项目五 任务三--CA认证.ppt

1、项目五 任务三 CA认证,上节课知识回顾,在电子商务交易中，很多人面临账户被盗的情况，请问： 1、盗用者盗用账户的目的是什么？ 2、账户被盗的原因有哪些？,账户安全账户被盗类型,盗用账号目的,其他恶意捣乱,发布欺诈商品,双方交易纠纷,修改对自己的评价,盗取对应的支付宝帐户,账户安全账户被盗类型,在计算机网络安全的基础上，如何实现电子商务的保密性、完整性，可鉴别性、不可伪造性和不可抵赖性，这是安全交易必须解决的问题。,本节主要教学内容：,1.加密技术 2.安全认证技术 3.认证中心CA 4.安全交易协议,1. 加密技术,加密技术是保护信息安全的主要手段之一，它是结合数学、计算机科学、电子与通信等

2、诸多学科于一身的交叉学科。 采用密码的方法可以隐蔽和保护需要保密的信息，使未授权者不能提取信息。,1.加密技术,（1）几个基本概念： 被传递的消息称为明文。经过以密钥（key）为参数的函数加以转换，将明文换成另一种隐蔽的形式输出，称为密文。 由明文到密文的变换过程称为加密；而其逆过程就称为解密。,1.加密技术,（1）几个基本概念： 加密时用一个算法，即通过一个加密密钥K，将明文转换成不可辨识的密文，使收发双方之外的人无法懂得其含义；当密文到达目的地后，收信人用一个解密算法通过一个解密过程密钥H，将密文再来转变为明文。,加密和解密的示范,以一个简单实例来看看加密和解密的过程。一个简单的加密方法是

3、把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表。 表1 一个简单的密码表,请同学们自己尝试做下面的加密和解密： 信息：Well done 密钥为5 明文： 密文：,古典加密技术 替代算法,恺撒密码 (单字母替换) 明文：a b c d e f g h i j k l m n o p q 密文：d e f g h i j k l m n o p q r s t 此时密钥为3，即每个字母顺序推后3个。 解密使用相同的方法，密钥为-3 。,例如： 将字母的自然顺序保持不变，但使之分别与相差4个字母的字母相对应。 How are you Lsa e

4、vi csy,对称加密又称私有密钥加密，它用且只用一个密钥对信息进行加密和解密，加密密钥和解密密钥相同，即K=H。对称加密技术可参见下图： 对称加密技术示意图,（2）私有密钥（对称加密、单钥密码体制）,这种体制中，系统的保密性主要取决于系统的安全性。必须通过安全可靠的途径（如信使递送）将密钥送至接收端。如果不能有效地传递密钥，其应用将大大地受到限制。 单钥体制目前常用算法是DES、IDEA等。 DES是美国数据加密标准，是一种分组加密（即将明文消息分组逐组进行加密）算法。DES采用矩阵运算，其密钥长度是56位。 IDEA是欧洲数据加密标准，采用128位加密，即密钥长度是128bit。,（2）私

5、有密钥（对称加密、单钥密码体制）,（2）私有密钥（对称加密、单钥密码体制）,优点是：数学运算量小，加密速度快。 缺点是：密钥管理困难，而且一旦泄露则直接影响到信息的安全性。,（3）公开密钥加密技术（非对称加密）,在数学的指数运算中，顺着运算容易，而反过来计算难，这种特性叫做非对称性。 1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了 RSA公开密钥密码系统，其原理就是利用指数运算难度的非对称性。 在此系统中有一对密码，给别人用（可以公开）的就叫公钥，给自己用（秘密）的，就叫私钥，由收信人保管理。,收信人先公开一把自己的密钥，发信人用收信人的公钥加密；而收件人

6、用自己的私钥解密。 用公钥加密后的密文，只有私钥能解。 公钥体制解决了密钥的发布与管理问题。商家可以公开公钥，而保留私钥。购物者用公钥对发送者的信息加密，安全地传递给商家，然后由商家用自己的私钥解密。 公钥体制克服了私钥体制的缺点，特别适合多用户的网络环境。 因特网上使用最广泛的公钥体制是RSA。,（3）公开密钥加密技术（非对称加密）,优点：在多人之间进行保密信息传输所需的密钥组合数量很小；公钥没有特殊的发布要求，可以在网上公开；可实现数字签名。,（3）公开密钥加密技术（非对称加密）,（3）公开密钥加密技术（非对称加密）,公钥,私钥,非对称加密技术,一个人两把钥匙,一个锁来一个开。,私钥,公钥

