于保密程度很高的场合。教师举例对比讲解：根据在认证中采用因素的多少，可以分为单因素认证、双因素认证、多因素认证等方法。1身份认证的单因素法用户身份认证的最简单方法就是口令。对口令进行加密传输是一种改进的方法。2基于智能卡的用户身份认证基于智能卡的用户身份认证机制属于双因素法，它结合了基本认证方式中的第一种和第二种方法3一次口令机制最安全的身份认证机制是采用一次口令机制，即每次用户登录系统时口令互不相同，主要有两种实现方式。第一种采用“请求响答”方式。第二种方法采用“时钟同步”机制。6.3.2数字摘要(Digital Digest)教师图示简介其原理：数字摘要加密方法又可以称为安全Hash编码法(Secure Hash Algorithm简称SHA)或MD5(MDStandardsforMessageDigest)。采用单向Hash函数，将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(FingerPrint)，它有固定的长度，且不同的明文摘要而成的密文，其结果总是不同的，而同样的明文其摘要必定一致。只有完全一致，才可以证明信息在传送过程中是安全可靠，没有被进行篡改的。教师提问学生思考：为什么叫数字指纹？6.3.3数字签名(Digital Signature)教师提问学生回答：什么是数字签名？它与现实生活中的签名有何不同？教师举例分析：数字签名即以是数字化方式表明身份的标志信息。1公开密钥数字签名结合上节内容分析：数字签名是通过用密码算法对数据进行加、解密交换实现的。引导学生联系上一节学习的加密技术进行分析。教师图示分析：公开密钥数字签名 图6.5 公开密钥数字签名示意图2对文件的数字签名教师对比分析：对文件的数字签名过程是通过一个哈希函数来实现的。要在公开的网络上实现安全的文件传输，必须在文件中加入数字签名及实现数字签名的验证。教师图示讲解：加入数字签名及实现验证的文件传输过程如图6.6所示。图66 加入数字签名及实现签证的文件传输过程6.3.4数字时间戳(Digital Time-stamp)教师提问学生思考：在书面合同中，如何防止文件签署的日期被伪造和篡改？教师举例分析：数字时间戳服务(DigitalTimestampService，简称DTS)能提供电子文件发表时间的安全保护。数字时间戳服务是一个网上安全服务项目，由专门的机构提供。时间戳(Timestamp)是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要；DTS收到文件的日期和时间；DTS的数字签名。教师图示分析：时间戳产生的过程。教师对比分析：与书面签署文件的时间由签署人自己填写不同，数字时间戳是由认证单位DTS来加入的，以DTS收到文件的时间为依据。6.3.5数字凭证(Digital Certificate，Digital ID)教师提问学生讨论：现实生活中如何认定个人或企业的身份？引入数字凭证的产生和作用。教师举例分析并演示：数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问权限，由CA中心签发。教师举例演示讲解：数字凭证可用于电子邮件、电子商务、群件、电子资金转移等各种用途，是将公钥体制用于大规模安全电子商务的基本要素。数字凭证的内部格式是由CCITYX509国际标准所规定的，它包含了以下几点： 凭证拥有者的姓名； 凭证拥有者的公共密钥； 公共密钥的有效期； 颁发数字凭证的单位； 数字凭证的序列号(SerialNumber)； 颁发数字凭证单位的数字签名。教师演示讲解：介绍几种常见的数字证书：1.安全电子邮件证书教师演示讲解：个人安全E-mail证书是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。它的申请不需要通过业务受理点，由用户直接通过自己的浏览器完成，证书装载到浏览器中。安全E-mail证书可以直接到CA中心的站点申请，也可到开办了该业务的当地站点申请。教师演示讲解：用户到CA中心申请安全Email证书的流程如下：(1)使用自己的浏览器登录电子商务网站，选择正式证书申请，填写申请表格。(2)在线提交成功后，用户带相关证明到CA中心进行审核。 (3)用户填写证书申请表格和证书申请协议书。(4)CA中心证书审核员对用户在线填写的信息以及填写的表格信息进行审核，审核通过后为用户生成口令，打印口令密码信封，交给用户。(5)用户使用自己的浏览器登录电子商务网站，输入密码信封中的口令及个人E-mail账号后，便可下载证书。教师演示讲解：用户到当地申请安全Email证书的流程如下：（1）用户使用自己的浏览器登录当地的证书申请站点，填写申请表格。（2）在线提交成功后，用户带相关证明到当地的审核机关进行审核。（3）用户填写证书申请表格和证书申请协议书。（4）审核操作员对用户在线填写的信息以及填写的表格信息进行审核，审核通过后为用户生成口令，打印口令密码信封，交给用户。