数字证书安全性研究——电子商务安全实验报告(浙江财经大学)

电子商务安全期末报告题目：数字证书安全性研究

项目类型报告类

实训日期

指导教师

学院

专业名称电子商务

组长

组员

2015年5月

一、数字证书的含义以及特点

（一）数字证书的含义

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，它是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。

（二）数字证书的特点

1.信息的保密性

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。

3.不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。

4.不可修改性

交易的文件是不可被修改的，如上例所举的订购黄金。供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

（三）数字证书的结构与主要信息有那些？

X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构，并使用ASN1语法进行编码。

版本号：标识证书的版本（版本1、版本2或是版本3）。

序列号：标识证书的唯一整数，由证书颁发者分配的本证书的唯一标识符。

签名：用于签证书的算法标识，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。

颁发者：证书颁发者的可识别名（DN）。

有效期：证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成，它们分别由UTC时间或一般的时间表示（在RFC2459中有详细的时间表示规则）。

主体：证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名。

主体公钥信息：主体的公钥（以及算法标识符）。

颁发者唯一标识符：标识符—证书颁发者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

主体唯一标识符：证书拥有者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

（四）目前的数字证书有哪些格式

cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem) p7b 一般是证书链，里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中，有几种典型的密码交换信息文件格式:

DER-encoded certificate: .cer, .crt

PEM-encoded message: .pem

PKCS#12 Personal Information Exchange: .pfx, .p12

PKCS#10 Certification Request: .p10

PKCS#7 cert request response: .p7r

PKCS#7 binary message: .p7b

.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。

.pem跟crt/cer的区别是它以Ascii来表示。

pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式

p10是证书请求

p7r是CA对证书请求的回复，只用于导入

p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。（五）数字证书颁发的过程

二、以网上银行的数字证书为例

（一）网上银行存在的安全问题

近几年，国内商业银行在网上银行项目发展上有很大的进步，国家也在大力倡导网上银行数字证书的应用，以保障网上银行的安全。但是网上银行仍然存在一些安全问题，例如假造银行通知、网上“钓鱼”、病毒程序、短信诈骗等。黑客们利用这些手段，直接窃取用户的账号和密码。去年的所谓“网银大盗”事件，就是一帮黑客将托洛依木马程序置于某银行网银，窃取了近800万客户的账号及密码，给广大网银用户造成了很大的经济损失。

我们知道，目前我国的网上银行主要有两种形式：一种是“大众版”网上银行，另一种是“专业版”网上银行。“大众版”网上银行即指简单的“用户名+口令”的登陆方式。许多网络银行在开通时，为了迅速抢占更多的客户资源，往往过分宣传网银的便利性而推荐采用“用户名+口令”的简单的“大众版”的形式，这种简单的“大众版”网上银行其实存在很多不安全因素，比如客户误登假银行网站；卡号和密码丢失；个人电脑中木马病毒等情况，这些