《电子商务认证技术和认证中心ppt课件.ppt》由会员分享,可在线阅读,更多相关《电子商务认证技术和认证中心ppt课件.ppt(40页珍藏版)》请在三一办公上搜索。
1、安徽财经大学商务学院电子商务系,1,第四章 认证技术和认证中心,主要内容:1、数字证书 2、认证中心,安徽财经大学商务学院电子商务系,2,4.1密钥交换问题,前面解决了数据的保密性和完整性,然而,在实际的应用中还存在着身份的假冒、否认现象。我们看下面密钥的交换问题:如中间人攻击。(1)李枚将她的的公开密钥送给王钢,张五截取了这个密钥,并将自己的公开密钥送给王钢.(2)王钢将他的的公开密钥发送给李枚,张五截取了这个密钥,并将自己的公开密钥送给李枚.(3)当李枚用“王钢”的公开密钥加密消息传送给王钢时,张五截取它,用自己的私人密钥解密后,用王钢的公钥重新加密后送给王钢.(4)当王钢发送消息给李枚时
2、,张五也作类似的处理.,安徽财经大学商务学院电子商务系,3,4.2 数字证书,在传统商务与电子商务中,均存在对贸易伙伴合法身份的确定与认证问题。传统商务中有相应的双方身份认证机制,如政府部门颁发的身份证、护照、公司营业证书、产品质量检验证书等。有了这些政府权威部门颁发的证书,就可保证贸易双方身份的认证和合法性的认证,在此基础上,才能保证传统商务的安全、有序与可靠进行。,安徽财经大学商务学院电子商务系,4,而在Internet上是依赖于一个公正的“认证中心”,负责颁发电子商务交易参与各方的“身份认证证书”,并检验各方“真实身份”的工作。在电子商务的网络支付中,涉及大量的参与各方的身份认证。,安徽
3、财经大学商务学院电子商务系,5,传统的个人身份证明一般通过检验“物理物品”的有效性来确认持有者的身份。这类“物理物品”可以是身份证、护照、工作证、信用卡、驾驶执照、徽章等,其上往往含有与个人真实身份相关的易于识别的照片、指纹、视网膜等,并且具有发证机构(如公安机关)等的盖章。对于企业的身份,如在中国,则有工商局颁发的营业证书及印章等,只有通过工商局认定的企业才是合法经营者。而在电子商务中则使用数字证书,即把传统的身份证书改成数字信息形式,由双方都信任的第三方机构发行和管理,以方便在网络社会上的传递与使用,进行身份认证。,安徽财经大学商务学院电子商务系,6,1数字证书的定义与工作原理,数字证书(
4、Digital Certification)利用电子信息技术手段,确认、鉴定、认证Internet上信息交流参与者或服务器的身份,是一个担保个人、计算机系统或者组织(企业或政府部门)的身份,并且发布加密算法类别、公开密钥及其所有权的电子文档。可以说数字证书是模拟传统证书(如个人身份证、企业营业证书等)的特殊数字信息文档。,安徽财经大学商务学院电子商务系,7,数字证书的工作原理,就是信息接收方在网上收到发送方发来的业务信息的同时,还收到发送方的数字证书,这时通过对其数字证书的验证,可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时,双方得到对方的公开密钥。由于公开密钥是包含在数字证书中
5、的,且借助证书上数字摘要(缩略图)的验证,确信收到的公开密钥肯定是对方的。通过这个公开密钥,双方就可完成数据传送中的加解密工作。,安徽财经大学商务学院电子商务系,8,数字证书由发证机构数字证书认证中心(CA)发行。该机构负责在发行数字证书之前,证实个人或组织身份和密钥所有权。,安徽财经大学商务学院电子商务系,9,2数字证书的内容,数字证书的具体内容与格式遵循国际流行的ITU-Trec.X.509标准1)数字证书的基本数据信息版本信息(Version):用来区分X.509证书格式的版本。证书序列号(Serial Number):每个由CA发行的数字证书必须有一个惟一的序列号,用于识别该证书。CA
6、使用的签名算法(Algorithm Identifier):CA的数字摘要与公开密钥加密体制算法。,安徽财经大学商务学院电子商务系,10,证书颁发者信息(Issuer Unique Identifier):发此证书的CA信息。有效使用期限(Period of Validity):本证书的有效期,包括起始、结束日期。证书主题或使用者(Subject):证书与公钥的使用者的相关信息。公钥信息(Public key Information):公开密钥加密体制的算法名称、公钥的字符串表示(只适用于RSA加密体制)。其他额外的特别扩展信息:如增强型密钥用法信息,CRL分发点信息等。,安徽财经大学商务学院
