收藏
下载资源

电子商务认证技术和认证中心ppt课件

上传人:cn****1 文档编号:586572471 上传时间:2024-09-05 格式:PPT 页数:40 大小:2.03MB
返回 下载 相关 举报
电子商务认证技术和认证中心ppt课件_第1页
第1页 / 共40页
电子商务认证技术和认证中心ppt课件_第2页
第2页 / 共40页
电子商务认证技术和认证中心ppt课件_第3页
第3页 / 共40页
电子商务认证技术和认证中心ppt课件_第4页
第4页 / 共40页
电子商务认证技术和认证中心ppt课件_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《电子商务认证技术和认证中心ppt课件》由会员分享,可在线阅读,更多相关《电子商务认证技术和认证中心ppt课件(40页珍藏版)》请在金锄头文库上搜索。

1、 第四章第四章 认证技术和认证中心认证技术和认证中心 主要内容: 1、数字证书 2、认证中心 1安徽财经大学商务学院电子商务系4.1密钥交换问题密钥交换问题前面解决了数据的保密性和完整性,然而,在实际的应用中还存在着身份的假冒、否认现象。我们看下面密钥的交换问题:如中间人攻击。(1)李枚将她的的公开密钥送给王钢,张五截取了这个密钥,并将自己的公开密钥送给王钢. (2)王钢将他的的公开密钥发送给李枚,张五截取了这个密钥,并将自己的公开密钥送给李枚. (3)当李枚用“王钢”的公开密钥加密消息传送给王钢时,张五截取它,用自己的私人密钥解密后,用王钢的公钥重新加密后送给王钢. (4)当王钢发送消息给李

2、枚时,张五也作类似的处理.2安徽财经大学商务学院电子商务系4.2 数字证书在传统商务与电子商务中,均存在对贸易伙伴合法身份的在传统商务与电子商务中,均存在对贸易伙伴合法身份的确定与认证问题。确定与认证问题。传统商务中有相应的双方身份认证机制,如政府部门颁发传统商务中有相应的双方身份认证机制,如政府部门颁发的的身份证、护照、公司营业证书、产品质量检验证书身份证、护照、公司营业证书、产品质量检验证书等。等。有了这些政府权威部门颁发的证书,就可保证贸易双方身有了这些政府权威部门颁发的证书,就可保证贸易双方身份的认证和合法性的认证,在此基础上,才能保证传统商份的认证和合法性的认证,在此基础上,才能保证

3、传统商务的安全、有序与可靠进行。务的安全、有序与可靠进行。3安徽财经大学商务学院电子商务系而在而在Internet上是依赖于一个上是依赖于一个公正的公正的“认证中认证中心心”,负责颁发电子商务交易参与各方的,负责颁发电子商务交易参与各方的“身身份认证证书份认证证书”,并检验各方,并检验各方“真实身份真实身份”的工的工作。作。在电子商务的网络支付中,涉及大量的参与各在电子商务的网络支付中,涉及大量的参与各方的身份认证。方的身份认证。4安徽财经大学商务学院电子商务系传统的个人身份证明一般通过检验“物理物品”的有效性来确认持有者的身份。这类“物理物品”可以是身份证、护照、工作证、信用卡、驾驶执照、徽

4、章等,其上往往含有与个人真实身份相关的易于识别的照片、指纹、视网膜等,并且具有发证机构(如公安机关)等的盖章。对于企业的身份,如在中国,则有工商局颁发的营业证书及印章等,只有通过工商局认定的企业才是合法经营者。而在电子商务中则使用数字证书,即把传统的身份证书改成数字信息形式,由双方都信任的第三方机构双方都信任的第三方机构发行和管理,以方便在网络社会上的传递与使用,进行身份认证。5安徽财经大学商务学院电子商务系1数字证书的定义与工作原理数字证书数字证书(Digital Certification) 利用电子信息技术手段,确认、鉴定、认证Internet上信息交流参与者参与者或服务器服务器的身份,

5、是一个担保担保个人、计算机系统或者组织(企业或政府部门)的身份,并且发布加密算法类别、公开密钥及其所有权的电子文档。可以说数字证书是模拟传统证书(如个人身份证、企业营业证书等)的特殊数字信息文档。6安徽财经大学商务学院电子商务系数字证书的工作原理,就是信息接收方在网上收到发送方发来的业务信息的同时,还收到发送方的数字证书,这时通过对其数字证书的验证,可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时,双方得到对方的公开密钥。由于公开密钥是包含在数字证书中的,且借助证书上数字摘要(缩略图)的验证,确信收到的公开密钥肯定是对方的。通过这个公开密钥,双方就可完成数据传送中的加解密工作。7安

