第4章 電子商務(wù)的認(rèn)證與安全電子郵件技術(shù)

1、電子商務(wù)的認(rèn)證與 安全電子郵件技術(shù) 本章提要 1）PKI的含義、組成及功能 2）數(shù)字證書及認(rèn)證中心 3）PKI的應(yīng)用 第4章 電子商務(wù)的認(rèn)證 與安全電子郵件技術(shù) 4.1 PKI概述 4.2 證書和認(rèn)證系統(tǒng) 4.3 Windows2000PKI 在電子商務(wù)中的應(yīng)用 4.4 認(rèn)證實訓(xùn)個人數(shù)字證書申請 4.5 安全電子郵件技術(shù)實訓(xùn) 4.2.2 數(shù)字證書 l1數(shù)字證書的概念 l數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的 包含公開密鑰擁有者信息以及公開密鑰的文 件。最簡單的證書包含一個公開密鑰、名稱 以及證書授權(quán)中心的數(shù)字簽名。一般情況下 證書中還包括密鑰的有效時間，發(fā)證機關(guān)(證 書授權(quán)中心)的名稱，該證書

2、的序列號等信息， 證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn) 4.2.2 數(shù)字證書 l一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容： l證書的版本信息； l證書的序列號，每個證書都有一個唯一的證書序列號； l證書所使用的簽名算法； l證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式； l證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的 計時范圍為1950-2049； l證書所有人的名稱，命名規(guī)則一般采用X.500格式； l證書所有人的公開密鑰； l證書發(fā)行者對證書的簽名。 4.2.2 數(shù)字證書 l2數(shù)字證書的作用 l（1）信息的保密性 l（2）信息的完整性 l（3）信息的不可否認(rèn)性

3、l（4）交易者身份的確定性 4.2.2 數(shù)字證書 l3數(shù)字證書的原理 l數(shù)字證書采用公鑰體制，即利用一對互相匹 配的密鑰進(jìn)行加密、解密。每個用戶自己設(shè) 定一把特定的僅為本人所知的私有密鑰（私 鑰），用它進(jìn)行解密和簽名；同時設(shè)定一把 公共密鑰（公鑰）并由本人公開，為一組用 戶所共享，用于加密和驗證簽名。當(dāng)發(fā)送一 份保密文件時，發(fā)送方使用接收方的公鑰對 數(shù)據(jù)加密，而接收方則使用自己的私鑰解密， 這樣信息就可以安全無誤地到達(dá)目的地了 4.2.2 數(shù)字證書 l4數(shù)字證書的用途 l數(shù)字證書可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動 和行政作業(yè)活動，包括支付型和非支付型電 子商務(wù)活動，其應(yīng)用范圍涉及需要身份認(rèn)證 及數(shù)

4、據(jù)安全的各個行業(yè)，包括傳統(tǒng)的商業(yè)、 制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、 金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、 教育科研單位、保險、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng) 4.2.2 數(shù)字證書 l5數(shù)字證書的申請流程 4.2.3 認(rèn)證中心 lCA(Certificate Authority)機構(gòu)，又稱為認(rèn)證中心， 作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體 系中公鑰的合法性檢驗的責(zé)任 1行業(yè)性認(rèn)證中心 （1）中國金融認(rèn)證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認(rèn)證中心 （1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認(rèn)證中心 （3）北京數(shù)字證書認(rèn)證中心 3.商業(yè)性認(rèn)證中心 4.2.3

5、 認(rèn)證中心 lCA(Certificate Authority)機構(gòu)，又稱為認(rèn)證中心， 作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體 系中公鑰的合法性檢驗的責(zé)任 1行業(yè)性認(rèn)證中心 （1）中國金融認(rèn)證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認(rèn)證中心 （1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認(rèn)證中心 （3）北京數(shù)字證書認(rèn)證中心 3.商業(yè)性認(rèn)證中心 4.1.1 PKI技術(shù)的含義 lPKI是“Public Key Infrastructure”的縮 寫，意為“公鑰基礎(chǔ)設(shè)施”。PKI技術(shù) 就是利用公鑰理論和技術(shù)建立的提供信 息安全服務(wù)的基礎(chǔ)設(shè)施。 4.1.2 PKI的組成及功

