1 / 53

电子商务安全

A good beginning is half done!. 第五章 电子商务的认证机制. 电子商务安全. 本章知识点. 一、网上身份认证与认证体系 二、数字证书 三、认证机构 四、我国 CA 的发展及实例. 第一节 网上身份认证与认证体系. 5.1.1 认证与身份证明 认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。 只有确保双方身份的真实性、数据的完整性和可靠性及交易的不可抵赖性,才能确保电子商务安全有序地进行。

lada
Download Presentation

电子商务安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A good beginning is half done! 第五章 电子商务的认证机制 电子商务安全

  2. 本章知识点 • 一、网上身份认证与认证体系 • 二、数字证书 • 三、认证机构 • 四、我国CA的发展及实例

  3. 第一节 网上身份认证与认证体系 5.1.1 认证与身份证明 认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。 只有确保双方身份的真实性、数据的完整性和可靠性及交易的不可抵赖性,才能确保电子商务安全有序地进行。 一个身份证明系统一般由三方组成,一方是出示证件的人,另一方为验证者,第三方是攻击者,认证系统在必要时也会有第四方,即可信赖者参与,经常调解纠纷。

  4. 对身份证明系统的基本要求: (1) 验证者正确识别合法示证者的概率极大化。 (2) 不具可传递性: 验证者B不能重用示证者A提供给他的信息,伪造示证者A成功的骗取其他人的验证,得到信任。 (3) 攻击者伪装示证者欺骗验证者成功的概率小到可以忽略。 (4) 计算有效性:为实现身份证明所需的计算量要小。 (5) 通信有效性。 为实现身份证明所需通信次数和数据量要小。

  5. 电子商务安全中有两个问题涉及到身份识别: • 可信度: • 进行身份识别后,交易双方就可以互相信任。 • (2)不可抵赖性 : • 交易双方对自己的行为负有一定的责任,信息发送者和接收者都不能对此进行否认。

  6. 四种常用的身份认证方式 用户身份认证的最简单、最广的一种方法就是口令方式,口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单,但最不安全不能抵御口令猜测攻击。 (1) 口令方式

  7. (2) 标记方式 标记是一种用户所持有的某个秘密信息(硬件),上面记录着用于系统识别的个人信息。

  8. (3) 人体生物学特征方式 某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。

  9. (4) PKI方式 使用CA中心颁发的数字证书进行网上身份的识别。

  10. 5.1.2 认证体系 电子商务认证中心(CA)体系包括两大部分,即符合SET标准的SET CA认证体系和基于X.509的PKI CA体系。下面分别介绍这两种重要的CA机制。

  11. 1.SET CA 从SET协议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。 SET CA是一套严密的认证体系,可保证B to C类型的电子商务安全顺利地进行。

  12. SET中CA的层次结构依次为: 根认证中心(RCA)、区域性认证中心(GCA)、GCA下设持卡人认证中心(CCA)、商户认证中心(MCA)、支付网关认证中心(PCA)。 在SET中,CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。

  13. 2.PKI CA PKI CA是提供公钥加密和数字签名服务的平台 。 PKI CA增加网上交易各方的信任,也为它们之间的可靠通信创造条件,并为B TO B及B TO C两种电子商务模式提供兼容性服务(特别是B TO B模式的服务)。

  14. 第二节 证书与认证机构 电子商务活动中,为保证商务、交易、支付活动的真实可靠,需要有一种机制来验证活动中各方的真实身份。目前最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书。

  15. 5.2.1 证书 1.数字证书的概念 • 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。 • 数字证书是一个经证书授权中心数字签名的包含拥有者信息以及公开密钥的文件。

  16. 课堂讨论:数字证书的本质 • 数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。

  17. 数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的通信。数字证书提供了一种在网上验证身份的方式,主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的通信。数字证书提供了一种在网上验证身份的方式,主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。

  18. 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

  19. 数字证书(公钥证书)的结构

  20. 2.证书类型 • 个人证书(客户证书) • 证书中包含个人身份信息和个人公钥,用于标识证书持有者的个人身份。 • (2) 服务器证书(站点证书) • 证书中包含个人身份信息和个人公钥,用于标识证书持有者的个人身份。 • (3) 安全电子函件证书 • 用于对普通电子邮件做加密和数字签名处理,以便确保电子邮件内容的安全性、机密性、发件人身份的确定性和不可抵赖性。

