CA认证技术课件

了解电子商务面临的主要安全威胁了解电子商务对安全的基本要求熟悉电子商务常用的安全技术了解电子商务的认证体系学习目标10/16/20231一、电子商务的安全性问题1、信息安全问题（1）信息的截获和窃取：银行帐号、密码以及商业机密等（2）篡改:删除/插入（3）伪造电子邮件（4）假冒他人身份（5）信息丢失10/16/202322、信用安全问题主要涉及交易抵赖

(1)发信者事后否认曾经发送过某条消息或内容

(2)收信者事后否认曾经收到过某条消息或内容

(3)购买者做了订货单不承认(4)商家卖出的商品因价格差而不承认原有的交易10/16/202333、安全的管理问题4、安全的法律问题5、电脑病毒及黑客问题10/16/20234严重打击消费者对电子商务的信心造成运营商巨大的经济损失涉及的地域范围广威胁个人及组织的资金安全、货物安全和信誉安全安全问题对电子商务的影响10/16/20235

1、授权合法性:安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。

2、不可抵赖性(non-repudiation)二、电子商务对安全的基本要求数字签名、CA证书

3、机密性(confidentiality):信息发送和接收是在安全的通道进行，保证通信双方的信息保密。加密技术防火墙技术、口令10/16/202364、真实性(authenticity)

数字签名、数字证书5、信息的完整性(integrity)数字摘要、时间戳

6、存储信息的安全性交易信息交易方身份10/16/20237三、电子商务交易安全措施1、交易安全技术（1）身份认证：确定贸易伙伴的真实性（2）数据加密和解密：保证电子单证的保密性（3）数字摘要技术：保证电子单证内容的完整性（4）数字签名技术：保证电子单证的真实性（5）CA认证：不可抵赖性

(6)时间戳、消息的流水作业号：保证被传输的业务单证不会丢失10/16/202382、安全交易标准和技术（1）安全超文本传输协议（S-HTTP）保障WEB站点间的交易信息传输的安全性（2）安全套接层协议（SSL，SecureSocketsLayer

）提供加密、认证服务和保证报文的完整性（Netscape）

(3)安全电子交易协议（SET，SecureElectronicTransaction

信用卡网上交易安全，提高网络支付服务的质量10/16/20239技术：1、防火墙技术防火墙的含义及其分类

1、防火墙（Firewall）：指

Internet上广泛应用的一种安全措施，是指设置在互联网(Internet)与内部网(Intranet)之间系统，通过控制内外网络间信息的流动，提高内部网络的安全性。防火墙可以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全访问。10/16/202310内网防火墙系统组成示意图：Internet10/16/202311WebServer处于防火墙内防火墙Internet安全边界WEBSERVER主机主机主机主机服务器10/16/2023122、数据加密技术数据加密、解密基本过程

加密技术：解决数据的加密及其解密的技术，整个过程组成一个加密系统。

加密：就是把信息转换为不可辨识的形式的过程。

解密：将信息内容转变为明文的过程

明文密文密文明文10/16/202313对称密钥加密(SymmetricCryptography)非对称密钥加密(AsymmetricCryptography)加密技术（公开密钥加密）10/16/202314对称密钥加密技术

1、对称密钥加密技术：加密和解密均采用同一把密钥，而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。

这时的密钥称为对称密钥，并且不对外发布，也称为私钥密码。

2、最典型的对称密钥加密算法：美国数据加密标准

（DES：DataEncryptStandard）。10/16/202315图7-2对称加密示意图

10/16/2023163、优点：加密速度快，适于大量数据的加密处理。4、缺点（1）密钥需传递给接受方，传递过程中的安全性得不到保证。（2）密钥数量急剧增加（3）要求通信双方相互认识，保守密钥。10/16/202317在网络上，什么样的信息交流才是安全的呢？只有接收方才能解读信息，保密性接收方看到的信息未被篡改或替换，完整性加密！还差什么？建立信任和信任验证机制身份验证交易不可抵赖3、CA认证技术CA认证数字证书10/16/202318

用电子手段来证实用户的身份及分配公开密钥2、RA(ReleaseAuditing):证书发放审核部门

对证书申请者进行资格审查，并决定是否对其发放证书3、CP(CertificatePerform)：证书发放执行部门为已授权的申请者制作、发放和管理证书

基本概念1、数字证书（digitalCertificate,

digitalID）：网络通信中标志通信各方身份信息的一系列数据。10/16/2023194、RS（Releasee）：证书的受理者接受用户的证书申请请求5、CRL（CertificateRepealList）：证书作废表记录尚未过期但已声明作废的用户证书的序列号10/16/202320

证书发放证书更新证书撤销证书验证CA的四大职能6、CA认证中心(CertificateAuthority)

承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心的核心职能就是发放和管理数字证书10/16/202321尚没有明确国家级CA安全认证系统行业性CA安全认证系统：中国人民银行联合12家银行建立的金融CFCA安全认证中心中国电信建立的CTCA安全认证系统

