电子商务认证技术和认证中心
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
送方发来的业务信息的同时,还收到发送方的数字证 书,这时通过对其数字证书的验证,可以确认发送方 的真实身份。 • 在发送方与接收方交换数字证书的同时,双方得到对 方的公开密钥。由于公开密钥是包含在数字证书中的, 且借助证书上数字摘要(缩略图)的验证,确信收到的公 开密钥肯定是对方的。通过这个公开密钥,双方就可 完成数据传送中的加/解密工作。
第四章 认证技术和认证中心
主要内容: 1、数字证书 2、认证中心
1
4.1密钥交换问题
• 前面解决了数据的保密性和完整性,然而,在实际的应用 中还存在着身份的假冒、否认现象。 • 我们看下面密钥的交换问题:如中间人攻击。
(1)李枚将她的的公开密钥送给王钢,张五截取了这个 密钥,并将自己的公开密钥送给王钢.
36
37
38
39
Thanks for coming!
29
8)保证数字证书服务器的安全
数字证书服务器必须是十分安全的,CA应当采 取相应措施保证其安全性, 如加强对系统管理员的管理,加强对防火墙保 护等。
30
4.CA的组成框架
实际上证书的发放过程由两大部分组成: 一部分是证书的申请、制作、发放 另一部分是用户身份认证。 这两部分工作由CA中两个不同的部门来完成的。 即:CA(证书服务中心)和RA(审核受理处) CA完成接收证书请求及发证的工作, RA完成身份认定工作, CA与RA之间一般通过专线连接。
如果对签发证书的CA本身不信任,则可验证CA的真实身份, 依次类推,一直到公认的权威CA处,才可确信证书的有 效性。
23
• SET安全交易协议中商务各方的数字证书正是通过这种信 任层次逐级验证的。
• 例如,C的证书是由名称为B的CA签发的,而B的证书又 由名称为A的CA签发的,A是权威的机构,通常称为Root CA。验证到了Root CA处,就可确信C的证书是合法的。
(2)王钢将他的的公开密钥发送给李枚,张五截取了这 个密钥,并将自己的公开密钥送给李枚. (3)当李枚用“王钢”的公开密钥加密消息传送给王钢 时,张五截取它,用自己的私人密钥解密后,用王钢的 公钥重新加密后送给王钢. (4)当王钢发送消息给李枚时,张五也作类似的处理.
2
4.2 数字证书
• 在传统商务与电子商务中,均存在对贸易伙伴合法身份的 确定与认证问题。
必须有一个惟一的序列号,用于识别该证书。
➢CA使用的签名算法(Algorithm Identifier):CA的数字摘
要与公开密钥加密体制算法。
9
➢ 证书颁发者信息(Issuer Unique Identifier):发此证书的
CA信息。
➢ 有效使用期限(Period of Validity):本证书的有效期,包
公钥体系中公钥的合法性检验的责任,通常由一个 或多个用户信任的组织实体组成.