7、电子商务系,11,2)发行数字证书的CA签名与签名算法数字证书的内容还包括发行证书的CA机构的数字签名和用来生成数字签名的签名算法,即缩略图算法部分、缩略图。应用这个缩略图算法与缩略图数据,任何人收到这份数字证书后都能使用签名算法,验证数字证书是否是由该CA的签名密钥签署的,以保证证书的真实性与内容的真实性。,安徽财经大学商务学院电子商务系,12,3、与网络支付有关的证书类型 个人证书(客户证书)个人证书即客户证书,它主要证实客户(如一个使用IE浏览器进行支付的客户)的身份和密钥所有权。在网络支付时,服务器可能在建立SSL连接时,要求客户证书证实客户身份。例如,工商银行直接向自己的网络银行客户
8、颁发客户证书,其证书中包含客户的身份信息、公开密钥及工商银行的签名,并可以存储在软盘、硬盘、IC卡、USB盘中。,安徽财经大学商务学院电子商务系,13,2)服务器证书服务器证书即网络站点证书,它主要证实银行或商家业务服务器的身份和公开密钥。在IE浏览器里,客户可以设置总是接受某个站点的证书,如你的开户网络银行的证书。这样,该站点的证书被存放在客户计算机的数据库里,客户可以随时查看这些证书。,安徽财经大学商务学院电子商务系,14,3)支付网关证书 如果在网络支付时利用第三方的支付网关,那么这个第三方要为支付网关申请一个数字证书,以证实自己的身份。如在SET协议机制中,必须有支付网关的证书。,安徽
9、财经大学商务学院电子商务系,15,4)认证中心CA证书,发行数字证书的认证中心CA是安全网络支付的核心。认证中心CA一样需要拥有自己的数字证书,证实其CA的真实身份。在IE浏览器里,用户可以看到浏览器所接受的CA证书,也可选择是否信任这些证书。在服务器端,管理员可以看到服务器所接受的CA证书,也可选择是否信任这些证书。,安徽财经大学商务学院电子商务系,16,4数字证书的有效性与使用,证书没有过期。所有的证书都有期限,可用检查证书的期限来决定证书是否有效。密钥没有被修改。如果密钥被修改,就不应该继续使用,密钥对应的证书应被视为无效。这可通过证书上的缩略图及其算法检验。有可信任的颁发机构CA及时管
10、理与回收无效证书,并且发行无效证书清单(CRL)。,安徽财经大学商务学院电子商务系,17,数字证书的使用(here)当数字证书被传送给某人或某站点时,数字证书颁发机构将上面相关内容信息用自己的私人密钥加密,以使接收者能用证书里的公钥证实颁发机构的真实身份,判断证书的有效性、确认证书使用者的身份。,由于数字证书采用高精尖的加密技术,非常安全。截止到2003年,国内外银行、网络银行包括电子商务,还没有一例由于数字证书被攻破而让不法分子得逞的案例发生。,安徽财经大学商务学院电子商务系,18,如何获得发送方公钥,A发送验证消息给B;B用私钥加密该消息并附上证书送给A;A收到后用CA的公钥解密B的证书得
11、到B的公钥;A用B的公钥解密该消息得到该消息明文;最后核对消息,安徽财经大学商务学院电子商务系,19,使用数字证书,安徽财经大学商务学院电子商务系,20,4.3认证机构(Certificate Authority),CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,通常由一个或多个用户信任的组织实体组成.CA是整个信任链的起点,是开展电子商务的基础。每个用户可以获得CA中心的公开密钥(CA根证书),验证任何一张数字证书的数字签名,从而确定证书是否是CA中心签发、数字证书是否合法。,安徽财经大学商务
12、学院电子商务系,21,1认证中心CA的定义,所谓认证中心,也称数字证书认证中心(Certification Authority,简称CA)是基于Internet 平台建立的一个公正的、有权威性的、独立的(第三方的)、广受信赖的组织机构,主要负责数字证书的发行、管理以及认证服务,以保证网上业务安全可靠地进行。电子商务的参与各方(客户、商家、银行、政府机构等)实体在认证中心注册、加入,这样,认证中心就能确保所有网络支付与结算过程以及各方的安全性。,安徽财经大学商务学院电子商务系,22,2CA的技术基础,CA除了要保持公正、具备良好信誉及第三方的要求外,CA的建立与运作还需要强大的技术支撑。CA的技
13、术基础是PKI体系。所谓PKI体系,英文为Public Key Infrastructure,即:公开密钥体系,是一种遵循既定标准的密钥管理平台,能为所有网络应用服务提供加密和数字签名等密码服务及其必需的密钥和证书管理体系。,安徽财经大学商务学院电子商务系,23,PKI系统的基本构成:权威的认证中心CA,数字证书库,密钥备份及恢复系统,证书作废系统,应用接口(API)等 其中,CA作为数字证书的签发与管理机构,是PKI的核心部分。证书使用与验证:CA认证数字证书采用一种树形验证结构。在双方通信时,通过出示由某个CA签发的证书证明自己的身份。如果对签发证书的CA本身不信任,则可验证CA的真实身份
