網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)-第11章-電子商務(wù)的安全管理課件

1、第11章 電子商務(wù)的安全管理 教育部高校管理與工程教學(xué)指導(dǎo)委員會(huì)、機(jī)械工業(yè)出版社網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)主編賈鐵軍 副主編 嵩天 常艷編著 王雄 俞小怡 劉雪飛 蘇慶剛 宋少婷全國(guó)高校管理與工程類學(xué)科系列規(guī)劃教材目 錄 11.2 電子商務(wù)安全管理制度2 11.3 電子商務(wù)安全協(xié)議和證書 3 11.4 數(shù)字證書獲取與管理實(shí)驗(yàn) 4 11.1 電子商務(wù)安全管理概述1 11.5 電子商務(wù)安全解決方案5 11.6 本章小結(jié)6目 錄本章要點(diǎn) 電子商務(wù)的安全管理制度 電子商務(wù)安全協(xié)議和證書 電子商務(wù)安全管理解決方案教學(xué)目標(biāo) 了解電子商務(wù)安全技術(shù)的概念 理解電子商務(wù)安全管理制度制定的原則 掌握基本安全協(xié)議IPS

2、ec、SSL、SET和3-D SECURE 學(xué)會(huì)運(yùn)用安全管理解決方案重點(diǎn)11.1.1 電子商務(wù)概述 1. 電子商務(wù)的概念 在對(duì)電子商務(wù)認(rèn)知識(shí)的發(fā)展和完善過程中，各國(guó)政府，學(xué)者和企業(yè)對(duì) 其基本概念給出了不同的詮釋。 全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：電子商務(wù)是以電子通信為手段的經(jīng)濟(jì)活動(dòng)，通過這種方式對(duì)帶有經(jīng)濟(jì)價(jià)值的產(chǎn)品和服務(wù)進(jìn)行宣傳，購買和結(jié)算。 IBM公司對(duì)電子商務(wù)的解釋是，電子商務(wù)是在Internet的廣泛聯(lián)系與傳統(tǒng)信息技術(shù)系統(tǒng)豐富資源相結(jié)合的背景下產(chǎn)生的一種在互聯(lián)網(wǎng)上展開的互相關(guān)聯(lián)的動(dòng)態(tài)商務(wù)活動(dòng)。 “全球電子商務(wù)綱要”是美國(guó)政府電子商務(wù)發(fā)展政策的綱領(lǐng)性文件，其中把電子商務(wù)定義為“通過Inte

3、rnet進(jìn)行的各項(xiàng)商務(wù)活動(dòng)，包括廣告、交易、支付和服務(wù)等”。 11.1 電子商務(wù)安全管理概述 電子商務(wù)概念的總結(jié) 政府、企業(yè)和個(gè)人利用現(xiàn)代計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)商業(yè)活動(dòng)的全過程。是一種基于互聯(lián)網(wǎng)，以交易雙方為主體，以銀行電子支付和結(jié)算為手段，以客戶數(shù)據(jù)為依托的商務(wù)模式。電子商務(wù)是集企業(yè)管理信息化、金融電子化和商貿(mào)信息網(wǎng)絡(luò)化為一體，旨在實(shí)現(xiàn)信息流、現(xiàn)金流和物流的流動(dòng)成本最小化，效率和效益最大化的現(xiàn)代貿(mào)易方式。11.1 電子商務(wù)安全管理概述11.1.1 電子商務(wù)概述 2. 電子商務(wù)的交易模式 (2) 按照交易產(chǎn)品的類型劃分 2) 無形商品交易模式，是指以信息載體形式出現(xiàn)的商品，以網(wǎng)上訂閱、付費(fèi)瀏

4、覽、廣告支持和網(wǎng)上贈(zèng)與的方式來實(shí)現(xiàn)交易。1) 實(shí)物商品交易模式，是指?jìng)鹘y(tǒng)的有形商品和勞務(wù)，通過互聯(lián)網(wǎng)進(jìn)行交易撮合，而交付時(shí)通過傳統(tǒng)物流來實(shí)現(xiàn)交易 。11.1 電子商務(wù)安全管理概述3. 電子商務(wù)的交易流程 消費(fèi)者物流中心商家銀行或金融機(jī)構(gòu)企業(yè)或政府認(rèn)證機(jī)構(gòu)電子商務(wù)交易涉及相關(guān)部門 11.1 電子商務(wù)安全管理概述11.1.2 電子商務(wù)安全問題的特征 1. 電子商務(wù)系統(tǒng)自身的安全問題 2. 交易傳輸過程中的信息安全 3. 電子商務(wù)企業(yè)內(nèi)部安全管理隱患 4. 電子商務(wù)安全的法律保障 5. 電子商務(wù)的信用安全問題 6. 電子商務(wù)的支付安全問題 11.1 電子商務(wù)安全管理概述11.1.3 電子商務(wù)安全的概

