第6章 安全交易认证技术

1、第第6章章 安全交易认证技术安全交易认证技术 学习目标与要求学习目标与要求 1掌握身份认证、PKI体系的概念； 2掌握数字证书的概论、种类、用途和应用操 作方法； 3了解数字时间戳和电子印章的概念和用途； 4了解CA中心的职责和任务，掌握从CA中心获 得数字证书并用于安全电子商务或安全网络通信 的操作方法。 北京一大学毕业生战某以北京四通利方 信息技术有限责任公司的名义发布虚假广告, 假称新浪网将为登录的网站提供有偿服务并推 出小型广告服务项目。为增强该广告的可信度 ,他还用电脑合成了四通利方公司公章,“加盖” 在向外发送的电子邮件上。此事件严重损害了 四通利方公司的信誉,扰乱了社会管理秩序。

2、 战某的行为已经构成了伪造公司印章罪,北京 市海淀区法院依法判处其有期徒刑6个月。 云和县立信玩具厂在互联网上得到湖 南岳阳某公司的一笔订单,价值140万元。 过于优厚的条件使立信厂对这桩网上交易 心存疑虑,于是向工商部门求助。云和工商 局与岳阳工商部门取得联系后发现,该公司 是空壳公司。一起网上诈骗案被及时制止 了。 广东省一个体户关某收到一封以“苏 平”的名义发来的电子邮件,称有大量低价 电脑配件出售。关某与这位自称“苏平” 的人见面后,按“苏平”要求在某储蓄所存 入货款8万元,意欲购买电脑配件。之后,“ 苏平”带了2名男子前来与关某洽谈生意, 期间以掉包的方法换走其存有8万元的储 蓄卡和

3、该卡的密码信封,将钱取走。事后关 某立刻报案,警方迅速擒获“苏平”三人, 为关某挽回了损失。 在电子商务活动中,交易者互不见面,数 字合同不能使用企业的公章,这使得交易者 身份的真实性如何确认成为电子商务交易安 全的一个核心问题。假冒身份、伪造印章、 以虚假公司进行电子商务诈骗的报道不时见 于报端,以致影响了电子商务的发展。确保 电子商务交易活动中参与者身份的真实性、 电子商务文件的数据完整性、交易文件及交 易事件的不可抵赖性,是电子商务正常开展 的重要保证。 6.1身份认证技术 n6.1.1身份认证的定义 n在互联网上,交易双方互不见面,因此身份 认证既是判明和确认交易双方真实身份 的必要环

4、节,也是电子商务交易过程中最 重要而又最为薄弱的环节。 n所谓身份认证，就是鉴别互联网上用户 身份的真实性,并保证通信过程的不可抵 赖性和信息的完整性。在许多时候,通过 认证机构所进行的信息认证比信息保密 更为重要。 认证机构或信息服务商提供的认证 具有以下功能: n(1)保证信息源的可信性。保证信息的来 源是可信的,即信息的接收者能够确认所 获得的信息不是由假冒者所发出的。 n(2)保证信息的完整性。保证信息在传输 过程中保持了完整,即信息接收者能够确 认所获得的信息在传输过程中没有被修 改、替换和延迟。 n(3)保证信息收发过程的不可抵赖性。保 证信息发送者不能否认自己所发出的信 息,同时

5、信息接收者也不能否认已经收到 了信息。 6.1.2身份认证方法的类型 有许多方法可以用来进行电子商务 交易中的身份认证。下面介绍一些实现 身份认证的基本方法。 6.1.2.1用户口令 6.1.2.2物理的身份证明 6.1.2.3生物学身份认证 6.1.2.4时钟同步的一次口令认证 6.2.1PKI 的定义 PKI是基于公钥加密系统的概念和技术为互联 网用户提供安全服务，利用公钥技术实现电子商 务安全的通用安全基础设施。PKI由公钥加密系 统、数字证书、证书认证机构(CA中心)和关于公 钥的安全策略等基本成分共同组成。在PKI体系 中,安全认证系统CA 系统是其最重要的组成 部分。PKI是提供公

