CA認(rèn)證技術(shù)課件

了解電子商務(wù)面臨的主要安全威脅了解電子商務(wù)對安全的基本要求熟悉電子商務(wù)常用的安全技術(shù)了解電子商務(wù)的認(rèn)證體系學(xué)習(xí)目標(biāo)10/16/20231一、電子商務(wù)的安全性問題1、信息安全問題（1）信息的截獲和竊?。恒y行帳號、密碼以及商業(yè)機(jī)密等（2）篡改:刪除/插入（3）偽造電子郵件（4）假冒他人身份（5）信息丟失10/16/202322、信用安全問題主要涉及交易抵賴

(1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息或內(nèi)容

(2)收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容

(3)購買者做了訂貨單不承認(rèn)(4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易10/16/202333、安全的管理問題4、安全的法律問題5、電腦病毒及黑客問題10/16/20234嚴(yán)重打擊消費(fèi)者對電子商務(wù)的信心造成運(yùn)營商巨大的經(jīng)濟(jì)損失涉及的地域范圍廣威脅個(gè)人及組織的資金安全、貨物安全和信譽(yù)安全安全問題對電子商務(wù)的影響10/16/20235

1、授權(quán)合法性:安全管理人員能夠控制用戶的權(quán)限、分配或終止用戶的訪問、操作、接入等權(quán)利，被授權(quán)用戶的訪問不能被拒絕。

2、不可抵賴性(non-repudiation)二、電子商務(wù)對安全的基本要求數(shù)字簽名、CA證書

3、機(jī)密性(confidentiality):信息發(fā)送和接收是在安全的通道進(jìn)行，保證通信雙方的信息保密。加密技術(shù)防火墻技術(shù)、口令10/16/202364、真實(shí)性(authenticity)

數(shù)字簽名、數(shù)字證書5、信息的完整性(integrity)數(shù)字摘要、時(shí)間戳

6、存儲(chǔ)信息的安全性交易信息交易方身份10/16/20237三、電子商務(wù)交易安全措施1、交易安全技術(shù)（1）身份認(rèn)證：確定貿(mào)易伙伴的真實(shí)性（2）數(shù)據(jù)加密和解密：保證電子單證的保密性（3）數(shù)字摘要技術(shù)：保證電子單證內(nèi)容的完整性（4）數(shù)字簽名技術(shù)：保證電子單證的真實(shí)性（5）CA認(rèn)證：不可抵賴性

(6)時(shí)間戳、消息的流水作業(yè)號：保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失10/16/202382、安全交易標(biāo)準(zhǔn)和技術(shù)（1）安全超文本傳輸協(xié)議（S-HTTP）保障WEB站點(diǎn)間的交易信息傳輸?shù)陌踩裕?）安全套接層協(xié)議（SSL，SecureSocketsLayer

）提供加密、認(rèn)證服務(wù)和保證報(bào)文的完整性（Netscape）

(3)安全電子交易協(xié)議（SET，SecureElectronicTransaction

信用卡網(wǎng)上交易安全，提高網(wǎng)絡(luò)支付服務(wù)的質(zhì)量10/16/20239技術(shù)：1、防火墻技術(shù)防火墻的含義及其分類

1、防火墻（Firewall）：指

Internet上廣泛應(yīng)用的一種安全措施，是指設(shè)置在互聯(lián)網(wǎng)(Internet)與內(nèi)部網(wǎng)(Intranet)之間系統(tǒng)，通過控制內(nèi)外網(wǎng)絡(luò)間信息的流動(dòng)，提高內(nèi)部網(wǎng)絡(luò)的安全性。防火墻可以阻止外界對內(nèi)部資源的非法訪問，也可以防止內(nèi)部對外部的不安全訪問。10/16/202310內(nèi)網(wǎng)防火墻系統(tǒng)組成示意圖：Internet10/16/202311WebServer處于防火墻內(nèi)防火墻Internet安全邊界WEBSERVER主機(jī)主機(jī)主機(jī)主機(jī)服務(wù)器10/16/2023122、數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密、解密基本過程

加密技術(shù)：解決數(shù)據(jù)的加密及其解密的技術(shù)，整個(gè)過程組成一個(gè)加密系統(tǒng)。

加密：就是把信息轉(zhuǎn)換為不可辨識的形式的過程。

解密：將信息內(nèi)容轉(zhuǎn)變?yōu)槊魑牡倪^程

明文密文密文明文10/16/202313對稱密鑰加密(SymmetricCryptography)非對稱密鑰加密(AsymmetricCryptography)加密技術(shù)（公開密鑰加密）10/16/202314對稱密鑰加密技術(shù)

1、對稱密鑰加密技術(shù)：加密和解密均采用同一把密鑰，而且通信雙方必須都要獲得這把鑰匙并保持鑰匙的秘密。

這時(shí)的密鑰稱為對稱密鑰，并且不對外發(fā)布，也稱為私鑰密碼。

2、最典型的對稱密鑰加密算法：美國數(shù)據(jù)加密標(biāo)準(zhǔn)