5、念 1. 物理層的安全管理 電子商務(wù)應(yīng)用系統(tǒng)實(shí)體設(shè)備的安全管理 2.軟件層的安全管理 電子商務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全管理 3.人事層的安全管理 在電子商務(wù)交易過程中涉及到人員的安全管理 4.信用安全的管理 在電子商務(wù)交易過程中建立安全可靠的信用管理體制 5.電子商務(wù)安全立法 逐步推進(jìn)和制定相關(guān)電子商務(wù)的法律法規(guī) 11.1 電子商務(wù)安全管理概述11.1.4 電子商務(wù)安全管理的要素 11.1 電子商務(wù)安全管理概述數(shù)據(jù)有效性管理 數(shù)據(jù)完整性管理 不可否認(rèn)性管理 系統(tǒng)可靠性管理 信息保密性管理 課堂討論什么是電子商務(wù)？你應(yīng)用過哪些電子商務(wù)產(chǎn)品？分析一下電子商務(wù)安全管理的幾大要素。電子商務(wù)的交易流程一般分

6、幾個(gè)步驟？11.1 電子商務(wù)安全管理概述 11.2.1 電子商務(wù)安全管理的原則 1. 安全責(zé)任到人的管理原則 2. 專職安全管理原則 3. 減少人為因素原則 4. 多人或交叉負(fù)責(zé)原則 5. 人員輪崗原則 6. 最小權(quán)限原則11.2 電子商務(wù)的安全管理制度1.應(yīng)用系統(tǒng)集成安全管理制度11.2 電子商務(wù)的安全管理制度 應(yīng)用系統(tǒng)集成安全管理制度是從軟件開發(fā)過程就已經(jīng)滲透的，對(duì)安全問題考慮不周或缺乏整體的規(guī)劃會(huì)給應(yīng)用系統(tǒng)的使用帶來無法彌補(bǔ)的硬傷，所以必須在概要設(shè)計(jì)階段就專題規(guī)劃安全管理的策略；其次，承載著應(yīng)用系統(tǒng)的操作系統(tǒng)的管理也是不可忽視的重要組成部分。操作系統(tǒng)的動(dòng)態(tài)連接模式，文件交互功能，系統(tǒng)進(jìn)程

7、等待和為系統(tǒng)開發(fā)人員預(yù)留的無口令登錄，都需要得到有效的管理和限制。最后，應(yīng)用系統(tǒng)本身的維護(hù)和操作管理更是重中之重，直接關(guān)系到電子商務(wù)系統(tǒng)的安全性和可靠性。2. 數(shù)據(jù)存儲(chǔ)和管理制度 11.2 電子商務(wù)的安全管理制度 電子商務(wù)系統(tǒng)中的數(shù)據(jù)庫和其它計(jì)算機(jī)系統(tǒng)一樣，是系統(tǒng)的靈魂和核心所在，數(shù)據(jù)存儲(chǔ)和管理制度是保證數(shù)據(jù)庫在極端情況下也能維持正常功能，而且不被非法入侵和蓄意破壞。比如當(dāng)數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)和由于錯(cuò)誤信息的輸入而造成無效操作和錯(cuò)誤結(jié)果的情況?；蛘咴诙鄠€(gè)用戶并行地存取共享數(shù)據(jù)資源時(shí)，就可能造成取出時(shí)的數(shù)據(jù)和存入時(shí)的數(shù)據(jù)不一致的結(jié)果。這就需要采用具備良好的自身保護(hù)機(jī)制和并發(fā)處理機(jī)制的分布