国家外贸部EDI中心建立的国富安CA安全认证中心延伸阅读－－中国CA认证中心的建设10/16/202322

世界著名的认证中心Verisign（）认证中心VeriSign的主页10/16/202323中国知名的认证中心①中国数字认证网（

）②

中国金融认证中心（

）③中国电子邮政安全证书管理中心（）④

北京数字证书认证中心（）⑤

广东省电子商务认证中心（）10/16/202324

基本认证技术数字信封：保证数据的传输安全数字签名：身份认证并保证数据的完整性、预防交易抵赖数字证书（公开密钥技术）：身份认证数字时间戳10/16/202325（1）“数字信封”：用加密技术来保证只有规定的特定收信人才能阅读信息。

数字信封1、数字信封（2）具体做法发送方采用对称密钥加密信息将此对称密钥用接收方的公开密钥加密之后，将它和信息一起发送给接收方接收方先用相应的私有密钥打开数字信封，得到对称密钥使用对称密钥解开信息10/16/202326发送端接收端原信息密文对称密钥加密internet密文数字信封原信息对称密钥解密接收者公钥加密数字信封对称密钥接收者私钥解密对称密钥internet1234对称密钥技术：高效性（用时短）公开密钥技术：灵活性（3）数字信封特点10/16/2023272、数字签名（1）什么是数字签名DigitalSignature

数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。（2）数字签名的作用－－保证信息完整－－信息发送者身份的验证实现的基础加密技术10/16/202328数字签名10/16/2023293、数字证书（digitalCertificate,

digitalID）

（1）数字证书：经CA认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书实质上就是一系列密钥，用于签名和加密数字信息。数字证书由专门的机构（CA）负责发放和管理，Q其作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA的数字签名使得攻击者不能伪造和篡改数字证书。10/16/202330（2）数字证书的类型

10/16/202331(3)数字证书的内容◆凭证拥有者的姓名：证明用户身份

◆凭证拥有者的公共密钥：用于对每笔交易数据进行加密和数字签名，可以保证每笔交易的安全和不可抵赖；

◆公共密钥的有效期

◆颁发数字凭证的单位：证书的来源

◆证书的编号：保证证书的真实性10/16/20233210/16/20233310/16/20233410/16/20233510/16/202336(4)对数字证书的验证

CA签名真实？证书在有效期内？证书在CA发布的证书撤消列表内？Y伪造的证书N失效的证书NY失效的证书YN有效的证书10/16/2023374、数字时间戳（DigitalTime-Stamp，DTS）

时间戳：提供电子文件发表时间的安全保护，是一个经过加密后形成的凭证文档。需加时间戳的文件摘要DTS收到文件的日期和时间DTS的数字签名保证文件签署日期的真实性三大组成10/16/202338安全技术协议安全套接层协议（SSL）

1、SSL(SecureSocketsLayer)，称为安全套接层协议，是一种安全通信协议。

（1）提供了客户机与服务器之间的安全连接，对整个会话进行了加密，从而保证了安全传输。（2）对服务器进行认证，还可选择对客户机进行认证。

应用层传输层SSL10/16/202339

实现SSL协议的是HTTP的安全版，名为HTTPS。10/16/20234010/16/20234110/16/202342

HTTP、FTP

SSL握手协议（协商密钥）

SSL记录协议（定义传输格式）

TCP/IP协议2、SSL协议分为两层：SSL握手协议和SSL记录协议10/16/202343

3、SSL协议是目前电子商务中应用最为广泛的安全协议之一。（1）应用范围广：几乎所有操作平台上的WEB浏览器（IE、Netscape）以及Web服务器都支持SSL协议。

（2）被大部分WEB浏览器和服务器所内置10/16/2023444、SSL协议的功能SSL服务器认证：客户机对服务器数字证书的检查确认用户身份：服务器检查客户机数字证书的合法性保证数据传输的机密性和完整性：加密技术中国银行：http:///10/16/202345

1、SET协议是针对开放网络上安全、有效的银行卡交易，由Visa和MasterCard联合研制的，制定的安全电子交易的一个国际标准。

主要目的是解决信用卡电子付款的安全保障性问题

2、SET协议主要是针对BtoC电子商务的一个协议，而且依赖于银行卡这种目前使用较为广泛的支付工具。安全电子交易规范（SET）10/16/2023463、SET的特点

(1)信息的机密性:对称密钥和非对称密钥相结合

(2)交易的不可否认性：数字证书/签名（3）数据的完整性:数字签名

(4)身份的验证:保证信息的真实性

10/16/2023474、SET的目标（1）订单和个人账号信息在Internet上安全传输，保证网上传输的数据不被黑客窃取。（2）订单信息和支付信息的隔离（3）解决网络认证问题：消费者、商店、银行、网关（4）要求软件遵循相同协议和消息格式，使不同厂家开发的软件具有兼容和互操作功能。10/16/202348在SET中采用了双重签名技术，支付信息和订单信息是分别签署。保证了商家看不到支付信息，而只能看到订单信息保证了银行看不到交易内容，只能看到支付信息

支付信息中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。10/16/2023496、SET涉及的主要角色（1）持卡人:网上消费者或客户，首先应向发卡行提出申请，并安装电子钱包软件。（2）商家：必须在收单行开设帐户并且安装SET商家软件（3）支付网关：收单银行或指定的第三方操作的专用系统，用于处理支付授权和支付。

银行金融网络公共网络支付网关10/16/202350（4）收单行：为商户建立帐户并处理支付授权和支付（5）发卡行：为持卡人建立一个帐户并发行支付卡（6）认证机构：向各