认证技术与数字证书

1、 电子商务基础电子商务基础 6.3.1 身份认证身份认证 6.3.2 数字摘要数字摘要(Digital Digest) 6.3.3 数字签名数字签名(Digital Signature) 6.3.4 数字时间戳数字时间戳(Digital Time-stamp) 6.3.5 数字凭证数字凭证(Digital Certificate，Digital ID) 6.3.6 认证中心认证中心(Certification Authority简称简称CA) 电子商务基础电子商务基础 1.用户所知道的某个秘密信息，如用户知道自己的口令用户所知道的某个秘密信息，如用户知道自己的口令2.用户所持有的某个秘密信息用

2、户所持有的某个秘密信息(硬件硬件) 身份认证是判明和确认贸易双方真实身份的重要环节，也是身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。因为非法用户常采用窃取电子商务交易过程中最薄弱的环节。因为非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网络交易系统进行攻击，口令、修改或伪造、阻断服务等方式对网络交易系统进行攻击，阻止系统资源的合法管理和使用。在目前电子交易中，用户身阻止系统资源的合法管理和使用。在目前电子交易中，用户身份认证可通过三种基本方式或其组合方式来实现：份认证可通过三种基本方式或其组合方式来实现：3.用户所具有的某些生物学特征用户所具有的某

3、些生物学特征电子商务基础电子商务基础 1.身份认证的单因素法身份认证的单因素法 2.基于智能卡的用户身份认证基于智能卡的用户身份认证 根据在认证中采用因素的多少，可以分为单因素认证、双因根据在认证中采用因素的多少，可以分为单因素认证、双因素认证、多因素认证等方法。素认证、多因素认证等方法。 P31 43.一次口令机制一次口令机制 请求响答方式 时钟同步机制电子商务基础电子商务基础 数字摘要加密方法又可以称为安全数字摘要加密方法又可以称为安全Hash编码法编码法(Secure Hash Algorithm简称简称SHA)或或MD5(MDStandardsforMessageDigest)。该编码

4、法由该编码法由RonRivest所设计，采用单向所设计，采用单向Hash函数，将需加密函数，将需加密的明文的明文“摘要摘要”成一串成一串128bit的密文，这一串密文亦称为的密文，这一串密文亦称为数字数字指纹指纹(FingerPrint)，它有，它有固定的长度固定的长度，且不同的明文摘要而成，且不同的明文摘要而成的密文，其的密文，其结果总是不同结果总是不同的，而同样的明文其的，而同样的明文其摘要必定一致摘要必定一致。只有完全一致，才可以证明信息在传送过程中是安全可靠，没只有完全一致，才可以证明信息在传送过程中是安全可靠，没有被进行篡改的。有被进行篡改的。 P25 3电子商务基础电子商务基础 1

5、.公开密钥数字签名公开密钥数字签名 2.对文件的数字签名对文件的数字签名 数字签名即以是数字化方式表明身份的标志信息。在书面文数字签名即以是数字化方式表明身份的标志信息。在书面文件上签名是日常生活中确认文件的一种最为常用的手段。签名件上签名是日常生活中确认文件的一种最为常用的手段。签名的作用有两点：一是因为自己的签名难以否认，从而确认了文的作用有两点：一是因为自己的签名难以否认，从而确认了文件已经签署这一事实；二是因为签名不易被人模仿假冒，从而件已经签署这一事实；二是因为签名不易被人模仿假冒，从而确定了文件的真实性。确定了文件的真实性。电子商务基础电子商务基础 1.公开密钥数字签名公开密钥数字

6、签名 图中M为明文，C为密文，KAd，、KAe和KBd，、KBe分别为用户A和B的私钥和公钥 公开密钥数字签名示意图公开密钥数字签名示意图 电子商务基础电子商务基础 2.对文件的数字签名对文件的数字签名 对文件的数字签名过程是通过一个哈希函数来实现的。将对文件的数字签名过程是通过一个哈希函数来实现的。将待签名的文件代人哈希函数，输出得到的是一组定长的代码，待签名的文件代人哈希函数，输出得到的是一组定长的代码，这组代码即是数字签名。数字签名代表着文件的特征，数字签这组代码即是数字签名。数字签名代表着文件的特征，数字签名的值将随着文件的变化而发生变化，也就是说，不同的文件名的值将随着文件的变化而发