8、式數(shù)據(jù)庫管理系統(tǒng)來完成，使得外部用戶無法破解存儲(chǔ)在單元表中的信息。并利用系統(tǒng)自身的加密功能防御外來程序的攻擊。3.網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度 11.2 電子商務(wù)的安全管理制度 電子商務(wù)系統(tǒng)的流轉(zhuǎn)必須通過網(wǎng)絡(luò)傳輸完成，在信息中心沒有找到入侵缺口的攻擊者就會(huì)將網(wǎng)絡(luò)傳輸定為攻擊的下一個(gè)重要目標(biāo)。國(guó)際標(biāo)準(zhǔn)化（ISO）把網(wǎng)絡(luò)管理制度劃分為五個(gè)領(lǐng)域，分別是：故障、性能，配置，記賬和安全?！肮收瞎芾怼必?fù)責(zé)檢測(cè)或發(fā)現(xiàn)異常的網(wǎng)絡(luò)運(yùn)轉(zhuǎn)，隔離并控制網(wǎng)絡(luò)問題。“性能管理”負(fù)責(zé)分析網(wǎng)絡(luò)出錯(cuò)率及網(wǎng)絡(luò)吞吐率，以建立合理、優(yōu)化的網(wǎng)絡(luò)運(yùn)行狀態(tài)。“記賬管理”負(fù)責(zé)搜集資源、處理資源和利用數(shù)據(jù)?！芭渲霉芾怼必?fù)責(zé)檢測(cè)網(wǎng)絡(luò)的物理和邏輯配置

9、,把握和控制網(wǎng)絡(luò)狀態(tài)。 “安全管理”負(fù)責(zé)控制各種對(duì)網(wǎng)絡(luò)的訪問。通過對(duì)這五個(gè)領(lǐng)域的網(wǎng)絡(luò)管理制度的細(xì)化，可以更有效地防范在網(wǎng)絡(luò)傳輸環(huán)節(jié)上的系統(tǒng)風(fēng)險(xiǎn)。4.人員安全管理制度 11.2 電子商務(wù)的安全管理制度 計(jì)算機(jī)網(wǎng)絡(luò)犯罪，往往具備智能型、隱蔽性和連續(xù)性的特點(diǎn)。一些所謂精英，抓住系統(tǒng)漏洞，自以為技高一籌，可以做到不露蛛絲馬跡，而鋌而走險(xiǎn)。結(jié)果從企業(yè)的骨干力量嬗變成可悲的犯罪分子。所以需要有效的安全管理制度才能約束和糾正人員的行為，做到預(yù)防為主。安全制度的制定實(shí)施，首先要增強(qiáng)人員的整體安全意識(shí)，提高安全手段和策略實(shí)施的技巧，并區(qū)分不同對(duì)象，制定針對(duì)不同類型對(duì)象的不同安全管理制度。11.2.3 電子商務(wù)系

10、統(tǒng)的日常維護(hù)制度 1. 執(zhí)行嚴(yán)格的出入管理制度 2. 網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 3對(duì)支撐軟件的日常維護(hù)制度 4嚴(yán)格執(zhí)行密碼管理規(guī)定和保密制度 5認(rèn)真執(zhí)行病毒防范制度 6運(yùn)行中心和開發(fā)調(diào)試機(jī)房隔離制度 7操作日志制度 8檢查考核制度 11.2 電子商務(wù)的安全管理制度11.2.5 備份、審計(jì)和應(yīng)急管理軟硬件的備份管理 網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度 應(yīng)急預(yù)案與應(yīng)急措施 11.2 電子商務(wù)的安全管理制度11.2.4 備份、審計(jì)和應(yīng)急管理軟硬件的備份管理 網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度 應(yīng)急預(yù)案與應(yīng)急措施 課堂討論1.如何減少人為因素對(duì)電子商務(wù)安全的干擾？2. 結(jié)合具體單位，制定本單位的機(jī)房安全管理

11、細(xì)則。3. 電子商務(wù)中的災(zāi)難事件是指什么？11.3.2 基于網(wǎng)絡(luò)層的安全協(xié)議-IPSec IPsec是一系列協(xié)議的總稱，下面介紹其中核心的三個(gè)協(xié)議：IKE（Internet Key Exchange）協(xié)議 ESP（Encapsulating Security Payload）協(xié)議 AH（Authentication Header）協(xié)議11.3 電子商務(wù)安全協(xié)議和證書 IPsec協(xié)議是由國(guó)際標(biāo)準(zhǔn)化組織IETF制定的加密通信協(xié)議，IPsec的特征是不僅僅針對(duì)某種應(yīng)用程序提供加密功能，而且是提供把主機(jī)間的所有通信都加密的一種通信方式。IPsec并沒有指定特定的加密算法，因?yàn)殡S著計(jì)算機(jī)計(jì)算能力的增強(qiáng)，

