构建有安全保障的应用系统.ppt

《构建有安全保障的应用系统.ppt》由会员分享，可在线阅读，更多相关《构建有安全保障的应用系统.ppt（39页珍藏版）》请在三一办公上搜索。

1、第8章 构建有安全保障的应用系统,安全电子商务应用,第8章 安全电子商务应用,【本章提要】中国金融认证中心系统（CFCA）网证通系统（NET CA）,第8章 安全电子商务应用,8.1 中国金融认证中心系统8.2 网证通系统（NET CA）,8.1 中国金融认证中心系统,1中国金融认证中心（CFCA）简介中国金融认证中心(China Finance Certification Authority 缩写 CFCA)，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行

2、参加建设，由银行卡信息交换总中心承建的。,为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA-China Finance Certifi

3、cate Authority)作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。,金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。,8.1 中国金融认证中心系统,2CFCA系统的体系结构,中国金融认证中心的目标,中国金融CA建立了SET CA及

4、Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的应用、网上银行业务的应用及其他安全管理业务的应用。金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议

5、的证书。中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以及B to G(Government)的模式。,8.1.2 CFCA证书的类型及应用,1）企业高级证书2）企业普通证书3）个人高级证书4）个人普通证书5）Web Server证书6）Direct Server证书,CFCA的功能,CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面：,1 证书的

6、申请申请方式：离线申请方式 在线申请方式 2 证书的审批离线审核方式 在线审核方式,3 证书的发放离线方式发放 在线方式发放 4 证书的归档5 证书的撤销6 证书的更新人工密钥更新 自动密钥更新,7证书废止列表的管理功能(CRL)证书废止原因编码 CRL的产生及其发布 企业证书及CRL的在线服务功能 8CA的管理功能9CA 自身密钥的管理功能,8.1.5 CFCA证书在B2B交易中的应用,1双密钥对体系 在B2B交易中使用的高级证书使用两套密钥，其中一对公开密钥/私有密钥用来做加/解密，另一对公开密钥/私有密钥用来做验证/签名 2实时查询CRL,8.1.5 CFCA证书在B2B交易中的应用,3

7、.证书管理 使用证书库来分发证书4数字签名5安全连接（SPKM/CAST-128）6CFCA证书和用户应用结合,CFCA个人证书,需求背景：随着网上银行、网上购物日益普及，电子商务已越来越深入到普通人的生活中。在网上做交易时，由于交易双方并不进行现场交易，因此无法通过传统的面对面的方式确认双方的合法身份；同时，交易信息要通过互联网传输，存在可能被非法盗取、篡改的风险；此外，由于所有交易信息都以电子方式存在，无法进行传统的盖章和签字，所以一旦发生争议或纠纷，需要保证交易信息的不可抵赖性，必要的时候还要作为具有法律效力的证据。因此，在电子商务中，必须从技术上、法律上保证在交易过程中能够实现：身份真

8、实性、信息私密性、信息完整性和信息不可否认性。2005年4月1日电子签名法正式颁布实施，从法律上确认的电子签名的法律效力。技术上，通过以PKI技术为基础的数字证书技术，方便、有效地解决了电子商务中的交易信息的安全问题！,解决办法：CFCA数字证书机制采用国内外领先技术，在国内电子商务、电子政务等诸多领域得到了广泛的应用。CFCA提供多种类型的证书服务。CFCA 个人证书面向个人用户，在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。CFCA 个人证书支持多种存储方式。个人证书包含了一些重要的信息：如用户身份信息（如身份证号码）、公钥信息、证书有效期等。,个人证书应用：个人证书需要结合

9、到具体的应用平台中，如在个人网银系统中：网银服务器端安装一张服务器证书，用户端安装一张个人证书，当用户登录网银或要发生交易时，系统会对证书有效性进行检查，只有双方的证书都有效，才能建立安全传输通道，对交易数据进行加密传输，确保了数据的完整性，对交易的关键数据进行数字签名，确保交易的不可否认。为保证安全性，个人证书设置了有效期，一般为两年；个人证书到期时，需重新进行申请。CFCA也支持网上证书自动展期功能。,个人证书优点,1、支持高强度加密算法2、数字证书生命周期检测3、数字证书在线挂失服务4、7*24小时在线支持5、支持业界主流的数字证书存储介质6、CA签名私钥受到高强度安全防护7、加密设备和

