CA认证技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(公开密钥加密)
2016/1/29
14
对称密钥加密技术 1、对称密钥加密技术:加密和解密均采用同一把密钥,
而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。
这时的密钥称为对称密钥,并且不对外发布,也称为私钥 密码。 2、 最典型的对称密钥加密算法:美国数据加密标准 (DES:Data Encrypt Standard)。
2016/1/29
46
3、SET的特点
(1) 信息的机密性:对称密钥和非对称密钥相结合 (2)交易的不可否认性:数字证书/签名 (3)数据的完整性:数字签名 (4)身份的验证:保证信息的真实性
2016/1/29
47
4、SET的目标
(1)订单和个人账号信息在Internet上安全传输,保证
网上传输的数据不被黑客窃取。
保密的,因此支付网关必须由收单银行或其委托的信用卡组
织来担当。
2016/1/29 49
◆公共密钥的有效期 ◆颁发数字凭证的单位:证书的来源 ◆证书的编号:保证证书的真实性
2016/1/29
32
2016/1/29
33
2016/1/29
34
2016/1/29
35
2016/1/29
36
(4)对数字证书的验证
CA签名真实? Y 证书在有效期内?
N N
伪造的证书
失效的证书
Y
Y
证书在CA发布的 证书撤消列表内? N
2016/1/29 2
2、信用安全问题
主要涉及交易抵赖 (1)发信者事后否认曾经发送过某条消息或内容
(2)收信者事后否认曾经收到过某条消息或内容
(3)购买者做了订货单不承认 (4)商家卖出的商品因价格差而不承认原有的交易
2016/1/29
3
3、安全的管理问题 4、安全的法律问题 5、电脑病毒及黑客问题
2016/1/29
15
图7-2 对称加密示意图
2016/1/29 16
3、优点:加密速度快,适于大量数据的加密处理。 4、缺点 (1)密钥需传递给接受方,传递过程中的安全性得不到 保证。 (2)密钥数量急剧增加 (3)要求通信双方相互认识,保守密钥。
2016/1/29
17
3、CA认证技术
在网络上,什么样的信息交流才是安全的呢? 只有接收方才能解读信息,保密性 接收方看到的信息未被篡改或替换,完整性
2016/1/29
28
数字签名
2016/1/29
29
3、数字证书( digital Certificate, digital ID)
(1)数字证书:经CA认证中心数字签名的包含公开密钥 拥有者信息以及公开密钥的文件。数字证书实质上就是一系
列密钥,用于签名和加密数字信息。
数字证书由专门的机构(CA)负责发放和管理,Q其作用
2、数据加密技术
数据加密、解密基本过程
加密技术:解决数据的加密及其解密的技术,整个过程
组成一个加密系统。
加密:就是把信息转换为不可辨识的形式的过程。
明文
密文
解密:将信息内容转变为明文的过程
密文
2016/1/29
明文
13
加密技术
对称密钥加密(Symmetric Cryptography) 非对称密钥加密(Asymmetric Cryptography)
实现SSL协议的是HTTP的安全版,名为HTTPS。
2016/1/29
40
2016/1/29
41
2016/1/29
42
2、SSL协议分为两层:SSL握手协议和SSL记录协议
HTTP、FTP
SSL握手协议(协商密钥) SSL记录协议(定义传输格式)
TCP/IP协议
2016/1/29 43
3、 SSL协议是目前电子商务中应用最为广泛的安全协 议之一。
2016/1/29
失效的证书
37
有效的证书
4、数字时间戳(Digital Time-Stamp,DTS)
时间戳:提供电子文件发表时间的安全保护,是一个经