6、钥加密和数字签名服务的平 台,用于管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环 境。 6.2 PKI认证体制与CA中心 6.2.2PKI系统 n一个完整、有效的PKI应用系统至少应具有以 下部分: (1)CA中心。CA中心是PKI的核心,负责管理PKI 结构下的所有用户(包括各种应用程序)的证书 ,把用户的公钥和用户的其他信息捆绑在一起, 在网上验证用户的身份,并负责用户证书的黑 名单登记和黑名单发布。 (2)X.500目录服务器。X.500目录服务器用于发 布用户的证书和黑名单信息,用户可通过其查 询自己或其他人的证书和下载黑名单信息。 (3)具有高强度

7、密码算法的安全Web服务器 n(4)安全通信平台。安全通信平台有Web Client端和Web Server端两部分,分别安装 在客户端和服务器端,通过具有高强度密码 算法的SSL协议保证客户端和服务器端数 据的机密性、完整性,并进行身份验证。 n(5)自开发安全应用系统。自开发安全应 用系统是指各行业自开发的各种具体应用 系统,例如银行、证券所的应用系统等。 nPKI系统的建立还包括认证政策、认证规 则、运作制度的制定,所涉及的各方法律关 系的确定,以及相关加密技术的实现。 6.2.3PKI体系的核心CA中心 6.2.3.1CA中心的性质 PKI体系的核心是证书认证机构 (Certifica

8、te Authority, 简称CA中心)。CA 中心在电子商务中具有特殊的地位。它是 为了从根本上保障电子商务交易活动的顺 利进行而设立的,主要是解决电子商务活动 中交易参与各方身份和资信的认定,维护交 易活动的安全。CA中心是提供身份验证的 第三方机构,由一个或多个用户所信任的组 织实体构成。 6.2.3.2CA中心的工作原理 6.2.3.3CA中心的职责 n(1)签发数字证书。 n(2)证书的更新。 n(3)证书的作废处理。 n(4)发布数字证书。 n(5)在线证书状态查询。 n(6)证书查询。 n(7)密钥管理。 6.2.3.4上海市数字证书认证中心有限公司 (SHECA) 1998年

9、,经中央密码工作领导小组批 准,上海市政府批准和授权,我国首家CA中 心 “上海市电子商务安全证书管理中 心有限公司”(简称“SHECA”)成立。 SHECA是负责数字证书申请、签发、制作 、废止、认证和管理业务的权威性认证中 心,提供网上身份认证、数字签名、电子公 证、安全电子邮件、数字时间戳等服务。 现在,SHECA已更名为“上海市数字证书认 证中心有限公司”,简称不变。 SHECA是上海市的网络安全基础设施, 是由上海市政府授权建立,上海市唯一从事数 字证书的签发和管理业务的权威性认证中心, 为上海的信息化事业提供安全和信任服务。 SHECA建立时定下的目标是为上海地区建立 一个网上作业

10、和交易的信任环境, 为企业、 消费者、金融、政府等对象服务。现在, 它 作为第三方网络安全和信任服务提供商,专门 从事信息安全技术认证和安全信任服务,以及 相关产品的研发和整合,为客户提供信息安全 整体解决方案与第三方服务。 SHECA目前已经颁发一系列数字证书,包 括与信用卡绑定的SET证书、不与业务挂钩的 通用证书,以及个人证书、单位证书、设备证书 、代码签名证书等,发证对象包括个人、企事业 单位、网站服务器、软件代码等。SHECA将数 字证书与实体身份绑定,从而逐渐淘汰目前各种 形式的卡和证,由数字证书标明实体身份,有关 实体的性质如个人学历、银行账户、犯罪记录 、社保信息等,经网上身份

