主讲人:万守付
-
Upload
omar-frederick -
Category
Documents
-
view
64 -
download
0
description
Transcript of 主讲人:万守付
图 1
下页
主讲人:万守付
深圳信息职业技术学院
2009-03-29
第 3 部分 电子商务安全
图 2
下页
3.1 电子商务系统的安全要求3.2 数据加密技术3.3 认证技术3.4 电子商务的安全交易标准
目 录第 3 部分 电子商务安全
图 3
3.3 认证技术3.3.1 身份认证3.3.2 认证中心3.3.3 数字证书3.3.4 数字摘要3.3.5 数字签名3.3.6 数字时间戳
图 4
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性。
图 5
电子商务身份认证的目标信息来源的可信性完整性。信息没有被修改、延迟和替换;不可抵赖性。信息的发送方或接收方不能否认访问控制。拒绝非法用户访问。
3.3.1 身份认证
图 6
用户身份认证的最简单、最广的一种方法就是口令方式,口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单,但最不安全不能抵御口令猜测攻击。
四种常用的身份认证方式四种常用的身份认证方式
(1) 口令方式
图 7
标记是一种用户所持有的某个秘密信息 ( 硬件 ) ,上面记录着用于系统识别的个人信息。
(2) 标记方式
图 8
某些人体生物学特征,如指纹、声音、 DNA 图案、视网膜扫描图案进行身份认证。
(3) 人体生物学特征方式
图 9
使用 CA 中心颁发的数字证书进行网上身份的识别。
(4) PKI 方式
图 10
3.3.2 认证中心
( CA--Certificate Authority)。也称之为电子证书认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。
图 11
国外的认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施( PKI )。
图 12
认证机构的可靠程度取决于
①系统的保密结构。②确认用户身份的政策和方法。③用户是否能信赖他人的证明。④机构在安全管理方面的经验。
图 13
1. 认证中心的职能
认证机构的核心职能是发放和管理用户的数字证书。
图 14
认证中心的四大具体职能
认证中心接受个人、单位的数字证书申请,何时申请人的各项资料是否真实,根据核实情况决定是否颁发数字证书。
⑴ 核发证书
图 15
证书使用总是有期限的,在证书发行签字时都规定了失效日期;具体使用期长短由 CA 根据安全策略来定。更换过期证书,密钥对也需要定期更换。
⑵ 证书更新
图 16
证书的撤消可以有许多理由,如发现、怀疑私钥被泄露或检测出证书已被篡改,则 CA可以提前撤销或暂停使用该证书。
申请撤销。证书撤销表 CRL 。举例:深圳 CA
⑶ 证书撤销
图 17
⑷ 证书验证 证书是通过信任分级层次体系(通常称为证书的树形验证结构)来验证的。每一个证书与签发数字证书的机构的签名证书关联。
验证举例说明
图 18
2.CA 的树型验证结构
图 19
国外 CA 中心介绍
图 20
世界上较早的数字证书认证中心、处于领导地位和全球最大的 PKI/ CA运营商是美国 VeriSign公司,该公司成立于 1995 年 4 月,位于美国的加利福尼亚州。它为全世界 50个国家提供数字证书服务,有超过 45000个因特网服务器接受该公司的服务器数字证书,使用它提供的个人数字凭证的人数也已经超过 200 万。另外一家著名的公司是加拿大的
ENTRUST。
图 21
3. 我国认证中心现状我国安全认证体系 (CA)可分为金融 C
A 与非金融 CA两种类型来处理。在金融 CA 方面,根证书由中国人民银
行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。
在非金融 CA 方面,最初主要由中国电信负责建设。
图 22
我国的 CA又可分为行业性 CA和区域性CA两大类。
行业性 CA :中国金融认证中心( CFCA )和中国电信认证中心( CTCA )是行业性 CA中影响最大的两家。
区域性 CA大多以地方政府为背景,以公司机制来运作,如广东 CA 中心( CNCA )、上海 CA 中心 (SHECA) 、深圳 CA 中心 (SZCA),其中影响最大的是广东 CA 中心( CNCA )和上海 CA 中心 (SHECA)。
图 23
如果按照技术来源划分, CA 中心还可分为引进国外技术与完全自主开发两类。CFCA 和天威诚信属于前者,广东 CA 和上海 CA 都属于后者。深圳 CA 与广东南海 CACFCA 的 SET 系统由 IBM 公司承建, NON-SET 系统由德达 /SUN/Entrust 集团承建。天威诚信的技术平台来自 VeriSign 。但它们的密码模块却都是由国内自主开发,经国家安全部门认可的。
图 24
CFCA 是全国惟一的金融根认证中心,由中国人民银行负责统一规划管理,中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设,由银行卡信息交换总中心承建,建立了 SETCA 和 Non-SETCA两套系统,于 2000 年 6 月 29日正式开始为全国的用户提供证书服务。
⑴ 中国金融认证中心( CFCA )
图 25
在管理分工上,中国人民银行负责管理根认证中心 CFCA ,并负责审批、认证统一的品牌认证中心。一般脱机进行。品牌认证中心由成员银行接受中
国人民银行的委托建设、运行和管理,建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作,其中管理包括证书申请、补发、重发和注销等内容。
