CA认证技术...ppt

8/15/20222一、电子商务的安全性问题一、电子商务的安全性问题1、信息安全问题、信息安全问题（1）信息的截获和窃取）信息的截获和窃取 ：银行帐号、密码以及商业机密等：银行帐号、密码以及商业机密等 （2）篡改）篡改:删除删除/插入插入（3）伪造电子邮件伪造电子邮件（4 4）假冒他人身份）假冒他人身份（5）信息丢失）信息丢失8/15/202232 2、信用安全问题、信用安全问题主要涉及交易抵赖主要涉及交易抵赖 (1)(1)发信者事后否认曾经发送过某条消息或内容发信者事后否认曾经发送过某条消息或内容 (2)(2)收信者事后否认曾经收到过某条消息或内容收信者事后否认曾经收到过某条消息或内容 (3)(3)购买者做了订货单不承认购买者做了订货单不承认(4)(4)商家卖出的商品因价格差而不承认原有的交易商家卖出的商品因价格差而不承认原有的交易8/15/202243 3、安全的管理问题、安全的管理问题4、安全的法律问题、安全的法律问题5、电脑病毒及黑客问题、电脑病毒及黑客问题8/15/20225严重打击消费者对电子商务的信心严重打击消费者对电子商务的信心造成运营商巨大的经济损失造成运营商巨大的经济损失涉及的地域范围广涉及的地域范围广威胁个人及组织的资金安全、货物安全和信誉安全威胁个人及组织的资金安全、货物安全和信誉安全安安全全问问题题对对电电子子商商务务的的影影响响8/15/20226 1、授权合法性、授权合法性:安全管理人员能够控制用户的权限、分配安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利，被授权用户的访问不或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。能被拒绝。 2、不可抵赖性不可抵赖性(non-repudiation)二、电子商务对安全的基本要求二、电子商务对安全的基本要求数字签名、数字签名、CA证书证书 3、机密性机密性(confidentiality):信息发送和接收是在安全的信息发送和接收是在安全的通道进行，保证通信双方的信息保密。通道进行，保证通信双方的信息保密。 加密技术加密技术防火墙技术、口令防火墙技术、口令8/15/202274、真实性、真实性(authenticity) 数字签名、数字证书数字签名、数字证书5、信息的完整性、信息的完整性(integrity) 数字摘要、时间戳数字摘要、时间戳 6、存储信息的安全性、存储信息的安全性交易信息交易信息交易方身份交易方身份8/15/20228三、电子商务交易安全措施三、电子商务交易安全措施1、交易安全技术、交易安全技术（1 1）身份认证：确定贸易伙伴的真实性）身份认证：确定贸易伙伴的真实性 （2 2）数据加密和解密：保证电子单证的保密性）数据加密和解密：保证电子单证的保密性 （3 3）数字摘要技术）数字摘要技术 ：保证电子单证内容的完整性：保证电子单证内容的完整性 （4 4）数字签名技术：保证电子单证的真实性）数字签名技术：保证电子单证的真实性（5 5）CACA认证认证 ：不可抵赖性：不可抵赖性 (6)(6)时间戳、消息的流水作业号：保证被传输的业务单时间戳、消息的流水作业号：保证被传输的业务单 证不会丢失证不会丢失 8/15/202292、安全交易标准和技术、安全交易标准和技术（1 1）安全超文本传输协议（）安全超文本传输协议（S-HTTPS-HTTP） 保障保障WEBWEB站点间的交易信息传输的安全性站点间的交易信息传输的安全性 （2 2）安全套接层协议（）安全套接层协议（SSLSSL， Secure Sockets Layer ） 提供加密、认证服务和保证报文的完整性提供加密、认证服务和保证报文的完整性 （NetscapeNetscape） (3) (3) 安全电子交易协议（安全电子交易协议（SETSET，Secure Electronic Secure Electronic TransactionTransaction 