14、,依次类推,一直到公认的权威CA处,才可确信证书的有效性。,安徽财经大学商务学院电子商务系,24,SET安全交易协议中商务各方的数字证书正是通过这种信任层次逐级验证的。例如,C的证书是由名称为B的CA签发的,而B的证书又由名称为A的CA签发的,A是权威的机构,通常称为Root CA。验证到了Root CA处,就可确信C的证书是合法的。,安徽财经大学商务学院电子商务系,25,3CA的主要功能,1)生成密钥对及CA证书 CA必须先生成公钥体系中自己的密钥对,并对私钥进行有效的保管,用于对自己的签名认证。作为自成体系的、封闭的CA系统,根CA必须生成自己的根密钥对,且在此基础上生成根证书,就可以为各
15、级CA以及客户生成证书,保证证书持有者有不同的密钥对。,安徽财经大学商务学院电子商务系,26,2)验证申请人身份 网络支付的各方,如持卡人、商家、支付网关等,在向CA申请数字证书时,CA须先对其真实的身份进行验证,防止虚假数字证书的生成。因此CA必须建立一套严密的身份认证流程,安徽财经大学商务学院电子商务系,27,3)颁发数字证书 在线颁发:CA系统能在Internet上接收交易各方的证书申请,在验证申请者的真实身份、通过资格检查后,把由CA签名的申请者的数字证书在线发送给申请者。离线颁发:CA将申请者的数字证书加密后放入软盘或IC卡等载体,由证书申请者亲自到CA机构领取。如招商银行企业网络银
16、行目前采用的IC卡证书方式。,安徽财经大学商务学院电子商务系,28,4)证书持有者身份认证、查询 可在线查询证书的生成情况,也可在线认证证书持有者的身份,CA需拥有足够的带宽,保证较快的查询速度。5)证书管理及更新 及时记录所有颁发的证书以及所有失效的、被吊销的证书,及时更新数字证书。,安徽财经大学商务学院电子商务系,29,6)吊销证书CA根据证书持有者的应用情况,可在数字证书有效期内吊销证书,公布于众。7)制定相关政策CA的政策要公开,必须对信任它的商务各方负责。普通用户信任一个CA,除了拥有先进的技术和雄厚的实力这些因素之外,另一个极为重要的因素就是CA的政策。,安徽财经大学商务学院电子商
17、务系,30,8)保证数字证书服务器的安全 数字证书服务器必须是十分安全的,CA应当采取相应措施保证其安全性,如加强对系统管理员的管理,加强对防火墙保护等。,安徽财经大学商务学院电子商务系,31,4CA的组成框架,实际上证书的发放过程由两大部分组成:一部分是证书的申请、制作、发放另一部分是用户身份认证。这两部分工作由CA中两个不同的部门来完成的。即:CA(证书服务中心)和RA(审核受理处)CA完成接收证书请求及发证的工作,RA完成身份认定工作,CA与RA之间一般通过专线连接。,安徽财经大学商务学院电子商务系,32,1)功能较为完整的CA组成框架RS 证书业务受理中心,CP证书制作中心,RA审核受
18、理处,安徽财经大学商务学院电子商务系,33,借助各地的业务受理点以及Internet,CA可以跨区域为用户提供数字证书服务。当然,CA本身还可作为世界上更加权威的CA中心如VeriSign的分支CA,CA本身需要一个由上级CA颁发的数字证书。(根CA除外)例如,北京天威诚信电子商务服务有限公司,作为成立于2000年9月且经信息产业部批准的第一家开展商业性PKICA服务的试点企业,其证书就是VeriSign颁发的数字证书,因而成为VeriSign在中国的业务合作伙伴。,安徽财经大学商务学院电子商务系,34,2)数字证书的申请流程,基于上述的CA组成框架,一般数字证书的申请操作流程如下:用户带相关
19、证明到证书业务受理中心RS申请证书:用户在线填写证书申请表格和证书申请协议书;RS业务人员取得用户申请数据后,与RA中心联系,要求用户身份认证;RA下属的业务受理点审核员通过离线方式(面对面)审核申请者的身份、能力和信誉等;审核通过后,RA中心向CA中心转发证书的申请请求:,安徽财经大学商务学院电子商务系,35,CA中心响应RA中心的证书请求,为该用户制作、签发证书,并且交给RS:RS将制作好的证书传送给用户;如果证书介质是IC卡方式,则RS业务人员打印好相关密码信封传递给用户,通知用户到相关业务受理点领取;用户根据收到的用户应用指南,使用相关的证书业务。,安徽财经大学商务学院电子商务系,36,5国内外主要CA机构,VerisignBJCA CFCA,安徽财经大学商务学院电子商务系,37,安徽财经大学商务学院电子商务系,38,安徽财经大学商务学院电子商务系,39,安徽财经大学商务学院电子商务系,40,Thanks for coming!,
