电子商务安全与支付第5章电子商务的认证

电子商务安全与支付第5章电子商务的认证5.1身份证明与认证体系

5.2证书与认证机构

5.3安全认证标准

电子商务安全与支付第5章电子商务的认证5.1身份证明与认证体系5.1.1认证与身份证明认证是判明和确认交易双方真实身份的重要环节，是开展电子商务的重要条件。只有确保双方身份的真实性、数据的完整性和可靠性及交易的不可抵赖性，才能确保电子商务安全有序地进行。

一个身份证明系统一般由三方组成，一方是出示证件的人，另一方为验证者,第三方是攻击者，认证系统在必要时也会有第四方，即可信赖者参与，经常调解纠纷。

电子商务安全与支付第5章电子商务的认证对身份证明系统的要求：(1)验证者正确识别合法示证者的概率极大化。(2)不具可传递性。(3)攻击者伪装示证者欺骗验证者成功的概率小到可以忽略。(4)计算有效性。(5)通信有效性。电子商务安全与支付第5章电子商务的认证(6)秘密参数安全存储。(7)交互识别。(8)第三方的实时参与。(9)第三方的可信赖性。(10)可证明安全性。电子商务安全与支付第5章电子商务的认证电子商务安全中有两个问题涉及到身份识别：可信度不可抵赖性

电子商务安全与支付第5章电子商务的认证5.1.2认证体系电子商务认证中心（CA）体系包括两大部分，即符合SET标准的SETCA认证体系和基于的PKICA体系。下面分别介绍这两种重要的CA机制。

电子商务安全与支付第5章电子商务的认证1．SETCA从SET协议中可以看出，由于采用公开密钥加密算法，认证中心(CA)就成为整个系统的安全核心。

SETCA是一套严密的认证体系，可保证BtoC类型的电子商务安全顺利地进行。电子商务安全与支付第5章电子商务的认证2．PKICAPKICA是提供公钥加密和数字签名服务的平台。PKICA增加网上交易各方的信任，也为它们之间的可靠通信创造条件，并为BTOB及BTOＣ两种电子商务模式提供兼容性服务（特别是BTOB模式的服务）。电子商务安全与支付第5章电子商务的认证5.2证书与认证机构电子商务活动中，为保证商务、交易、支付活动的真实可靠，需要有一种机制来验证活动中各方的真实身份。目前最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书。电子商务安全与支付第5章电子商务的认证5.2.1证书1．证书的概念数字证书作为网上交易双方真实身份证明的依据，是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。电子商务安全与支付第5章电子商务的认证2．证书类型(1)个人证书（客户证书）(2)服务器证书（站点证书）(3)安全电子函件证书(4)CA证书电子商务安全与支付第5章电子商务的认证3．证书的内容证书包括申请证书个人的信息和发行证书的CA的信息。(1)证书数据(2)发行证书的CA签名电子商务安全与支付第5章电子商务的认证4．证书的有效性只有下列条件为真时，证书才有效：

(1)证书没有过期。

(2)密钥没有修改。

(3)用户仍然有权使用这个密钥。

(4)CA负责回收证书，发行无效证书清单。电子商务安全与支付第5章电子商务的认证5．证书使用证书帮助证实个人身份。认证机构发放的数字证书主要应用于：(1)通过S/MIME协议实现安全的电子函件系统；

(2)通过SSL协议实现浏览器与Web服务器之间的安全通信；

(3)通过SET协议实现信用卡网上安全支付；

(4)提供电子商务中认证证书标准。

电子商务安全与支付第5章电子商务的认证5.2.2认证机构电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定，维护交易活动的安全，从根本上保障电子商务交易活动顺利进行而设立的。

电子商务安全与支付第5章电子商务的认证认证中心主要有以下几种功能：(1)证书的颁发

(2)证书的更新(3)证书的查询(4)证书的作废(5)证书的归档

电子商务安全与支付第5章电子商务的认证5.3安全认证标准5.3.1PKI公开密钥基础设施PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。

电子商务安全与支付第5章电子商务的认证PKI是围绕这五大系统来构建的。

1．认证机关

CA是证书的签发机构。

CA的机构职责归纳起来有:①

验证并标识证书申请者的身份；②

确保CA用于签名证书的非对称密钥的质量；③

确保整个签证过程的安全性，确保签名私钥的安全性；④

证书材料信息(包括公钥证书序列号、CA标识等)的管理；电子商务安全与支付第5章电子商务的认证⑤

确定并检查证书的有效期限；

⑥

确保证书主体标识的唯一性，防止重名；

⑦

发布并维护作废证书表；

⑧

对整个证书签发过程做日志记录，向申请人发通知。

电子商务安全与支付第5章电子商务的认证2．证书库

证书库是证书的集中存放地，是网上的一种公用信息库，用户可以从此处获得其他用户的证书和公钥。

3．密钥备份及恢复系统电子商务安全与支付第5章电子商务的认证4．证书作废处理系统

对作废证书有如下三种策略：①

作废一个或多个主体的证书；②

作废由某一对密钥签发的所有证书；③

作废由某CA签发的所有证书。

5．客户端证书处理系统电子商务安全与支付第5章电子商务的认证5.3.2PKIX证书标准(X.509)PKIX系列标准定义了证书在Internet上的使用，证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些标准的轮廓结构等。

互联网邮件扩展(S/MIME)、NON-SET认证等。

电子商务安全与支付第5章电子商务的认证证书由CA根据协议产生，应具备下列信息:①

版本号(V)②

序列号（N)③

签名算法(AI)④

发出该证书的认证机构(CA)

⑤

有效期限(TA)

⑥

主题信息(A)⑦

公钥信息(Tp)

⑧

认证机构的数字签名。

电子商务安全与支付第5章电子商务的认证5.3.3电子出版目录查询标准(目录服务协议LDAPX.500)目录服务是用于网络信息查询的技术。实现目录服务的方式有多种，但目前趋于统一到系列建议标准。电子商务安全与支付第5章电子商务的认证系列由九个建议标准组成：

①