图 26
图 27
图 28
⑵ 广东 CA 及“网证通”( NETCA )系统广东省电子商务认证中心是国家电子商
务的试点工程,其前身是中国电信南方电子商务中心,创立于 1998 年。 2001 年 1 月,广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测,被认定为安全可信的产品。 2001 年 8 月,国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心,成为国内提供网络安全认证服务的重要力量。
图 29
图 30
图 31
⑶ 上海 CA ( SHECA )
上海市 CA 中心是中国第一个CA 认证中心,创建于 1998 年, 经过国家批准并被列为信息产业部全国的示范工程。
图 32
图 33
中国协卡认证体系( SHECA )是在遵循 PKI 架构标准体系基础上,根据中国国情,由上海、北京、天津三地发起,由上海市电子商务安全证书管理中心有限公司(简称上海 CA 中心)设计、建设、并组织运行,联合国内多家 CA 机构和地区行业联合共建的认证体系。
图 34
国内主要的电子商务认证中心
北京数字证书认证中心: http://www.bjca.org.cn深圳市电子商务认证中心: http://www.szca.gov.cn广东省电子商务认证中心: http://www.cnca.net海南省电子商务认证中心: http://www.hnca.net湖北省电子商务认证中心: http://www.hbeca.com.cn上海电子商务安全证书管理中心: http://www.sheca.com中国数字认证网: http://www.ca365.com山西省电子商务安全认证中心: http://www.sxca.com.cn中国金融认证中心: http://www.cfca.com.cn天津电子商务运作中心: http://www.ectj.net/ca天威诚信 CA 认证中心: http://www.itrus.com.cn
图 35
3.3.3 数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即 CA 中心签发。
1. 数字证书的概念
图 36
数字证书的拥有者可以将其证书提供给其他人、 Web 站点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的通信。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
图 37
图 38
目前大多数商务网站使用用户名和口令的方式来对用户进行认证,这种方式需要站点收集所有注册用户的信息,维护庞大的用户信息数据库。同时这种传统登录机制的安全性也比较脆弱,容易遭到外界的攻击破坏。
数字证书的安全与认证功能消除了传统的口令机制中内在的安全脆弱性,为每个用户提供唯一的标识,以便利的方式来访问 Web服务器,降低了网站的维护和支持成本。
图 39
2. 数字证书的内容 数字证书的内部格式遵循 X.509 标
准。 X.509是由国际电信联盟 (ITU-T)制定的数字证书标准。根据这项标准,证书包括申请证书个人的信息和发行证书机构的信息。
图 40
证书拥有者的姓名;证书所有人的名称,命名规则一般采用X.500 格式;
证书的版本信息。用来与 X.509 标准的将来版本兼容。 证书的序列号。每个证书都有一个唯一的证书序列号。 证书所使用的签名算法。 颁发者。即证书的发行机构名称,命名规则一般采用 X.500
格式。 证书的有效期限。现在通用的证书一般采用 UTC时间格式,
它的计时范围为 1950-2049 ; 证书主题名称。 证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示(只适用于 RSA加密体制);
包含额外信息的特别扩展。 证书发行者对证书的签名。
标准的 X.509 数字证书包含内容:
图 41
图 42
图 43
3. 数字证书的有效性 数字证书才有效条件:⑴ 证书没有过期。⑵ 密钥没有修改。⑶ 用户仍然有权使用这个密钥。⑷证书不在无效证书清单中。
图 44
1. 个人数字证书2. 单位证书3. 服务器证书4. 代码签名证书
数字证书按照使用对象划分 :4. 数字证书的类型
图 45
① 个人证书 ( 客户证书 )个人身份证书 个人身份证书是用来表
明和验证个人在网络上身份的证书,它确保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在软盘或 IC卡中。
个人安全电子邮件证书 个人安全电子邮件证书可以确保邮件的真实性和保密性。
图 46
② 单位证书② 单位证书
单位(客户端)数字证书 主要用于单位安全电子事务处理。具体应用如:安全电子邮件传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。
图 47
③ 服务器证书③ 服务器证书服务器证书(站点证书) 服务器
证书主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。
图 48
④ 代码签名证书④ 代码签名证书又称代码数字证书,代表软件
开发者的身份,用于对其开发的软件进行数字签名,证明软件的合法性。
图 49
软件数字证书使用前软件数字证书使用前
图 50
软件数字证书使用前软件数字证书使用前
图 51软件数字证书使用后软件数字证书使用后
图 52
试用版证书申请访问链接https://testca.netca.net.cn/
图 53
谢谢观赏!
深圳信息职业技术学院2009-03-31
制作人: 万守付