（DES：DataEncryptStandard）。10/16/202315圖7-2對稱加密示意圖

10/16/2023163、優(yōu)點(diǎn)：加密速度快，適于大量數(shù)據(jù)的加密處理。4、缺點(diǎn)（1）密鑰需傳遞給接受方，傳遞過程中的安全性得不到保證。（2）密鑰數(shù)量急劇增加（3）要求通信雙方相互認(rèn)識，保守密鑰。10/16/202317在網(wǎng)絡(luò)上，什么樣的信息交流才是安全的呢？只有接收方才能解讀信息，保密性接收方看到的信息未被篡改或替換，完整性加密！還差什么？建立信任和信任驗(yàn)證機(jī)制身份驗(yàn)證交易不可抵賴3、CA認(rèn)證技術(shù)CA認(rèn)證數(shù)字證書10/16/202318

用電子手段來證實(shí)用戶的身份及分配公開密鑰2、RA(ReleaseAuditing):證書發(fā)放審核部門

對證書申請者進(jìn)行資格審查，并決定是否對其發(fā)放證書3、CP(CertificatePerform)：證書發(fā)放執(zhí)行部門為已授權(quán)的申請者制作、發(fā)放和管理證書

基本概念1、數(shù)字證書（digitalCertificate,

digitalID）：網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。10/16/2023194、RS（Releasee）：證書的受理者接受用戶的證書申請請求5、CRL（CertificateRepealList）：證書作廢表記錄尚未過期但已聲明作廢的用戶證書的序列號10/16/202320

證書發(fā)放證書更新證書撤銷證書驗(yàn)證CA的四大職能6、CA認(rèn)證中心(CertificateAuthority)

承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的核心職能就是發(fā)放和管理數(shù)字證書10/16/202321尚沒有明確國家級CA安全認(rèn)證系統(tǒng)行業(yè)性CA安全認(rèn)證系統(tǒng)：中國人民銀行聯(lián)合12家銀行建立的金融CFCA安全認(rèn)證中心中國電信建立的CTCA安全認(rèn)證系統(tǒng)

國家外貿(mào)部EDI中心建立的國富安CA安全認(rèn)證中心延伸閱讀－－中國CA認(rèn)證中心的建設(shè)10/16/202322

世界著名的認(rèn)證中心Verisign（）認(rèn)證中心VeriSign的主頁10/16/202323中國知名的認(rèn)證中心①中國數(shù)字認(rèn)證網(wǎng)（

）②

中國金融認(rèn)證中心（

）③中國電子郵政安全證書管理中心（）④

北京數(shù)字證書認(rèn)證中心（）⑤

廣東省電子商務(wù)認(rèn)證中心（）10/16/202324

基本認(rèn)證技術(shù)數(shù)字信封：保證數(shù)據(jù)的傳輸安全數(shù)字簽名：身份認(rèn)證并保證數(shù)據(jù)的完整性、預(yù)防交易抵賴數(shù)字證書（公開密鑰技術(shù)）：身份認(rèn)證數(shù)字時(shí)間戳10/16/202325（1）“數(shù)字信封”：用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信息。

數(shù)字信封1、數(shù)字信封（2）具體做法發(fā)送方采用對稱密鑰加密信息將此對稱密鑰用接收方的公開密鑰加密之后，將它和信息一起發(fā)送給接收方接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰使用對稱密鑰解開信息10/16/202326發(fā)送端接收端原信息密文對稱密鑰加密internet密文數(shù)字信封原信息對稱密鑰解密接收者公鑰加密數(shù)字信封對稱密鑰接收者私鑰解密對稱密鑰internet1234對稱密鑰技術(shù)：高效性（用時(shí)短）公開密鑰技術(shù)：靈活性（3）數(shù)字信封特點(diǎn)10/16/2023272、數(shù)字簽名（1）什么是數(shù)字簽名DigitalSignature

數(shù)字簽名是通過一個(gè)單向函數(shù)對要傳送的報(bào)文進(jìn)行處理得到的用以認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。（2）數(shù)字簽名的作用－－保證信息完整－－信息發(fā)送者身份的驗(yàn)證實(shí)現(xiàn)的基礎(chǔ)加密技術(shù)10/16/202328數(shù)字簽名10/16/2023293、數(shù)字證書（digitalCertificate,

digitalID）

（1）數(shù)字證書：經(jīng)CA認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。數(shù)字證書實(shí)質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。數(shù)字證書由專門的機(jī)構(gòu)（CA）負(fù)責(zé)發(fā)放和管理，Q其作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。10/16/202330（2）數(shù)字證書的類型