12、原來安全的加密算法將變得不再安全，可以靈活變更加密算法的設(shè)計(jì)使得IPsec能夠有更長(zhǎng)久的生命力。 1. 密碼交換協(xié)議-IKE IKE加密通信由兩個(gè)階段構(gòu)成，第一階段在決定第二階段的加密算法的同時(shí)，生成密鑰。這時(shí)利用Diffie-Hellman密鑰交換方式，通信雙方互送一個(gè)隨機(jī)數(shù)，并根據(jù)這個(gè)隨機(jī)數(shù)生成一個(gè)雙方共用的密鑰，而網(wǎng)絡(luò)竊密者即使得到了同樣的隨機(jī)數(shù)，也不能在短時(shí)間內(nèi)生成這個(gè)密鑰。在生成了這個(gè)密鑰后，就進(jìn)入第二階段，變成IKE密碼通信。在這個(gè)階段雙方交涉完成加密算法確定，密鑰交換工作，為以后的數(shù)據(jù)通信做好準(zhǔn)備。在這個(gè)階段，SPI（Security Pointer Index）也被確定下來，S

13、PI是一個(gè)32位的整數(shù)，包含有通信中使用的加密算法和密鑰信息，在以后的數(shù)據(jù)通信中SPI被插入到每個(gè)通信的數(shù)據(jù)包中。11.3 電子商務(wù)安全協(xié)議和證書 3.安全性和認(rèn)證協(xié)議-AH AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播確保，它能保護(hù)通信免受篡改，但不能防止竊聽，適合用于傳輸非機(jī)密數(shù)據(jù)，它可以在一些不允許使用加密通信的場(chǎng)合保證最低限度的安全性和認(rèn)證能力。AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)頭。此報(bào)頭包含一個(gè)帶密鑰的MAC數(shù)據(jù)，和上一節(jié)講述的一樣，這個(gè)MAC數(shù)據(jù)根據(jù)整個(gè)數(shù)據(jù)包來計(jì)算，對(duì)數(shù)據(jù)的任何更改將導(dǎo)致MAC數(shù)據(jù)無效，這樣就提供了完整性保護(hù)。11.3 電子商務(wù)安全協(xié)議和證

14、書11.3.3 基于傳輸層的安全協(xié)議-SSL SSL安全協(xié)議的原理和構(gòu)造 SSL(Secure Socket Layer)協(xié)議是加密、認(rèn)證以及完整性保證的協(xié)議。該協(xié)議位于OSI模型的第五層會(huì)話層和第四層傳輸層之間，從應(yīng)用層來看是完全透明的，可以方便地應(yīng)用于HTTP、FTP、TELNET等協(xié)議之下。11.3 電子商務(wù)安全協(xié)議和證書11.3 電子商務(wù)安全協(xié)議和證書11.3 電子商務(wù)安全協(xié)議和證書11.3.4 基于應(yīng)用層的安全協(xié)議-SET和3-D SECURESET協(xié)議 SET協(xié)議是用于網(wǎng)上信用卡支付的協(xié)議，由美國(guó)Visa組織和Master組織共同開發(fā)，微軟、網(wǎng)景、IBM等公司聯(lián)合進(jìn)行了標(biāo)準(zhǔn)化的一個(gè)

15、協(xié)議。它的加密算法采用DES或RSA，數(shù)字簽名采用RSA方式。為了能夠進(jìn)行安全的交易，該協(xié)議規(guī)定會(huì)員（消費(fèi)者），加盟店（網(wǎng)上商店），支付金融機(jī)關(guān)（信用卡公司、銀行等）這三者都必須取得證書，并為他們制定了嚴(yán)格的交易流程。 利用SET協(xié)議前，首先要在客戶端安裝的電子錢包軟件，另外還要按照規(guī)定手續(xù)，取得數(shù)字證書。取得證書后就可以進(jìn)行交易。 11.3 電子商務(wù)安全協(xié)議和證書11.3 電子商務(wù)安全協(xié)議和證書11.3.4 基于應(yīng)用層的安全協(xié)議-SET和3-D SECURE2. 3-D SECURE 協(xié)議 Visa組織于2001年5月推出了新一代的互聯(lián)網(wǎng)的結(jié)算用協(xié)議3-D SECURE（3-Domain S

