電子商務(wù)安全與支付第5章電子商務(wù)的認(rèn)證.ppt

第5章 電子商務(wù)的認(rèn)證,5.1 身份證明與認(rèn)證體系 5.2 證書與認(rèn)證機(jī)構(gòu) 5.3 安全認(rèn)證標(biāo)準(zhǔn),5.1 身份證明與認(rèn)證體系,5.1.1 認(rèn)證與身份證明 認(rèn)證是判明和確認(rèn)交易雙方真實(shí)身份的重要環(huán)節(jié)，是開展電子商務(wù)的重要條件。 只有確保雙方身份的真實(shí)性、數(shù)據(jù)的完整性和可靠性及交易的不可抵賴性，才能確保電子商務(wù)安全有序地進(jìn)行。 一個(gè)身份證明系統(tǒng)一般由三方組成，一方是出示證件的人，另一方為驗(yàn)證者,第三方是攻擊者，認(rèn)證系統(tǒng)在必要時(shí)也會(huì)有第四方，即可信賴者參與，經(jīng)常調(diào)解糾紛。,對(duì)身份證明系統(tǒng)的要求： (1) 驗(yàn)證者正確識(shí)別合法示證者的概率極大化。 (2) 不具可傳遞性。 (3) 攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略。 (4) 計(jì)算有效性。 (5) 通信有效性。,(6) 秘密參數(shù)安全存儲(chǔ)。 (7) 交互識(shí)別。 (8) 第三方的實(shí)時(shí)參與。 (9) 第三方的可信賴性。 (10) 可證明安全性。,電子商務(wù)安全中有兩個(gè)問題涉及到身份識(shí)別： 可信度 不可抵賴性,5.1.2 認(rèn)證體系 電子商務(wù)認(rèn)證中心（CA）體系包括兩大部分，即符合SET標(biāo)準(zhǔn)的SET CA認(rèn)證體系和基于X.509的PKI CA體系。下面分別介紹這兩種重要的CA機(jī)制。,1SET CA 從SET協(xié)議中可以看出，由于采用公開密鑰加密算法，認(rèn)證中心(CA)就成為整個(gè)系統(tǒng)的安全核心。 SET CA是一套嚴(yán)密的認(rèn)證體系，可保證B to C類型的電子商務(wù)安全順利地進(jìn)行。,2PKI CA PKI CA是提供公鑰加密和數(shù)字簽名服務(wù)的平臺(tái) 。 PKI CA增加網(wǎng)上交易各方的信任，也為它們之間的可靠通信創(chuàng)造條件，并為B TO B及B TO 兩種電子商務(wù)模式提供兼容性服務(wù)（特別是B TO B模式的服務(wù)）。,5.2 證書與認(rèn)證機(jī)構(gòu),電子商務(wù)活動(dòng)中，為保證商務(wù)、交易、支付活動(dòng)的真實(shí)可靠，需要有一種機(jī)制來驗(yàn)證活動(dòng)中各方的真實(shí)身份。目前最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書。,5.2.1 證書 1證書的概念 數(shù)字證書作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書授權(quán)中心(CA)數(shù)字簽名的、包含證書申請(qǐng)者(公開密鑰擁有者)個(gè)人信息及其公開密鑰的文件。,2證書類型 (1) 個(gè)人證書（客戶證書） (2) 服務(wù)器證書（站點(diǎn)證書） (3) 安全電子函件證書 (4) CA證書,3證書的內(nèi)容 證書包括申請(qǐng)證書個(gè)人的信息和發(fā)行證書的CA的信息。 (1) 證書數(shù)據(jù) (2) 發(fā)行證書的CA簽名,4證書的有效性 只有下列條件為真時(shí)，證書才有效： (1)證書沒有過期。 (2) 密鑰沒有修改。 (3) 用戶仍然有權(quán)使用這個(gè)密鑰。 (4) CA負(fù)責(zé)回收證書，發(fā)行無效證書清單。,5證書使用 證書幫助證實(shí)個(gè)人身份。 認(rèn)證機(jī)構(gòu)發(fā)放的數(shù)字證書主要應(yīng)用于： (1) 通過S/MIME協(xié)議實(shí)現(xiàn)安全的電子函件系統(tǒng)； (2) 通過SSL協(xié)議實(shí)現(xiàn)瀏覽器與Web服務(wù)器之間的安全通信； (3) 通過SET協(xié)議實(shí)現(xiàn)信用卡網(wǎng)上安全支付； (4) 提供電子商務(wù)中認(rèn)證證書標(biāo)準(zhǔn)。