7、,2. 安全认证技术,安全认证技术是为了满足电子商务系统的安全性要求而进行的信息认证。 常见安全认证技术有：数字签名、数字信封、数字时间戳、数字证书等。,（1）数字签名（Digital Signature）,1）为什么电子交易中要使用数字签名？ 2）数字签名的概念 3）数字签名工作原理 4）数字签名应满足的三个条件 5）数字签名常用算法 6）数字签名的特点,（1）数字签名（Digital Signature）,数字签名的概念 数字签名：是由签名算法和验证算法组成的双重加密的防伪、防赖算法，可以证明电子文件是由签名者发送，并且自签名后到收到为至没有做任何的修改。它是发送者用自己的私钥对欲发送报文

8、的数字摘要进行加密而得到的，并与原文一起传送给接收者。 接收者只有用发送者的公钥才能解密被加密的摘要。由于私有密钥仅为发送者本人所有，因此，只要接收者用该私钥对应的公钥解密成功，就能证明发送者的身份，发送者不能否认自己发送了该信息 。,（1）数字签名（Digital Signature）,数字签名应满足的三个条件： a)接收方能够验证发送方所宣称的身份（其它人不能伪造签名）； b)发送方以后不能否认报文是他发送的（即签名者事后不能否认自己的签名）； c) 接收方自己不以伪造该报文（当双方关于签名的真伪性发生争执时，法官或第三方能解决双方之间的争执）。,（1）数字签名（Digital Signa

9、ture）,3）数字签名常用算法： 主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。 RSA数字签名源于RSA公开密钥系统，是目前网络上最为流行的一种数字签名方法，签名时使用私钥，验证时使用公钥。 DSS（Digital Signature Standard）是在1991年8月由美国NIST公布，1994年12月1日正式采用的美国联邦信息处理标准，由Kravitz设计,这类签字标准具有较大的兼容性和适用性，已成为网络安全体系的基本构件之一。,（1）数字签名（Digital Signature）,4）数字签名的特点： 它代表了文件的特征，文件如果发生了改变，数字签名的值也会发生变

10、化。即：不同的文件将得到不同的数字签名。 数字签名能够实现对原始报文的鉴别、不可抵赖性和匿名性，具有易更换、难伪造、可进行远程线路传递等优点。 数字签名与手工签名的区别在于：手书签名是模拟的，且因人而异；数字签名是0和1的数字串，因消息而异。,知识链接：生物识别技术,1、什么是生物特征识别技术？ 生物特征识别技术是基于某人的生理特征或行为特征用自动化的方法予以辨识或认证的技术。 目前已利用的生理特征和行为特征包括： （1）生理特征：手指、手掌、眼睛（包括虹膜、视网膜）、面孔等。 （2）行为特征：签字、语音等。,知识链接：生物识别技术,指纹识别技术 指纹识别主要根据人体指纹的纹路、细节特征等信息

11、对操作或被操作者进行身份鉴定，是目前生物检测学中 研究最深入，应用最广泛，发展最成熟的技术。,知识链接：生物识别技术指纹识别技术,指纹的特征 指纹识别主要从两方面展开：总体特征和局部特征。 总体特征 （1）纹形：可分为斗形、弓形、螺旋形三大类。 （2）模式区：是指指纹上包括了总体特征的区域，从此区域就能分辨出指纹是属于那一种类型的。有的指纹识别算法只使用模式区的数据，而有的则使用所取得的完整指纹。,知识链接：生物识别技术指纹识别技术,指纹识别的验证和辨识 就应用方法而言，指纹识别技术可分为验证和辨识。 验证就是通过把一个现场采集到的指纹与一个已经登记的指纹进行一对一的比对来确认身份的过程。 辨

12、识则是把现场采集到的指纹同指纹数据库中的指纹逐一对比，从中找出与现场指纹相匹配的指纹。,指纹识别技术特点 （1）指纹识别的优点 a.指纹是人体独一无二的特征。 b.可采集的指纹多，最多可达10个，而且每个指纹都是独一无二的。 c.扫描指纹的速度快，使用非常方便。 d.指纹与采集头直接接触，读取特征方法可靠。 e.指纹采集头体积小，价格低廉。,（2）指纹识别的缺点 a.某些人或某些群体的指纹特征很少，故而很难成像。 b.有些人害怕将指纹记录在案。 c.每一次使用指纹时，都会在指纹采集头上留下用户的指纹印痕，而这些指纹痕迹存在被用来复制指纹的可能性。,一指行天下 指纹识别技术,(2)数字证书（di

13、gital certificate）,1）什么是数字证书？ 数字证书是一种由权威机构证书授证(CA ，即Certificate Authority）中心发行的，在Internet上识别、验证通讯各方身份的方式，其实质是一个经证书授权中心数字签名的包含公开密钥拥有者身份信息以及公开密钥的数据文件。 数字证书用电子的手段来证实一个用户的身份和对网络资源访问的权限。,2）数字证书的作用：,-证明在电子商务或信息交换中参与者的身份； -授权进入保密的信息资源库； -提供网上发送信息的不可否性的依据； -验证网上交换信息的完整性； -使用包含公开密钥的数字证书来交换公开密钥。 数字证书可用于：发送安全电