10、加密算法符合国家商用密码管理条例规定8、开放的、符合业界主流标准的电子认证平台9、经验丰富的技术开发和支持队伍10、通过国家密码管理局严格检测获得电子认证运营资质的电子认证系统,1、如何确认您的数字证书已正确安装？,方式一：打开IE浏览器，点击 工具Internet选项内容证书，双击您的证书，点击“常规”按钮，系统显示证书详细信息，表明您的证书已正确安装。方式二：双击证书的驱动，查看是否显示数字证书的信息。若正常显示，则表示已正确安装,2、数字证书不能像往常一样使用，当打开IE浏览器，点击工具internet选项内容证书时，系统无证书显示，怎么办？,1）将存有数字证书的电子密匙再拔插一次，并注

11、意电子密匙上是否有灯亮起，如果灯不亮则表示此电子密匙可能存在问题。2）双击证书的驱动查看能否显示此证书的信息。若证书信息显示正常则表示数字证书驱动正常，则查证其他内容；若不能显示证书信息则表示驱动安装不成功，请卸载驱动重新安装。3）若上述检查都显示正常，可能系统不兼容，请换一台电脑再试一下。,3、可以看到证书，但是不能使用证书进行登录，怎么办？,1）查看所使用的IE版本是否为6.0及以上2）在别的计算机上尝试能否正常登录3）查看网络连接是否正常4）若输入登录密码后出现该页无法打开的情况，可能是LAN中选了代理服务器，将使用代理服务器的选项去除即可解决问题。5）若上述方法都无法解决问题，可以拨打

12、网证通客户服务中心热线电话800-830-1330进行相关咨询，或将电子密匙拿到网证通的相关受理点进行处理。,4、怎样知道数字证书是否过期？,双击数字证书的驱动程序，可查看数字证书的有效期。或打开IE浏览器，点击 工具internet选项内容证书，双击您的证书，点击“常规”按钮，系统显示证书详细信息。检查证书的有效期，即可知道证书是否过期。若证书在有效期内，但查看数字证书时提示“该证书已经过期，或还未生效”，则请检查您的电脑的系统时间是否正确。电脑系统时间的检查方法：双击电脑屏幕右下角的时钟，即可显示“日期和时间属性”查看到电脑系统时间。如果您的证书已经过期，请您联系广东省电子商务认证有限公司

13、更新您的数字证书。,5、使用数字证书登录，没有出现相关的登录框，该如何处理？,1）若弹出密码输入框，输入后提示“该页无法显示”，可能原因是密码错误，请输入密码重新登录。2）若弹出密码提示框，但之前曾经输入密码错误而没法进入，请将所有网页浏览器（IE）关闭，重新开启浏览器（IE）登录。3）若选择正确的数字证书，输入正确密码，出现“此用户不存在”或者“非法用户”等提示页面，可能原因是数字证书未和相关网站绑定，请拨打网证通客户服务中心热线电话800-830-1330进行相关咨询。4）若选择正确的数字证书证书，输入正确密码，出现“该页无法显示”的提示页面，请重新启动计算机。若仍然不能解决问题，可能原因

14、是电子密匙驱动程序与计算机的某程序有所冲突，请卸载电子密匙驱动程序，重新进行安装。,6、使用数字证书登录，出现相关的登录框，但没有显示可登录的用户证书，该如何处理？,1）可能是电子密匙接触不良，请再拔插一次。2）若打开电子密匙管理器，查看证书信息显示“该证书已经过期，或还未生效”，若确认证书没有过期，可能是电脑的系统时间设定不准确，请重新调整系统时间。3）若打开电子密匙管理器，查看证书发现“Windows没有足够信息，不能验证该证书“，表明此计算机缺少证书链，请下载证书链（点击 下载证书链），并进行安装。,7、电子密匙驱动如何删除？,1）先退出桌面右下角的驱动2）点击“我的电脑”进入控制面板点

15、击“添加/删除程序”把相应的程序进行删除,8、如果重装了计算机，是否需要重新申请证书？,不需要，只需将电子密匙驱动重新安装即可。,9、若打开电子密匙管理器，查看证书信息时，显示“该证书已经过期，或还未生效”，是什么原因？,1）数字证书已经过期了。2）若确定数字证书没有过期，可能是电脑的系统时间设定不准确，请重新调整系统时间。,10、电子密匙不小心遗失了该怎么办？,请下载并填写数字证书申请表，正确填写后加盖公司公章（个人证书的本人签名）（一式二份），并带上原使用人的身份证复印件加盖公章至网证通的各服务点申请数字证书的挂失。若重新找回电子密匙可以申请取消挂失。如果您确认您的证书已经遗失，您可以直接