6、能 lPKI系統(tǒng)由五個基本部分組成：證書申請 者（Subscriber）、注冊機構(gòu) （Registration Authority，RA）、認(rèn)證 中心（Certificate Authority，CA）、證 書庫（Certificate Repository，CR）和 證書信任方（Relying Party）。其中， 認(rèn)證中心、注冊機構(gòu)和證書庫三部分是 PKI的核心，證書申請者和證書信任方則 是利用PKI進(jìn)行網(wǎng)上交易的參與者 4.1.2 PKI的組成及功能 l1證書申請者 l證書申請者是證書的持有者，證書的目的是把用戶的身份與其密 鑰綁定在一起，用戶身份可以是參與網(wǎng)上交易的人或應(yīng)用服務(wù)器。 P

7、KI為證書申請者提供如下功能： l（1）證書請求 l（2）生成密鑰對 l（3）生成證書請求格式 l（4）密鑰更新請求 l（5）安裝/存儲私有密鑰 l（6）安裝/存儲證書 l（7）私有密鑰的簽名和解密 l（8）向其他用戶傳送證書 l（9）證書撤銷請求 4.1.2 PKI的組成及功能 l2注冊機構(gòu) l根據(jù)PKI的管理政策，RA的主要功能是核實證書申請 者的身份，這項功能通常由人工完成，也可以由機器 自動完成，但是系統(tǒng)必須具有身份自動檢查機制。RA 的功能如下： l（1）驗證申請者身份 l（2）批準(zhǔn)證書 l（3）證書撤銷請求 4.1.2 PKI的組成及功能 l3認(rèn)證中心 lCA主要完成證書的管理，C

8、A使用其私有密鑰對RA提 交的證書申請簽名，來保證證書數(shù)據(jù)的完整性，任何 對證書內(nèi)容的非法修改，都會被用戶使用CA的公共密 鑰進(jìn)行驗證而發(fā)現(xiàn)。CA功能如下： （1）批準(zhǔn)證書請求 （2）生成密鑰對 （3）密鑰的備份 （4）撤銷證書 （5）發(fā)布CRL （6）生成CA根證書 （7）簽發(fā)證書 （8）證書發(fā)放 （9）交叉認(rèn)證 4.1.2 PKI的組成及功能 l4 證書庫 l證書庫存放了經(jīng)CA簽發(fā)的證書和已撤銷證書的列表， 網(wǎng)上交易的用戶可以使用應(yīng)用程序，從證書庫中得到 交易對象的證書、驗證其證書的真?zhèn)位虿樵冏C書的狀 態(tài)。證書庫的功能如下： l（1）存儲證書 l（2）提供證書 l（3）確認(rèn)證書狀態(tài) 4.1

9、.2 PKI的組成及功能 l5 證書信任方 lPKI為證書信任方提供了檢查證書申請者身份以及與 證書申請者進(jìn)行安全數(shù)據(jù)交換的功能。在電子商務(wù)應(yīng) 用中，用戶通常同時扮演證書申請者和證書信任方的 雙重角色。 證書信任方的功能如下： l（1）接收證書 l（2）證書請求 l（3）核實證書 l（4）檢查身份和數(shù)字簽名 l（5）數(shù)據(jù)加密 4.1.3 PKI的性能要求 l對PKI的性能有如下要求： l1.開放性 l2.可擴展性 l3.安全性 l4.易操作性 4.1.4 輕型目錄訪問協(xié)議 lLDAP（Lightweight Directory Access Protocol）降低了使用X.500目錄服務(wù)的復(fù)