7、生变化，也就是说，不同的文件将得到不同的数字签名。哈希函数对于发送数据的双方都是公将得到不同的数字签名。哈希函数对于发送数据的双方都是公开的。要在公开的网络上实现安全的文件传输，必须在文件中开的。要在公开的网络上实现安全的文件传输，必须在文件中加入数字签名及实现数字签名的验证。加入数字签名及实现数字签名的验证。电子商务基础电子商务基础 1.需加时间戳的文件的摘要需加时间戳的文件的摘要 2. DTS收到文件的日期和时间收到文件的日期和时间 数字时间戳服务数字时间戳服务(DigitalTimestampService，简称，简称DTS)是由是由专门的机构提供电子文件发表时间的安全保护。时间戳专门的

8、机构提供电子文件发表时间的安全保护。时间戳(Timestamp)是一个经加密后形成的凭证文档，它包括三个部分：是一个经加密后形成的凭证文档，它包括三个部分：3. DTS的数字签名的数字签名 p25 10电子商务基础电子商务基础 Hash算法 原文 摘要 1 加时间 数字 时间戳 Internet 用 DTS 机构的私钥加密 发送方 DTS 机构 Hash 算法 加了时间后的新摘要 摘要 1 摘要1 +时间 数字 时间戳 获得数字时间戳的过程获得数字时间戳的过程 p31 2电子商务基础电子商务基础 凭证拥有者的姓名凭证拥有者的姓名 凭证拥有者的公共密钥凭证拥有者的公共密钥 数字凭证又称为数字证书

9、，是用电子手段来证实一个用户的身数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问权限，由份和对网络资源的访问权限，由CA中心签发。数字凭证的内部中心签发。数字凭证的内部格式是由格式是由CCITYX509国际标准规定，它包含内容：国际标准规定，它包含内容：p28 1公共密钥的有效期公共密钥的有效期 颁发数字凭证的单位颁发数字凭证的单位 数字凭证的序列号数字凭证的序列号(SerialNumber) 颁发数字凭证单位的数字签名颁发数字凭证单位的数字签名 电子商务基础电子商务基础 1.安全电子邮件证书安全电子邮件证书2.个人数字证书个人数字证书 3.企业数字证书企业数字证书

10、5. SSL服务器数字证书服务器数字证书 4. 服务器数字证书服务器数字证书 电子商务基础电子商务基础 1.安全电子邮件证书安全电子邮件证书 个人安全个人安全E-mailE-mail证书是指个人用户收发电子邮件时采用证书机证书是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。它的申请不需要通过业务受理点，制保证安全所必须具备的证书。它的申请不需要通过业务受理点，由用户直接通过自己的浏览器完成，用户的密钥对由浏览器产生由用户直接通过自己的浏览器完成，用户的密钥对由浏览器产生和管理，密钥位长为和管理，密钥位长为512512位，证书装载到浏览器中。另外，安全位，证书装载到浏览器中。另外

11、，安全EmailEmail证书也可作为浏览器与证书也可作为浏览器与WebWeb站点建立安全站点建立安全SSLSSL连接的客户端证连接的客户端证书。安全书。安全E-mailE-mail证书可以直接到证书可以直接到CACA中心的站点申请，也可到开办中心的站点申请，也可到开办了该业务的当地站点申请。了该业务的当地站点申请。电子商务基础电子商务基础 用户到用户到CA中心申请安全中心申请安全Email证书的流程证书的流程 登录电子商务网站，填写申请表格登录电子商务网站，填写申请表格 用户带相关证明到用户带相关证明到CA中心进行审核中心进行审核 用户填写证书申请表格和证书申请协议书用户填写证书申请表格和证

12、书申请协议书 CA中心证书审核员对用户信息进行审核，审核通过中心证书审核员对用户信息进行审核，审核通过后为用户生成口令，打印口令密码信封，交给用户后为用户生成口令，打印口令密码信封，交给用户 用户登录电子商务网站，输入密码信封中的口令及用户登录电子商务网站，输入密码信封中的口令及个人个人E-mail帐号后，下载证书帐号后，下载证书 电子商务基础电子商务基础 用户到当地申请安全用户到当地申请安全Email证书的流程证书的流程 登录电子商务网站，填写申请表格登录电子商务网站，填写申请表格 用户带相关证明到当地的审核机关进行审核用户带相关证明到当地的审核机关进行审核 用户填写证书申请表格和证书申请协