,5.2.2 認(rèn)證機(jī)構(gòu) 電子商務(wù)認(rèn)證機(jī)構(gòu)(CA)是為了解決電子商務(wù)中交易參與各方身份及資信的認(rèn)定，維護(hù)交易活動(dòng)的安全，從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的。,認(rèn)證中心主要有以下幾種功能： (1) 證書的頒發(fā) (2) 證書的更新 (3) 證書的查詢 (4) 證書的作廢 (5) 證書的歸檔,5.3 安全認(rèn)證標(biāo)準(zhǔn),5.3.1 PKI公開密鑰基礎(chǔ)設(shè)施 PKI是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。,PKI是圍繞這五大系統(tǒng)來構(gòu)建的。 1認(rèn)證機(jī)關(guān) CA是證書的簽發(fā)機(jī)構(gòu)。 CA的機(jī)構(gòu)職責(zé)歸納起來有: 驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份； 確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量； 確保整個(gè)簽證過程的安全性，確保簽名私鑰的安全性； 證書材料信息(包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等)的管理；, 確定并檢查證書的有效期限； 確保證書主體標(biāo)識(shí)的唯一性，防止重名； 發(fā)布并維護(hù)作廢證書表； 對(duì)整個(gè)證書簽發(fā)過程做日志記錄，向申請(qǐng)人發(fā)通知。,2證書庫(kù) 證書庫(kù)是證書的集中存放地，是網(wǎng)上的一種公用信息庫(kù)，用戶可以從此處獲得其他用戶的證書和公鑰。 3密鑰備份及恢復(fù)系統(tǒng),4證書作廢處理系統(tǒng) 對(duì)作廢證書有如下三種策略： 作廢一個(gè)或多個(gè)主體的證書； 作廢由某一對(duì)密鑰簽發(fā)的所有證書； 作廢由某CA簽發(fā)的所有證書。 5客戶端證書處理系統(tǒng),5.3.2 PKIX證書標(biāo)準(zhǔn)(X.509) PKIX系列標(biāo)準(zhǔn)定義了X.509證書在Internet上的使用，證書的生成、發(fā)布和獲取，各種產(chǎn)生和分發(fā)密鑰的機(jī)制，以及怎樣實(shí)現(xiàn)這些標(biāo)準(zhǔn)的輪廓結(jié)構(gòu)等。 互聯(lián)網(wǎng)郵件擴(kuò)展(S/MIME)、NON-SET認(rèn)證等。,證書由CA根據(jù)X.509協(xié)議產(chǎn)生，應(yīng)具備下列信息: 版本號(hào)(V) 序列號(hào)（N) 簽名算法(AI) 發(fā)出該證書的認(rèn)證機(jī)構(gòu)(CA) 有效期限(TA) 主題信息(A) 公鑰信息(Tp) 認(rèn)證機(jī)構(gòu)的數(shù)字簽名。,5.3.3 X.500電子出版目錄查詢標(biāo)準(zhǔn)(目錄服務(wù)協(xié)議LDAPX.500) 目錄服務(wù)是用于網(wǎng)絡(luò)信息查詢的技術(shù)。 實(shí)現(xiàn)目錄服務(wù)的方式有多種，但目前趨于統(tǒng)一到ITU-T X.500系列建議標(biāo)準(zhǔn)。,X.500系列由九個(gè)建議標(biāo)準(zhǔn)組成： X.500是目錄服務(wù)的概要介紹； X.501定義了目錄服務(wù)的模型； X.511對(duì)目錄的各種抽象服務(wù)作了定義； X.518描述分布操作的實(shí)現(xiàn)過程； X.519是傳輸協(xié)議； X.520和X.521定義了常用對(duì)象類和屬性； X.509提出了一種認(rèn)證的框架； X.525規(guī)定了備份。,X.500系列建議的目錄服