电子支付与结算第二章

1、PKIPKI的一些知识的一些知识重庆第二师范学院重庆第二师范学院 郭旭郭旭PKIPKI的一些知识的一些知识l随着互联网技术的迅速发展，网上办公和网上交易逐渐成为了互联网的又一种新的应用方式。l但由于互联网的开放性，进行网上办公和网上交易的用户会面临很多安全问题。PKIPKI的一些知识的一些知识l保密性：如何保证大量保密信息在公开网络的传输过程中不被窃取 l完整性：如何保证所传输的信息不被中途篡改及通过重复发送被伪造 l身份认证与授权：如何对通信双方进行认证，以保证双方身份的正确性 l抗抵赖：如何保证任何一方对已发生操作的不可否认性PKIPKI的一些知识的一些知识l对于这些安全问题，目前最有效的

2、解决方案是建立在公开密钥技术基础上的PKI/CA (Public Key Infrastructure /Certification Authority)技术。l什么是公钥基础设施(PKI)?lPKI(Public Key Infrastructure)，即公开密钥基础设施。它是通过使用公开密钥技术和数字证书来确保信息系统安全并负责验证数字证书持有者身份的一种基础设施体系。PKI简介简介l从PKI的总体构架来看，PKI主要由最终用户、认证中心系统和RA系统来组成。从应用来看，主要的应用都是基于证书的应用，下面主要针对这些主要组成部分来简单介绍PKI安全解决方案。关于PKI主要涉及到的安全技术，

3、在此不作描述，请参阅相应的技术资料。PKI简介简介l（1） 信任的原理lPKI的最基本原理就是互相信任。因为在互联网上的安全隐患中，最难解决的就是可信任的关系，信息的加密已经有非常悠久的历史了，并且也一直被世人所应用，但是信任是随着互联网的出现、普及，人们才开始呼吁我如何才能够被人信任？什么样的人我才可以相信?quot;，这就是PKI体系出现的主要背景， PKI的概念及其解决方案一问世，立即受到了全球的关注，现在PKI已经成为当前电子商务中最流行、最成熟的信息安全解决方案。PKI简介简介l2） 什么是认证中心（CA）？l 只有先建立一个权威的、第三方的公正机构，才能建立认证中心。因为大家都信任

4、它，由此，所有信任它的人也就信任经过它鉴定，并认定是一个具有合法身份的其他人。这样，原本相互并未建立信任关系的双方，即可因此建立信任关系。综上可知，一个认证中心是以它为信任源，由她维护一定范围的信任体系，在该信任体系中的所有用户、服务器，都被发放一张数字证书来证明其身份已经被鉴定过，并为其发放一张数字证书，每次在进行交易的时候，通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。PKI简介简介lCA（Certificate Authority）中心是所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，是公钥基础设施的核心，负责为电子政务，电子商务环境中各个实体颁发数字证书，

5、以证明各实体身份的真实性，并负责检验和管理数字证书。PKI简介简介l在日常生活中，认证中心就像颁发居民身份证的公安局、颁发汽车驾照的交通管理局，因为在他们都在某一领域中是一个权威机构，并且他们只管发放，不管使用，因此，是一个中立的第三方，我们所谈的认证中心正像这种机构。l 认证中心除了维护一套可信的信任域外，需要为所有经过鉴别的用户发放数字证书并维护该数字证书，该维护工作包括：吊销数字证书、恢复密钥、维护证书黑名单数字证书简介数字证书简介l什么是数字证书 Digital Certificatel数字证书又称为数字标识（Digital ID），是标志网络用户身份信息的一系列数据。它提供了一种在I

6、nternet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在Internet的身份证。l数字证书是由CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。PKI简介简介l4） 什么是注册机构（RA，Registration Authority）？l 当您需要申请身份证、驾驶证的时候，您一般不会到公安局的身份证制证中心或交管局的驾驶证制证中心来申请，而是到您所在的街道派出所或者您所在区的交通

7、支队来，并提交您的身份证明资料，以证明您具有申请的条件，经过这些街道派出所、交通支队的批准后，由街道派出所、交通支队将通过的申请资料送到制证中心，最后由制证中心完成制证过程。在证件需要补办、挂失的时候，您也需要来到街道派出所或交通支队来提交申请，但最后的操作都是由制证中心来处理。在PKI系统里，注册机构就像上述所说的街道派出所、交通支队，负责审核证书申请者的真实身份，在审核通过后，负责将用户信息通过网络上传到证书制作中心，即认证中心系统，由认证中心系统负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说，认证中心是面向各注册中心的，而注册中心是面向最终用户的。数

8、字证书认证系统（例一）l国家信息安全工程技术研究中心（以下简称“工程中心”），2001年10月经科技部批准成立，依托单位为江南计算技术研究所，是160余个国家级工程技术研究中心中唯一从事信息安全工程技术研究的单位。2002年1月，经上海编制委员会办公室批准，工程中心在上海市注册成立了上海信息工程技术研究中心，隶属上海市科委。工程中心技术业务由科技部、上海市科委等部委共同指导。工程中心拥有多位国内信息安全领域的知名专家和一批密码、通信、计算机、网络、微电子等行业的技术人才。2005年底被科技部评为优秀工程技术研究中心。工程中心是国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，是国家保