13、议书用户填写证书申请表格和证书申请协议书 审核操作员对用户信息进行审核，审核通过后为审核操作员对用户信息进行审核，审核通过后为用户生成口令，打印口令密码信封，交给用户用户生成口令，打印口令密码信封，交给用户 用户登录电子商务网站，输入密码信封中的口令用户登录电子商务网站，输入密码信封中的口令及个人及个人E-mail帐号后，下载证书帐号后，下载证书 电子商务基础电子商务基础 一般个人证书是指个人使用电子商务应用系统应具备的证书。一般个人证书是指个人使用电子商务应用系统应具备的证书。一般个人证书通过业务受理点申请，用户的密钥对由一般个人证书通过业务受理点申请，用户的密钥对由RARA中心产生，中心产

14、生，密钥位长为密钥位长为10241024位，用于电子商务应用系统时，需要使用专用的位，用于电子商务应用系统时，需要使用专用的应用系统客户端（如电子钱包）管理证书和密钥，它的作用是保应用系统客户端（如电子钱包）管理证书和密钥，它的作用是保证与其他电子商务应用系统的安全通信。证与其他电子商务应用系统的安全通信。2.个人数字证书个人数字证书 电子商务基础电子商务基础 一般个人证书离线申请的流程一般个人证书离线申请的流程 1用户带相关证明到证书业务受理中心申请证书用户带相关证明到证书业务受理中心申请证书2用户填写证书申请表格和证书申请协议书用户填写证书申请表格和证书申请协议书3证书业务受理中心录入人员

15、将数据录入并提交给证书业务受理中心录入人员将数据录入并提交给RA中心中心4业务受理点的审核员通过离线方式审核申请者的业务受理点的审核员通过离线方式审核申请者的身份、能力和信誉等身份、能力和信誉等5审核通过后，审核通过后，RA中心向中心向CA中心转发证书的申请中心转发证书的申请请求请求电子商务基础电子商务基础 一般个人证书离线申请的流程一般个人证书离线申请的流程 6CA中心响应中心响应RA中心的证书请求，为该用户签中心的证书请求，为该用户签发证书并返回给发证书并返回给RA中心中心7RA中心将签发的证书返回到地市业务受理中心中心将签发的证书返回到地市业务受理中心8如果证书介质是如果证书介质是IC卡

16、方式，则由印卡操作员对相卡方式，则由印卡操作员对相应的应的IC卡进行印刷操作卡进行印刷操作9证书业务受理中心的制做操作员打印相应证书的证书业务受理中心的制做操作员打印相应证书的密码信封，并将该用户的证书灌制到证书介质中后密码信封，并将该用户的证书灌制到证书介质中后通知用户领取通知用户领取10用户根据应用指南使用相关的证书业务用户根据应用指南使用相关的证书业务 电子商务基础电子商务基础 企业证书是指单位、团体、企业作为被服务者，参与电子商务企业证书是指单位、团体、企业作为被服务者，参与电子商务应用系统时（如进行网上采购）应具备的证书。一般企业证书通应用系统时（如进行网上采购）应具备的证书。一般企

17、业证书通过业务受理点申请，经业务受理点的审核操作员一次审核完成申过业务受理点申请，经业务受理点的审核操作员一次审核完成申请，密钥对由请，密钥对由RARA中心产生，密钥位长为中心产生，密钥位长为10241024位，用于电子商务应位，用于电子商务应用系统时，需要使用专用的应用系统软件（如电子钱包）管理证用系统时，需要使用专用的应用系统软件（如电子钱包）管理证书和密钥，它的作用是保证与其他电子商务应用系统的安全通信书和密钥，它的作用是保证与其他电子商务应用系统的安全通信 。3.企业数字证书企业数字证书 电子商务基础电子商务基础 企业证书的申请操作流程企业证书的申请操作流程 1用户带相关证明到证书业务

18、受理中心申请证书用户带相关证明到证书业务受理中心申请证书2用户填写证书申请表格和证书申请协议书用户填写证书申请表格和证书申请协议书3业务受理中心录入人员将数据录入并提交给业务受理中心录入人员将数据录入并提交给RA中心中心4业务受理点的审核员通过离线方式审核申请者的业务受理点的审核员通过离线方式审核申请者的身份、能力和信誉等身份、能力和信誉等5审核通过后，审核通过后，RA中心向中心向CA中心转发证书的申请中心转发证书的申请请求请求电子商务基础电子商务基础 企业证书的申请操作流程企业证书的申请操作流程 6CA中心响应中心响应RA中心的证书请求，为该用户签中心的证书请求，为该用户签发证书并返回给发证

