電子商務(wù)安全（第二版）第06章電子商務(wù)的身份認(rèn)證技術(shù)

1、 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)本章主要內(nèi)容：）學(xué)習(xí)目標(biāo)1.了解和掌握基本認(rèn)證技術(shù)2.熟悉各種身份認(rèn)證方式和認(rèn)證協(xié)議3.了解Kerberos認(rèn)證系統(tǒng)4.了解電子商務(wù)的CA認(rèn)證體系的組成5.了解生物識別認(rèn)證技術(shù)原理 和常用的生物識別技術(shù)電子商務(wù)安全 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用

2、前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.1 認(rèn)證技術(shù)6.1.1基本認(rèn)證技術(shù)基本認(rèn)證技術(shù)1. 報文摘要 2. 數(shù)字簽名 3. 數(shù)字信封4. 數(shù)字時間戳 5. 數(shù)字證書 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證

3、技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.1.2身份認(rèn)證方式身份認(rèn)證方式1. 單向認(rèn)證（one way authentication） 2. 雙向認(rèn)證（two way authentication） 3. 基于可信賴的第三方的認(rèn)證（trusted third party authentication） 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電

4、子商務(wù)安全6.1.3 認(rèn)證協(xié)議目前常用的兩種認(rèn)證體制為：對稱認(rèn)證和非對稱認(rèn)證。零知識技術(shù)零知識技術(shù)已成為密碼技術(shù)的一個新的基礎(chǔ)，在認(rèn)證方面有著潛在的應(yīng)用，零知識技術(shù)是一種方法，它可以使信息的擁有者無需泄漏任何信息便能夠向驗證者或任何第三方證明它確實擁有該信息。身份認(rèn)證協(xié)議舉例任一用戶，設(shè)為A，秘密選擇一正整數(shù)，計算yA=，并將A以用戶的身份用（A,yA）形式存放在通信錄上，每一用戶都持有一本該通信錄。若A向B證明自己的身份，步驟如下：（1）A向B送去一正整數(shù)。（2）B收到后隨機選擇一正整數(shù)R，計算R，并將y2=R送給A。（3）A計算y3= R,并送y3給B。（4）B計算（yA）R= R ，并計

5、算檢查（yA）R是否等于y3，若相等則A的身份便得到了證明。則此協(xié)議就不是零知識協(xié)議。因為若B送去y2=R,則將獲得y3=R。這個結(jié)果就不是他所能得到的。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.1.4 Kerberos認(rèn)證系統(tǒng) Kerberos即是由MIT開發(fā)的網(wǎng)絡(luò)環(huán)境下的認(rèn)證系統(tǒng)，是為TCP/IP網(wǎng)絡(luò)設(shè)計的可信第三方認(rèn)證協(xié)議。K

6、erberos需要解決的問題是：在一個公開的分布式網(wǎng)絡(luò)中，工作站上的用戶需要訪問分布在網(wǎng)絡(luò)中的服務(wù)器上的服務(wù)，所以希望服務(wù)器能夠限制授權(quán)用戶的訪問，并能鑒別服務(wù)請求。Kerberos的解決方案是調(diào)用每項服務(wù)時都需要用戶證明自己的身份，同時也需要服務(wù)器向用戶證明自己的身份。Kerberos基于對稱密碼學(xué)，它與網(wǎng)絡(luò)上的每個實體分別共享一個不同的密鑰，是否知道該密鑰則是身份的證明。 在Kerberos協(xié)議里，包含客戶機C、身份認(rèn)證服務(wù)器AS、憑證發(fā)放服務(wù)器TGS和應(yīng)用服務(wù)器V等四方，其中身份認(rèn)證服務(wù)器和憑證發(fā)放服務(wù)器必須是安全的。 Kerberos的認(rèn)證過程中，需要使用兩種憑證：票據(jù)（ticket）

7、和鑒別碼（authenticator）。 在電子商務(wù)中必須解決兩個問題：一個是身份驗證，另一個是交易的不可抵賴。由于交易雙方互不見面，并且是一些不帶有本人任何特征的數(shù)據(jù)在交換，因此有可能造成一些交易的抵賴。為解決這兩個問題，就必須引入一個交易雙方均信任的第三方，對買賣雙方進(jìn)行身份驗證，以使交易的參與者確信自己確實是在與對方所說的人交易。同時，在公開密鑰體系中，公開密鑰的真實性鑒別也是一個重要問題，而這個權(quán)威的第三方為用戶發(fā)放的證書是一個有該用戶的公開密鑰及個人信息并經(jīng)證書授權(quán)中心數(shù)字簽名的文件。由于第三方的數(shù)字簽名使得攻擊者不能偽造和篡改證書，因此，證書便向接收者證實了某人或某機構(gòu)對公開密鑰的