6、徽财经大学商务学院电子商务系 数字证书由发证机构数字证书认证中心数字证书认证中心(CA)发行。该机构负责在发行数字证书之前,证实个人或组织身份和密钥所有权。8安徽财经大学商务学院电子商务系2数字证书的内容数字证书的具体内容与格式遵循国际流行的数字证书的具体内容与格式遵循国际流行的ITU-Trec.X.509标准标准1)数字证书的基本数据信息数字证书的基本数据信息版本信息版本信息(Version):用来区分用来区分X.509证书格式的版本。证书格式的版本。证书序列号证书序列号(Serial Number):每个由每个由CA发行的数字证书发行的数字证书必须有一个惟一的序列号,用于识别该证书。必须有

7、一个惟一的序列号,用于识别该证书。CA使用的签名算法使用的签名算法(Algorithm Identifier):CA的数字摘的数字摘要与公开密钥加密体制算法。要与公开密钥加密体制算法。9安徽财经大学商务学院电子商务系 证书颁发者信息(Issuer Unique Identifier):发此证书的CA信息。 有效使用期限(Period of Validity):本证书的有效期,包括起始、结束日期。 证书主题或使用者(Subject):证书与公钥的使用者的相关信息。 公钥信息(Public key Information):公开密钥加密体制的算法名称、公钥的字符串表示(只适用于RSA加密体制)。

8、其他额外的特别扩展信息:如增强型密钥用法信息,CRL分发点信息等。10安徽财经大学商务学院电子商务系2)发行数字证书的CA签名与签名算法v数字证书的内容还包括发行证书的数字证书的内容还包括发行证书的CACA机构的机构的数字签名数字签名和用和用来生成数字签名的来生成数字签名的签名算法签名算法,即缩略图算法部分、缩略图。,即缩略图算法部分、缩略图。v应用这个缩略图算法与缩略图数据,任何人收到这份数字应用这个缩略图算法与缩略图数据,任何人收到这份数字证书后都能使用签名算法,验证数字证书是否是由该证书后都能使用签名算法,验证数字证书是否是由该CACA的签名密钥签署的,以保证证书的真实性与内容的真实性。

9、的签名密钥签署的,以保证证书的真实性与内容的真实性。11安徽财经大学商务学院电子商务系 3、与网络支付有关的证书类型 个人证书个人证书(客户证书客户证书)个人证书即客户证书,它主要证实客户(如一个使用IE浏览器进行支付的客户)的身份和密钥所有权。在网络支付时,服务器可能在建立SSL连接时,要求客户证书证实客户身份。例如,工商银行直接向自己的网络银行客户颁发客户证书,其证书中包含客户的身份信息、公开密钥及工商银行的签名,并可以存储在软盘、硬盘、IC卡、USB盘中。12安徽财经大学商务学院电子商务系 2)服务器证书服务器证书即网络站点证书,它主要证实银行银行或商家商家业务服务器的身份和公开密钥。在

10、IE浏览器里,客户可以设置总是接受某个站点的证书,如你的开户网络银行的证书。这样,该站点的证书被存放在客户计算机的数据库里,客户可以随时查看这些证书。13安徽财经大学商务学院电子商务系 3)支付网关证书 如果在网络支付时利用第三方的支付网关,那么这个第三方要为支付网关申请一个数字证书,以证实自己的身份。如在SET协议机制中,必须有支付网关的证书。14安徽财经大学商务学院电子商务系4)认证中心CA证书发行数字证书的认证中心发行数字证书的认证中心CACA是安全网络支付的核心。是安全网络支付的核心。认证中心认证中心CACA一样需要拥有自己的数字证书,证实其一样需要拥有自己的数字证书,证实其CACA的

11、真实身份。的真实身份。在在IEIE浏览器浏览器里,用户可以看到浏览器所接受的里,用户可以看到浏览器所接受的CACA证书,证书,也可选择是否信任这些证书。也可选择是否信任这些证书。在服务器端,管理员可以看到服务器所接受的在服务器端,管理员可以看到服务器所接受的CACA证书,证书,也可选择是否信任这些证书也可选择是否信任这些证书。15安徽财经大学商务学院电子商务系4数字证书的有效性与使用证书没有过期。所有的证书都有期限,可用检查证书的期限来决定证书是否有效。密钥没有被修改。如果密钥被修改,就不应该继续使用,密钥对应的证书应被视为无效。这可通过证书上的缩略图及其算法检验。有可信任的颁发机构CA及时管