9、密局批准的涉及国家秘密的计算机信息系统建设工程监理单位，是全国信息安全标准化技术委员会副主任委员单位以及WG1、WG3、WG4工作组的骨干成员。SRQ14数字证书认证系统1、 系统作用 SRQ14数字证书认证系统是面向电子商务和电子政务应用的通用数字证书认证系统。该系统严格遵守国家和国际相关技术标准，执行双证书体制，数字证书符合ITU X.509V3标准和国家X.509CV3标准，具有数字证书的申请、审核、生成、签发、存储、发布、更新、注销、撤消、作废、挂起与恢复等功能。系统具有自身安全的防护体系和完善的审计功能，能有效地保障系统自身的安全。SRQ14系统已通过国家密码管理局的技术鉴定，在电子

10、政务、电子商务中得到应用。SRQ14数字证书认证系统2、 系统组成证书签发系统：用于签发用户签名证书和用户加密证书。证书管理系统：用于管理用户签名证书和用户加密证书。证书及CRL发布系统：用于发布用户签名证书、用户加密证书和CRL。证书及CRL查询系统：用于查询和下载用户签名证书、用户加密证书和CRL。证书注册管理系统：用于用户数字证书的申请、审核、制证、更新、注销、撤消、作废、挂起与恢复等功能。SRQ14数字证书认证系统3、 功能特点 接受证书注册管理系统的业务请求，根据不同的业务流程来调度证书业务服务，主要有：证书申请、证书更新、证书吊销、证书注销、证书挂失、证书暂停、证书解挂、证书恢复、

11、密钥恢复、证书归档、证书发布、CRL发布、证书模板管理等，同时还提供证书策略配置功能。 支持多种证书类型：按使用对象，证书可分为个人证书、设备证书、机构证书三种类型。按功能，证书可分为加密证书和签名证书两种。 双证书机制：数字证书应采用双证书机制，每个用户同时拥有签名和加密两套数字证书，签名证书用于用户的数字签名，加密证书用于对信息的加密。 证书及证书撤销列表发布及查询：提供基于LDAP的证书及证书撤销列表的发布和查询功能，提供基于OCSP的在线证书状态查询功能。 证书管理功能：主要是对系统中各种数字证书及内部设备证书的有关操作进行管理。提供对证书操作策略的管理，人员证书、设备证书、机构证书的

12、统一管理。 安全通讯功能：系统能够提供安全的通信机制，符合SPKM安全协议，适应在不同的应用环境进行安全的数据传输。SRQ14数字证书认证系统4、 性能指标(i) 系统证书容量：200万（可扩充）(ii) 系统并发能力：128个连接(iii) 证书查询能力：50万级（可扩充）(iv) 数字签名速度*：500次/秒(v) 签名验证速度*：2000次/秒例二、iTrusCA2.0系统l最新的SSL证书为 EV SSL 证书的推出，其推出的Secure Site Pro-EV 具有强制SGC128位加密技术，最大程度上确保网站的安全可靠性。全球最大的 SSL证书厂商是VeriSign ，该公司提供的

13、SSL证书保护着全世界超过 百万台 Web 服务器的安全。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，可以访问VeriSign中国区官方网站 或其合作伙伴天威诚信 查找详细的信息。例二、iTrusCA2.0系统l天威诚信iTrusCA2.0系统借鉴了国际领先的PKI/CA系统的设计思想，继承了PKI/CA系统的成熟性、先进性、安全可靠及可扩展性，是天威诚信自主研发、享有完全知识产权的数字证书管理系统，能够为

14、用户构建完善的CA认证体系。例二、iTrusCA2.0系统l（一）系统组成：liTrusCA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块。例二、iTrusCA2.0系统 系统功能系统功能例二、iTrusCA2.0系统l系统特点：系统特点：例二、iTrusCA2.0系统系统价值系统价值例二、iTrusCA2.0系统l运用：支付宝项目l1、项目背景：阿里巴巴是全球最领先的网上贸易市场，在阿里巴巴这个虚拟的世界中，来自200个国家的七百万进口商与两百万家中国企业每天聚集在这里进行商业活动。旗下的支付宝（）是国内领先的独立第三方支付平台。为中国电子商务提供“简单、安全、快速”的在线支付解决方案。支付宝不仅要从产品上确保用户在线支付的安全，同时让用户通过支付宝在网络间建立起相互信任。l随着支付宝业务的发展，其安全性变得越来越重要。一开始使用的单向SSL（SSL：Secure Socket Layer，安全套接字协议）认证方式解决了支付宝网站真实性和防止网络窃取等安全需求，没有真正解决对支付宝用户的身份认证，非法用户