電子支付及結算第二章

1、PKIPKI的一些知識的一些知識重慶第二師范學院重慶第二師范學院 郭旭郭旭PKIPKI的一些知識的一些知識l隨著互聯(lián)網技術的迅速發(fā)展，網上辦公和網上交易逐漸成為了互聯(lián)網的又一種新的應用方式。l但由于互聯(lián)網的開放性，進行網上辦公和網上交易的用戶會面臨很多安全問題。PKIPKI的一些知識的一些知識l保密性：如何保證大量保密信息在公開網絡的傳輸過程中不被竊取 l完整性：如何保證所傳輸?shù)男畔⒉槐恢型敬鄹募巴ㄟ^重復發(fā)送被偽造 l身份認證與授權：如何對通信雙方進行認證，以保證雙方身份的正確性 l抗抵賴：如何保證任何一方對已發(fā)生操作的不可否認性PKIPKI的一些知識的一些知識l對于這些安全問題，目前最有效的

2、解決方案是建立在公開密鑰技術基礎上的PKI/CA (Public Key Infrastructure /Certification Authority)技術。l什么是公鑰基礎設施(PKI)?lPKI(Public Key Infrastructure)，即公開密鑰基礎設施。它是通過使用公開密鑰技術和數(shù)字證書來確保信息系統(tǒng)安全并負責驗證數(shù)字證書持有者身份的一種基礎設施體系。PKI簡介簡介l從PKI的總體構架來看，PKI主要由最終用戶、認證中心系統(tǒng)和RA系統(tǒng)來組成。從應用來看，主要的應用都是基于證書的應用，下面主要針對這些主要組成部分來簡單介紹PKI安全解決方案。關于PKI主要涉及到的安全技術，

3、在此不作描述，請參閱相應的技術資料。PKI簡介簡介l（1） 信任的原理lPKI的最基本原理就是互相信任。因為在互聯(lián)網上的安全隱患中，最難解決的就是可信任的關系，信息的加密已經有非常悠久的歷史了，并且也一直被世人所應用，但是信任是隨著互聯(lián)網的出現(xiàn)、普及，人們才開始呼吁我如何才能夠被人信任？什么樣的人我才可以相信?quot;，這就是PKI體系出現(xiàn)的主要背景， PKI的概念及其解決方案一問世，立即受到了全球的關注，現(xiàn)在PKI已經成為當前電子商務中最流行、最成熟的信息安全解決方案。PKI簡介簡介l2） 什么是認證中心（CA）？l 只有先建立一個權威的、第三方的公正機構，才能建立認證中心。因為大家都信任

4、它，由此，所有信任它的人也就信任經過它鑒定，并認定是一個具有合法身份的其他人。這樣，原本相互并未建立信任關系的雙方，即可因此建立信任關系。綜上可知，一個認證中心是以它為信任源，由她維護一定范圍的信任體系，在該信任體系中的所有用戶、服務器，都被發(fā)放一張數(shù)字證書來證明其身份已經被鑒定過，并為其發(fā)放一張數(shù)字證書，每次在進行交易的時候，通過互相檢查對方的數(shù)字證書即可判別是否是本信任域中的可信體。PKI簡介簡介lCA（Certificate Authority）中心是所有合法注冊用戶所信賴的具有權威性、信賴性及公正性的第三方機構，是公鑰基礎設施的核心，負責為電子政務，電子商務環(huán)境中各個實體頒發(fā)數(shù)字證書，

5、以證明各實體身份的真實性，并負責檢驗和管理數(shù)字證書。PKI簡介簡介l在日常生活中，認證中心就像頒發(fā)居民身份證的公安局、頒發(fā)汽車駕照的交通管理局，因為在他們都在某一領域中是一個權威機構，并且他們只管發(fā)放，不管使用，因此，是一個中立的第三方，我們所談的認證中心正像這種機構。l 認證中心除了維護一套可信的信任域外，需要為所有經過鑒別的用戶發(fā)放數(shù)字證書并維護該數(shù)字證書，該維護工作包括：吊銷數(shù)字證書、恢復密鑰、維護證書黑名單數(shù)字證書簡介數(shù)字證書簡介l什么是數(shù)字證書 Digital Certificatel數(shù)字證書又稱為數(shù)字標識（Digital ID），是標志網絡用戶身份信息的一系列數(shù)據(jù)。它提供了一種在I

