电子商务的安全技术(五)----CA-金融CA-金融数字证书.ppt

1、电子商务的安全技术-数字证书与CA认证,主讲：何鑫生 邮箱： 电话：,教学目标,教学目标： 了解数字证书的有关基本概念 掌握用数字证书进行文件加密和解密 掌握用数字签名和验证 了解数字时间戳的概念及应用,教学内容,数字证书及其作用 数字证书的工作原理 数字证书的加密和解密过程 数字签名和验证过程 数字时间戳的原理与应用,课程引入1：电子商务安全隐患,信息的截获或窃取 信息的篡改 信息的伪造或假冒 交易的抵赖,课程引入2：对称密码体制,Alice 信息传输 Bob 密码传输,同一密码,课程引入3：非对称密码体制,Bob的公钥,Bob的私钥,Alice 信息传输 Bob,一、什么是数字证书？,定义

2、：数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。 数字证书的颁发机构：数字认证中心CA 证书的基本构成： 包含一个公开密钥、名称以及证书授权中心的数字签名。 密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。,证书的格式：遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

3、 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。,6、数字证书的查看： IE工具Internet选项内容证书,二、为什么要使用数字证书？,由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。（隐私安全） 买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心。（信息安全） 电子商务系统必须保证具有十分可靠的安全保密技术，必须保证网络安全的四大要素： 即信息传输的保密性 数据交换的完整

4、性 发送信息的不可否认性 交易者身份的确定性。,数字证书的作用：通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证： 信息除发送方和接收方外不被其它人窃取； 信息在传输过程中不被篡改； 发送方能够通过数字证书来确认接收方的身份； 发送方对于自己的信息不能抵赖。,三、数字认证原理,数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。 私钥：每个用户自己设定一把特定的仅为本人所知的私有密钥（），用它进行解密和签名； 公钥：一把由本人可以公开公共密钥，为一组用户所共享，用于加密和验证签名。,（一）加密与解密,当发送一份保密文件时，发送方使用接收方的公钥对数据加密，

5、而接收方则使用自己的私钥解密。,发送方A,接收方B,加密与解密的传输过程,公开密钥对文件进行加密传输的实际过程包括四步： （1）发送方生成一个会话密钥（对称密钥）并用接收方的公开密钥对会话密钥进行加密，然后通过网络传输到接收方； （2）发送方对需要传输的文件用会话密钥进行加密，然后通过网络把加密后的文件传输到接收方； （3）接收方用自己的私有密钥进行解密后得到会话密钥； （4）接收方用会话密钥对文件进行解密得到文件的明文形式。,加密过程（图示）,（二）数字签名与验证,传统签名：书面文件上签名是确认文件的一种手段，其作用有两点： 第一，因为自己的签名难以否认，从而确认了文件已签署这一事实； 第二

6、，因为签名不易仿冒，从而确定了文件是真的这一事实。,2、数字签名,数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点： 第一，信息是由签名者发送的； 第二，信息自签发后到收到为止未曾作过任何修改。,3、数字签名与验证过程,当发送一份签名文件时，发送方使用自己的私钥签名，而接收方则使用发送方的公钥验证签名。,发送方A,接收方B,4、数字签名和验证的文件传输过程,（1）发送方首先用哈希函数从原文得到数字签名，然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密，并把加密后的数字签名附加在要发送的原文后面； （2）发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输

7、到接收方； （3）发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方；,（4）接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文； （5）接收方用秘密密钥对文件进行解密，得到经过加密的数字签名； （6）接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文； （7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。,数字签名与验证传输过程（图示）,主要用于为文件、报文或其它分组数据产生指纹,（三）数字时间戳技术,电子商务的发展过程中，数字签名技术也有所发展。

8、数字时间戳技术就是数字签名技术的另一种的应用。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。 数字时间戳服务（DTS：digita1 time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。如果在签名时加上一个时间标记，即是有数字时间戳（digital time stamp）的数字签名。,时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分： 需加时间戳的文件的摘要（digest）； DTS收到文件的日期和时间； DTS的数字签名。,4、时间戳产生的过程,首先，用户将需要加时间戳的文件用Hash编码加密形成摘要 然后，将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后