10、雜性，以10%的處理代價幾乎提供了X.500 協(xié)議的全部功能。在PKI環(huán)境中，LDAP服 務(wù)器已經(jīng)成為了首選的證書存儲方式，因 為LDAP產(chǎn)品到處都有，它給出存儲及獲取 證書和CRL的標(biāo)準(zhǔn)方法；而且，很容易得 到編寫LDAP應(yīng)用程序的開發(fā)工具包 4.1.5 PKI技術(shù)標(biāo)準(zhǔn) 1ASN.1 ：ASN.1是描述在網(wǎng)絡(luò)上傳輸信息格式的標(biāo)準(zhǔn)方法。 2X.500：X.500是一套已經(jīng)被國際標(biāo)準(zhǔn)化組織（ISO）接受的目錄服 務(wù)系統(tǒng)標(biāo)準(zhǔn)，它定義了一個機構(gòu)如何在全局范圍內(nèi)共享其名字和與 之相關(guān)的對象。 3X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn) 4PKCS系列標(biāo)準(zhǔn) ：由RSA實驗室制訂的PKC

11、S系列標(biāo)準(zhǔn)，是一套針 對PKI體系的加解密、簽名、密鑰交換、分發(fā)格式及行為標(biāo)準(zhǔn) 5OCSP（在線證書狀態(tài)協(xié)議）是IETF頒布的用于檢查數(shù)字證書在某 一交易時刻是否仍然有效的標(biāo)準(zhǔn)。 6LDAP（輕型目錄訪問協(xié)議） 4.2 證書和認(rèn)證系統(tǒng) 4.2.1 PKI系統(tǒng)的常用信任模型 4.2.2 數(shù)字證書 4.2.3 認(rèn)證中心 4.2.1 PKI系統(tǒng)的常用信任模型 l信任模型主要闡述了以下幾個問題： l1）一個PKI用戶能夠信任的證書是怎樣被確定的？ l2）這種信任是怎樣被建立的？ l3）在一定的環(huán)境下，這種信任如何被控制？ 4.2.1 PKI系統(tǒng)的常用信任模型 l1認(rèn)證機構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型 l可以被描

12、繪為一棵倒轉(zhuǎn)的樹 l1）根CA認(rèn)證（更準(zhǔn)確地說是創(chuàng)立和簽署證書）直 接連接到它下面的CA l2）每個CA都認(rèn)證零個或多個直接連接在它下面的 CA l3）倒數(shù)第二層的CA認(rèn)證終端用戶 4.2.1 PKI系統(tǒng)的常用信任模型 l2分布式信任結(jié)構(gòu)模型 l分布式信任結(jié)構(gòu)把信任分散在兩個或多個CA上。也 就是說，用戶A把CA1作為其根CA，而用戶B可以把 CA2做為其根CA。因為這些CA都被作為根CA，因 此相應(yīng)的CA必須是整個PKI系統(tǒng)的一個子集所構(gòu)成 的嚴(yán)格層次結(jié)構(gòu)的根CA（CA1是包括用戶A在內(nèi)的 嚴(yán)格層次結(jié)構(gòu)的根，CA2是包括用戶B在內(nèi)的嚴(yán)格層 次結(jié)構(gòu)的根） 4.2.1 PKI系統(tǒng)的常用信任模型

13、l3Web模型（Web Model） lWeb模型是在萬維網(wǎng)（World Wide Web）上 誕生的，而且依賴于流行的瀏覽器 。從根本 上講，它更類似于認(rèn)證機構(gòu)的嚴(yán)格層次結(jié)構(gòu) 模型。因為實際上，瀏覽器廠商起到了根CA 的作用，而與被嵌入的密鑰相對應(yīng)的CA就是 它所認(rèn)證的CA，當(dāng)然這種認(rèn)證并不是通過頒 發(fā)證書實現(xiàn)的，而只是物理地把CA的密鑰嵌 入瀏覽器 lWeb模型在方便性和簡單互操作性方面有明 顯的優(yōu)勢，但是也存在許多安全隱患。 4.2.1 PKI系統(tǒng)的常用信任模型 l4以用戶為中心的信任模型 l在以用戶為中心的信任模型中，每個用戶自 己決定信任哪些證書。通常，用戶的最初信 任對象可能是家人