6、nternet上身份驗證的方式，是用來標志和證明網絡通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書就是個人或單位在Internet的身份證。l數(shù)字證書是由CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術可以對網絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。PKI簡介簡介l4） 什么是注冊機構（RA，Registration Authority）？l 當您需要申請身份證、駕駛證的時候，您一般不會到公安局的身份證制證中心或交管局的駕駛證制證中心來申請，而是到您所在的街道派出所或者您所在區(qū)的交通

7、支隊來，并提交您的身份證明資料，以證明您具有申請的條件，經過這些街道派出所、交通支隊的批準后，由街道派出所、交通支隊將通過的申請資料送到制證中心，最后由制證中心完成制證過程。在證件需要補辦、掛失的時候，您也需要來到街道派出所或交通支隊來提交申請，但最后的操作都是由制證中心來處理。在PKI系統(tǒng)里，注冊機構就像上述所說的街道派出所、交通支隊，負責審核證書申請者的真實身份，在審核通過后，負責將用戶信息通過網絡上傳到證書制作中心，即認證中心系統(tǒng)，由認證中心系統(tǒng)負責最后的制證處理。證書的吊銷、更新也需要由注冊機構來提交給認證中心做處理?？偟膩碚f，認證中心是面向各注冊中心的，而注冊中心是面向最終用戶的。數(shù)

8、字證書認證系統(tǒng)（例一）l國家信息安全工程技術研究中心（以下簡稱“工程中心”），2001年10月經科技部批準成立，依托單位為江南計算技術研究所，是160余個國家級工程技術研究中心中唯一從事信息安全工程技術研究的單位。2002年1月，經上海編制委員會辦公室批準，工程中心在上海市注冊成立了上海信息工程技術研究中心，隸屬上海市科委。工程中心技術業(yè)務由科技部、上海市科委等部委共同指導。工程中心擁有多位國內信息安全領域的知名專家和一批密碼、通信、計算機、網絡、微電子等行業(yè)的技術人才。2005年底被科技部評為優(yōu)秀工程技術研究中心。工程中心是國家密碼管理局批準的商用密碼產品生產定點單位和銷售許可單位，是國家保

9、密局批準的涉及國家秘密的計算機信息系統(tǒng)建設工程監(jiān)理單位，是全國信息安全標準化技術委員會副主任委員單位以及WG1、WG3、WG4工作組的骨干成員。SRQ14數(shù)字證書認證系統(tǒng)1、 系統(tǒng)作用 SRQ14數(shù)字證書認證系統(tǒng)是面向電子商務和電子政務應用的通用數(shù)字證書認證系統(tǒng)。該系統(tǒng)嚴格遵守國家和國際相關技術標準，執(zhí)行雙證書體制，數(shù)字證書符合ITU X.509V3標準和國家X.509CV3標準，具有數(shù)字證書的申請、審核、生成、簽發(fā)、存儲、發(fā)布、更新、注銷、撤消、作廢、掛起與恢復等功能。系統(tǒng)具有自身安全的防護體系和完善的審計功能，能有效地保障系統(tǒng)自身的安全。SRQ14系統(tǒng)已通過國家密碼管理局的技術鑒定，在電子

10、政務、電子商務中得到應用。SRQ14數(shù)字證書認證系統(tǒng)2、 系統(tǒng)組成證書簽發(fā)系統(tǒng)：用于簽發(fā)用戶簽名證書和用戶加密證書。證書管理系統(tǒng)：用于管理用戶簽名證書和用戶加密證書。證書及CRL發(fā)布系統(tǒng)：用于發(fā)布用戶簽名證書、用戶加密證書和CRL。證書及CRL查詢系統(tǒng)：用于查詢和下載用戶簽名證書、用戶加密證書和CRL。證書注冊管理系統(tǒng)：用于用戶數(shù)字證書的申請、審核、制證、更新、注銷、撤消、作廢、掛起與恢復等功能。SRQ14數(shù)字證書認證系統(tǒng)3、 功能特點 接受證書注冊管理系統(tǒng)的業(yè)務請求，根據(jù)不同的業(yè)務流程來調度證書業(yè)務服務，主要有：證書申請、證書更新、證書吊銷、證書注銷、證書掛失、證書暫停、證書解掛、證書恢復、