8、擁有。與其進(jìn)行交易身份不必懷疑，對方傳來的數(shù)據(jù)是帶有其身份特征而且是不可否認(rèn)的。 CA（certificate authority）就是這樣一個各方均信任的第三方安全認(rèn)證機構(gòu)。上述理由構(gòu)成CA產(chǎn)生的根本原因。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2 安全CA認(rèn)證機構(gòu) 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別

9、系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2.1認(rèn)證中心CA層次結(jié)構(gòu) 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2.2認(rèn)證中心主要功能

10、認(rèn)證中心主要功能1. 證書的頒發(fā) 2. 證書的更新 3. 證書的查詢4. 證書的作廢 5. 證書的歸檔 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2.3 電子商務(wù)的CA認(rèn)證體系1）SET CA1997年2月19日，由MasterCard和Visa發(fā)起成立SET Co公司，被授權(quán)作為SET根認(rèn)證中心（Root CA）。從SET協(xié)議中可以

11、看出，由于采用公開密鑰加密算法，認(rèn)證中心（CA）就成為整個系統(tǒng)的安全核心。在SET中，CA所頒發(fā)的數(shù)字證書主要有持卡人證書、商戶證書和支付網(wǎng)關(guān)證書。在證書中，利用X.500識別名來確定SET交易中所涉及的各參與方。SET CA是一套嚴(yán)密的認(rèn)證體系，可保證B to C類型的電子商務(wù)安全順利地進(jìn)行。但SET認(rèn)證結(jié)構(gòu)適應(yīng)于卡支付，對其他支付方式是有所限制的。在網(wǎng)上購物過程中，持卡人的證書與發(fā)卡機構(gòu)的證書關(guān)聯(lián)，發(fā)卡機構(gòu)證書通過不同品牌卡的證書連接到Root CA，而Root CA的公共簽字密鑰對所有的SET軟件都是已知的，可以校驗每一個證書。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物

12、識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2.3 電子商務(wù)的CA認(rèn)證體系2）PKI CAPKI（public key infrastructure，公鑰基礎(chǔ)設(shè)施）是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺，目的是管理密鑰和證書。PKI是創(chuàng)建、頒發(fā)、管理、撤銷公鑰證書所涉及的所有軟件、硬件的集合體，它將公開密鑰技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)（CA）和安全策略等安全措施整合起來，成為目前公認(rèn)的在大

13、型開放網(wǎng)絡(luò)環(huán)境下解決信息安全問題最可行、最有效的方法。PKI是電子商務(wù)安全保障的重要基礎(chǔ)設(shè)施之一。它具有多種功能，能夠提供全方位的電子商務(wù)安全服務(wù)。一個典型的PKI應(yīng)用系統(tǒng)包括五個部分：密鑰管理系統(tǒng)、證書受理系統(tǒng)、證書簽發(fā)系統(tǒng)、證書發(fā)布系統(tǒng)、目錄服務(wù)（證書查詢驗證）系統(tǒng)。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.2.3 電子商務(wù)的C

14、A認(rèn)證體系3）用戶自己認(rèn)定的CA在實際運作中，CA也可由大家都信任的一方擔(dān)當(dāng)。例如，在客戶、商家、銀行三角關(guān)系中，客戶使用的是由某個銀行發(fā)行的卡，而商家又與此銀行有業(yè)務(wù)關(guān)系（有賬號）。在此情況下，客戶和商家都信任該銀行，可由該銀行擔(dān)當(dāng)CA角色，接收、處理它的客戶證書和商家證書的驗證請求。又例如，對商家自己發(fā)行的購物卡，則可由商家自己擔(dān)當(dāng)CA角色。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方