过加密后形成的凭证文档。 三 大 组 成 需加时间戳的文件摘要
DTS收到文件的日期和时间 保证文件签署日期的真实性 DTS的数字签名
2016/1/29
防火墙可以阻止外界对内部资源的非法访问,也可以
防止内部对外部的不安全访问。
2016/1/29
10
防火墙系统组成示意图:
Internet
内 网
2016/1/29
11
Web Server处于防火墙内
主机 主机
WEB SERVER 服务器
防火墙
Internet
主机 主机
安全边界
2016/1/29 12
了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 了解电子商务的认证体系
2016/1/29
1
一、电子商务的安全性问题
1、信息安全问题 (1)信息的截获和窃取 :银行帐号、密码以及商业机密等 (2)篡改:删除/插入 (3)伪造电子邮件 (4)假冒他人身份 (5)信息丢失
(2)订单信息和支付信息的隔离 (3)解决网络认证问题:消费者、商店、银行、网关 (4)要求软件遵循相同协议和消息格式,使不同厂家开 发的软件具有兼容和互操作功能。
2016/1/29
48
在SET中采用了双重签名技术,支付信息和订单信息是分 别签署。 保证了商家看不到支付信息,而只能看到订单信息 保证了银行看不到交易内容,只能看到支付信息 支付信息中包括了交易ID、交易金额、信用卡数据等信 息,这些涉及到与银行业务相关的保密数据对支付网关是不
对证书申请者进行资格审查,并决定是否对其发放证书
3、CP(Certificate Perform):证书发放执行部门 为已授权的申请者制作、发放和管理证书
2016/1/29 19
4、RS(Releasee):证书的受理者 接受用户的证书申请请求 5、CRL(Certificate Repeal List):证书作废表
文
原 信 息
接收者 数字 对称 公钥加 密 密钥 信封
数字
2
信封
对称 接收者 密钥 私钥解 密
3
发送端
2016/1/29
接收端
27
2、数字签名 (1)什么是数字签名 Digital Signature
数字签名是通过一个单向函数对要传送的报文进行处理得
到的用以认证报文来源并核实报文是否发生变化的一个字母数 字串。 (2)数字签名的作用 --保证信息完整 --信息发送者身份的验证
中国银行:http://www.boc.cn/
2016/1/29
45
安全电子交易规范(SET)
1、SET协议是针对开放网络上安全、有效的银行卡交
易,由Visa和MasterCard联合研制的,制定的安全电子交易的
一个国际标准。
主要目的是解决信用卡电子付款的安全保障性问题
2、SET协议主要是针对B to C电子商务的一个协议,而且 依赖于银行卡这种目前使用较为广泛的支付工具。
(1)应用范围广:几乎所有操作平台上的WEB浏览器
(IE、Netscape)以及Web服务器都支持SSL协议。 (2)被大部分WEB浏览器和服务器所内置
2016/1/29
44
4、SSL协议的功能
SSL服务器认证:客户机对服务器数字证书的检查 确认用户身份:服务器检查客户机数字证书的合法性
保证数据传输的机密性和完整性:加密技术
2016/1/29
24
基本认证技术
数字信封:保证数据的传输安全 数字签名:身份认证并保证数据的完整性、预防交易抵赖 数字证书(公开密钥技术):身份认证 数字时间戳
2016/1/29
25
1、数字信封
(1)“数字信封”:用加密技术来保证只有规定的特定收 信人才能阅读信息。 数字信封 (2)具体做法 发送方采用对称密钥加密信息 将此对称密钥用接收
2016/1/29
信用卡网上交易安全,提高网络支付服务的质量
9
技术: 1、防火墙技术
防火墙的含义及其分类 1、防火墙(Firewall):指 Internet上广泛应用的一种安 全措施,是指设置在互联网(Internet)与内部网(Intranet)之间 系统,通过控制内外网络间信息的流动,提高内部网络的安全 性。
