（中職）電子商務(wù)技術(shù)與安全第6章教學(xué)課件

1、（中職）電子商務(wù)技術(shù)與安全第6章ppt課件第六章電子商務(wù)認(rèn)證技術(shù)2第6章 電子商務(wù)認(rèn)證技術(shù)6.1 報(bào)文鑒別與身份認(rèn)證6.2 數(shù)字證書6.3 認(rèn)證中心CA6.4 公鑰基礎(chǔ)設(shè)施PKI6.5 應(yīng)用實(shí)例 36.1.1 身份認(rèn)證系統(tǒng)的組成和要求 1、組成：一個(gè)身份認(rèn)證系統(tǒng)一般由三方組成，一方是出示證件的人，稱作示證者；另一方為驗(yàn)證者，檢驗(yàn)示證者提出的證件的正確性和合法性，決定是否滿足其要求；第三方是攻擊者，可以竊聽和偽裝示證者，騙取驗(yàn)證者的信任。認(rèn)證系統(tǒng)在必要時(shí)也會(huì)有第四方，即可信賴者參與調(diào)解糾紛。2、對(duì)身份認(rèn)證系統(tǒng)的要求。46.1 身份認(rèn)證6.1.2 報(bào)文鑒別技術(shù) 1報(bào)文鑒別基本原理圖6-1 報(bào)文鑒別

2、過(guò)程56.1 身份認(rèn)證6.1.2 報(bào)文鑒別技術(shù) 2報(bào)文鑒別函數(shù)（1）報(bào)文加密（2）報(bào)文鑒別碼（3）單向Hash函數(shù)66.1 身份認(rèn)證6.1.3 身份認(rèn)證的主要方法 1用戶名/密碼認(rèn)證2基于智能卡的認(rèn)證3基于生物特征的認(rèn)證4動(dòng)態(tài)口令認(rèn)證5USB Key認(rèn)證76.2 數(shù)字證書 6.2.1 數(shù)字證書的內(nèi)容及X.509證書6.2.2 數(shù)字證書的類型8CA 的簽名保證證書的真實(shí)性證書以一種可信方式將密鑰“捆綁”持有人: mary公開密鑰: 9f 34 序列號(hào): c4 bb d8 12有效期: 2/9/2007- 1/9/2009頒發(fā)機(jī)構(gòu): CA-名簽名: CA 的數(shù)字簽名圖6-2 數(shù)字證書示意圖6.2.

3、1 數(shù)字證書的內(nèi)容及X.509證書1、什么是數(shù)字證書？ 數(shù)字證書是一個(gè)由認(rèn)證中心在確認(rèn)了相應(yīng)私鑰持有者的身份和其它屬性后簽發(fā)的，包含公開密鑰擁有者信息及公開密鑰的文件。最簡(jiǎn)單的證書包含一個(gè)公開密鑰、證書名稱及認(rèn)證機(jī)構(gòu)的數(shù)字簽名。 數(shù)字證書是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明,并且具有唯一性。92、 X.509證書最簡(jiǎn)單的證書包含一個(gè)公開密鑰、證書名稱及認(rèn)證機(jī)構(gòu)的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)的名稱，該證書的序列號(hào)等信息。證書的格式遵循一般都ITU的X.509國(guó)際標(biāo)準(zhǔn)。 6.2.1 數(shù)字證書的內(nèi)容及X.509證書103、 X.509的證書結(jié)構(gòu)6.2.1 數(shù)字

4、證書的內(nèi)容及X.509證書X509版本號(hào)證書序列號(hào)：用于標(biāo)識(shí)證書數(shù)字簽名算法算法規(guī)定的參數(shù)證書發(fā)行機(jī)構(gòu)名稱的ID超始時(shí)間終止時(shí)間證書持有者即主體的名稱簽名用的公鑰算法算法的參數(shù)驗(yàn)證簽名用的公鑰證書發(fā)行機(jī)構(gòu)對(duì)該證書的簽名數(shù)字簽名算法的標(biāo)識(shí)符證書的有效期證書持有者的公鑰信息圖6-3 X.509的證書結(jié)構(gòu) 116.2.2 數(shù)字證書的類型 根據(jù)數(shù)字證書的應(yīng)用角度，數(shù)字證書可以分為以下幾種：（1）服務(wù)器證書 服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來(lái)證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來(lái)防止假冒站點(diǎn)。（2）電子郵件證書 電子郵件證書可以用來(lái)證明電子郵件發(fā)件人的真實(shí)性。（3）客戶端個(gè)人證書 客戶端個(gè)