14、、朋友或同事，但是否信 任某證書則是由多種因素決定的。 4.3 Windows2000PKI 在電子商務(wù)中的應(yīng)用 l4.3.1 Windows2000PKI概述 l4.3.2 Windows2000PKI的公鑰基礎(chǔ)結(jié)構(gòu) l4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的證書 服務(wù) l4.3.4 智能卡 4.3.1 Windows2000PKI概述 lWindows 2000操作系統(tǒng)對PKI做了全面支 持。Windows 2000中，PKI在提供高強度 安全性的同時，還與操作系統(tǒng)進(jìn)行了緊密 集成，并作為操作系統(tǒng)的一項基本服務(wù)而 存在 4.3.2 Windows2000PKI的公鑰基礎(chǔ) 結(jié)構(gòu)

15、 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 1選擇CA模式 在建立認(rèn)證服務(wù)之前，選擇CA模式是非常關(guān)鍵的， 安裝認(rèn)證服務(wù)時可選擇四種CA模式 （1）企業(yè)根CA （2）企業(yè)從屬CA （3）獨立根CA （4）獨立從屬CA 2安裝認(rèn)證服務(wù) 1）選擇“開始”-“設(shè)置”-“控制面板”，用鼠標(biāo)雙 擊“添加/刪除程序”，單擊“添加/刪除Windows組 件”，選中“證書服務(wù)”，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2)選中“獨立根CA”，并選中“高級選項”，單擊“下一步” 4

16、.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3)設(shè)定高級選項，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4)輸入CA的標(biāo)識信息和有效期限，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 5)指定證書數(shù)據(jù)庫和日志存儲位置，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 6)證書服務(wù)會配置Internet信息服務(wù)，因此會暫停這項服務(wù) 并彈出如圖4-9所示的對話框，單擊“確定”按鈕 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 7)安裝完成，單擊“完成”

17、即可 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3備份和還原CA 對安裝了證書服務(wù)的計算機中的CA進(jìn)行備份可減少 由于硬件損壞對CA造成的影響。 （1）備份CA 1)選擇“開始”-“程序”-“管理工具”-“證書頒發(fā) 機構(gòu)”，選擇要備份的CA，單擊鼠標(biāo)右鍵，選擇 “所有任務(wù)”中的“備份CA” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2)選擇要備份的項目，單擊“瀏覽”指定備份文件的 位置 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3)輸入訪問私鑰和證書的密碼，

18、單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4)單擊“完成”則成功完成CA備份 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) （2）還原CA 還原CA與備份CA的過程基本相 同，但需要暫時停止證書服務(wù)。 1)選擇“開始”-“程序”-“管理工具”-“證書 頒發(fā)機構(gòu)”，選擇任意CA，單擊鼠標(biāo)右鍵，選 擇“所有任務(wù)”中的“還原CA”，出現(xiàn)如圖4-15 所示的對話框，單擊“確定”暫停證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2)選擇要還原的項目和

19、數(shù)據(jù)的路徑，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3)輸入備份時設(shè)置的密碼，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4)單擊“完成”則成功完成CA還原 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4申請和使用證書 獲得證書主要有兩種方法：第一，使用證書申請向?qū)В?第二，通過認(rèn)證服務(wù)的Web頁。 通過認(rèn)證服務(wù)的Web頁來獲得證書可以歸納為以下三 個步驟： （1）申請證書 1）選擇“開始”-“程序”-“管理工具”-“Internet服務(wù) 管理器”，展開“默認(rèn)Web站點”-“CertSrv”，

20、選擇 “default.asp”，單擊鼠標(biāo)右鍵，選擇“瀏覽” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2）選擇“申請證書”，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3）選擇申請類型，單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4）填寫證書標(biāo)識信息，單擊“提交”按鈕 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 5）出現(xiàn)如圖4-23所示的對話框，單擊“是” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)