• CA是整个信任链的起点,是开展电子商务的基 础。每个用户可以获得CA中心的公开密钥(CA根 证书),验证任何一张数字证书的数字签名,从而 确定证书是否是CA中心签发、数字证书是否合法。
20
1.认证中心CA的定义
• 所谓认证中心,也称数字证书认证中心 (Certification Authority,简称CA)是基于
网络支付的各方,如持卡人、商家、支 付网关等,在向CA申请数字证书时,CA 须先对其真实的身份进行验证,防止虚 假数字证书的生成。因此CA必须建立一 套严密的身份认证流程
26
3)颁发数字证书
在线颁发:CA系统能在Internet上接收交易 各方的证书申请,在验证申请者的真实身 份、通过资格检查后,把由CA签名的申请 者的数字证书在线发送给申请者。
17
如何获得发送方公钥
A发送验证消息给B ;B用私钥加密该消息并附上证书送给 A;A收到后用CA的公钥解密B的证书得到B的公钥;A用B 的公钥解密该消息得到该消息明文;最后核对消息 18
使用数字证书
19
4.3认证机构(Certificate Authority)
• CA机构,又称为证书授证(Certificate Authority) 中心,作为电子商务交易中受信任的第三方,承担
7
数字证书由发证机构——数字证书认证中心(CA)
发行。该机构负责在发行数字证书之前,证实个 人或组织身份和密钥所有权。
8
2.数字证书的内容
• 数字证书的具体内容与格式遵循国际流行的ITUTrec.X.509标准
• 1)数字证书的基本数据信息
➢ 版本信息(Version):用来区分X.509证书格式的版本。wk.baidu.com➢证书序列号(Serial Number):每个由CA发行的数字证书
14
4)认证中心CA证书
• 发行数字证书的认证中心CA是安全网络支付的核心。 认证中心CA一样需要拥有自己的数字证书,证实其CA 的真实身份。
• 在IE浏览器里,用户可以看到浏览器所接受的CA证书, 也可选择是否信任这些证书。
• 在服务器端,管理员可以看到服务器所接受的CA证书,
也可选择是否信任这些证书。
➢ 例如,北京天威诚信电子商务服务有限公司,作 为成立于2000年9月且经信息产业部批准的第一家 开展商业性PKI/CA服务的试点企业,其证书就 是VeriSign颁发的数字证书,因而成为VeriSign在 中国的业务合作伙伴。
33
2)数字证书的申请流程
基于上述的CA组成框架,一般数字证书的申请操作流程如 下:
12
2)服务器证书
• 服务器证书即网络站点证书,它主要证实银行或 商家业务服务器的身份和公开密钥。
• 在IE浏览器里,客户可以设置总是接受某个站点 的证书,如你的开户网络银行的证书。这样,该 站点的证书被存放在客户计算机的数据库里,客 户可以随时查看这些证书。
13
3)支付网关证书
如果在网络支付时利用第三方的支付网关, 那么这个第三方要为支付网关申请一个数 字证书,以证实自己的身份。如在SET协议 机制中,必须有支付网关的证书。
Internet 平台建立的一个公正的、有权威性的、 独立的(第三方的)、广受信赖的组织机构,主要 负责数字证书的发行、管理以及认证服务,以保 证网上业务安全可靠地进行。 • 电子商务的参与各方(客户、商家、银行、政府机 构等)实体在认证中心注册、加入,这样,认证中 心就能确保所有网络支付与结算过程以及各方的 安全性。
21
2.CA的技术基础
• CA除了要保持公正、具备良好信誉及第三方的要 求外,CA的建立与运作还需要强大的技术支撑。
• CA的技术基础是PKI体系。 • 所谓PKI体系,英文为Public Key Infrastructure,
即:公开密钥体系,是一种遵循既定标准的密钥 管理平台,能为所有网络应用服务提供加密和数 字签名等密码服务及其必需的密钥和证书管理体 系。
及时记录所有颁发的证书以及所有失效的、被 吊销的证书,及时更新数字证书。
28
6)吊销证书
CA根据证书持有者的应用情况,可在数 字证书有效期内吊销证书,公布于众。
7)制定相关政策
CA的政策要公开,必须对信任它的商务 各方负责。
普通用户信任一个CA,除了拥有先进的 技术和雄厚的实力这些因素之外,另一 个极为重要的因素就是CA的政策。
利用电子信息技术手段,确认、鉴定、认证
Internet上信息交流参与者或服务器的身份,是一 个担保个人、计算机系统或者组织(企业或政府部
门)的身份,并且发布加密算法类别、公开密钥及 其所有权的电子文档。可以说数字证书是模拟传 统证书(如个人身份证、企业营业证书等)的特殊 数字信息文档。
6
• 数字证书的工作原理,就是信息接收方在网上收到发
24
3.CA的主要功能
1)生成密钥对及CA证书