信用卡网上交易安全，提高网络支付服务的质量信用卡网上交易安全，提高网络支付服务的质量8/15/202210技术：技术：1、防火墙技术、防火墙技术防火墙的含义及其分类防火墙的含义及其分类 1、防火墙（、防火墙（Firewall）：指）：指 Internet上广泛应用的一种安上广泛应用的一种安全措施，是指设置在互联网全措施，是指设置在互联网(Internet)与内部网与内部网(Intranet)之间之间系统，通过控制内外网络间信息的流动，提高内部网络的安全系统，通过控制内外网络间信息的流动，提高内部网络的安全性。性。 防火墙可以阻止外界对内部资源的非法访问，也可以防火墙可以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全访问。防止内部对外部的不安全访问。8/15/202211内内网网防火墙系统组成示意图：防火墙系统组成示意图：Internet8/15/202212Web Server处于防火墙内防火墙防火墙Internet安全边界安全边界 WEBSERVER主机主机主机主机主机服务器8/15/2022132、数据加密技术、数据加密技术数据加密、解密基本过程数据加密、解密基本过程 加密技术加密技术：解决数据的加密及其解密的技术，整个过程：解决数据的加密及其解密的技术，整个过程组成一个加密系统。组成一个加密系统。 加密：就是把信息转换为不可辨识的形式的过程。加密：就是把信息转换为不可辨识的形式的过程。 解密：将信息内容转变为明文的过程解密：将信息内容转变为明文的过程 明文明文 密文密文密文密文 明文明文8/15/202214对称密钥加密对称密钥加密(Symmetric Cryptography)非对称密钥加密非对称密钥加密(Asymmetric Cryptography)加密技术加密技术（公开密钥加密）（公开密钥加密）8/15/202215对称密钥加密技术对称密钥加密技术 1、对称密钥加密技术：加密和解密均采用、对称密钥加密技术：加密和解密均采用同一把密钥同一把密钥，而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。 这时的密钥称为对称密钥，并且不对外发布，也称为私钥这时的密钥称为对称密钥，并且不对外发布，也称为私钥密码。密码。 2、 最典型的对称密钥加密算法：美国数据加密标准最典型的对称密钥加密算法：美国数据加密标准 （DES：Data Encrypt Standard）。）。8/15/202216图7-2 对称加密示意图8/15/2022173、优点：加密速度快，适于大量数据的加密处理。、优点：加密速度快，适于大量数据的加密处理。4、缺点、缺点 （1）密钥需传递给接受方，传递过程中的安全性得不到）密钥需传递给接受方，传递过程中的安全性得不到保证。保证。 （2）密钥数量急剧增加）密钥数量急剧增加 （3）要求通信双方相互认识，保守密钥。）要求通信双方相互认识，保守密钥。8/15/2022183 3、CACA认证技术认证技术CA认证认证数字证书数字证书8/15/202219 用电子手段来证实用户的身份及分配公开密钥用电子手段来证实用户的身份及分配公开密钥2、RA(Release Auditing):证书发放审核部门证书发放审核部门 对证书申请者进行资格审查，并决定是否对其发放证书对证书申请者进行资格审查，并决定是否对其发放证书3、CP(Certificate Perform)：证书发放执行部门：证书发放执行部门 为已授权的申请者制作、发放和管理证书为已授权的申请者制作、发放和管理证书 基本概念基本概念1、数字证书、数字证书（ digital Certificate, digital ID）：网络通信）：网络通信中标志通信各方身份信息的一系列数据。中标志通信各方身份信息的一系列数据。 