第6章、电子商务安全认证

PKI体系的基本组成
用户的公钥有两种产生的方式： （1）用户自己生成密钥队，然后将公钥以安全的方式传送给 CA，该过程必须保证用户公钥的验证性和完整性。 （2）CA 替用户生成密钥队，然后将其以安全的方式传送给 用户，该过程必须确保密钥对的机密性，完整性和可验证 性。该方式下由于用户的私钥为CA 所产生，所以对CA 的 可信性有更高的要求。CA 必须在事后销毁用户的私钥

（二）认证中心
数字证书的吊销 两种情况： 情况一：证书的撤销导致数字证书作废 情况二：数字证书已经过了有效期 数字证书的归档 由于以后可能需要验证以前的某个交易过程中产 生的数字证书，因此数字证书作废后不能简单的 丢弃。

（二）认证中心
2、认证中心的组成 Web服务器 数字证书申请受理和审核机构 认证中心服务器：数字证书生成、发放的运行 实体、同时提供数字证书的管理、证书废止列表 的生成和处理等服务。 3、认证体系
第二节 公钥体系结构
2、PKI提供的服务 （1）生成数字证书 （2）注销数字证书 （3）存储及检索数字证书及CRL:目录服务、 HTTP、电子邮件 （4）提供信任：证书链、直接交叉认证 （5）证书链处理： （6）交叉认证 （7）时间戳 （8）密钥管理
第二节 公钥体系结构
3、PKI体系的基本组成
密钥备份 证书作废系统 及恢复系统 应用接口系统 认证机构 数字证书库
电子文档，由权威的第三方机构CA来签发。


数字证书必须具有唯一性和可靠性。
数字证书可以存储在多种介质上。
（一）数字证书
数字证书按照使用对象划分

个人身份证书


安全邮件证书
服务器证书 CA机构证书
从技术角度分
SSL证书 SET证书
（二）认证中心
承担网上安全电子交易认证服务，能签发数字证书，确认 用户身份的、与具体交易行为无关的第三方权威机构。
HTT
SSL SSL Change Cipher Spec Protocol
LDA
IMA
P
SSL Alert Protocol
Application

P
Handshake
Protocol
Protocol
SSL Record
Protocol
TCP IP
一、SSL(Secure Socket Layer)安全套接层协议 SSL记录协议 SSL记录协议为SSL连接提供了两方面的服务：一是 机密性，而是消息完整性。SSL记录协议负责将数 据分割成可管理的块，进行数据压缩，数据加密， 最后增加首部。 SSL更改密文协议 SSL告警协议：通信过程中某一方发现任何异常， 就需要给对方发送一条警示消息通告。
3、PKI体系的基本组成



认证机构（CA）：即数字证书的申请及签发机关，CA必须具 备权威性的特征； 数字证书库：用于存储已签发的数字证书及公钥，用户可由此 获得所需的其他用户的证书及公钥； 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥， 则数据将无法被解密，这将造成合法数据丢失。为避免这种情 况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份 与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能 针对解密密钥，签名私钥为确保其唯一性而不能够作备份。 证书作废系统：证书作废处理系统是PKI的一个必备的组件。 与日常生活中的各种身份证件一样,证书有效期以内也可能需 要作废，原因可能是密钥介质丢失或用户身份变更等。为实现 这一点,PKI必须提供作废证书的一系列机制。 应用接口（API）：PKI的价值在于使用户能够方便地使用加 密、数字签名等安全服务，因此一个完整的PKI必须提供良好 的应用接口系统，使得各种各样的应用能够以安全、一致、可 信的方式与PKI交互，确保安全网络环境的完整性和易用性。

SSL握手协议：
握手协议过程（1）

第一阶段 安全能力的建立
(1) 客户 → 服务器 ：client_hello。 (2) 服务器 → 客户 ：server_hello。

第二阶段 服务器认证和密钥交换
(3) 服务器 → 客户 ：server_certificate。 (4) 服务器 → 客户 ：server_key_exchange。 (5) 服务器 → 客户 ：certificate_request。 (6) 服务器 → 客户 ：server_hello_done。
一、SSL(Secure Socket Layer)安全套接层协议

