课题3-2 认证技术应用.ppt

1、下页,3.1 电子商务系统的安全要求 3.2 数据加密技术 3.3 认证技术 3.4 电子商务的安全交易标准,目 录,课题3 电子商务安全,图2,3.3 认证技术,3.3.1身份认证 3.3.2认证中心 3.3.3数字证书 3.3.4数字摘要 3.3.5数字签名 3.3.6数字时间戳,图3,认证技术是保证电子商务交易安全的一项重要技术。 主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性。,图4,电子商务身份认证的目标,信息来源的可信性 完整性。信息没有被修改、延迟和替换； 不可抵赖性。信息的发送方或接收方不能否认 访问控制。拒绝非法用户访问。,

2、3.3.1 身份认证,图5,用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击。,四种常用的身份认证方式,(1) 口令方式,图6,标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。,(2) 标记方式,图7,某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。,(3) 人体生物学特征方式,图8,使用CA中心颁发的数字证书进行网上身份的识别。,(4) PKI方式,图9,3.3.2 认证中心,（CA-Certificate Authority）。 也称之为电

3、子证书认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。,国外的认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施（PKI）。,图10,认证机构的可靠程度取决于,系统的保密结构。 确认用户身份的政策和方法。 用户是否能信赖他人的证明。 机构在安全管理方面的经验。,图11,1.认证中心的职能,认证机构的核心职能是发放和管理用户的数字证书。,图12,认证中心的四大具体职能,认证中心接受个人、单位的数字证书申请，何时申请人的各项资料是否真实，根据核实情况决定是否颁发数字证书。,核发证书,图

4、13,证书使用总是有期限的，在证书发行签字时都规定了失效日期； 具体使用期长短由CA根据安全策略来定。 更换过期证书，密钥对也需要定期更换。, 证书更新,图14,证书的撤消可以有许多理由，如发现、怀疑私钥被泄露或检测出证书已被篡改，则CA可以提前撤销或暂停使用该证书。 申请撤销。 证书撤销表CRL。举例：深圳CA, 证书撤销,图15,证书验证,证书是通过信任分级层次体系（通常称为证书的树形验证结构）来验证的。每一个证书与签发数字证书的机构的签名证书关联。 验证举例说明,图16,2.CA的树型验证结构,图17,国外CA中心介绍,图18,世界上较早的数字证书认证中心、处于领导地位和全球最大的PKI

5、CA运营商是美国VeriSign公司，该公司成立于1995年4月，位于美国的加利福尼亚州。它为全世界50个国家提供数字证书服务，有超过45000个互联网服务器接受该公司的服务器数字证书，使用它提供的个人数字凭证的人数也已经超过200万。 另外一家著名的公司是加拿大的ENTRUST。,图19,3.我国认证中心现状,我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。 在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。 在非金融CA方面，最初主要由中国电信负责建设。,图20,我国的CA又可分为行业性CA和区域性CA两

6、大类。 行业性CA：中国金融认证中心（CFCA）和中国电信认证中心（CTCA）是行业性CA中影响最大的两家。 区域性CA大多以地方政府为背景，以公司机制来运作，如广东CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)，其中影响最大的是广东CA中心（CNCA）和上海CA中心(SHECA)。,图21,如果按照技术来源划分，CA中心还可分为引进国外技术与完全自主开发两类。 CFCA和天威诚信属于前者，广东CA和上海CA都属于后者。 深圳CA与广东南海CA CFCA的SET系统由IBM公司承建，NON-SET系统由德达/SUN/Entrust集团承建。天威诚信的技术平台来自Ve

7、riSign。但它们的密码模块却都是由国内自主开发，经国家安全部门认可的。,图22,CFCA 是全国唯一的金融根认证中心，由中国人民银行负责统一规划管理，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设，由银行卡信息交换总中心承建，建立了SETCA和Non-SETCA两套系统，于2000年6月29日正式开始为全国的用户提供证书服务。, 中国金融认证中心（CFCA）,图23,在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一

8、般脱机进行。 品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。,图24,图25,图26, 广东CA及“网证通”（NETCA）系统,广东省电子商务认证中心是国家电子商务的试点工程，其前身是中国电信南方电子商务中心，创立于1998年。2001年1月，广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测，被认定为安全可信的产品。2001年8月，国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心，成为国内提

9、供网络安全认证服务的重要力量。,图27,图28,图29, 上海CA（SHECA）,图30,上海CA成立于1998年，专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合，提供包括安全设计、安全评估（风险评估）、安全检测（入侵检测、审计）、漏洞扫描、安全敏感数据托管、电子举证、公正时间戳等服务。,图31,国内主要的电子商务认证中心,北京数字证书认证中心： 深圳市电子商务认证中心： 广东省电子商务认证中心： 海南省电子商务认证中心： 湖北省电子商务认证中心： 上海电子商务安全证书管理中心： 中国数字认证网： 山西省电子商务安全认证中心： 中国金融认证中心： 天津电子商务运作中心： 天威诚

10、信CA认证中心：,图32,3.3.3 数字证书,数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。,1.数字证书的概念,图33,数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。,图34,图35,目前大多数商务网站

11、使用用户名和口令的方式来对用户进行认证，这种方式需要站点收集所有注册用户的信息，维护庞大的用户信息数据库。同时这种传统登录机制的安全性也比较脆弱，容易遭到外界的攻击破坏。 数字证书的安全与认证功能消除了传统的口令机制中内在的安全脆弱性，为每个用户提供唯一的标识，以便利的方式来访问Web服务器，降低了网站的维护和支持成本。,图36,2.数字证书的内容,数字证书的内部格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。根据这项标准，证书包括申请证书个人的信息和发行证书机构的信息。,图37,l 证书拥有者的姓名；证书所有人的名称，命名规则一般采用X.500格式； l

12、证书的版本信息。用来与X.509标准的将来版本兼容。 l 证书的序列号。每个证书都有一个唯一的证书序列号。 l 证书所使用的签名算法。 l 颁发者。即证书的发行机构名称，命名规则一般采用X.500格式。 l 证书的有效期限。现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； l 证书主题名称。 l 证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示（只适用于RSA加密体制）； l 包含额外信息的特别扩展。 l 证书发行者对证书的签名。,标准的X.509数字证书包含内容：,图38,图39,图40,3.数字证书的有效性,数字证书才有效条件： 证书没有过期。 密钥没有修改。

13、 用户仍然有权使用这个密钥。 证书不在无效证书清单中。,图41,1.个人数字证书2.单位证书3.服务器证书4.代码签名证书,数字证书按照使用对象划分:,4.数字证书的类型,图42, 个人证书(客户证书),个人身份证书 个人身份证书是用来表明和验证个人在网络上身份的证书，它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或IC卡中。 个人安全电子邮件证书 个人安全电子邮件证书可以确保邮件的真实性和保密性。,图43, 单位证书,单位（客户端）数字证书 主要用于单位安全电子事务处理。具体应用如：安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。,图44,服务器证书,服务器证书（站点证书） 服务器证书主要用于网站交易服务器的身份识别，使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。,图45,代码签名证书,又称代