16、ecure）。國(guó)際上的另外兩大信用卡組織Master和JCB也宣布支持這個(gè)協(xié)議。和SET相比，消費(fèi)者不用事先安裝證書或其他軟件，加盟店也能夠以較低廉的費(fèi)用導(dǎo)入該系統(tǒng)，因此近年來得到了一定程度的普及。 3-D Secure是把SSL交易分為發(fā)卡行域、收單行域以及它們之間的互操作域三個(gè)領(lǐng)域、每次進(jìn)行信用卡交易都由發(fā)卡行域和收單行域獨(dú)立進(jìn)行消費(fèi)者和加盟店的認(rèn)證，認(rèn)證通過后，再進(jìn)行正常的信用卡授信過程。11.3 電子商務(wù)安全協(xié)議和證書11.3 電子商務(wù)安全協(xié)議和證書11.3.5 數(shù)字證書的原理和概念 數(shù)字證書就是由具有公信力的認(rèn)證機(jī)構(gòu)（CA）發(fā)行的用來證明其中包含的公開鍵的真實(shí)有效性的一組數(shù)據(jù)。這組數(shù)

17、據(jù)中包含有公開鍵、加密算法信息、所有者的數(shù)據(jù)、證明機(jī)關(guān)的數(shù)字簽名和證明書的有效期間等信息。 國(guó)內(nèi)首批獲得信息產(chǎn)業(yè)部頒發(fā)的電子認(rèn)證服務(wù)許可證書，成為取得國(guó)家電子認(rèn)證服務(wù)資格的8家機(jī)構(gòu)有山東省數(shù)字證書認(rèn)證中心、銀聯(lián)金融認(rèn)證中心、北京天威誠(chéng)信電子商務(wù)服務(wù)和上海市數(shù)字證書認(rèn)證中心等 。11.3 電子商務(wù)安全協(xié)議和證書X509證書是最為廣泛使用的證書，是ISO組織制定的標(biāo)準(zhǔn)規(guī)格。內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。這里就以X509證書為例來說明數(shù)字證書的構(gòu)造，證書的每一項(xiàng)內(nèi)容解釋如下：Version：版本，該項(xiàng)是可選項(xiàng)，默認(rèn)是v1。Serial

18、Number：認(rèn)證機(jī)構(gòu)發(fā)行的唯一的序列號(hào)，有了這個(gè)序列號(hào)，即使給同一個(gè)被認(rèn)證者發(fā)行過多次證書，也可以予以區(qū)別。Signature Algorithm：數(shù)字署名用的算法。Issuer：證書發(fā)行者的別名。Validity：證書的有效日期（開始日，結(jié)束日）。Subject：證明對(duì)象的識(shí)別名。Subject Public Key Info：公開鍵信息（算法，鍵值）。X509v3 extensions：可選項(xiàng)，版本3的擴(kuò)展內(nèi)容Signature：數(shù)字簽名部分11.3 電子商務(wù)安全協(xié)議和證書 課堂討論1. 總結(jié)Ipsec協(xié)議的功能和特點(diǎn)。2. 試分析SSL協(xié)議的原理和構(gòu)造？3. 嘗試在現(xiàn)有的系統(tǒng)上加載客戶

19、證書的實(shí)驗(yàn)。11.3 電子商務(wù)安全協(xié)議和證書 11.4.1 電子支付的概念 所謂電子支付，是指從事電子商務(wù)交易的當(dāng)事人，包括消費(fèi)者、商家和金融機(jī)構(gòu)等，通過計(jì)算機(jī)信息網(wǎng)絡(luò)，使用安全的信息傳輸手段，采用數(shù)字化方式進(jìn)行的貨幣支付或資金流轉(zhuǎn)。與傳統(tǒng)的支付方式相比，電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。只要能夠連接到互聯(lián)網(wǎng)，用戶可以利用電腦、手機(jī)等通信終端設(shè)備，足不出戶，在短時(shí)間內(nèi)完成整個(gè)支付過程。而支付的費(fèi)用和所需的時(shí)間卻要比傳統(tǒng)支付要低得多。11.4 電子商務(wù)安全解決方案11.4.2 第三方支付概述及解決方案 第三方支付，是指一些獨(dú)立于電子商務(wù)中買方和賣方的第三方機(jī)構(gòu)設(shè)立的為買方和賣方順利實(shí)現(xiàn)交