11、密鑰恢復、證書歸檔、證書發(fā)布、CRL發(fā)布、證書模板管理等，同時還提供證書策略配置功能。 支持多種證書類型：按使用對象，證書可分為個人證書、設備證書、機構證書三種類型。按功能，證書可分為加密證書和簽名證書兩種。 雙證書機制：數(shù)字證書應采用雙證書機制，每個用戶同時擁有簽名和加密兩套數(shù)字證書，簽名證書用于用戶的數(shù)字簽名，加密證書用于對信息的加密。 證書及證書撤銷列表發(fā)布及查詢：提供基于LDAP的證書及證書撤銷列表的發(fā)布和查詢功能，提供基于OCSP的在線證書狀態(tài)查詢功能。 證書管理功能：主要是對系統(tǒng)中各種數(shù)字證書及內部設備證書的有關操作進行管理。提供對證書操作策略的管理，人員證書、設備證書、機構證書的

12、統(tǒng)一管理。 安全通訊功能：系統(tǒng)能夠提供安全的通信機制，符合SPKM安全協(xié)議，適應在不同的應用環(huán)境進行安全的數(shù)據(jù)傳輸。SRQ14數(shù)字證書認證系統(tǒng)4、 性能指標(i) 系統(tǒng)證書容量：200萬（可擴充）(ii) 系統(tǒng)并發(fā)能力：128個連接(iii) 證書查詢能力：50萬級（可擴充）(iv) 數(shù)字簽名速度*：500次/秒(v) 簽名驗證速度*：2000次/秒例二、iTrusCA2.0系統(tǒng)l最新的SSL證書為 EV SSL 證書的推出，其推出的Secure Site Pro-EV 具有強制SGC128位加密技術，最大程度上確保網站的安全可靠性。全球最大的 SSL證書廠商是VeriSign ，該公司提供的

13、SSL證書保護著全世界超過 百萬臺 Web 服務器的安全。目前VeriSign在中國區(qū)不提供直接數(shù)字證書服務，其中國區(qū)授權的合作伙伴是天威誠信數(shù)字認證中心，該機構為VeriSign在中國區(qū)首席合作伙伴，擁有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌證書產品，可以訪問VeriSign中國區(qū)官方網站 或其合作伙伴天威誠信 查找詳細的信息。例二、iTrusCA2.0系統(tǒng)l天威誠信iTrusCA2.0系統(tǒng)借鑒了國際領先的PKI/CA系統(tǒng)的設計思想，繼承了PKI/CA系統(tǒng)的成熟性、先進性、安全可靠及可擴展性，是天威誠信自主研發(fā)、享有完全知識產權的數(shù)字證書管理系統(tǒng)，能夠為

14、用戶構建完善的CA認證體系。例二、iTrusCA2.0系統(tǒng)l（一）系統(tǒng)組成：liTrusCA系統(tǒng)采用模塊化結構設計，由最終用戶、RA管理員、CA管理員、注冊中心（RA）、認證中心（CA）等構成，其中注冊中心（RA）和認證中心（CA）又包含相應的模塊。例二、iTrusCA2.0系統(tǒng) 系統(tǒng)功能系統(tǒng)功能例二、iTrusCA2.0系統(tǒng)l系統(tǒng)特點：系統(tǒng)特點：例二、iTrusCA2.0系統(tǒng)系統(tǒng)價值系統(tǒng)價值例二、iTrusCA2.0系統(tǒng)l運用：支付寶項目l1、項目背景：阿里巴巴是全球最領先的網上貿易市場，在阿里巴巴這個虛擬的世界中，來自200個國家的七百萬進口商與兩百萬家中國企業(yè)每天聚集在這里進行商業(yè)活動。旗下的支付寶（）是國內領先的獨立第三方支付平臺。為中國電子商務提供“簡單、安全、快速”的在線支付解決方案。支付寶不僅要從產品上確保用戶在線支付的安全，同時讓用戶通過支付寶在網絡間建立起相互信任。l隨著支付寶業(yè)務的發(fā)展，其安全性變得越來越重要。一開始使用的單向SSL（SSL：Secure Socket Layer，安全套接字協(xié)議）認證方式解決了支付寶網站真實性和防止網絡竊取等安全需求，沒有真正解決對支付寶用戶的身份認證，非法用戶