19、书并返回给RA中心中心7RA中心将签发的证书返回到地市业务受理中心中心将签发的证书返回到地市业务受理中心8如果证书介质是如果证书介质是IC卡方式，则由印卡操作员对相卡方式，则由印卡操作员对相应的应的IC卡进行印刷操作卡进行印刷操作9证书业务受理中心的制做操作员打印相应证书的证书业务受理中心的制做操作员打印相应证书的密码信封，并将该用户的证书灌制到证书介质中后密码信封，并将该用户的证书灌制到证书介质中后通知用户领取通知用户领取10用户根据应用指南使用相关的证书业务用户根据应用指南使用相关的证书业务 电子商务基础电子商务基础 服务器证书通过业务受理点申请，密钥对由服务器证书通过业务受理点申请，密钥

20、对由RARA中心产生，密钥中心产生，密钥位长为位长为10241024位，服务器证书用于电子商务应用系统中的服务器软位，服务器证书用于电子商务应用系统中的服务器软件向其余企业和个人提供电子商务应用时使用，证书和密钥由服件向其余企业和个人提供电子商务应用时使用，证书和密钥由服务器软件自身管理。服务器软件作为电子商务服务提供者，利用务器软件自身管理。服务器软件作为电子商务服务提供者，利用证书机制保证与其他服务器或个人通信的安全证书机制保证与其他服务器或个人通信的安全 。4. 服务器数字证书服务器数字证书 电子商务基础电子商务基础 服务器证书的申请操作流程服务器证书的申请操作流程 1用户带相关证明到证

21、书业务受理中心申请证书用户带相关证明到证书业务受理中心申请证书2用户填写证书申请表格和证书申请协议书用户填写证书申请表格和证书申请协议书3业务受理中心录入人员将数据录入并提交给业务受理中心录入人员将数据录入并提交给RA中心中心4业务受理点的审核员通过离线方式初步审核申请业务受理点的审核员通过离线方式初步审核申请者的身份、能力和信誉等者的身份、能力和信誉等5审核通过后，审核通过后，RA中心向中心向CA中心转发证书的申请中心转发证书的申请请求请求6CA中心证书审核操作员对提交的证书的申请进行中心证书审核操作员对提交的证书的申请进行复核，并保存审核结果复核，并保存审核结果电子商务基础电子商务基础 服

22、务器证书的申请操作流程服务器证书的申请操作流程 7CA中心签名服务器为证书审核通过的用户签发证书中心签名服务器为证书审核通过的用户签发证书 9RA中心定时从中心定时从CA中心得到已签发的证书中心得到已签发的证书 8如果证书介质是如果证书介质是IC卡方式，则由印卡操作员对相卡方式，则由印卡操作员对相应的应的IC卡进行印刷操作卡进行印刷操作11证书业务受理中心的制做操作员打印相应证书证书业务受理中心的制做操作员打印相应证书的密码信封，并将该用户的证书灌制到证书介质中的密码信封，并将该用户的证书灌制到证书介质中后通知用户一同领取后通知用户一同领取 12用户根据应用指南使用相关的证书业务用户根据应用指

23、南使用相关的证书业务 10业务受理中心定时将在此受理点申请的证书取回业务受理中心定时将在此受理点申请的证书取回 电子商务基础电子商务基础 SSLSSL服务器证书是服务器证书是Web ServerWeb Server与浏览器用户建立安全连接时所与浏览器用户建立安全连接时所必须具备的证书。它的申请不需要通过业务受理点，用户的密钥必须具备的证书。它的申请不需要通过业务受理点，用户的密钥对由相应的对由相应的Web ServerWeb Server自己产生和管理，申请证书时只需将自己产生和管理，申请证书时只需将Web Web ServerServer产生的证书申请数据包提交给产生的证书申请数据包提交给C

24、ACA中心即可，密钥位长为中心即可，密钥位长为512512位（或位（或10241024位），证书装载到位），证书装载到Web ServerWeb Server中中 。5. SSL服务器数字证书服务器数字证书 电子商务基础电子商务基础 SSL服务器证书的申请操作流程服务器证书的申请操作流程 1申请证书的申请证书的Web Server管理员在相应的管理员在相应的Web Server运行证书申请数据包生成程序，生成证书请求包运行证书申请数据包生成程序，生成证书请求包 2Web Server管理者登录电子商务网站，选择管理者登录电子商务网站，选择SSL证证书申请，填写证书申请的基本信息，并提交书申请，填写证书申请的基本信息，并提交1中生成中生成的证书请求包的证书请求包 3在线提交成功后，相应的在线