20、易提供支付中介服務(wù)的支付方式。第三方機(jī)構(gòu)往往是信譽(yù)良好的大企業(yè)或者銀行等。在買方和賣方看來，通過第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)，交易更方便快捷，更有安全保障。在交易中，買方選購商品后，使用第三方平臺(tái)進(jìn)行貨款支付，這時(shí)貨款并沒有實(shí)際支付給賣方，而是由第三方予以臨時(shí)保管；此時(shí)第三方通知賣家貨款已到達(dá)，可以進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知第三方付款給賣家，第三方再將款項(xiàng)真正轉(zhuǎn)至賣家賬戶。11.4 電子商務(wù)安全解決方案11.4 電子商務(wù)安全解決方案11.4.3 移動(dòng)支付概述及解決方案 移動(dòng)支付（又稱手機(jī)支付）是指用戶使用移動(dòng)手持設(shè)備，通過無線網(wǎng)絡(luò)（包括移動(dòng)通信網(wǎng)絡(luò)和廣域網(wǎng)）購買實(shí)體或虛擬物品以及

21、各種服務(wù)的一種新型支付方式。隨著手機(jī)的普及和網(wǎng)上購物等小額支付的巨大市場(chǎng)需求，移動(dòng)支付的產(chǎn)業(yè)化初露端倪，移動(dòng)支付正逐漸被越來越多的人接受。移動(dòng)支付的方式大體上可以分為兩大類，一類是利用手機(jī)的移動(dòng)通信功能的遠(yuǎn)程支付方式，另一類是在手機(jī)中利用NFC、RFID等技術(shù)實(shí)現(xiàn)的非接觸式支付方式。11.4 電子商務(wù)安全解決方案11.2.5 備份、審計(jì)和應(yīng)急管理軟硬件的備份管理 網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度 應(yīng)急預(yù)案與應(yīng)急措施 11.4 電子商務(wù)安全解決方案11.4.4 電子商務(wù)安全技術(shù)發(fā)展趨勢(shì)1. 生物認(rèn)證技術(shù)2. 量子加密技術(shù)3. IPV6技術(shù) 課堂討論1. 討論關(guān)于電子支付的現(xiàn)在和未來。2. 試分析

22、日本的錢包手機(jī)在中國(guó)實(shí)施的可行性。3. 討論哪一種生物認(rèn)證技術(shù)最有可能在未來五十年占有市場(chǎng)。11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn) 在上一節(jié)了解了數(shù)字證書的原理的基礎(chǔ)上，本節(jié)來學(xué)習(xí)如何獲取證書和對(duì)證書的管理。為了更好地理解證書的生成過程，將自己動(dòng)手建立一個(gè)CA認(rèn)證中心，通過這個(gè)CA來發(fā)放證書。 11.5.1 實(shí)驗(yàn)?zāi)康?進(jìn)行如何獲取證書和對(duì)證書的管理實(shí)驗(yàn) ，主要具有3個(gè)目的：學(xué)習(xí)利用開源軟件建立自我認(rèn)證中心，發(fā)行客戶端， 服務(wù)器端證書的過程。(2) 學(xué)習(xí)Win32OpenSSL-0.98k，ActivePerl-5.10.1等 開源軟件的安裝和使用。(3) 學(xué)習(xí)電子商務(wù)網(wǎng)站中使用證書認(rèn)證時(shí)的配置方式

23、。11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.2 實(shí)驗(yàn)要求及方法1. 實(shí)驗(yàn)設(shè)備本試驗(yàn)使用一臺(tái)安裝有Windows XP操作系統(tǒng)的計(jì)算機(jī)，在網(wǎng)上下載并事先安裝下列軟件，WEB服務(wù)器tomcat6.0.20，JDK6, 發(fā)行證書用的Win32OpenSSL-0.98k，另外為了在win32下運(yùn)行Perl腳本，還需要安裝ActivePerl-5.10.1。2. 注意事項(xiàng)(1) 預(yù)習(xí)準(zhǔn)備提前對(duì)這些軟件的功能和使用方式做一些了解，以利于對(duì)于試驗(yàn)內(nèi)容的更好理解。(2) 注意弄懂實(shí)驗(yàn)原理、理解各步驟的含義對(duì)于操作的每一步要著重理解其原理，對(duì)于證書制作過程中的各種中間文件、最終生成的證書、證書導(dǎo)入操作等要充分

