電子商務(wù)安全與支付第5章電子商務(wù)的認證.ppt

第5章 電子商務(wù)的認證,5.1 身份證明與認證體系 5.2 證書與認證機構(gòu) 5.3 安全認證標準,5.1 身份證明與認證體系,5.1.1 認證與身份證明 認證是判明和確認交易雙方真實身份的重要環(huán)節(jié)，是開展電子商務(wù)的重要條件。 只有確保雙方身份的真實性、數(shù)據(jù)的完整性和可靠性及交易的不可抵賴性，才能確保電子商務(wù)安全有序地進行。 一個身份證明系統(tǒng)一般由三方組成，一方是出示證件的人，另一方為驗證者,第三方是攻擊者，認證系統(tǒng)在必要時也會有第四方，即可信賴者參與，經(jīng)常調(diào)解糾紛。,對身份證明系統(tǒng)的要求： (1) 驗證者正確識別合法示證者的概率極大化。 (2) 不具可傳遞性。 (3) 攻擊者偽裝示證者欺騙驗證者成功的概率小到可以忽略。 (4) 計算有效性。 (5) 通信有效性。,(6) 秘密參數(shù)安全存儲。 (7) 交互識別。 (8) 第三方的實時參與。 (9) 第三方的可信賴性。 (10) 可證明安全性。,電子商務(wù)安全中有兩個問題涉及到身份識別： 可信度 不可抵賴性,5.1.2 認證體系 電子商務(wù)認證中心（CA）體系包括兩大部分，即符合SET標準的SET CA認證體系和基于X.509的PKI CA體系。下面分別介紹這兩種重要的CA機制。,1SET CA 從SET協(xié)議中可以看出，由于采用公開密鑰加密算法，認證中心(CA)就成為整個系統(tǒng)的安全核心。 SET CA是一套嚴密的認證體系，可保證B to C類型的電子商務(wù)安全順利地進行。,2PKI CA PKI CA是提供公鑰加密和數(shù)字簽名服務(wù)的平臺 。 PKI CA增加網(wǎng)上交易各方的信任，也為它們之間的可靠通信創(chuàng)造條件，并為B TO B及B TO 兩種電子商務(wù)模式提供兼容性服務(wù)（特別是B TO B模式的服務(wù)）。,5.2 證書與認證機構(gòu),電子商務(wù)活動中，為保證商務(wù)、交易、支付活動的真實可靠，需要有一種機制來驗證活動中各方的真實身份。目前最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務(wù)的各方發(fā)放證書。,5.2.1 證書 1證書的概念 數(shù)字證書作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)證書授權(quán)中心(CA)數(shù)字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件。,2證書類型 (1) 個人證書（客戶證書） (2) 服務(wù)器證書（站點證書） (3) 安全電子函件證書 (4) CA證書,3證書的內(nèi)容 證書包括申請證書個人的信息和發(fā)行證書的CA的信息。 (1) 證書數(shù)據(jù) (2) 發(fā)行證書的CA簽名,4證書的有效性 只有下列條件為真時，證書才有效： (1)證書沒有過期。 (2) 密鑰沒有修改。 (3) 用戶仍然有權(quán)使用這個密鑰。 (4) CA負責(zé)回收證書，發(fā)行無效證書清單。,5證書使用 證書幫助證實個人身份。 認證機構(gòu)發(fā)放的數(shù)字證書主要應(yīng)用于： (1) 通過S/MIME協(xié)議實現(xiàn)安全的電子函件系統(tǒng)； (2) 通過SSL協(xié)議實現(xiàn)瀏覽器與Web服務(wù)器之間的安全通信； (3) 通過SET協(xié)議實現(xiàn)信用卡網(wǎng)上安全支付； (4) 提供電子商務(wù)中認證證書標準。,5.2.2 認證機構(gòu) 電子商務(wù)認證機構(gòu)(CA)是為了解決電子商務(wù)中交易參與各方身份及資信的認定，維護交易活動的安全，從根本上保障電子商務(wù)交易活動順利進行而設(shè)立的。,認證中心主要有以下幾種功能： (1) 證書的頒發(fā) (2) 證書的更新 (3) 證書的查詢 (4) 證書的作廢 (5) 證書的歸檔,5.3 安全認證標準,5.3.1 PKI公開密鑰基礎(chǔ)設(shè)施 PKI是一種遵循標準的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。,PKI是圍繞這五大系統(tǒng)來構(gòu)建的。 1認證機關(guān) CA是證書的簽發(fā)機構(gòu)。 CA的機構(gòu)職責(zé)歸納起來有: 驗證并標識證書申請者的身份； 確保CA用于簽名證書的非對稱密鑰的質(zhì)量； 確保整個簽證過程的安全性，確保簽名私鑰的安全性； 證書材料信息(包括公鑰證書序列號、CA標識等)的管理；, 確定并檢查證書的有效期限； 確保證書主體標識的唯一性，防止重名； 發(fā)布并維護作廢證書表； 對整個證書簽發(fā)過程做日志記錄，向申請人發(fā)通知。,2證書庫 證書庫是證書的集中存放地，是網(wǎng)上的一種公用信息庫，用戶可以從此處獲得其他用戶的證書和公鑰。 3密鑰備份及恢復(fù)系統(tǒng),4證書作廢處理系統(tǒng) 對作廢證書有如下三種策略： 作廢一個或多個主體的證書； 作廢由某一對密鑰簽發(fā)的所有證書； 作廢由某CA簽發(fā)的所有證書。 5客戶端證書處理系統(tǒng),5.3.2 PKIX證書標準(X.509) PKIX系列標準定義了X.509證書在Internet上的使用，證書的生成、發(fā)布和獲取，各種產(chǎn)生和分發(fā)密鑰的機制，以及怎樣實現(xiàn)這些標準的輪廓結(jié)構(gòu)等。 互聯(lián)網(wǎng)郵件擴展(S/MIME)、NON-SET認證等。,證書由CA根據(jù)X.509協(xié)議產(chǎn)生，應(yīng)具備下列信息: 版本號(V) 序列號（N) 簽名算法(AI) 發(fā)出該證書的認證機構(gòu)(CA) 有效期限(TA) 主題信息(A) 公鑰信息(Tp) 認證機構(gòu)的數(shù)字簽名。,5.3.3 X.500電子出版目錄查詢標準(目錄服務(wù)協(xié)議LDAPX.500) 目錄服務(wù)是用于網(wǎng)絡(luò)信息查詢的技術(shù)。 實現(xiàn)目錄服務(wù)的方式有多種，但目前趨于統(tǒng)一到ITU-T X.500系列建議標準。,X.500系列由九個建議標準組成： X.500是目錄服務(wù)的概要介紹； X.501定義了目錄服務(wù)的模型； X.511對目錄的各種抽象服務(wù)作了定義； X.518描述分布操作的實現(xiàn)過程； X.519是傳輸協(xié)議； X.520和X.521定義了常用對象類和屬性； X.509提出了一種認證的框架； X.525規(guī)定了備份。,X.500系列建議的目錄服