CA必须先生成公钥体系中自己的密钥对,并对私 钥进行有效的保管,用于对自己的签名认证。 作为自成体系的、封闭的CA系统,根CA必须生成 自己的根密钥对,且在此基础上生成根证书,就 可以为各级CA以及客户生成证书,保证证书持有 者有不同的密钥对。
25
2)验证申请人身份
• 传统商务中有相应的双方身份认证机制,如政府部门颁发
的身份证、护照、公司营业证书、产品质量检验证书等。
• 有了这些政府权威部门颁发的证书,就可保证贸易双方身 份的认证和合法性的认证,在此基础上,才能保证传统商 务的安全、有序与可靠进行。
3
1.数字证书的定义与工作原理
数字证书(Digital Certification)
个人证书(客户证书)
• 个人证书即客户证书,它主要证实客户(如一个使用IE浏 览器进行支付的客户)的身份和密钥所有权。
• 在网络支付时,服务器可能在建立SSL连接时,要求客户 证书证实客户身份。
• 例如,工商银行直接向自己的网络银行客户颁发客户证书, 其证书中包含客户的身份信息、公开密钥及工商银行的签 名,并可以存储在软盘、硬盘、IC卡、USB盘中。
31
1)功能较为完整的CA组成框架
RS 证书业务受理中心,CP证书制作中心,RA审核受理处
32
➢ 借助各地的业务受理点以及Internet,CA可以跨区 域为用户提供数字证书服务。
➢ 当然,CA本身还可作为世界上更加权威的CA中 心如VeriSign的分支CA,CA本身需要一个由上级 CA颁发的数字证书。(根CA除外)
16
数字证书的使用(here)
当数字证书被传送给某人或某站点时,数字证书颁发机构 将上面相关内容信息用自己的私人密钥加密,以使接收者 能用证书里的公钥证实颁发机构的真实身份,判断证书的 有效性、确认证书使用者的身份。
由于数字证书采用高精尖的加密技术,非常安全。 截止到2003年,国内外银行、网络银行包括电子商务,还 没有一例由于数字证书被攻破而让不法分子得逞的案例发 生。
22
• PKI系统的基本构成:权威的认证中心CA,数字证书库, 密钥备份及恢复系统,证书作废系统,应用接口(API)等
其中,CA作为数字证书的签发与管理机构,是PKI的核心 部分。 • 证书使用与验证:
CA认证数字证书采用一种树形验证结构。
在双方通信时,通过出示由某个CA签发的证书证明自己的 身份。
用户带相关证明到证书业务受理中心RS申请证书: 用户在线填写证书申请表格和证书申请协议书; RS业务人员取得用户申请数据后,与RA中心联系,要 求用户身份认证; RA下属的业务受理点审核员通过离线方式(面对面)审核 申请者的身份、能力和信誉等; 审核通过后,RA中心向CA中心转发证书的申请请求:
34
15
4.数字证书的有效性与使用
证书没有过期。所有的证书都有期限,可用检查证书 的期限来决定证书是否有效。 密钥没有被修改。如果密钥被修改,就不应该继续使 用,密钥对应的证书应被视为无效。这可通过证书上 的缩略图及其算法检验。 有可信任的颁发机构CA及时管理与回收无效证书,并 且发行无效证书清单(CRL)。
❖ 数字证书的内容还包括发行证书的CA机构的数字签名和 用来生成数字签名的签名算法,即缩略图算法部分、缩略 图。
❖ 应用这个缩略图算法与缩略图数据,任何人收到这份数字 证书后都能使用签名算法,验证数字证书是否是由该CA 的签名密钥签署的,以保证证书的真实性与内容的真实性。
11
3、与网络支付有关的证书类型
括起始、结束日期。
➢ 证书主题或使用者(Subject):证书与公钥的使用者的相关
信息。
➢ 公钥信息(Public key Information):公开密钥加密体制的
算法名称、公钥的字符串表示(只适用于RSA加密体制)。
➢ 其他额外的特别扩展信息:如增强型密钥用法信息,CRL
分发点信息等。
10
2)发行数字证书的CA签名与签名算法
CA中心响应RA中心的证书请求,为该用户制作、签发证 书,并且交给RS: RS将制作好的证书传送给用户;如果证书介质是IC卡方 式,则RS业务人员打印好相关密码信封传递给用户,通 知用户到相关业务受理点领取;
用户根据收到的用户应用指南,使用相关的证书业务。
35
5.国内外主要CA机构
• Verisign • BJCA • CFCA
离线颁发:CA将申请者的数字证书加密后
放入软盘或IC卡等载体,由证书申请者亲自 到CA机构领取。如招商银行企业网络银行 目前采用的IC卡证书方式。
27
4)证书持有者身份认证、查询
可在线查询证书的生成情况,也可在线认证证 书持有者的身份,CA需拥有足够的带宽,保证 较快的查询速度。
5)证书管理及更新
第四章 认证技术和认证中心
主要内容: 1、数字证书 2、认证中心
1
4.1密钥交换问题
• 前面解决了数据的保密性和完整性,然而,在实际的应用 中还存在着身份的假冒、否认现象。 • 我们看下面密钥的交换问题:如中间人攻击。
(1)李枚将她的的公开密钥送给王钢,张五截取了这个 密钥,并将自己的公开密钥送给王钢.