24、理解其作用和含義。實(shí)驗(yàn)用時(shí)：3學(xué)時(shí)（120-150分鐘）11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.3 實(shí)驗(yàn)內(nèi)容及步驟 證書的發(fā)行管理及使用需要如下幾個(gè)步驟(1)建立CA；(2)發(fā)行服務(wù)器端證書；(3)發(fā)行客戶端證書；(4)修改Tomcat設(shè)置；(5)向?yàn)g覽器導(dǎo)入證書；(6)使用證書訪問網(wǎng)站。下面將分步進(jìn)行詳細(xì)說明。準(zhǔn)備工作：首先在C盤下建立一個(gè)C:/web/ssl目錄，在這個(gè)目錄下建ca,server,client三個(gè)子目錄，分別用來存放CA信息,服務(wù)器端證書信息，客戶端證書信息。11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)(1)建立CA； 首先把OpenSSL的bin目錄中的CA.pl、openss

25、l.cfg文件拷貝到C:/web/ssl/ca下，并把openssl.cfg文件中 CA_default 下的dir變量作如下修改：dir = c:/web/ssl/ca 修改完成后，運(yùn)行下面的Perl腳本：CA.pl -newca 按照提示依次輸入國(guó)名、省市名稱、公司部門名稱等信息，如圖11-10所示。 圖11-10 CA 注冊(cè)信息11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)上述命令執(zhí)行完后會(huì)在C:/web/ssl/ca下生成一系列文件和目錄，其中cacert.pem是CA的證書，private下的文件是CA的私鑰。把CA的證書轉(zhuǎn)換成Tomcat能夠識(shí)別的二進(jìn)制格式的證書openssl x509 -i

26、n cacert.pem -outform DER -out cacert.der(2) 發(fā)行服務(wù)器端證書建立Tomcat用密鑰倉庫(keystore)，使用RSA算法，密鑰倉庫放在c:websslkeystore中，執(zhí)行下述命令：%JAVA_HOME%binkeytool -genkey -alias server -keyalg RSA -keystore c:websslkeystore. 如圖11-11所示。 11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)圖11-11 發(fā)行服務(wù)器端證書11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)建立證書發(fā)行申請(qǐng)，文件名為serverreq.csr%JAVA_HOME%bin

27、keytool -certreq -keyalg RSA -alias server -file serverreq.csr -keystore c:websslkeystore利用上面生成的申請(qǐng)來發(fā)行證書，證書文件名為server.pem，隨后把證書轉(zhuǎn)換成二進(jìn)制格式的server.der，這里使用的openssl_server.cfg是配置文件，把CA使用的openssl.cfg拷貝到c:websslserver下，命名為openssl_client.cfg，去掉nsCertType = server行的注釋，然后執(zhí)行下面兩個(gè)命令。openssl ca -config openssl_ser

28、ver.cfg -in serverreq.csr -out server.pemopenssl x509 -in server.pem -outform DER -out server.der 11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)下一步是把上面生成的服務(wù)器端證書導(dǎo)入Tomcat密鑰倉庫，首先是CA證書，然后是服務(wù)器證書。%JAVA_HOME%binkeytool -import -alias root -file ./ca/cacert.der -keystore c:websslkeystore顯示類似下面的畫面后，詢問是否信任這個(gè)認(rèn)證，回答“y”后，CA的根證書被正確加入到密鑰倉庫中。如圖

29、11-12所示。 圖11-12 證書加載 11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)用如下命令導(dǎo)入服務(wù)器證書。%JAVA_HOME%binkeytool -import -alias server -file server.der -keystore c:websslkeystore (如圖11-13所示) 圖11-13 導(dǎo)入服務(wù)器證書 11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)(3) 發(fā)行客戶端證書首先把openssl.cfg拷貝到c:websslclient下，命名為openssl_client.cfg，然后去掉nsCertType = client,email行的注釋。生成客戶端用密鑰，文件名為client.key：Openssl genrsa -des3 -out client.key 1024，如圖11-14所示。 圖11-14 發(fā)行客戶端證書 11.5 數(shù)字證書的獲取與管理實(shí)驗(yàn)生成客戶端證書要求，文件名為clientreq.pem：openssl req -new -days 365 -key client.key -out clientreq.pem同上回答完類似圖11-9的國(guó)別、城市等注冊(cè)信息后，生成客戶端證書請(qǐng)求，然后利用該請(qǐng)求生成證書，文件名為client.pem：openssl ca -config o