5、人證書主要被用來(lái)進(jìn)行身份驗(yàn)證和電子簽名。安全的客戶端證書被存儲(chǔ)于專用的usbkey中。126.3 認(rèn)證中心CA6.3.1 認(rèn)證中心CA及其組成6.3.2 認(rèn)證中心CA的功能6.3.3 認(rèn)證中心CA的信任模型6.3.4 認(rèn)證中心CA的現(xiàn)狀和發(fā)展情況136.3.1 認(rèn)證中心CA及其組成 CA (Certificate Authority，認(rèn)證機(jī)構(gòu)，也稱作認(rèn)證中心) 為什么需要CA？ 數(shù)字證書的來(lái)源必須是可靠的。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu),專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理,確保網(wǎng)上信息的安全,這個(gè)機(jī)構(gòu)就是CA認(rèn)證中心。 CA 是一個(gè)實(shí)體，它可以是人、群體、部門、公司或其他實(shí)體。它是證書的簽發(fā)

6、機(jī)關(guān)，是公鑰基礎(chǔ)設(shè)施PKI的核心 。CA系統(tǒng)的組成：CA是一個(gè)具有權(quán)威性、可信賴性和公證性的第三方機(jī)構(gòu)。一個(gè)典型的CA系統(tǒng)如圖6-5所示，包括安全服務(wù)器、CA服務(wù)器、注冊(cè)機(jī)構(gòu)RA ( Registration Authority ) , LDAP（Lightweight Directory Access Protocol)目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。 14CA系統(tǒng)的組成用戶申請(qǐng)業(yè)務(wù)受理注冊(cè)機(jī)構(gòu)RACA服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器LDAP目錄服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器LDAP目錄服務(wù)器證書用戶證書下載或查詢安全服務(wù)器安全服務(wù)器圖6-4 CA系統(tǒng)的組成15安全服務(wù)器面向普通用戶，用于提供證書申請(qǐng)、瀏覽、證書撤銷列表

7、以及證書下載等安全服務(wù)。CA服務(wù)器是整個(gè)證書機(jī)構(gòu)的核心，負(fù)責(zé)證書的簽發(fā)。注冊(cè)機(jī)構(gòu)RA一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過(guò)來(lái)的證書申請(qǐng)請(qǐng)求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤銷列表。LDAP服務(wù)器供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳輸過(guò)來(lái)的用戶信息以及數(shù)字證書加入到服務(wù)器上。數(shù)據(jù)庫(kù)服務(wù)器是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)(如密鑰和用戶信息等)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。CA系統(tǒng)的組成166.3.2 認(rèn)證中心CA的功能1、認(rèn)證中心（CA）的功能驗(yàn)證申請(qǐng)；審批；頒發(fā)或拒絕；更新證書；查詢和撤銷；產(chǎn)生和發(fā)布證書廢止列表（CRL）；公鑰證書和歸檔；密鑰歸檔；歷史數(shù)

8、據(jù)歸檔。176.3.2 認(rèn)證中心CA的功能2、CA的模塊結(jié)構(gòu)圖6-5 PKI系統(tǒng)的組成186.3.2 認(rèn)證中心CA的功能3、CA的數(shù)據(jù)流圖6-6 CA的數(shù)據(jù)流196.3.3 PKI的信任模型各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性,電子商務(wù)就根本無(wú)從談起。選擇信任模型是構(gòu)筑和運(yùn)作PKI所必需的一個(gè)環(huán)節(jié)。選擇正確的信任模型以及與它相應(yīng)的安全級(jí)別是非常重要的。信任模型主要闡述了以下幾個(gè)問(wèn)題：一個(gè)PKI用戶能夠信任的證書是怎樣被確定的?這種信任是怎樣被建立的?在一定的環(huán)境下,這種信任如何被控制?20目前常用的CA的結(jié)構(gòu)主要有以