11、认证后到各自部门的 数据库都可查询到。由于数字证书不可伪造,因 此可以保证实体身份的真实性,同时也有利于数 据的安全管理和控制,可以杜绝假文凭、假护照 、假驾照等伪造现象。 现在全国各省、市、自治区都建立了自己的 由政府授权的CA中心,在各自的地区承担与 SHECA相类似的任务。随着CA认证技术的发 展,各地区的CA中心已经开始联合。SHECA提 出“一证在手、走遍天下”的理念,联合北京 、山东、安徽、天津和无锡、昆明等地的CA 认证机构,成立了全国性的认证联合体协 卡认证体系(United Certification Authority), 并在全国各个省、市、自治区设有近400家 证书受理

12、机构。并且,SHECA为遍布全国的客 户提供了复杂多样、满足需要的信息化安全 解决方案和网络安全信任服务。 目前SHECA颁布的证书中,个人身份证 书使用较多。SHECA的个人身份证书是经 SHECA签名的包含个人身份信息以及个人 公钥的文件,证书的格式遵循ITUTX.509 国际标准。它用于标志证书持有人在进行 信息交易、在线支付等网络活动中的身份, 并且保障信息在传输中的安全性和完整性, 该证书可以存储在硬盘、USB Key 、IC卡 等介质中。个人身 份证书中的个人E-mail证书,我们在日常上网 时常常可以用到。个人E-mail证书使用户个 人可以在重要的邮件通信中对信件内容进行 加密

13、和签名操作。用证书对电子邮件内容和 附件进行加密后,则只有指定的收件人才能阅 读该邮件,并且能够确保邮件在传输过程中不 会被窃取。用证书对电子邮件进行签名,则可 使接收方确认邮件的发送方,保证邮件的不可 抵赖性及邮件在传送过程中不被篡改。 6.3数字证书 6.3.1数字证书的概念 “证书”系指可证实签字人与签字 生成数据有联系的某一数据电文或其他 记录。由CA中心颁布的证书叫CA证书,最 常用的CA证书是数字证书。数字证书作 为网上交易双方真实身份证明的依据,是 一个经CA中心数字签名的、包含证书申 请者个人信息及其公开密钥的文件。 6.3.2数字证书的类型 数字证书按照其主要功能及用途,可

14、以分为个人证书、单位证书、设备证书 以及代码签名证书四大类,其中每一大类 又可以进一步细分。 6.3. 2.1个人证书 个人证书包括个人身份证书及个人E-mail 证书。 6.3. 2.2单位证书 单位证书包括单位身份证书、单位E-mail 证书、部门证书、职位证书。 6.3. 2.3设备证书 设备证书包括应用服务器证书、Web服务 器证书、VPN网关证书、VPN客户端证书。 6.3. 2.4代码签名证书 代码签名证书是对软件代码进行数字签名 以表示软件代码的开发者身份的数字证书。代 码签名证书包括个人代码签名证书及单位代码 签名证书等。 6.3.3数字证书的功能 (1)数字签名。 (2)验证

15、数字证书的合法性。 6.3.4数字证书的应用 6.3.4.1数字证书的应用场所 (1)网上交易。 (2)工商管理。 (3)网上办公。 (4)网上招标。 (5)网上报税。 (6)安全电子邮件。 6.3.4.2数字证书的应用流程 电子商务活动中主要有以下五个交易参与 方:买家、服务商、供货商、银行和CA中 心。电子交易过程中数字证书的使用主 要分为以下三个阶段: (1)第一阶段:数字证书的注册申请。交易各 方首先需要进行数字证书的注册申请,通 过CA中心获取各自的数字证书。 (2)第二阶段:银行的支付中心对买家的数字 证书进行验证,通过验证后,将买家的所付 款冻结在银行中。此时服务商和供应商也 相