36
37
38
39
Thanks for coming!
29
8)保证数字证书服务器的安全
数字证书服务器必须是十分安全的,CA应当采 取相应措施保证其安全性, 如加强对系统管理员的管理,加强对防火墙保 护等。
30
4.CA的组成框架
实际上证书的发放过程由两大部分组成: 一部分是证书的申请、制作、发放 另一部分是用户身份认证。 这两部分工作由CA中两个不同的部门来完成的。 即:CA(证书服务中心)和RA(审核受理处) CA完成接收证书请求及发证的工作, RA完成身份认定工作, CA与RA之间一般通过专线连接。
如果对签发证书的CA本身不信任,则可验证CA的真实身份, 依次类推,一直到公认的权威CA处,才可确信证书的有 效性。
23
• SET安全交易协议中商务各方的数字证书正是通过这种信 任层次逐级验证的。
• 例如,C的证书是由名称为B的CA签发的,而B的证书又 由名称为A的CA签发的,A是权威的机构,通常称为Root CA。验证到了Root CA处,就可确信C的证书是合法的。
(2)王钢将他的的公开密钥发送给李枚,张五截取了这 个密钥,并将自己的公开密钥送给李枚. (3)当李枚用“王钢”的公开密钥加密消息传送给王钢 时,张五截取它,用自己的私人密钥解密后,用王钢的 公钥重新加密后送给王钢. (4)当王钢发送消息给李枚时,张五也作类似的处理.
2
4.2 数字证书
• 在传统商务与电子商务中,均存在对贸易伙伴合法身份的 确定与认证问题。
必须有一个惟一的序列号,用于识别该证书。
➢CA使用的签名算法(Algorithm Identifier):CA的数字摘
要与公开密钥加密体制算法。
9
➢ 证书颁发者信息(Issuer Unique Identifier):发此证书的
CA信息。
➢ 有效使用期限(Period of Validity):本证书的有效期,包
公钥体系中公钥的合法性检验的责任,通常由一个 或多个用户信任的组织实体组成.
• CA是整个信任链的起点,是开展电子商务的基 础。每个用户可以获得CA中心的公开密钥(CA根 证书),验证任何一张数字证书的数字签名,从而 确定证书是否是CA中心签发、数字证书是否合法。
20
1.认证中心CA的定义
• 所谓认证中心,也称数字证书认证中心 (Certification Authority,简称CA)是基于
网络支付的各方,如持卡人、商家、支 付网关等,在向CA申请数字证书时,CA 须先对其真实的身份进行验证,防止虚 假数字证书的生成。因此CA必须建立一 套严密的身份认证流程
26
3)颁发数字证书
在线颁发:CA系统能在Internet上接收交易 各方的证书申请,在验证申请者的真实身 份、通过资格检查后,把由CA签名的申请 者的数字证书在线发送给申请者。
17
如何获得发送方公钥
A发送验证消息给B ;B用私钥加密该消息并附上证书送给 A;A收到后用CA的公钥解密B的证书得到B的公钥;A用B 的公钥解密该消息得到该消息明文;最后核对消息 18
使用数字证书
19
4.3认证机构(Certificate Authority)
• CA机构,又称为证书授证(Certificate Authority) 中心,作为电子商务交易中受信任的第三方,承担
7
数字证书由发证机构——数字证书认证中心(CA)
发行。该机构负责在发行数字证书之前,证实个 人或组织身份和密钥所有权。
8
2.数字证书的内容
• 数字证书的具体内容与格式遵循国际流行的ITUTrec.X.509标准
• 1)数字证书的基本数据信息
➢ 版本信息(Version):用来区分X.509证书格式的版本。wk.baidu.com➢证书序列号(Serial Number):每个由CA发行的数字证书
14
4)认证中心CA证书