12、理与回收无效证书,并且发行无效证书清单(CRL)。16安徽财经大学商务学院电子商务系数字证书的使用(here) 当数字证书被传送给某人或某站点时,数字证书颁发机构将上面相关内容信息用自己的私人密钥加密,以使接收者能用证书里的公钥证实颁发机构的真实身份,判断证书的有效性、确认证书使用者的身份。由于数字证书采用高精尖的加密技术,非常安全。由于数字证书采用高精尖的加密技术,非常安全。截止到截止到20032003年,国内外银行、网络银行包括电子商务,还年,国内外银行、网络银行包括电子商务,还没有一例由于数字证书被攻破而让不法分子得逞的案例发没有一例由于数字证书被攻破而让不法分子得逞的案例发生。生。17

13、安徽财经大学商务学院电子商务系如何获得发送方公钥如何获得发送方公钥 A A发送验证消息给发送验证消息给B B ;B B用私钥加密该消息并附上证书送给用私钥加密该消息并附上证书送给A A;A A收到后用收到后用CACA的公钥解密的公钥解密B B的证书得到的证书得到B B的公钥;的公钥;A A用用B B的公钥解密该消息得到该消息明文;最后核对消息的公钥解密该消息得到该消息明文;最后核对消息 18安徽财经大学商务学院电子商务系使用数字证书使用数字证书 19安徽财经大学商务学院电子商务系4.3认证机构(认证机构(Certificate Authority)CA机构,又称为证书授证机构,又称为证书授证(

14、Certificate Authority)中心,作为电子商务交易中受信任的第中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,三方,承担公钥体系中公钥的合法性检验的责任,通常通常由一个或多个用户信任的组织实体由一个或多个用户信任的组织实体组成组成.CA是整个信任链的起点,是开展电子商务的基是整个信任链的起点,是开展电子商务的基础。础。每个用户可以获得每个用户可以获得CA中心的公开密钥中心的公开密钥(CA根证根证书书),验证任何一张数字证书的数字签名,从而确,验证任何一张数字证书的数字签名,从而确定证书是否是定证书是否是CA中心签发、数字证书是否合法。中心签发、数字

15、证书是否合法。 20安徽财经大学商务学院电子商务系1认证中心CA的定义所谓认证中心,也称数字证书认证中心数字证书认证中心(Certification Authority,简称CACA)是基于Internet 平台建立的一个公正的、有权威性的、独立的(第三方的)、广受信赖的组织机构,主要负责数字证书的发行、管理以及认证服务,以保证网上业务安全可靠地进行。电子商务的参与各方(客户、商家、银行、政府机构等)实体在认证中心注册、加入,这样,认证中心就能确保所有网络支付与结算过程以及各方的安全性。21安徽财经大学商务学院电子商务系2CA的技术基础CA除了要保持公正、具备良好信誉及第三方的要求外,CA的建

16、立与运作还需要强大的技术支撑。CA的技术基础是PKI体系。所谓PKI体系,英文为Public Key Infrastructure,即:公开密钥体系,是一种遵循既定标准的密钥管理平台,能为所有网络应用服务提供加密和数字签名等密码服务及其必需的密钥和证书管理体系。22安徽财经大学商务学院电子商务系PKI系统的基本构成:权威的认证中心CA,数字证书库,密钥备份及恢复系统,证书作废系统,应用接口(API)等 其中,CA作为数字证书的签发与管理机构,是PKI的核心部分。证书使用与验证: CA认证数字证书采用一种树形验证结构。 在双方通信时,通过出示由某个CA签发的证书证明自己的身份。 如果对签发证书的

17、CA本身不信任,则可验证CA的真实身份,依次类推,一直到公认的权威CA处,才可确信证书的有效性。23安徽财经大学商务学院电子商务系SET安全交易协议中商务各方的数字证书正是通过这种信任层次逐级验证的。例如,C的证书是由名称为B的CA签发的,而B的证书又由名称为A的CA签发的,A是权威的机构,通常称为Root CA。验证到了Root CA处,就可确信C的证书是合法的。24安徽财经大学商务学院电子商务系 3CA的主要功能 1)生成密钥对及CA证书 CA必须先生成公钥体系中自己的密钥对,并对私钥进行有效的保管,用于对自己的签名认证。 作为自成体系的、封闭的CA系统,根根CA必须生成自己的根密钥根密钥