8/15/2022204、RS（Releasee）：证书的受理者）：证书的受理者 接受用户的证书申请请求接受用户的证书申请请求5、CRL（Certificate Repeal List）：证书作废表）：证书作废表 记录尚未过期但已声明作废的用户证书的序列号记录尚未过期但已声明作废的用户证书的序列号8/15/202221 证书发放证书发放证书更新证书更新证书撤销证书撤销证书验证证书验证CA的四大职能的四大职能6、CA 认证中心认证中心(Certificate Authority) 承担网上安全电子交易认证服务，能签发数字证书，并能承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。确认用户身份的服务机构。8/15/202222尚没有明确国家级CA安全认证系统行业性CA安全认证系统：中国人民银行联合中国人民银行联合12家银行建立的金融家银行建立的金融CFCA安全认安全认证中心证中心 中国电信建立的中国电信建立的CTCA安全认证系统安全认证系统 国家外贸部国家外贸部EDI中心建立的国富安中心建立的国富安CA安全认证中心安全认证中心延伸阅读中国延伸阅读中国CA认证中心的建设认证中心的建设8/15/202223 世界著名的认证中心世界著名的认证中心Verisign（）认证中心VeriSign的主页8/15/202224中国知名的认证中心中国知名的认证中心 中国数字认证网（中国数字认证网（ ） 中国金融认证中心（中国金融认证中心（ ）中国电子邮政安全证书管理中心（中国电子邮政安全证书管理中心（） 北京数字证书认证中心（北京数字证书认证中心（） 广东省电子商务认证中心（广东省电子商务认证中心（）8/15/202225基本认证技术基本认证技术数字信封数字信封：保证数据的传输安全：保证数据的传输安全数字签名数字签名：身份认证并保证数据的完整性、预防交易抵赖：身份认证并保证数据的完整性、预防交易抵赖数字证书数字证书（公开密钥技术）：身份认证（公开密钥技术）：身份认证数字时间戳数字时间戳8/15/202226 （1）“数字信封数字信封”：用加密技术来保证只有规定的特定收用加密技术来保证只有规定的特定收信人才能阅读信息。信人才能阅读信息。 数字信封数字信封1、数字信封、数字信封（2）具体做法）具体做法 发送方采用对称密钥加密信息发送方采用对称密钥加密信息 将此将此对称密钥对称密钥用接收用接收方的公开密钥加密之后，将它和信息一起发送给接收方方的公开密钥加密之后，将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封，得到对称密钥接收方先用相应的私有密钥打开数字信封，得到对称密钥 使用对称密钥解开信息使用对称密钥解开信息8/15/202227发送端发送端接收端接收端原原信信息息密密文文对称对称密钥密钥加密加密internet密密文文数字数字信封信封原原信信息息对称对称密钥密钥解密解密接收者接收者公钥加公钥加密密数字数字信封信封对称对称密钥密钥接收者接收者私钥解私钥解密密对称对称密钥密钥internet1234对称密钥技术：高效性（用时短）对称密钥技术：高效性（用时短）公开密钥技术：灵活性公开密钥技术：灵活性（3）数字信封特点）数字信封特点8/15/2022282、数字签名、数字签名（1）什么是数字签名）什么是数字签名 Digital Signature 数字签名是通过一个单向函数对要传送的报文进行处理得数字签名是通过一个单向函数对要传送的报文进行处理得到的用以到的用以认证报文来源并核实报文是否发生变化认证报文来源并核实报文是否发生变化的一个字母数的一个字母数字串。字串。