  21. 2.证书类型 • CA证书:证实CA身份和CA的签名密钥。 • 代码数字证书:代表软件开发者的身份。

  22. 2.数字证书的内容 • 数字证书的内部格式遵循X.509标准。X.509是由国际电信联盟(ITU—T)制定的数字证书标准。根据这项标准,证书包括申请证书个人的信息和发行证书机构的信息。

  23. 标准的X.509数字证书包含内容: l证书拥有者的姓名;证书所有人的名称,命名规则一般采用X.500格式; l证书的版本信息。用来与X.509标准的将来版本兼容。 l证书的序列号。每个证书都有一个唯一的证书序列号。 l证书所使用的签名算法。 l颁发者。即证书的发行机构名称,命名规则一般采用X.500格式。 l证书的有效期限。现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; l证书主题名称。 l证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示(只适用于RSA加密体制); l包含额外信息的特别扩展。 l证书发行者对证书的签名。

  24. 认证中心所颁发的数字证书均遵循X.509V3标准,根据这项标准,数字证书包括证书申请者的信息和发放证书CA的信息。认证中心所颁发的数字证书均遵循X.509V3标准,根据这项标准,数字证书包括证书申请者的信息和发放证书CA的信息。

  25. 4 数字证书原理简介 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥,用它进行解密和签名; 同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。 当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。

  26. 5. 证书的有效性 只有下列条件为真时,证书才有效: (1)证书没有过期。 (2) 密钥没有修改。 (3) 用户仍然有权使用这个密钥。 (4) CA负责回收证书,发行无效证书清单。

  27. 对数字证书的验证包括以下几个步骤: CA签名真实? N 伪造的证书 Y 证书在有效期内? N 失效的证书 Y 证书在CA发布的 证书撤消列表内? Y 失效的证书 N 有效的证书

  28. 6.证书使用 证书帮助证实个人身份。 认证机构发放的数字证书主要应用于: (1) 通过S/MIME协议实现安全的电子邮件系统; (2) 通过SSL协议实现浏览器与Web服务器之间的安全通信; (3) 通过SET协议实现信用卡网上安全支付; (4) 提供电子商务中认证证书标准。

  29. 5.3 认证机构 电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的。

  30. 课题讨论 :认证中心的本质 • (CA--Certificate Authority)。 • 也称之为电子证书认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。

  31. 认证中心主要有以下几种功能: (1) 证书的颁发 (2) 证书的更新 (3) 证书的查询 (4) 证书的作废 (5) 证书的归档

  32. 证书的颁发 • CA接收、验证用户(包括下级用户和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。 • 新的证书用CA的私钥签名以后,发送到目录服务器供用户下载和查询。 • 为了保证消息的完整性,返回给用户的所以应答消息都要得到使用CA的数字签名。

  33. (2) 证书的更新 CA可以定期更新所有用户的证书,或者根据用户的 请求更新用户的证书。

  34. (3) 证书的查询 • 证书申请的查询: CA根据用户的查询请求返回当前用户证书申请的处理过程。 • 用户证书的查询: 由目录服务器LADP完成,LADP根据用户的请求返回适当的证书。

  35. (4) 证书的作废: 用户私钥泄漏。 证书已经过了有效期。 CA通过证书作废列表(Certification Revocation List, CRL)完成上述功能。

  36. (5) 证书的归档: 证书具有一定的有效期,证书过了有效期以后 就要作废,但是不能将作废的证书简单的丢弃。 原因: 如果要验证以前某个电子交易过程中所产生的数字签名,需要查询作废的证书。 因此,CA还应当具备管理作废证书和作废公钥的功能。

  37. 5.4 我国CA的发展及实例 • 我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。 • 在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。 • 在非金融CA方面,最初主要由中国电信负责建设。

  38. 我国的CA又可分为行业性CA和区域性CA两大类。 行业性CA:中国金融认证中心(CFCA)和中国电信认证中心(CTCA)是行业性CA中影响最大的两家。 区域性CA大多以地方政府为背景,以公司机制来运作,如广东CA中心(CNCA)、上海CA中心(SHECA)、深圳CA中心(SZCA),其中影响最大的是广东CA中心(CNCA)和上海CA中心(SHECA)。

  39. ⑴ 中国金融认证中心(CFCA) CFCA 是全国惟一的金融根认证中心,由中国人民银行负责统一规划管理,中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设,由银行卡信息交换总中心承建,建立了SETCA和Non-SETCA两套系统,于2000年6月29日正式开始为全国的用户提供证书服务。