证不会丢失
2016/1/29 8
2、安全交易标准和技术 (1)安全超文本传输协议(S-HTTP) 保障WEB站点间的交易信息传输的安全性
(2)安全套接层协议(SSL, Secure Sockets Layer )
提供加密、认证服务和保证报文的完整性
(Netscape) (3) 安全电子交易协议(SET,Secure Electronic Transaction
38
安全技术协议
安全套接层协议(SSL)
1、SSL(Secure Sockets Layer),称为安全套接层协议,
是一种安全通信协议。
应用层
SSL
传输层
(1)提供了客户机与服务器之间的安全连接,对整个会 话进行了加密,从而保证了安全传输。
(2)对服务器进行认证,还可选择对客户机进行认证。
2016/1/29 39
方的公开密钥加密之后,将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封,得到对称密钥
使用对称密钥解开信息
2016/1/29 26
对称密钥技术:高效性(用时短)
(3)数字信封特点 公开密钥技术:灵活性
原 信 息
1
对称 密钥 加密
4
密
internet
密 文 internet
对称 密钥 解密
能被拒绝。ቤተ መጻሕፍቲ ባይዱ
防火墙技术、口令 2、不可抵赖性(non-repudiation) 数字签名、CA证书 3、机密性(confidentiality):信息发送和接收是在安全的 通道进行,保证通信双方的信息保密。
2016/1/29
加密技术
6
4、真实性(authenticity)
交易信息 交易方身份
数字签名、数字证书 5、信息的完整性(integrity) 6、存储信息的安全性 数字摘要、时间戳
2016/1/29
7
三、电子商务交易安全措施
1、交易安全技术
(1)身份认证:确定贸易伙伴的真实性 (2)数据加密和解密:保证电子单证的保密性 (3)数字摘要技术 :保证电子单证内容的完整性
(4)数字签名技术:保证电子单证的真实性
(5)CA认证 :不可抵赖性
(6)时间戳、消息的流水作业号:保证被传输的业务单
记录尚未过期但已声明作废的用户证书的序列号
2016/1/29
20
6、CA 认证中心(Certificate Authority)
承担网上安全电子交易认证服务,能签发数字证书,并能 确认用户身份的服务机构。 证书发放 证书更新 CA的四大职能 证书撤销 证书验证
认证中心的核心职能就是发放和管理数字证书
2016/1/29
4
安 全 问 题 对 电 子 商 务 的 影 响
2016/1/29
严重打击消费者对电子商务的信心 造成运营商巨大的经济损失 涉及的地域范围广 威胁个人及组织的资金安全、货物安全和信誉安全
5
二、电子商务对安全的基本要求
1、授权合法性:安全管理人员能够控制用户的权限、分配 或终止用户的访问、操作、接入等权利,被授权用户的访问不
2016/1/29 21
延伸阅读--中国CA认证中心的建设
尚没有明确国家级CA安全认证系统
行业性CA安全认证系统:
中国人民银行联合12家银行建立的金融CFCA安全认
证中心
中国电信建立的CTCA安全认证系统 国家外贸部EDI中心建立的国富安CA安全认证中心
2016/1/29 22
世界著名的认证中心Verisign(www.verisign.com)
是证明证书中列出的用户名称与证书中列出的公开密钥相对
应。CA的数字签名使得攻击者不能伪造和篡改数字证书。
2016/1/29
30
(2) 数字证书的类型
2016/1/29
31
(3)数字证书的内容
◆凭证拥有者的姓名:证明用户身份 ◆凭证拥有者的公共密钥:用于对每笔交易数据进行
加密和数字签名,可以保证每笔交易的安全和不可抵赖;
加密!