（2）数字签名的作用）数字签名的作用保证信息完整保证信息完整 信息发送者身份的验证信息发送者身份的验证实现的基础实现的基础加密技术加密技术8/15/202229数字签名8/15/2022303、数字证书（、数字证书（ digital Certificate, digital ID） 8/15/202231（2 2） 数字证书的类型数字证书的类型 8/15/202232(3)数字证书的内容数字证书的内容凭证拥有者的姓名：证明用户身份凭证拥有者的姓名：证明用户身份 凭证拥有者的公共密钥：用于对每笔交易数据进行凭证拥有者的公共密钥：用于对每笔交易数据进行加密和数字签名，可以保证每笔交易的安全和不可抵赖；加密和数字签名，可以保证每笔交易的安全和不可抵赖； 公共密钥的有效期公共密钥的有效期 颁发数字凭证的单位：证书的来源颁发数字凭证的单位：证书的来源 证书的编号：保证证书的真实性证书的编号：保证证书的真实性8/15/2022338/15/2022348/15/2022358/15/2022368/15/202237(4)对数字证书的验证对数字证书的验证 YNNYYN8/15/2022384 4、数字时间戳（、数字时间戳（Digital Time-StampDigital Time-Stamp，DTSDTS） 时间戳：提供电子文件发表时间的安全保护，是一个经时间戳：提供电子文件发表时间的安全保护，是一个经过加密后形成的凭证文档。过加密后形成的凭证文档。需加时间戳的文件摘要需加时间戳的文件摘要DTS收到文件的日期和时间收到文件的日期和时间DTS的数字签名的数字签名保证文件签署日期的真实性保证文件签署日期的真实性三大组成三大组成8/15/202239安全技术协议安全套接层协议（安全套接层协议（SSLSSL） 1 1、SSL(Secure Sockets Layer)SSL(Secure Sockets Layer)，称为安全套接层协议，称为安全套接层协议，是一种安全通信协议。是一种安全通信协议。 （1 1）提供了客户机与服务器之间的安全连接，对整个会）提供了客户机与服务器之间的安全连接，对整个会话进行了加密，从而保证了安全传输。话进行了加密，从而保证了安全传输。 （2 2）对服务器进行认证，还可选择对客户机进行认证。）对服务器进行认证，还可选择对客户机进行认证。 应用层应用层传输层传输层SSL8/15/202240 实现实现SSL协议的是协议的是HTTP的安全版，名为的安全版，名为HTTPS。8/15/2022418/15/2022428/15/2022432、SSL协议分为两层：协议分为两层：SSL握手协议和握手协议和SSL记录协议记录协议8/15/202244 3、 SSL协议是目前电子商务中应用最为广泛的安全协协议是目前电子商务中应用最为广泛的安全协议之一。议之一。 （1）应用范围广：）应用范围广： （2）被大部分）被大部分WEB浏览器和服务器所内置浏览器和服务器所内置8/15/2022454、SSL协议的功能协议的功能SSL服务器认证：客户机对服务器数字证书的检查服务器认证：客户机对服务器数字证书的检查确认用户身份：服务器检查客户机数字证书的合法性确认用户身份：服务器检查客户机数字证书的合法性保证数据传输的机密性和完整性：加密技术保证数据传输的机密性和完整性：加密技术中国银行：中国银行：http:/ 1、SETSET协议是针对开放网络上安全、有效的银行卡交协议是针对开放网络上安全、有效的银行卡交易，由易，由VisaVisa和和MasterCardMasterCard联合研制的，制定的安全电子交易的联合研制的，制定的安全电子交易的一个国际标准。一个国际标准。 主要目的是解决信用卡电子付款的安全保障性问题主要目的是解决信用卡电子付款的安全保障性问题 2 2、SET协议主要是针对协议主要是针对B to C电子商务的一个协议，而且电子商务的一个协议，而且依赖于银行卡这种目前使用较为广泛的支付工具。依赖于银行卡这种目前使用较为广泛的支付工具。安全电子交易规范（安全电子交易规范（SETSET）8/15/2022478/15/2022484、SET的目标的目标（1）订单和个人账号信息在）订单和个人账号信息在Internet上安全传输，保证上安全传输，保证网上传输的数据不被黑客窃取。网上传输的数据不被黑客窃取。（2）订单信息和支付信息的隔离订单信息和支付信息的隔离（3）解决网络认证问题：消费者、商店、银行、网关）解决网络认证问题：消费者、商店、银行、网关（4）要求软件遵循相同协议和消息格式，使不同厂家开）要求软件遵循相同协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能。