16、申请数字证书的注销。,11、如何获得好友的数字证书？,最简单的方法是请对方给你发送一份电子签名邮件，您通过Microsoft office Outlook 或 Outlook Express 或类似的邮件客户端程序接收该签名邮件，即可获得好友的数字证书了。您也可以在本中心查询对方数字证书，下载并安装。,PKI Non-SET 证书的优势,CFCA的non-SET CA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优势在于：1.技术优势（1）CFCA的Non-SET CA 系统是引入当今世界先进水平的加拿大Entrust 公司的产品。Entrust 公司具有十五年的PKI开发

17、经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司(Entrust、Verisign、Baltimore)之，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。（2）Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥;（3）在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能；,（4）增强了浏览器与服务器之间数据传输加密强度，由原本40位对称算法加密提高到了128位。并且提供了改变算法 的函数库。（5）具有数字签名功能，实现了传送者对信息的签名，提供了抗否认性；（6）浏览器与客户代理之间，服务器与服务器代理之 间采用HT

18、TP连接，而两个代理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。SPKM协议现已成为国际标准；（7）客户端、服务器端实现自动在线CRL查询。CRL 是证书作废列表，为了减少交易或传输的风险，在交易之前，能自动 查询各自的证书是否上了作废的黑名单，如果证书已无效，则系统自动拒绝交易，以保证交易的安全性；,（8）签字公钥可自动置于目录服务器中，实现用户自 动检索。（9）完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能；（10）存储历史文档，支持全程的审计功能。对每次交易，传输都留有记录，特别是历次数据签名都存有历史文档，以

19、备 审计查询；（11）提供时间戳功能。在数据签名或加信息等操作时，使用时间服务，以保证所有用户的时间一致；,（12）证书除存放在机器硬盘、随身软盘而外，也可存 放于IC卡（CPU卡）中，以保证证书的本身的安全性；以上列出的这些CFCA Entrust/Direct 证书及其代理软件（DIRECT PROXY）的优点，这些特点是与国内其他同类产品相对 比较得出的。国内有些公司开发的代理软件其功能各异，一般浏览 器/服务器的代理软件只是解决了128位对称加密强度问题，而没有 数字签名功能，没有证书管理以及在线CRL查询功能等等。因此，解决网上银行和电子商务应用中的 B to B 模式，而采用中国金

20、融认证中心的高级/企业级证书，是最好的选择，在技 术上不但具有可能性而且具有可行性。,2.政策保证方面的优势,（1）中国金融CA（CFCA）是人民银行牵头，十二家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生）参加联合共建的中国金融认证中心。遵循了统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先的原则。建设金融CA是中国电子商务的基础建设，其宗旨是：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。因而CFCA具有很高的权威性。,（2）证书是一种权威性的电子文档。它应由公认的、被授权的权威机构所颁发，是网上交易、传输业务的身份证明，用于证明

21、某个应用环境中某一主体（人或机器）的身份及其公开密钥的合 法性。要想使证书获得这种可信赖和权威性，就必须拥有一个可信 赖的权威的机构来颁发证书，作为认证的第三方。,（3）建立CFCA也包括制定证书运作管理规范（CPS），它应由人民银行支付科技司批准，在中国目前电子商务法律环境尚不健全的情况下，CPS的制定就显得异常重要，CPS实际上 是认证中心的法规。,（4）CFCA在安全方面也具有突出优势。为了保证认 证中心的安全，金融认证中心专门建了一幢独立的建筑；CFCA的机 房采取了严格的符合国际标准的措施。机房六面墙体(四面墙和天花 板、地板)都采用无缝钢板进行屏蔽，安装了高级监控设备，装置了 严格的门禁设备，制定了完善的安全制度。另外，在CFCA的网络 安全策略上。将整个CFCA系统划分成不同安全等级的区域，有些可以由外界通过公网进行访问，有些则只能由特许人员访问，以确保系统 的安全性。网络系统中还安装了世界先进的黑客入侵检测预警系统,以抵御黑客的攻击。,项目实践,1登录中国金融认证中心网站，熟悉中国金融认证系统。2.登陆网证通系统下载个人安全证书。,