15、式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.3 生物識別認(rèn)證技術(shù)6.3.1生物識別認(rèn)證技術(shù)概述利用生物識別技術(shù)進(jìn)行身份識別，過程方便、快捷，而且大大提高了安全系數(shù)。生物識別技術(shù)認(rèn)定的是人本身，首先通過采集系統(tǒng)對個人的生物特征進(jìn)行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，再將這些代碼組成特征模板，存儲在數(shù)據(jù)庫中。當(dāng)人們與識別系統(tǒng)交互進(jìn)行身份認(rèn)證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進(jìn)行比對，以確定是否匹配，從而決定接受或拒絕。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概

16、述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.3.2常用的生物識別技術(shù)常用的生物識別技術(shù)1. 指紋識別 2. 人臉識別3. 虹膜識別4. 生物遺傳DNA 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.3.3生物識別技術(shù)的應(yīng)用前景生物

17、識別技術(shù)的應(yīng)用前景1. 公安刑偵 2. 門禁管理3. 電子支付4. 身份識別 5. 虹膜通關(guān)生物識別技術(shù)的發(fā)展前景不可限量。隨著數(shù)字化、信息化社會的邁進(jìn)，人們對生物識別技術(shù)的了解和認(rèn)識將逐漸增加，生物識別技術(shù)的市場需求會越來越大，而生物識別技術(shù)和識別系統(tǒng)的性能也將在不斷發(fā)展中日益完善，更好地服務(wù)大眾。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商

18、務(wù)安全6.3.4*生物識別十大關(guān)鍵技術(shù)生物識別十大關(guān)鍵技術(shù)2. 活體檢測技術(shù) 10. 生物特征識別系統(tǒng)的性能評價 7. 生物特征表達(dá)與抽取技術(shù) 9. 生物特征數(shù)據(jù)庫檢索與分類技術(shù) 3. 生物特征信號質(zhì)量評價技術(shù)4. 生物信號的定位與分割技術(shù) 5. 生物特征信號增強技術(shù) 6. 生物特征信號的校準(zhǔn)技術(shù) 8. 生物特征的匹配技術(shù)1. 生物特征傳感器技術(shù) 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方

19、式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全6.3.5 生物識別系統(tǒng)的安全 生物識別系統(tǒng)是一個安全系統(tǒng)，和其他信息系統(tǒng)一樣，它也可能受到各種攻擊，并且在識別系統(tǒng)的每個環(huán)節(jié)都可能受到黑客的威脅。除了偽造他人的生物特征樣本外，其他可能的攻擊包括：在采集裝置和計算機的通信鏈路上修改樣本數(shù)據(jù)，修改識別結(jié)果，替換匹配程序，攻擊生物特征模板數(shù)據(jù)庫等，并且每個環(huán)節(jié)的攻擊都是致命的，所以生物識別系統(tǒng)安全系數(shù)的提高取決于對最薄弱環(huán)節(jié)采取的安全防范措施的強度。 為了使生物識別技術(shù)在安全性要求較高的場合得到可靠應(yīng)用，除了算法設(shè)計外，保護(hù)系統(tǒng)自身的安全性、提高對各種黑客攻擊的抵抗能力也很重要。為了提高識別系統(tǒng)

20、的安全程度，對生物特征數(shù)據(jù)庫、特征模板和應(yīng)用程序采取加密、數(shù)字簽名、加時間戳等方法都將是很有意義的研究內(nèi)容。 第6章 電子商務(wù)的身份認(rèn)證技術(shù)本章小結(jié)生物識別認(rèn)證技術(shù)生物識別系統(tǒng)的安全 生物識別技術(shù)的應(yīng)用前景常用的生物識別技術(shù)生物識別十大關(guān)鍵技術(shù)生物識別認(rèn)證技術(shù)概述認(rèn)證中心主要功能認(rèn)證中心電子商務(wù)的CA認(rèn)證體系安全CA認(rèn)證機構(gòu)Kerberos認(rèn)證系統(tǒng)身份認(rèn)證方式基本認(rèn)證技術(shù)復(fù)習(xí)思考題認(rèn)證協(xié)議認(rèn)證技術(shù)電子商務(wù)安全本章小結(jié) 在互聯(lián)網(wǎng)環(huán)境下，交易的雙方互不見面，保證交易合法、對方身份合法成為正常交易進(jìn)行的基本要求。CA認(rèn)證體系是根據(jù)認(rèn)證協(xié)議以發(fā)放權(quán)威證書的形式來保證交易各方的合法性，從而保證交易系統(tǒng)的可靠性