14、子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,3）数字证书的原理：,数字证书采用公开密钥密码体制，即利用一对密钥进行解密和数字签名。 每个用户自己设定一把私钥用于解密和数字签名，同时将对应的公钥向交互对方发布，用于加密和验证签名。,当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥进行解密，这样，信息就可以安全无误地到达目的地，即使被第三方截获，由于没有相应的私钥，也无法进行解密。,4）数字证书的类型：,a)个人数字证书（Email证书、身份证书） b)单位证书（企业身

15、份证书、企业安全电子邮件证书、单位服务器数字证书） c)信用卡身份证书：用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份，符合SET标准。 d) CA证书：用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书),3认证中心CA(Certificate Authority) 1) CA概述 CA是一个负责发放和管理数字证书的权威机构。 在电子商务交易中，商家、客户、银行的身份都要由CA认证。 例如，持卡人要与商家通信，就要从公共媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的(有信誉)，于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包

16、含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。这个过程如下图所示。,CA通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实际运作中，CA可由大家都信任的一方担当。 例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系或有账号。在这种情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理他的卡客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则由商家自己担当CA角色。,2) CA的树形验证结构 认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中

17、心直接面向最终用户。 在进行交易时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，可逐级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。,证书的树形验证结构,3) 国内外CA中心简介 世界上较早的数字认证中心是美国Verisign公司()，该公司成立于1995年。它为全世界50个国家提供数字认证服务，有超过45 000个Internet的服务器接受该公司的服务器数字证书，使用它提供的个人数字证书的人数已经超过200万。,国内常见的CA有： 中国金融认证中心()：支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。 中国商务在线()：是中

18、国电信CA的安全认证中心CTCA。,中国数字认证网()：有数字认证、数字签名、CA认证、CA证书、数字证书和安全电子商务。 北京数字证书认证中心 ()：为网上电子政务和电子商务活动提供数字证书服务。 中国协卡认证体系()：由上海CA认证中心发起，京津沪等国内CA权威机构联合共建的中国协卡认证体系。,4) 数字证书的申请 不同CA类型数字证书的申请步骤略有不同，一般有下列步骤： (1) 下载并安装CA的根证书：为了建立数字证书的申请人与CA的信任关系，保证申请证书时信息传输的安全性，在申请数字证书前，客户端计算机要下载并安装CA的根证书。 (2) 填交证书申请表：不需身份验证的申请表可在线填写后

19、提交；需要个人或单位身份验证的，下载申请表填写后连同身份证明材料一起送达CA。,(3) CA进行身份审核。 (4) 下载或领取证书：普通证书，可以用身份审核后得到的序列号和密码，从网上下载证书；使用特殊介质(如IC卡)存储的证书，需要到CA领取证书。,（1）SSL协议,1）安全套接层协议的概念 安全套接层协议（Secure Sockets Layer），是由网景公司设计开发的，向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器之间的安全连接技术，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议，主要用于提高应用程序之间的数据安全系数。,4.安全交易协议,2）SSL的工

20、作原理,SSL安全加密机制主要是使用数字证书来实现的。当采用了SSL加密机制后，客户机首先要与IIS服务器建立通信连接，IIS服务器会把数字证书和公开密钥发送给客户机，与客户机交换密码，一般选用的是RSA密码算法（也有选用Diffie-Hellman和Fortezza-KEA密码算法），当身份验证确认后，这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器，IIS服务器接到这个会话密钥后会对会话密钥进行解密，这时用户就和IIS服务器建立了一条加密通信通道。,SSL 协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认

21、证技术。,SSL协议对基于TCPIP网络的客户机/服务器提供下列安全服务: 认证用户和服务器：用服务器端证书认证Web服务器的资格(在电子商务中就是认证网上商店的资格)，用客户端证书认证客户身份，以能确信数据被发送到正确的客户机和服务器上。 对通信数据进行加密：SSL协议采用了对称加密技术(DES)和公、私钥加密技术(RSA)。 维护数据的完整性：使用消息摘要技术确保数据在传输过程中不被改变。,3） SSL协议提供的安全服务,首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证； 第二，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取就无法保证了； 第三，系统安全

22、性差，SSL协议的数据安全性其实就是建立在RSA等算法的安全性之上，因此，从本质上来讲，攻破RSA等算法就等同于攻破此协议。,4)SSL协议的缺点,（2）安全电子交易协议SET,为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（Secure Electronic Transaction，SET）协议。,在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的