9、下五種：1. CA的層次結(jié)構(gòu)模型2. 網(wǎng)狀信任模型3基于WEB信任模型4交叉認(rèn)證5以用戶為中心的信任模型6.3.3 CA的信任模型211. CA的層次結(jié)構(gòu)模型嚴(yán)格的CA層次結(jié)構(gòu)可以被描繪成一棵倒轉(zhuǎn)的樹。其中，樹根代表整個(gè)PKI系統(tǒng)中信任的起始點(diǎn)，稱為根CA，PKI系統(tǒng)中的所有實(shí)體都信任根CA。根CA下存在多級(jí)子CA，根CA為自己和下級(jí)子CA頒發(fā)數(shù)字證書，但不為用戶頒發(fā)證書。無(wú)下級(jí)的CA稱為葉CA，葉CA為用戶頒發(fā)證書。除根CA外的其他CA都由父CA頒發(fā)證書。在層次結(jié)構(gòu)中每個(gè)實(shí)體都必須擁有根CA的公鑰，該公鑰的安裝是為隨后進(jìn)行的所有通信進(jìn)行證書處理的基礎(chǔ)。終端用戶終端用戶終端用戶終端用戶終端用戶

10、終端用戶根CA一級(jí)CA1一級(jí)CA2子CA11子CA12子CA21子CA22222. 網(wǎng)狀信任模型這種模型中沒(méi)有所有實(shí)體都信任的根CA，終端用戶通常選擇給自己頒發(fā)證書的CA為根CA，各根CA之間通過(guò)交叉認(rèn)證的方式互相頒發(fā)證書。網(wǎng)狀信任模型比較靈活，驗(yàn)證速度較快。但由于存在多條證書驗(yàn)證路徑，存在如何有效地選擇一條最短的驗(yàn)證路徑的問(wèn)題。終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶CA1CA2CA3233基于WEB信任模型WEB信任模型在瀏覽器產(chǎn)品中物理地嵌入多個(gè)根CA證書，用戶在驗(yàn)證證書時(shí)，從被驗(yàn)證的證書開始向上查找，直到找到一個(gè)自簽名的根證書，即可完成驗(yàn)證過(guò)程。WEB模型雖然簡(jiǎn)單，方便操作，但

11、因?yàn)槠涠鄠€(gè)根CA證書是預(yù)先安裝在瀏覽器中的，用戶無(wú)法判斷其所有的CA是否都是可信任的。 終端用戶CA11CA1CA2瀏覽器根CACA12終端用戶終端用戶終端用戶終端用戶244交叉認(rèn)證交叉認(rèn)證是把以前無(wú)關(guān)的CA連接到一起的認(rèn)證機(jī)制。當(dāng)兩者隸屬于不同的CA時(shí)，可以通過(guò)信任傳遞的機(jī)制來(lái)完成兩者信任關(guān)系的建立?？偣綜A研發(fā)部CA運(yùn)維部CA銀行1支行CA銀行2支行CA分公司CA銀行總行CA銀行分行CA交叉認(rèn)證255以用戶為中心的信任模型在這種信任模型中，每個(gè)用戶都直接決定信賴哪個(gè)證書和拒絕哪個(gè)證書。沒(méi)有可信的第三方作為CA，終端用戶就是自己的根CA 。著名的軟件PGP(Prerty Good Priv

12、acy)就是以這個(gè)信任模型為基礎(chǔ)的。在PGP中，一個(gè)用戶通過(guò)擔(dān)當(dāng)CA并使其公鑰被其他人所認(rèn)證來(lái)建立或參加所謂的信任網(wǎng)(web of trust)。U1U2U3U4U5U6U7U8U9U10266.3.4 認(rèn)證中心CA的現(xiàn)狀和發(fā)展情況PKI/CA技術(shù)作為電子商務(wù)信息安全的關(guān)鍵技術(shù)和基礎(chǔ)技術(shù)，對(duì)其體系的研究受到各國(guó)的重視，從20世紀(jì)90年代初期以來(lái)，美國(guó)、加拿大和日本等國(guó)相繼開展了可信第三方認(rèn)證體系的研究和建設(shè)工作。 從CA中心建設(shè)的背景來(lái)分,國(guó)內(nèi)的CA中心大致可以分為三類：行業(yè)建立的CA政府授權(quán)建立的CA商業(yè)性的CA基于國(guó)外CA的發(fā)展經(jīng)驗(yàn)和國(guó)內(nèi)目前的狀況，認(rèn)證中心CA將會(huì)朝著國(guó)際化、商業(yè)化、集中