凡是支持送 SSL 协议的网页，都会以 https:// 作为 URL的开头。客户在与服务器进行 SSL 会话中，如果 使用的是微软的 IE浏览器，可以在右下方状态栏中 看到一只金黄色的锁形安全标志，用鼠标双击该标 志，就会弹出服务器证书信息。

标记方式 标记是一种用户所持有的某个秘密信息(硬件)， 上面记录着用于系统识别的个人信息。 如：智能卡，其原理是在卡内安装计算机芯片
数据加密技术

用于对信息进行加密的一组数学变换称为加密算 法。

为了有效控制加密、解密算法的实现，在这些算
法的实现过程中，需要有某些只被通信双方所掌
握的专门的、关键的信息参与，这些信息就称为
二、身份认证体系 （一）数字证书 1.数字证书的概念 是将某方的身份与某个公开密钥值安全地联系在 一起的数据结构。可用于唯一确认安全电子商务 交易双方身份的工具。目前最常用的数字证书是 x.509证书。
（一）数字证书
（一）数字证书

标志网络用户身份信息的一系列数据，用于证明
某一主体的身份及其公钥合法性的一种权威性的
握手协议过程（2）

第三阶段 客户认证和密钥交换
(7) 客户 → 服务器 ：client_certificate。 (8) 客户 → 服务器 ：client_key_exchange。 (9) 客户 → 服务器 ：certificate_verify。

第四阶段 结束阶段
(10) 客户 → 服务器 ：change_cipher_spec。 (11) 客户 → 服务器 ：finished。 (12) 服务器 → 客户 ：change_cipher_spec。 (13) 服务器 → 客户 ：finished。
一、身份认证
1.身份认证的概念 又称身份识别，是通信和数据系统正确识别 通信用户或终端的个人身份的重要途径。解 决我是谁的问题。
2.身份认证技术
基于人体生物学特征的鉴别 常用的生物特征识别技术有：指纹识别、声音 识别、书写识别、面容识别、视网膜扫描、手 型识别等。 优点：不易遗忘或丢失、防伪性能好、不易伪造 或被盗、“随身携带”、随时随地可用。 缺点：造价高，适用于保密程度高的场合。
第六章
电子商务安全认证
本章内容提要

身份验证技术 CA的功能、组成和体系结构 数字证书的功能、内容和数字证书的管理 PKI的组成、PGP密钥管理技术 SSL协议和SET协议的工作原理及应用
第一节

身份认证技术
认证技术是保证电子商务交易安全的一 项重要技术。 主要包括身份认证和信息认证。前者用 于鉴别用户身份，后者用于保证通信双 方的不可抵赖性以及信息的完整性。

再用非对称加密技术时，别人提供给你的公钥，如何 确定这个公钥的确是所声称的那个人的呢？ PKI在公开密钥密码的基础上，主要解决密钥属于谁 ，即密钥认证的问题。在网络上证明公钥是谁的，就 如同现实中证明谁是什么名字一样具有重要的意义。 通过数字证书，PKI很好地证明了公钥是谁的。PKI 的核心技术就围绕着数字证书的申请、颁发、使用与 撤销等整个生命周期进行展开。

第三节：SSL及SET协议
1. SSL工作原理 2．SSL协议 3．SSL协议的安全性分析 4. SET协议
一、SSL(Secure Socket Layer)安全套接层协议


Secure socket layer,是Netscape提出的。 SSL协议位于TCP/IP协议模型的网络层和应用层 之间，提供一种可靠的端到端的安全服务。它使客 户/服务器应用之间的通信不被攻击窃听，并且始 终对服务器进行认证，还可选择对客户进行认证。 它能把浏览器和服务器之间传输的数据加密，SSL 协议可以被理解成一条受密码保护的通道。
1、认证中心的功能：