• 发行数字证书的认证中心CA是安全网络支付的核心。 认证中心CA一样需要拥有自己的数字证书,证实其CA 的真实身份。
• 在IE浏览器里,用户可以看到浏览器所接受的CA证书, 也可选择是否信任这些证书。
• 在服务器端,管理员可以看到服务器所接受的CA证书,
也可选择是否信任这些证书。
➢ 例如,北京天威诚信电子商务服务有限公司,作 为成立于2000年9月且经信息产业部批准的第一家 开展商业性PKI/CA服务的试点企业,其证书就 是VeriSign颁发的数字证书,因而成为VeriSign在 中国的业务合作伙伴。
33
2)数字证书的申请流程
基于上述的CA组成框架,一般数字证书的申请操作流程如 下:
12
2)服务器证书
• 服务器证书即网络站点证书,它主要证实银行或 商家业务服务器的身份和公开密钥。
• 在IE浏览器里,客户可以设置总是接受某个站点 的证书,如你的开户网络银行的证书。这样,该 站点的证书被存放在客户计算机的数据库里,客 户可以随时查看这些证书。
13
3)支付网关证书
如果在网络支付时利用第三方的支付网关, 那么这个第三方要为支付网关申请一个数 字证书,以证实自己的身份。如在SET协议 机制中,必须有支付网关的证书。
Internet 平台建立的一个公正的、有权威性的、 独立的(第三方的)、广受信赖的组织机构,主要 负责数字证书的发行、管理以及认证服务,以保 证网上业务安全可靠地进行。 • 电子商务的参与各方(客户、商家、银行、政府机 构等)实体在认证中心注册、加入,这样,认证中 心就能确保所有网络支付与结算过程以及各方的 安全性。
21
2.CA的技术基础
• CA除了要保持公正、具备良好信誉及第三方的要 求外,CA的建立与运作还需要强大的技术支撑。
• CA的技术基础是PKI体系。 • 所谓PKI体系,英文为Public Key Infrastructure,
即:公开密钥体系,是一种遵循既定标准的密钥 管理平台,能为所有网络应用服务提供加密和数 字签名等密码服务及其必需的密钥和证书管理体 系。
及时记录所有颁发的证书以及所有失效的、被 吊销的证书,及时更新数字证书。
28
6)吊销证书
CA根据证书持有者的应用情况,可在数 字证书有效期内吊销证书,公布于众。
7)制定相关政策
CA的政策要公开,必须对信任它的商务 各方负责。
普通用户信任一个CA,除了拥有先进的 技术和雄厚的实力这些因素之外,另一 个极为重要的因素就是CA的政策。
利用电子信息技术手段,确认、鉴定、认证
Internet上信息交流参与者或服务器的身份,是一 个担保个人、计算机系统或者组织(企业或政府部
门)的身份,并且发布加密算法类别、公开密钥及 其所有权的电子文档。可以说数字证书是模拟传 统证书(如个人身份证、企业营业证书等)的特殊 数字信息文档。
6
• 数字证书的工作原理,就是信息接收方在网上收到发
24
3.CA的主要功能
1)生成密钥对及CA证书
CA必须先生成公钥体系中自己的密钥对,并对私 钥进行有效的保管,用于对自己的签名认证。 作为自成体系的、封闭的CA系统,根CA必须生成 自己的根密钥对,且在此基础上生成根证书,就 可以为各级CA以及客户生成证书,保证证书持有 者有不同的密钥对。
25
2)验证申请人身份
• 传统商务中有相应的双方身份认证机制,如政府部门颁发
的身份证、护照、公司营业证书、产品质量检验证书等。
• 有了这些政府权威部门颁发的证书,就可保证贸易双方身 份的认证和合法性的认证,在此基础上,才能保证传统商 务的安全、有序与可靠进行。
3
1.数字证书的定义与工作原理
数字证书(Digital Certification)
个人证书(客户证书)
• 个人证书即客户证书,它主要证实客户(如一个使用IE浏 览器进行支付的客户)的身份和密钥所有权。