21、構(gòu)的 證書服務(wù) 6）完成證書申請 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) （2）頒發(fā)證書 1）選擇“開始”-“程序”-“管理工具”-“證書頒發(fā)機 構(gòu)”，展開“RootCA”-“待定申請”， 選中右邊框中 剛申請的證書（申請ID為9），單擊鼠標(biāo)右鍵，選擇 “所有任務(wù)”-“頒發(fā)” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2）展開“頒發(fā)的證書”，可以看到剛申請的證書已出現(xiàn)在列表 中 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) （3）安裝證書 當(dāng)用戶通過Web頁向

22、獨立CA提交證書申請，并且由 CA頒發(fā)證書后，我們還需要對證書進(jìn)行安裝才能使 用。 1）返回證書服務(wù)主頁，選擇“檢查掛起的證書” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2）單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 3）單擊“下一步” 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4）單擊“安裝此證書”，出現(xiàn)如圖4-30所示的提示框 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 5）點擊“是”按鈕，則提示“證書已安裝” 4.

23、3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 6）我們可以打開IE瀏覽器，選擇“工具”菜單中的 “Internet選項”，選擇“內(nèi)容”選項卡，單擊“證書”按 鈕查看證書 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 5管理證書 （1）吊銷證書 當(dāng)證書所有者的私鑰泄露，或者發(fā) 生了其他與安全相關(guān)的事件時，CA的管理員必須吊 銷證書，吊銷的證書將被添加到證書吊銷列表CRL 中。 1）選擇“開始”-“程序”-“管理工具”-“證書頒發(fā) 機構(gòu)”，展開“RootCA”，選擇“頒發(fā)的證書”， 選中要吊銷的證書，單擊鼠標(biāo)右鍵，選擇“所有任 務(wù)”-“吊銷證書” 4.3.3 W

24、indows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 2）選擇吊銷證書的原因，單擊“是”即 可 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) （2）導(dǎo)出證書 以下幾種常見情況我們需要導(dǎo) 出證書。 1）備份證書； 2）將證書復(fù)制到另一臺計算機上使用； 3）從當(dāng)前計算機上刪除證書，在另一臺計算 機上安裝。 導(dǎo)出證書可以按以下步驟進(jìn)行： 打開IE瀏覽器，選擇“工具”菜單中的 “Internet選項”，選擇“內(nèi)容”選項卡，單 擊“證書”按鈕，選中要導(dǎo)出的證書，單擊 “導(dǎo)出”按鈕，接著根據(jù)提示即可完成證書導(dǎo) 出 4.3.

25、3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) （3）導(dǎo)入證書 以下幾種常見情況我們需要導(dǎo)入證書。 1）安裝有另一用戶、計算機或CA發(fā)送的證書； 2）還原受損或丟失的已備份的證書； 3）安裝另一臺計算機上的證書。 導(dǎo)入證書可以按以下步驟進(jìn)行： 打開IE瀏覽器，選擇“工具”菜單中的“Internet選項”， 選擇“內(nèi)容”選項卡，單擊“證書”按鈕，單擊“導(dǎo)入” 按鈕，接著根據(jù)提示即可完成證書導(dǎo)入 4.3.3 Windows2000PKI公鑰基礎(chǔ)結(jié)構(gòu)的 證書服務(wù) 4.3.4 智能卡 l 使用智能卡比使用口令進(jìn)行認(rèn)證具有更高的

26、安全性： 1）智能卡方式下需要使用物理對象（卡）來認(rèn)證用 戶。 2）智能卡的使用必須提供一個個人標(biāo)識號PIN （Personal Identification Number），這樣可以保證 只有經(jīng)過授權(quán)的人才能使用該智能卡。 3）從物理形式上，密鑰不能從卡中導(dǎo)出，就消除了 通過盜取用戶證書而對系統(tǒng)發(fā)起的攻擊和威脅。 4）沒有智能卡，攻擊者不能存取和使用經(jīng)過卡保護(hù) 的信息資源。 5）在網(wǎng)絡(luò)中，沒有口令或任何可重用信息的傳輸。 4.4 認(rèn)證實訓(xùn) l以網(wǎng)證通NETCA電子認(rèn)證系統(tǒng)（試用型）為例， 說明試用型個人數(shù)字證書的申請過程 過程演示 4.4 認(rèn)證實訓(xùn) l首先登錄網(wǎng)證通NETCA電子認(rèn)證系統(tǒng)（試