  40. 在管理分工上,中国人民银行负责管理根认证中心CFCA,并负责审批、认证统一的品牌认证中心。一般脱机进行。在管理分工上,中国人民银行负责管理根认证中心CFCA,并负责审批、认证统一的品牌认证中心。一般脱机进行。 • 品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理,建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作,其中管理包括证书申请、补发、重发和注销等内容。

  41. ⑵ 中国电信认证中心(CTCA) 中国电信1997年底,开始进行电子商务试点工作,1999年8月,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许在公网上运营的CA安全认证系统。1999年底,按全国CA认证中心、省RA审核中心、业务受理点三级结构在全国范围内大规模推广。

  42. ⑶ 广东CA及“网证通”(NETCA)系统 • 广东省电子商务认证中心是国家电子商务的试点工程,其前身是中国电信南方电子商务中心,创立于1998年。2001年1月,广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测,被认定为安全可信的产品。2001年8月,国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心,成为国内提供网络安全认证服务的重要力量。

  43. 随着中国IT网络业的飞速发展,作为南中国首屈一指的安全认证机构,广东省电子商务认证中心联合海南、湖北、重庆、广西、河北等地的电子商务认证中心建立了全国最具影响力最具权威性的电子认证体系之一的“网证通”认证体系,提供电子身份认证、数字证书签发、密钥与证书管理服务、电子商务解决方案和电子商务顾问咨询等服务。随着中国IT网络业的飞速发展,作为南中国首屈一指的安全认证机构,广东省电子商务认证中心联合海南、湖北、重庆、广西、河北等地的电子商务认证中心建立了全国最具影响力最具权威性的电子认证体系之一的“网证通”认证体系,提供电子身份认证、数字证书签发、密钥与证书管理服务、电子商务解决方案和电子商务顾问咨询等服务。

  44. ⑷ 上海CA(SHECA) • 上海市CA中心是中国第一个CA认证中心,创建于1998年, 经过国家批准并被列为信息产业部全国的示范工程。

  45. 中国协卡认证体系(SHECA)是在遵循PKI架构标准体系基础上,根据中国国情,由上海、北京、天津三地发起,由上海市电子商务安全证书管理中心有限公司(简称上海CA中心)设计、建设、并组织运行,联合国内多家CA机构和地区行业联合共建的认证体系。其宗旨是为互联网络交易和作业的主体提供网上身份认证和信任服务,保证交易主体身份的真实性、信息保密性和完整性,以及交易的不可抵赖性。中国协卡认证体系(SHECA)是在遵循PKI架构标准体系基础上,根据中国国情,由上海、北京、天津三地发起,由上海市电子商务安全证书管理中心有限公司(简称上海CA中心)设计、建设、并组织运行,联合国内多家CA机构和地区行业联合共建的认证体系。其宗旨是为互联网络交易和作业的主体提供网上身份认证和信任服务,保证交易主体身份的真实性、信息保密性和完整性,以及交易的不可抵赖性。

  46. SHECA体系数字证书为电子商务、电子政务、网上金融、网上证券、网上办公等提供安全可靠的认证和信任服务,同时还提供证书管理器、SHECA安全引擎、基于SHECA认证的简易支付、小额支付系统、防伪票据等各种产品和软件,以及电子公证、证书目录查询、数据库安全托管、密钥托管、企事业单位安全办公、政府安全上网、CA架构及各类安全架构建设、VPN虚拟专网、培训等一系列服务和解决方案。SHECA体系数字证书为电子商务、电子政务、网上金融、网上证券、网上办公等提供安全可靠的认证和信任服务,同时还提供证书管理器、SHECA安全引擎、基于SHECA认证的简易支付、小额支付系统、防伪票据等各种产品和软件,以及电子公证、证书目录查询、数据库安全托管、密钥托管、企事业单位安全办公、政府安全上网、CA架构及各类安全架构建设、VPN虚拟专网、培训等一系列服务和解决方案。

  47. 为了加强对国内电子商务认证机构的管理,国家信息产业部于2002年1月已经决定成立国家电子商务认证管理中心。该中心的主要职责是:为了加强对国内电子商务认证机构的管理,国家信息产业部于2002年1月已经决定成立国家电子商务认证管理中心。该中心的主要职责是: • ①统筹规划我国电子商务认证机构的总体布局,规范国内电子商务认证机构的建设。 • ②组织研究和提出有关电子商务认证的法规和技术标准,为制订电子商务认证法规和技术标准提出建议。 • ③组织制订国内电子商务认证机构的有关管理、运行和安全等规章制度,管理和监督我国境内的电子商务认证机构。

More Related