16、互进行数字证书的验证,通过验证后,可 以履行交易内容向买家发货。 (3)第三阶段:银行验证服务商和供货商的数 字证书后,将买家冻结在银行中的货款转到 服务商和供货商的账户上,完成了此项电子 交易。 由于参与交易的各方都持有CA中心 所颁发的数字证书,所以,能够保证在交易 的过程中参与各方的真实身份,防止他人假 冒。 6.3.4.3数字证书的申请与发放 n一般地,个人数字证书的申请及发放流程如 下: n(1)客户从有关网站下载或到当地CA中心 的业务受理点索取个人证书申请受理表 与数字证书客户申请责任书,客户需 认真完整填写,一式二份,一份由CA中心存 档,一份由客户保存。 n(2)客户携带经由

17、本人签字认可的个人 证书申请受理表和数字证书客户申请 责任书,再凭身份证原件及复印件到当地 CA中心业务受理点办理证书申请手续。 n(3)CA中心业务受理点工作人员进行客户 身份查验,查验通过后,客户缴纳申领证书 的相关费用。 n(4)由CA中心业务受理点工作人员制作证 书。 n(5)客户领取数字证书。 n单位数字证书、服务器数字证书、代码签 名数字证书等的申领步骤与之类似,具体流 程可到各CA中心网站查阅,这里不赘述。 6.3.4.4数字证书的应用操作 6. 3.4.4.1数字证书的查看 6. 3.4.4.2数字证书的导出及导入操作 6.3.4.4.3在Outlook Express中设置数

18、字证书 6.3.4.5 数字证书应用举例 6.3.4.5.1使用数字证书访问安全站点 6.3.4.5.2 利用数字证书发送安全电子邮件 (1)发送签名电子邮件 (2)利用数字证书发送加密电子邮件 6.4数字时间戳和电子印章 6. 4.1数字时间戳 图624数字时间戳的产生过程 6. 4.2电子印章 6. 4.2.1电子印章的概念 电子印章是传统印章的印迹和数字证 书相结合的产物;是合法的数字化印章与 数字证书绑定的,用用户的私钥进行了数字 签名的,包含用户身份、印章信息、公开密 钥、有效期等许多相关信息的权威性的电 子文件。它通过PKI体系的加密解密技术 来信息的真实性、不可篡改性和不可抵赖

19、性。 6. 4.2.2电子印章的特点 n电子印章具有以下基本特点: n(1)电子印章只有得到公章管理员授权的 合法用户方可使用; n(2)只有合法用户可对电子文档加盖电子 印章,且盖章后的电子文档无法修改; n(3)用户经过加密存储和传输加盖电子印 章的文档; n(4)合法用户可以验证加盖电子印章的文 档的真假; n(5)只有合法用户可以阅读加盖电子印章 的文档; n(6)合法用户有权摘除公章,这既方便其他 用户自由阅读文件实体,又符合非法用户不 能保存带印章文件的保密要求; n(7)合法用户可控制加盖电子印章的文档 打印。 6. 4.2.3电子印章的作用 通过使用电子印章对电子文档进行 签章

20、操作,保证签章电子文档的完整性、 真实性、可靠性以及签章实体对其操作 的不可抵赖性等,而且所有的签章操作都 将由电子印章的认证机构自动生成和保 存操作的时间记录,以便在发生纠纷时有 据可查。同时,签章电子文档的发送方和 接受方随时可以对签章电子文档进行完 整性、真实性以及签章时间和签章实体 印章合法性的身份的验证。 6. 4.2.4电子印章的使用和发放流程 n电子印章的发放流程如下所述: n(1)用户带相关证明到有关管理部门指定 网点申请证书(即电子印章),填写证书申 请表格和证书申请协议书; n(2)获得批准后,由业务受理中心录入人员 将数据录入并提交给RA(注册中心); n(3)各地市公安部门的审核人员审核申请 者的身份、能力和信誉; n(4)审核通过后,RA中心向CA中心转发证书 的申请请求; n(5)CA中心响应RA中心的证书请求,为该用 户签发证书,并返回给RA中心; n(6)RA中心将签发的证书返回