2 认证机 构确认信 息的完整 性
3 认证中 心给数字 证书加数 字签名
数字证书的颁发；
1 用户提 交申请信 息给认证 机构
4 认证中 心将数字 证书副本
传给用户
5 认证中
6 认证中 心记录数 字证书发 放细节
将另一副 本传给数 字证书数 据库
（二）认证中心
数字证书的更新 认证中心定期更新所有用户的证书或根据用户的请求更新用 户的数字证书 数字证书的查询及验证 查询：认证中心可以根据用户的查询请求返回当前用户数字证 书申请过程；认证中心提供目录服务器完成数字证书的查询 。 验证：验证数字证书时若甲乙使用相同的认证中心，则只需验 证数字证书上认证中心的签名即可；如果他们使用不同的认 证中心，则必须向上验证一直追踪到共同信任的认证中心为 止。数字证书验证时主要确定以下内容： 一个可信的认证中心已经在数字证书上签名；数字证书具有良 好的完整性；数字证书处于有效期内；数字证书没有被吊销

第二节 公钥体系结构
二、PGP密钥管理技术 PGP是一个基于RSA公钥加密体系的邮件加密方 案，将公钥密码体制和对称密码体制结合起来使用, 公钥密码体制用来传输密钥对文档的签名，对称密码 体制对大量数据进行加密。
总结
如何保证数据来源可靠、传输安全、不被篡改并且 能为交易各方的行为提供不可抵赖的证据呢： 做法： 1. 通过数字证书和安全检查技术解决各方身份的交叉 确认； 2. 通过数字签名技术验证数据的完整性、来源的可靠 ； 3. 通过加密技术确保数据在传递过程中的保密性。 PKI是目前国际上公认的技术最成熟、使用最为广泛 的电子商务安全问题的完整解决方案，但仅仅提出 了一种解决问题的安全框架模式。
一、SSL(Secure Socket Layer)安全套接层协议 SSL提供的安全服务 1 信息保密：客户机与服务器之间的所有业务进 行加密 2 信息完整：可以提供完整性验证服务 3.相互认证：客户机与服务器之间可进行相互

一、SSL(Secure Socket Layer)安全套接层协议
SSL位于TCP/IP协议和应用协议之间

第二节 公钥体系结构
一、公钥基础设施（PKI）简介 1.PKI概述
PKI是Public Key Infrastructure的首字母缩写，翻译过来就 是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电 子商务的开展提供一套安全基础平台的技术和规范。 PKI（公钥基础设施）技术采用证书管理公钥，通过第三方 的可信任机构--认证中 心CA(Certificate Authority)，把用户的公 钥和用户的其他标识信息（如名称、e-mail、身份 证号等）捆 绑在一起，在Internet 网上验证用户的身份。眼下，通用的办法 是采用基于PKI 结构结合数字证书，通过把要传输的数字信息 进行加密，保证信息传输的保密性、完整性，签名保证身份的 真实性和抗抵赖。
（二）认证中心
（二）认证中心
（1）SET CA Visa和Mastercard在1997年12月共同成立 SETCO公司，被授权作为SET根CA；香港电子 商务认证中心JETCO（银行卡联营组织）负责建 设；新加坡电子商务认证中心由NETS负责运作 和管理。银行卡组织由会员银行组成，作为认证 中心有着固有的优势。 （2）PKI CA
（二）认证中心
4、我国主要的认证中心 （1）大行业或政府部门建立的认证中心， 如： 中国金融认证中心 （2）地方政府授权建立的认证中心 如：上海电子商务安全证书管理有限公司、广东 省电子商务认证中心等 （3）商业性的认证中心 如：北京天威诚信电子商务服务有限公司
（二）认证中心
（二）认证中心
问题：
密钥。用作加密的称加密密钥，用作解密的称作
解密密钥。
基于口令的鉴别 应用最广，方式简单，存在很多安全隐患
暗号
《风声》：我本是卧龙岗上散淡的人，论阴阳如反掌保定乾坤。 《潜伏》：汇文版朱子家训。雪山千古冷，独照峨眉峰。 《内线》：江南好，风景旧曾谙。日出江花红胜火，春来江水绿 如蓝。能不忆江南？