还差什么? 建立信任和信任验证机制 CA认证
身份验证 交易不可抵赖
数字证书
2016/1/29 18
基本概念
1、数字证书( digital Certificate, digital ID):网络通信
中标志通信各方身份信息的一系列数据。
用电子手段来证实用户的身份及分配公开密钥 2、RA(Release Auditing):证书发放审核部门
2016/1/29
认证中心VeriSign的主页
23
中国知名的认证中心 ① 中国数字认证网(www.ca365.com ) ② 中国金融认证中心(www.cfca.com.cn ) ③中国电子邮政安全证书管理中心(www.chinapost.com.cn) ④ 北京数字证书认证中心(www.bjca.org.cn) ⑤ 广东省电子商务认证中心(www.cnca.net)
2016/1/29
14
对称密钥加密技术 1、对称密钥加密技术:加密和解密均采用同一把密钥,
而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。
这时的密钥称为对称密钥,并且不对外发布,也称为私钥 密码。 2、 最典型的对称密钥加密算法:美国数据加密标准 (DES:Data Encrypt Standard)。
2016/1/29
46
3、SET的特点
(1) 信息的机密性:对称密钥和非对称密钥相结合 (2)交易的不可否认性:数字证书/签名 (3)数据的完整性:数字签名 (4)身份的验证:保证信息的真实性
2016/1/29
47
4、SET的目标
(1)订单和个人账号信息在Internet上安全传输,保证
网上传输的数据不被黑客窃取。
保密的,因此支付网关必须由收单银行或其委托的信用卡组
织来担当。
2016/1/29 49
◆公共密钥的有效期 ◆颁发数字凭证的单位:证书的来源 ◆证书的编号:保证证书的真实性
2016/1/29
32
2016/1/29
33
2016/1/29
34
2016/1/29
35
2016/1/29
36
(4)对数字证书的验证
CA签名真实? Y 证书在有效期内?
N N
伪造的证书
失效的证书
Y
Y
证书在CA发布的 证书撤消列表内? N
2016/1/29 2
2、信用安全问题
主要涉及交易抵赖 (1)发信者事后否认曾经发送过某条消息或内容
(2)收信者事后否认曾经收到过某条消息或内容
(3)购买者做了订货单不承认 (4)商家卖出的商品因价格差而不承认原有的交易
2016/1/29
3
3、安全的管理问题 4、安全的法律问题 5、电脑病毒及黑客问题
2016/1/29
15
图7-2 对称加密示意图
2016/1/29 16
3、优点:加密速度快,适于大量数据的加密处理。 4、缺点 (1)密钥需传递给接受方,传递过程中的安全性得不到 保证。 (2)密钥数量急剧增加 (3)要求通信双方相互认识,保守密钥。
2016/1/29
17
3、CA认证技术
在网络上,什么样的信息交流才是安全的呢? 只有接收方才能解读信息,保密性 接收方看到的信息未被篡改或替换,完整性
2016/1/29
28
数字签名
2016/1/29
29
3、数字证书( digital Certificate, digital ID)
(1)数字证书:经CA认证中心数字签名的包含公开密钥 拥有者信息以及公开密钥的文件。数字证书实质上就是一系
列密钥,用于签名和加密数字信息。
数字证书由专门的机构(CA)负责发放和管理,Q其作用
2、数据加密技术
数据加密、解密基本过程
加密技术:解决数据的加密及其解密的技术,整个过程
组成一个加密系统。
加密:就是把信息转换为不可辨识的形式的过程。
明文
密文
解密:将信息内容转变为明文的过程
密文
2016/1/29
明文
13
加密技术
对称密钥加密(Symmetric Cryptography) 非对称密钥加密(Asymmetric Cryptography)
实现SSL协议的是HTTP的安全版,名为HTTPS。
2016/1/29
40
2016/1/29
41
2016/1/29
42
2、SSL协议分为两层:SSL握手协议和SSL记录协议
HTTP、FTP
SSL握手协议(协商密钥) SSL记录协议(定义传输格式)
TCP/IP协议
2016/1/29 43
3、 SSL协议是目前电子商务中应用最为广泛的安全协 议之一。
2016/1/29
失效的证书