18、对,且在此基础上生成根证书根证书,就可以为各级各级CACA以及客户生成证书,保证证书持有者有不同的密钥对。25安徽财经大学商务学院电子商务系 2)验证申请人身份 网络支付的各方,如持卡人、商家、支付网关等,在向CA申请数字证书时,CA须先对其真实的身份进行验证,防止虚假数字证书的生成。因此CA必须建立一套严密的身份认证流程26安徽财经大学商务学院电子商务系 3)颁发数字证书 在线颁发:CA系统能在Internet上接收交易各方的证书申请,在验证申请者的真实身份、通过资格检查后,把由CA签名的申请者的数字证书在线发送给申请者。 离线颁发:CA将申请者的数字证书加密后放入软盘或IC卡等载体,由证书

19、申请者亲自到CA机构领取。如招商银行企业网络银行目前采用的IC卡证书方式。27安徽财经大学商务学院电子商务系 4)证书持有者身份认证、查询 可在线查询证书的生成情况,也可在线认证证书持有者的身份,CA需拥有足够的带宽,保证较快的查询速度。 5)证书管理及更新 及时记录所有颁发的证书以及所有失效的、被吊销的证书,及时更新数字证书。28安徽财经大学商务学院电子商务系6)吊销证书CA根据证书持有者的应用情况,可在数字证书有效期内吊销证书,公布于众。7)制定相关政策CA的政策要公开,必须对信任它的商务各方负责。普通用户信任一个CA,除了拥有先进的技术和雄厚的实力这些因素之外,另一个极为重要的因素就是C

20、A的政策。29安徽财经大学商务学院电子商务系 8)保证数字证书服务器的安全 数字证书服务器必须是十分安全的,CA应当采取相应措施保证其安全性, 如加强对系统管理员的管理,加强对防火墙保护等。30安徽财经大学商务学院电子商务系4CA的组成框架实际上证书的发放过程由两大部分组成:一部分是证书的申请、制作、发放另一部分是用户身份认证。这两部分工作由CA中两个不同的部门来完成的。即:CA(证书服务中心)和RA(审核受理处)CA完成接收证书请求及发证的工作,RA完成身份认定工作,CA与RA之间一般通过专线连接。31安徽财经大学商务学院电子商务系1)功能较为完整的CA组成框架RS 证书业务受理中心,CP证

21、书制作中心,RA审核受理处32安徽财经大学商务学院电子商务系借助各地的业务受理点以及Internet,CA可以跨区域为用户提供数字证书服务。当然,CA本身还可作为世界上更加权威的CA中心如VeriSign的分支CA,CA本身需要一个由上级CA颁发的数字证书。(根CA除外)例如,北京天威诚信电子商务服务有限公司,作为成立于2000年9月且经信息产业部批准的第一家开展商业性PKICA服务的试点企业,其证书就是VeriSign颁发的数字证书,因而成为VeriSign在中国的业务合作伙伴。33安徽财经大学商务学院电子商务系2)数字证书的申请流程 基于上述的基于上述的CA组成框架,一般数字证书的申请操作

22、流程如组成框架,一般数字证书的申请操作流程如下:下: 用户带相关证明到证书业务受理中心用户带相关证明到证书业务受理中心RS申请证书:申请证书: 用户在线填写证书申请表格和证书申请协议书;用户在线填写证书申请表格和证书申请协议书; RS业务人员取得用户申请数据后,与业务人员取得用户申请数据后,与RA中心联系,要中心联系,要求用户身份认证;求用户身份认证; RA下属的业务受理点审核员通过离线方式下属的业务受理点审核员通过离线方式(面对面面对面)审核审核申请者的身份、能力和信誉等;申请者的身份、能力和信誉等; 审核通过后,审核通过后,RA中心向中心向CA中心转发证书的申请请求:中心转发证书的申请请求

23、:34安徽财经大学商务学院电子商务系CA中心响应中心响应RA中心的证书请求,为该用户制作、签发证中心的证书请求,为该用户制作、签发证书,并且交给书,并且交给RS: RS将制作好的证书传送给用户;如果证书介质是将制作好的证书传送给用户;如果证书介质是IC卡方卡方式,则式,则RS业务人员打印好相关密码信封传递给用户,通知业务人员打印好相关密码信封传递给用户,通知用户到相关业务受理点领取;用户到相关业务受理点领取;用户根据收到的用户根据收到的用户应用指南用户应用指南,使用相关的证书业务。,使用相关的证书业务。35安徽财经大学商务学院电子商务系5国内外主要CA机构VerisignBJCA CFCA36安徽财经大学商务学院电子商务系37安徽财经大学商务学院电子商务系38安徽财经大学商务学院电子商务系39安徽财经大学商务学院电子商务系Thanks for coming!40安徽财经大学商务学院电子商务系

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号