• 在网络支付时,服务器可能在建立SSL连接时,要求客户 证书证实客户身份。
• 例如,工商银行直接向自己的网络银行客户颁发客户证书, 其证书中包含客户的身份信息、公开密钥及工商银行的签 名,并可以存储在软盘、硬盘、IC卡、USB盘中。
31
1)功能较为完整的CA组成框架
RS 证书业务受理中心,CP证书制作中心,RA审核受理处
32
➢ 借助各地的业务受理点以及Internet,CA可以跨区 域为用户提供数字证书服务。
➢ 当然,CA本身还可作为世界上更加权威的CA中 心如VeriSign的分支CA,CA本身需要一个由上级 CA颁发的数字证书。(根CA除外)
16
数字证书的使用(here)
当数字证书被传送给某人或某站点时,数字证书颁发机构 将上面相关内容信息用自己的私人密钥加密,以使接收者 能用证书里的公钥证实颁发机构的真实身份,判断证书的 有效性、确认证书使用者的身份。
由于数字证书采用高精尖的加密技术,非常安全。 截止到2003年,国内外银行、网络银行包括电子商务,还 没有一例由于数字证书被攻破而让不法分子得逞的案例发 生。
22
• PKI系统的基本构成:权威的认证中心CA,数字证书库, 密钥备份及恢复系统,证书作废系统,应用接口(API)等
其中,CA作为数字证书的签发与管理机构,是PKI的核心 部分。 • 证书使用与验证:
CA认证数字证书采用一种树形验证结构。
在双方通信时,通过出示由某个CA签发的证书证明自己的 身份。
用户带相关证明到证书业务受理中心RS申请证书: 用户在线填写证书申请表格和证书申请协议书; RS业务人员取得用户申请数据后,与RA中心联系,要 求用户身份认证; RA下属的业务受理点审核员通过离线方式(面对面)审核 申请者的身份、能力和信誉等; 审核通过后,RA中心向CA中心转发证书的申请请求:
34
15
4.数字证书的有效性与使用
证书没有过期。所有的证书都有期限,可用检查证书 的期限来决定证书是否有效。 密钥没有被修改。如果密钥被修改,就不应该继续使 用,密钥对应的证书应被视为无效。这可通过证书上 的缩略图及其算法检验。 有可信任的颁发机构CA及时管理与回收无效证书,并 且发行无效证书清单(CRL)。
❖ 数字证书的内容还包括发行证书的CA机构的数字签名和 用来生成数字签名的签名算法,即缩略图算法部分、缩略 图。
❖ 应用这个缩略图算法与缩略图数据,任何人收到这份数字 证书后都能使用签名算法,验证数字证书是否是由该CA 的签名密钥签署的,以保证证书的真实性与内容的真实性。
11
3、与网络支付有关的证书类型
括起始、结束日期。
➢ 证书主题或使用者(Subject):证书与公钥的使用者的相关
信息。
➢ 公钥信息(Public key Information):公开密钥加密体制的
算法名称、公钥的字符串表示(只适用于RSA加密体制)。
➢ 其他额外的特别扩展信息:如增强型密钥用法信息,CRL
分发点信息等。
10
2)发行数字证书的CA签名与签名算法
CA中心响应RA中心的证书请求,为该用户制作、签发证 书,并且交给RS: RS将制作好的证书传送给用户;如果证书介质是IC卡方 式,则RS业务人员打印好相关密码信封传递给用户,通 知用户到相关业务受理点领取;
用户根据收到的用户应用指南,使用相关的证书业务。
35
5.国内外主要CA机构
• Verisign • BJCA • CFCA
离线颁发:CA将申请者的数字证书加密后
放入软盘或IC卡等载体,由证书申请者亲自 到CA机构领取。如招商银行企业网络银行 目前采用的IC卡证书方式。
27
4)证书持有者身份认证、查询
可在线查询证书的生成情况,也可在线认证证 书持有者的身份,CA需拥有足够的带宽,保证 较快的查询速度。
5)证书管理及更新