37
有效的证书
4、数字时间戳(Digital Time-Stamp,DTS)
时间戳:提供电子文件发表时间的安全保护,是一个经
过加密后形成的凭证文档。 三 大 组 成 需加时间戳的文件摘要
DTS收到文件的日期和时间 保证文件签署日期的真实性 DTS的数字签名
2016/1/29
防火墙可以阻止外界对内部资源的非法访问,也可以
防止内部对外部的不安全访问。
2016/1/29
10
防火墙系统组成示意图:
Internet
内 网
2016/1/29
11
Web Server处于防火墙内
主机 主机
WEB SERVER 服务器
防火墙
Internet
主机 主机
安全边界
2016/1/29 12
了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 了解电子商务的认证体系
2016/1/29
1
一、电子商务的安全性问题
1、信息安全问题 (1)信息的截获和窃取 :银行帐号、密码以及商业机密等 (2)篡改:删除/插入 (3)伪造电子邮件 (4)假冒他人身份 (5)信息丢失
(2)订单信息和支付信息的隔离 (3)解决网络认证问题:消费者、商店、银行、网关 (4)要求软件遵循相同协议和消息格式,使不同厂家开 发的软件具有兼容和互操作功能。
2016/1/29
48
在SET中采用了双重签名技术,支付信息和订单信息是分 别签署。 保证了商家看不到支付信息,而只能看到订单信息 保证了银行看不到交易内容,只能看到支付信息 支付信息中包括了交易ID、交易金额、信用卡数据等信 息,这些涉及到与银行业务相关的保密数据对支付网关是不
对证书申请者进行资格审查,并决定是否对其发放证书
3、CP(Certificate Perform):证书发放执行部门 为已授权的申请者制作、发放和管理证书
2016/1/29 19
4、RS(Releasee):证书的受理者 接受用户的证书申请请求 5、CRL(Certificate Repeal List):证书作废表
文
原 信 息
接收者 数字 对称 公钥加 密 密钥 信封
数字
2
信封
对称 接收者 密钥 私钥解 密
3
发送端
2016/1/29
接收端
27
2、数字签名 (1)什么是数字签名 Digital Signature
数字签名是通过一个单向函数对要传送的报文进行处理得
到的用以认证报文来源并核实报文是否发生变化的一个字母数 字串。 (2)数字签名的作用 --保证信息完整 --信息发送者身份的验证
中国银行:http://www.boc.cn/
2016/1/29
45
安全电子交易规范(SET)
1、SET协议是针对开放网络上安全、有效的银行卡交
易,由Visa和MasterCard联合研制的,制定的安全电子交易的
一个国际标准。
主要目的是解决信用卡电子付款的安全保障性问题
2、SET协议主要是针对B to C电子商务的一个协议,而且 依赖于银行卡这种目前使用较为广泛的支付工具。
(1)应用范围广:几乎所有操作平台上的WEB浏览器
(IE、Netscape)以及Web服务器都支持SSL协议。 (2)被大部分WEB浏览器和服务器所内置
2016/1/29
44
4、SSL协议的功能
SSL服务器认证:客户机对服务器数字证书的检查 确认用户身份:服务器检查客户机数字证书的合法性
保证数据传输的机密性和完整性:加密技术
2016/1/29
24
基本认证技术
数字信封:保证数据的传输安全 数字签名:身份认证并保证数据的完整性、预防交易抵赖 数字证书(公开密钥技术):身份认证 数字时间戳
2016/1/29
25
1、数字信封
(1)“数字信封”:用加密技术来保证只有规定的特定收 信人才能阅读信息。 数字信封 (2)具体做法 发送方采用对称密钥加密信息 将此对称密钥用接收
2016/1/29
信用卡网上交易安全,提高网络支付服务的质量
9
技术: 1、防火墙技术
防火墙的含义及其分类 1、防火墙(Firewall):指 Internet上广泛应用的一种安 全措施,是指设置在互联网(Internet)与内部网(Intranet)之间 系统,通过控制内外网络间信息的流动,提高内部网络的安全 性。
证不会丢失
2016/1/29 8
2、安全交易标准和技术 (1)安全超文本传输协议(S-HTTP) 保障WEB站点间的交易信息传输的安全性
(2)安全套接层协议(SSL, Secure Sockets Layer )