13、化的趨勢(shì)發(fā)展。 276.4 公鑰基礎(chǔ)設(shè)施PKI6.4.1 PKI及其組成6.4.2 PKI的功能6.4.3 PKI的核心技術(shù)6.4.4 PKI的的格式標(biāo)準(zhǔn)6.4.5 證書與認(rèn)證過(guò)程6.4.6 PKI的應(yīng)用281、什么是PKI？PKI ( Pubic Key Infrastructure，公鑰基礎(chǔ)設(shè)施)是一套為電子商務(wù)的開展提供安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。公鑰基礎(chǔ)設(shè)施能為各種不同安全需求的用戶提供各種不同的網(wǎng)上安全服務(wù)：身份識(shí)別與鑒別（認(rèn)證）、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性及時(shí)間戳服務(wù)等。用戶利用PKI所提供的這些安全服務(wù)進(jìn)行安全通信和不可否認(rèn)的安全電子交易活動(dòng)。無(wú)論是國(guó)內(nèi)還是國(guó)外，PKI都已

14、得到廣泛的應(yīng)用，如安全電子郵件、Web訪問(wèn)、虛擬專用網(wǎng)絡(luò)VPN和本地簡(jiǎn)單登錄認(rèn)證，以及電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券交易等各種強(qiáng)認(rèn)證系統(tǒng)都普遍應(yīng)用了PKI技術(shù)。 6.4.1 PKI及其組成292、PKI的基本結(jié)構(gòu) 6.4.1 PKI及其組成證書庫(kù)終端實(shí)體認(rèn)證中心CA注冊(cè)機(jī)構(gòu)RA證書撤銷列表CRL密鑰備份及恢復(fù)系統(tǒng)PKI應(yīng)用安全策略查閱發(fā)布證書簽發(fā)證書審核注冊(cè)發(fā)布證書和證書撤銷列表CRL備份與恢復(fù)密鑰圖6-7 PKI系統(tǒng)的組成302、PKI的基本結(jié)構(gòu)(1)認(rèn)證中心CA(Certification Authority)(2)注冊(cè)機(jī)構(gòu)RA(Registration Authority)(3)

15、證書庫(kù)(4)密鑰備份及恢復(fù)系統(tǒng)(5)證書撤銷列表CRL(Certificate Revocation List) (6)PKI應(yīng)用(7)安全策略6.4.1 PKI及其組成316.4.1 PKI及其組成3、PKI的運(yùn)作流程 RACA最終實(shí)體證書請(qǐng)求證書目錄服務(wù)1.用戶請(qǐng)求證書2.RA驗(yàn)證用戶身份證書申請(qǐng)3.RA允許申請(qǐng)證書并發(fā)送證書4.CA頒發(fā)證書5.CA公布證書和證書撤消信息6.用戶檢索證書和撤消信息圖6-8 PKI的運(yùn)作流程326.4.2 PKI的功能(1)注冊(cè)管理：主要完成的是收集用戶信息、確認(rèn)用戶身份的功能。 (2)證書管理：主要包括證書的存取、證書鏈校驗(yàn)及交叉認(rèn)證等。 (3) CA功能

16、：主要是簽發(fā)證書和撤銷證書。(4)密鑰生命期管理：主要包括密鑰生成、密鑰更新、密鑰備份和恢復(fù)、密鑰銷毀和歸檔處理等 。 336.4.3 PKI的核心技術(shù)PKI的核心技術(shù)是基于公鑰密碼學(xué)的“加密”和“簽名”技術(shù)。PKI中用到的加密技術(shù)主要是：(1)消息摘要與消息認(rèn)證碼：確保消息完整性(2)對(duì)稱加密技術(shù)：確保消息的機(jī)密性(3)非對(duì)稱加密技術(shù)：實(shí)現(xiàn)數(shù)字簽名和數(shù)字信封(4)數(shù)字簽名：保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性(5)數(shù)字信封的功能類似于普通信封346.4.4 PKI的格式標(biāo)準(zhǔn)1與PKI相關(guān)的標(biāo)準(zhǔn)(1)X.500信息技術(shù)(2)X.509信息技術(shù)(3)PKIX標(biāo)準(zhǔn)(4)LDAP標(biāo)準(zhǔn)(5)PKCS標(biāo)準(zhǔn)公開密碼學(xué)標(biāo)準(zhǔn)PKCS(Public Key Cryptograph Standard)RSA數(shù)據(jù)安全公司為公開密碼學(xué)提供的一個(gè)工業(yè)標(biāo)準(zhǔn)接口。包括PKCS#1PKCS#12共12個(gè)規(guī)范。它們描述了公鑰加解密、密鑰交換、信息交換的語(yǔ)法和編程接口，是Internet上證書請(qǐng)求，發(fā)布，認(rèn)證以及信息交換的基礎(chǔ)。356.4.4 PKI的相關(guān)標(biāo)準(zhǔn)2PKI的應(yīng)用標(biāo)準(zhǔn)