发的软件具有兼容和互操作功能。8/15/202249 在在SETSET中采用了中采用了双重签名双重签名技术，支付信息和订单信息是分技术，支付信息和订单信息是分别签署。别签署。保证了商家看不到支付信息，而只能看到订单信息保证了商家看不到支付信息，而只能看到订单信息保证了银行看不到交易内容，只能看到支付信息保证了银行看不到交易内容，只能看到支付信息 支付信息中包括了交易支付信息中包括了交易ID、交易金额、信用卡数据等信、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由保密的，因此支付网关必须由收单银行或其委托的信用卡组收单银行或其委托的信用卡组织织来担当。来担当。 8/15/2022506、SET涉及的主要角色涉及的主要角色 （1）持卡人）持卡人:网上消费者或客户，首先应向发卡行提出申网上消费者或客户，首先应向发卡行提出申请，并安装电子钱包软件。请，并安装电子钱包软件。 （2）商家：必须在收单行开设帐户并且安装）商家：必须在收单行开设帐户并且安装SET商家软件商家软件 （3）支付网关：收单银行或指定的第三方操作的专用系）支付网关：收单银行或指定的第三方操作的专用系统，用于处理支付授权和支付。统，用于处理支付授权和支付。 银行金融网络银行金融网络公共网络公共网络支付网关支付网关8/15/202251（4）收单行：为商户建立帐户并处理支付授权和支付）收单行：为商户建立帐户并处理支付授权和支付（5）发卡行：为持卡人建立一个帐户并发行支付卡）发卡行：为持卡人建立一个帐户并发行支付卡（6）认证机构：向各交易主体颁发证书，进行身份识别）认证机构：向各交易主体颁发证书，进行身份识别8/15/202252发卡银行发卡银行持卡人持卡人银行网络银行网络收单银行收单银行认证中心认证中心Internet在线商家在线商家支付网关支付网关8/15/202253SETSET的运作的运作流程流程、A先生进入网络商家订购书籍，并填写订购数量、送货日先生进入网络商家订购书籍，并填写订购数量、送货日期等信息；期等信息；、A先生准备结帐，这时计算机中具有先生准备结帐，这时计算机中具有SET规格的规格的“电子钱电子钱包包”软件自动启动，并将信用卡信息连同订单信息分别加密软件自动启动，并将信用卡信息连同订单信息分别加密后传送给商家；后传送给商家；、商家、商家B收到该订单及信用卡信息后，将信用卡信息原封不收到该订单及信用卡信息后，将信用卡信息原封不动的传给收单银行，以检查信用卡是否有效；动的传给收单银行，以检查信用卡是否有效；、收单银行向发卡银行确认该信用卡数据无误后，发出信息、收单银行向发卡银行确认该信用卡数据无误后，发出信息通知商家可以接下此笔订单；通知商家可以接下此笔订单；、到了结帐日，、到了结帐日， A先生会接到发卡银行的信用帐单，而商家先生会接到发卡银行的信用帐单，而商家则可以拿信用卡授权码向收单银行划款。则可以拿信用卡授权码向收单银行划款。持卡人持卡人选购商品选购商品订单与信用卡信息订单与信用卡信息订单成立信息订单成立信息电子商家电子商家收单银行收单银行发卡银行发卡银行信用卡信息信用卡信息确认信息确认信息信用卡信息信用卡信息确认信息确认信息8/15/202254网上支付网上支付8/15/202255电子支付概述 电子支付是以金融电子化网络为基础，以商用电子化工具和各种交易工具为媒介，以计算机技术和网络通信技术为手段进行的流通和支付。电子商务的电子支付发展有以下五个阶段。（1）银行利用计算机处理银行间的业务，办理结算。（2）银行计算机与其他机构计算机之间的结算。（3）利用网络终端向客户提供各项银行业务。（4）利用银行销售点终端（POS）向客户提供自动的扣款服务，此为现阶段电子支付的主要方式。（5）网上支付，即电子支付可随时随地地通过互联网进行直接转账结算，形成电子商务环境。56 结束语结束语