（5）用户使用自己的浏览器登录当地的证书申请站点，输入密码信封中的口令及个人E-mail账号后，便可下载证书。教师补充演示讲解：个人安全E-mail证书的使用。学生模拟操作：个人安全E-mail证书的申请。2.个人数字证书 教师演示讲解：一般个人证书是指个人使用电子商务应用系统应具备的证书。与个人安全E-mail证书对比分析其应用范围。教师演示讲解：一般个人证书的离线申请操作流程如下：（1）用户带相关证明到证书业务受理中心申请证书；（2）用户填写证书申请表格和证书申请协议书；（3）证书业务受理中心录入人员将数据录入并提交给RA中心；（4）业务受理点的审核员通过离线方式审核申请者的身份、能力和信誉等；（5）审核通过后，RA中心向CA中心转发证书的申请请求；（6）CA中心响应RA中心的证书请求，为该用户签发证书并返回给RA中心；（7）RA中心将签发的证书返回到地市业务受理中心；（8）如果证书介质是IC卡方式，则由印卡操作员对相应的IC卡进行印刷操作；（9）证书业务受理中心的制作操作员打印相应证书的密码信封，并将该用户的证书灌制到证书介质中后通知用户领取；（10）根据用户应用指南使用相关的证书业务。3.企业数字证书教师演示讲解：企业证书是指单位、团体、企业作为被服务者，参与电子商务应用系统时（如进行网上采购）应具备的证书。教师演示讲解：企业证书的申请操作流程如下：(1)用户带相关证明到证书业务受理中心申请证书；(2)用户填写证书申请表格和证书申请协议书；(3)业务受理中心录入人员将数据录入并提交给RA中心；(4)业务受理点的审核员通过离线方式审核申请者的身份、能力和信誉等；(5)审核通过后，RA中心向CA中心转发证书的申请请求；(6)CA中心响应RA中心的证书请求，为该用户签发证书并返回给RA中心；(7)CA中心将签发的证书返回到地市业务受理中心；(8)如果证书介质是IC卡方式，则由印卡操作员对相应的IC卡进行印刷操作；(9)证书业务受理中心的制作操作员打印相应证书的密码信封，并将该用户的证书灌制到证书介质中后通知用户领取；(10)用户根据用户应用指南使用相关的证书业务。4.服务器数字证书教师演示简介（略讲）：服务器证书用于电子商务应用系统中的服务器软件向其余企业和个人提供电子商务应用时使用，证书和密钥由服务器软件自身管理。服务器软件作为电子商务服务提供者，利用证书机制保证与其他服务器或个人通信的安全。 学生自学：服务器证书的申请操作流程如下：(1)户带相关证明到证书业务受理中心申请证书；(2)用户填写证书申请表格和证书申请协议书；(3)业务受理中心录入人员将录入数据提交给RA中心；(4)业务受理点的审核员通过离线方式初步审核申请者的身份、能力和信誉等；(5)审核通过后，RA中心向CA中心转发证书的申请请求；(6)CA中心证书审核操作员对提交的证书的申请进行复核，并保存审核结果；(7)CA中心签名服务器为证书审核通过的用户签发证书；(8)如果证书介质是IC卡方式，则由印卡操作员对相应的IC卡进行印刷操作；(9)RA中心定时从CA中心得到已签发的证书；(10)业务受理中心定时将在此受理点申请的证书取回；(11)业务受理中心的制作操作员打印对应证书的密码信封，并将该用户的证书灌制到证书介质中后通知用户一同领取；(12)用户根据用户应用指南使用相关的证书业务。5.SSL服务器数字证书教师演示简介（略讲）： SSL服务器证书是Web Server与浏览器用户建立安全连接时所必须具备的证书。 学生自学：SSL服务器证书的申请操作流程如下： (1)申请证书的Web Server管理员在相应的Web Server运行证书申请数据包生成程序，生成证书请求包；(2)应的Web Server管理者登录电子商务网站，选择SSL证书申请，填写证书申请的基本信息，并提交1中生成的证书请求包；(3)在线提交成功后，相应的Web Server的管理机构带相关证明到CA中心申请证书；(4)用户填写证书申请表格和证书申请协议书；(5)CA中心审核员将表格填写的数据与用户在线填写的数据进行比对审核；(6)审核通过后对相应证书进行制作，制作成功的证书以软盘或者E-mail的方式发送给证书申请用户；(7)Web Server管理员在相应的Web Server运行证书装载程序，将申请成功的证书装载到Web Server中。6.3.6认证中心(Certification Authority简称CA)教师提问学生思考：数字凭证由谁颁发？引入CA。教师举例分析：CA是英文Certification Authority的缩写，译为“认证中心”。认证中心(CA)就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。简介CA在电子商务中的地位。教师图示讲解：认证中心与参与交易的各方的关系可以用图6.7表示。图6.7 交易各方与认证中心的关系教师举例演示：国内外著名的认证中心及其网址，如美国的VeriSign公司。三、课堂练习（5分钟）1.学生讨论：如何综合应用各项认证技术？2.指导学生上网查询并自学更多的数字证书相关内容。四、小结（5分