27、用型） http:/，單擊“證書申請”鏈接，選 擇“試用型個人數(shù)字證書申請”鏈接 l因為網(wǎng)證通NETCA電子認(rèn)證系統(tǒng)的建設(shè)維護(hù)與技術(shù)支持單位是 廣東省電子商務(wù)認(rèn)證中心，我們也可以登錄到 http:/，選擇“網(wǎng)證通數(shù)字證書”-“試用型證書”- “個人證書” 4.5 安全電子郵件技術(shù)實訓(xùn) l4.5.1安全電子郵件概述 l4.5.2電子郵件 l4.5.3安全電子郵件系統(tǒng) l4.5.4安裝個人數(shù)字證書 l4.5.5在郵件上簽名 l4.5.6郵件加密 4.5.1安全電子郵件概述 l1.系統(tǒng)組成與工作模式 4.5.1安全電子郵件概述 l2. 相關(guān)協(xié)議與標(biāo)準(zhǔn) 電子郵件系統(tǒng)主要涉及的協(xié)議和標(biāo)準(zhǔn)如下： lSMT

28、P （Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議） lPOP3 (Post Office Protocol-Version 3, 郵局協(xié)議版本 3) lIMAP4（Internet Message Acess Protocol-Version 4，因特網(wǎng)消 息訪問協(xié)議版本4） lRFC 822 (Standard For The Format Of ARPA 因特網(wǎng) Text Messages) lMIME (Multipurpose Internet Mail Extensions ,多用途因特網(wǎng)郵件 擴展協(xié)議) lHTTP (Hypertext Trans

29、fer Protocol ,超文本傳輸協(xié)議) lHTML （Hypertext Markup Languae ,超文本標(biāo)志語言） 4.5.1安全電子郵件概述 l3.安全需要 l為解決電子郵件的安全性問題，提出了一系列的 安 全 電 子 郵 件 協(xié) 議 ， 如 P E M （ P r i v a c y Enhancement for Internet Electronic Mail ）、 PGP（MIME Security with Pretty Good Privacy）、S/MIME （Secure MIME）、MOSS （MIME Object Security Services）等，通

30、過這 些協(xié)議和標(biāo)準(zhǔn)，可提供郵件的機密性、完整性以 及不可抵賴性等 4.5.2 電子郵件 安全電子郵件工作模式 4.5.2 電子郵件 （1）郵件簽名 4.5.2 電子郵件 （2）郵件加密 4.5.2 電子郵件 （3）郵件解密 4.5.2 電子郵件 （4）郵件驗證 4.5.2 電子郵件 （5）框架結(jié)構(gòu) 由符合MIME規(guī)范的兩種內(nèi)容類型來定義： Multipart/Signed和Multipart/Encrypted 4.5.3 安全電子郵件系統(tǒng) l1.郵件服務(wù)器安全 l 郵件服務(wù)器的優(yōu)劣與其本身提供服務(wù)的能力和 安全防護(hù)的能力密切相關(guān)。 l（1）系統(tǒng)服務(wù)能力 l（2）安全防護(hù)能力 l2.安全電子郵件的發(fā)送與接收 l 在郵件接收系統(tǒng)中，郵件的安全性必須得到保 證，用戶發(fā)出或收到的信件至少在網(wǎng)上是加密傳 輸?shù)?，即必須保證郵件及其附屬內(nèi)容在發(fā)到互聯(lián) 網(wǎng)之前就是密文。 4.5.5 在郵件上簽名 l以O(shè)utlook Express為例，介紹一下利用數(shù)字證書 發(fā)送安全電子郵件的