10/16/202331(3)數(shù)字證書的內(nèi)容◆憑證擁有者的姓名：證明用戶身份

◆憑證擁有者的公共密鑰：用于對每筆交易數(shù)據(jù)進(jìn)行加密和數(shù)字簽名，可以保證每筆交易的安全和不可抵賴；

◆公共密鑰的有效期

◆頒發(fā)數(shù)字憑證的單位：證書的來源

◆證書的編號：保證證書的真實(shí)性10/16/20233210/16/20233310/16/20233410/16/20233510/16/202336(4)對數(shù)字證書的驗(yàn)證

CA簽名真實(shí)？證書在有效期內(nèi)？證書在CA發(fā)布的證書撤消列表內(nèi)？Y偽造的證書N失效的證書NY失效的證書YN有效的證書10/16/2023374、數(shù)字時(shí)間戳（DigitalTime-Stamp，DTS）

時(shí)間戳：提供電子文件發(fā)表時(shí)間的安全保護(hù)，是一個(gè)經(jīng)過加密后形成的憑證文檔。需加時(shí)間戳的文件摘要DTS收到文件的日期和時(shí)間DTS的數(shù)字簽名保證文件簽署日期的真實(shí)性三大組成10/16/202338安全技術(shù)協(xié)議安全套接層協(xié)議（SSL）

1、SSL(SecureSocketsLayer)，稱為安全套接層協(xié)議，是一種安全通信協(xié)議。

（1）提供了客戶機(jī)與服務(wù)器之間的安全連接，對整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸。（2）對服務(wù)器進(jìn)行認(rèn)證，還可選擇對客戶機(jī)進(jìn)行認(rèn)證。

應(yīng)用層傳輸層SSL10/16/202339

實(shí)現(xiàn)SSL協(xié)議的是HTTP的安全版，名為HTTPS。10/16/20234010/16/20234110/16/202342

HTTP、FTP

SSL握手協(xié)議（協(xié)商密鑰）

SSL記錄協(xié)議（定義傳輸格式）

TCP/IP協(xié)議2、SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議10/16/202343

3、SSL協(xié)議是目前電子商務(wù)中應(yīng)用最為廣泛的安全協(xié)議之一。（1）應(yīng)用范圍廣：幾乎所有操作平臺(tái)上的WEB瀏覽器（IE、Netscape）以及Web服務(wù)器都支持SSL協(xié)議。

（2）被大部分WEB瀏覽器和服務(wù)器所內(nèi)置10/16/2023444、SSL協(xié)議的功能SSL服務(wù)器認(rèn)證：客戶機(jī)對服務(wù)器數(shù)字證書的檢查確認(rèn)用戶身份：服務(wù)器檢查客戶機(jī)數(shù)字證書的合法性保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性：加密技術(shù)中國銀行：http:///10/16/202345

1、SET協(xié)議是針對開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由Visa和MasterCard聯(lián)合研制的，制定的安全電子交易的一個(gè)國際標(biāo)準(zhǔn)。

主要目的是解決信用卡電子付款的安全保障性問題

2、SET協(xié)議主要是針對BtoC電子商務(wù)的一個(gè)協(xié)議，而且依賴于銀行卡這種目前使用較為廣泛的支付工具。安全電子交易規(guī)范（SET）10/16/2023463、SET的特點(diǎn)

(1)信息的機(jī)密性:對稱密鑰和非對稱密鑰相結(jié)合

(2)交易的不可否認(rèn)性：數(shù)字證書/簽名（3）數(shù)據(jù)的完整性:數(shù)字簽名

(4)身份的驗(yàn)證:保證信息的真實(shí)性

10/16/2023474、SET的目標(biāo)（1）訂單和個(gè)人賬號信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取。（2）訂單信息和支付信息的隔離（3）解決網(wǎng)絡(luò)認(rèn)證問題：消費(fèi)者、商店、銀行、網(wǎng)關(guān)（4）要求軟件遵循相同協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能。10/16/202348在SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署。保證了商家看不到支付信息，而只能看到訂單信息保證了銀行看不到交易內(nèi)容，只能看到支付信息

支付信息中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來擔(dān)當(dāng)。10/16/2023496、SET涉及的主要角色（1）持卡人:網(wǎng)上消費(fèi)者或客戶，首先應(yīng)向發(fā)卡行提出申請，并安裝電子錢包軟件。（2）商家：必須在收單行開設(shè)帳戶并且安裝SET商家軟件（3）支付網(wǎng)關(guān)：收單銀行或指定的第三方操作的專用系統(tǒng)，用于處理支付授權(quán)和支付。

銀行金融網(wǎng)絡(luò)公共網(wǎng)絡(luò)支付網(wǎng)關(guān)10/16/202350（4）收單行：為商戶建立帳戶并處理支付授權(quán)和支付（5）發(fā)卡行：為持卡人建立一個(gè)帳戶并發(fā)行支付卡（6）認(rèn)證機(jī)構(gòu)：向各