提供加密、认证服务和保证报文的完整性
(Netscape) (3) 安全电子交易协议(SET,Secure Electronic Transaction
38
安全技术协议
安全套接层协议(SSL)
1、SSL(Secure Sockets Layer),称为安全套接层协议,
是一种安全通信协议。
应用层
SSL
传输层
(1)提供了客户机与服务器之间的安全连接,对整个会 话进行了加密,从而保证了安全传输。
(2)对服务器进行认证,还可选择对客户机进行认证。
2016/1/29 39
方的公开密钥加密之后,将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封,得到对称密钥
使用对称密钥解开信息
2016/1/29 26
对称密钥技术:高效性(用时短)
(3)数字信封特点 公开密钥技术:灵活性
原 信 息
1
对称 密钥 加密
4
密
internet
密 文 internet
对称 密钥 解密
能被拒绝。ቤተ መጻሕፍቲ ባይዱ
防火墙技术、口令 2、不可抵赖性(non-repudiation) 数字签名、CA证书 3、机密性(confidentiality):信息发送和接收是在安全的 通道进行,保证通信双方的信息保密。
2016/1/29
加密技术
6
4、真实性(authenticity)
交易信息 交易方身份
数字签名、数字证书 5、信息的完整性(integrity) 6、存储信息的安全性 数字摘要、时间戳
2016/1/29
7
三、电子商务交易安全措施
1、交易安全技术
(1)身份认证:确定贸易伙伴的真实性 (2)数据加密和解密:保证电子单证的保密性 (3)数字摘要技术 :保证电子单证内容的完整性
(4)数字签名技术:保证电子单证的真实性
(5)CA认证 :不可抵赖性
(6)时间戳、消息的流水作业号:保证被传输的业务单
记录尚未过期但已声明作废的用户证书的序列号
2016/1/29
20
6、CA 认证中心(Certificate Authority)
承担网上安全电子交易认证服务,能签发数字证书,并能 确认用户身份的服务机构。 证书发放 证书更新 CA的四大职能 证书撤销 证书验证
认证中心的核心职能就是发放和管理数字证书
2016/1/29
4
安 全 问 题 对 电 子 商 务 的 影 响
2016/1/29
严重打击消费者对电子商务的信心 造成运营商巨大的经济损失 涉及的地域范围广 威胁个人及组织的资金安全、货物安全和信誉安全
5
二、电子商务对安全的基本要求
1、授权合法性:安全管理人员能够控制用户的权限、分配 或终止用户的访问、操作、接入等权利,被授权用户的访问不
2016/1/29 21
延伸阅读--中国CA认证中心的建设
尚没有明确国家级CA安全认证系统
行业性CA安全认证系统:
中国人民银行联合12家银行建立的金融CFCA安全认
证中心
中国电信建立的CTCA安全认证系统 国家外贸部EDI中心建立的国富安CA安全认证中心
2016/1/29 22
世界著名的认证中心Verisign(www.verisign.com)
是证明证书中列出的用户名称与证书中列出的公开密钥相对
应。CA的数字签名使得攻击者不能伪造和篡改数字证书。
2016/1/29
30
(2) 数字证书的类型
2016/1/29
31
(3)数字证书的内容
◆凭证拥有者的姓名:证明用户身份 ◆凭证拥有者的公共密钥:用于对每笔交易数据进行
加密和数字签名,可以保证每笔交易的安全和不可抵赖;
加密!
还差什么? 建立信任和信任验证机制 CA认证
身份验证 交易不可抵赖
数字证书
2016/1/29 18
基本概念
1、数字证书( digital Certificate, digital ID):网络通信
中标志通信各方身份信息的一系列数据。
用电子手段来证实用户的身份及分配公开密钥 2、RA(Release Auditing):证书发放审核部门
2016/1/29
认证中心VeriSign的主页
23
中国知名的认证中心 ① 中国数字认证网(www.ca365.com ) ② 中国金融认证中心(www.cfca.com.cn ) ③中国电子邮政安全证书管理中心(www.chinapost.com.cn) ④ 北京数字证书认证中心(www.bjca.org.cn) ⑤ 广东省电子商务认证中心(www.cnca.net)