电子商务安全认证技术课件.ppt

1、第第 章章 电子商务安全认证技术电子商务安全认证技术.身份认证与认证体系身份认证与认证体系.身份认证构架体系身份认证构架体系.体系体系.身份认证协议身份认证协议.生物特征身份认证生物特征身份认证返回.身份认证与认证体系身份认证与认证体系身份认证也称为身份认证也称为“身份验证身份验证”或或“身份鉴别身份鉴别”,是指在计算机及计算是指在计算机及计算机网络系统中确认操作者身份的过程。机网络系统中确认操作者身份的过程。通过身份认证确定该用户是通过身份认证确定该用户是否具有对某种资源的访问和使用权限否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访进而使计算机和网络系统的访问策略能够可靠、有效

2、地执行问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的防止攻击者假冒合法用户获得资源的访问权限访问权限,保证系统和数据的安全及授权访问者的合法利益。保证系统和数据的安全及授权访问者的合法利益。.身份认证概念身份认证概念计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的据来表示的,计算机只能识别用户的数字身份计算机只能识别用户的数字身份,所有对用户的授权也是所有对用户的授权也是针对用户数字身份的授权。针对用户数字身份的授权。下一页返回.身份认证与认证体系身份认证与认证体系如何保证以数字身份进行操作的操作者

3、就是这个数字身份合法拥有者如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应也就是说保证操作者的物理身份与数字身份相对应,身份认证就是为身份认证就是为了解决这个问题。了解决这个问题。作为防护网络资产的第一道关口作为防护网络资产的第一道关口,身份认证有着举身份认证有着举足轻重的作用。足轻重的作用。.身份认证方法身份认证方法仅通过一种条件的符合来证明一个人的身份仅通过一种条件的符合来证明一个人的身份,称为单因子认证称为单因子认证,由于仅由于仅使用一种条件判断用户的身份容易被仿冒使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条可以通

4、过组合两种不同条件来证明一个人的身份件来证明一个人的身份,这称为双因子认证这称为双因子认证。上一页 下一页返回.身份认证与认证体系身份认证与认证体系在几种身份认证方式的分析信息系统中在几种身份认证方式的分析信息系统中,对用户的身份认证手段也大对用户的身份认证手段也大体可以分为这样三种体可以分为这样三种:从是否使用硬件来看从是否使用硬件来看,可以分为软件认证和硬件可以分为软件认证和硬件认证认证;从认证需要验证的条件来看从认证需要验证的条件来看,可以分为单因子认证和双因子认证可以分为单因子认证和双因子认证;从认证信息来看从认证信息来看,可以分为静态认证和动态认证。可以分为静态认证和动态认证。身份认

5、证技术的身份认证技术的发展发展,经历了从软件认证到硬件认证经历了从软件认证到硬件认证,从单因子认证到双因子认证从单因子认证到双因子认证,从从静态认证到动态认证的过程。静态认证到动态认证的过程。现在计算机及网络系统中常用的身份现在计算机及网络系统中常用的身份认证方式主要有以下几种。认证方式主要有以下几种。一、一、卡认证卡认证上一页 下一页返回.身份认证与认证体系身份认证与认证体系 卡是一种内置集成电路的卡片卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数卡片中存有与用户身份相关的数据据,卡由专门的厂商通过专门的设备生产卡由专门的厂商通过专门的设备生产,可以认为是不可复制可以认为是不可复制

6、的硬件。的硬件。卡由合法用户随身携带卡由合法用户随身携带,登录时必须将登录时必须将 卡插入专用卡插入专用的读卡器读取其中的信息的读卡器读取其中的信息,以验证用户的身份。以验证用户的身份。卡认证是基于卡认证是基于“”的手段的手段,通过通过 卡硬件不可复制来卡硬件不可复制来保证用户身份不会被仿冒。保证用户身份不会被仿冒。然而由于每次从然而由于每次从 卡中读取的数据还卡中读取的数据还是静态的是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。身份验证信息。因此因此,静态验证的方式还是存在根本的安全隐患。静态验证的方式还是存在根本

7、的安全隐患。上一页 下一页返回.身份认证与认证体系身份认证与认证体系二、动态口令认证二、动态口令认证动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术每个密码只使用一次的技术。它采用一种被称为动态令牌的专用硬它采用一种被称为动态令牌的专用硬件件,包括内置电源、密码生成芯片和显示屏包括内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码生成芯片运行专门的密码算法密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法

8、计算当前的有效密码。认证服务器采用相同的算法计算当前的有效密码。用户使用时只用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份即可实现身份的确认。的确认。由于每次使用的密码必须由动态令牌来产生由于每次使用的密码必须由动态令牌来产生,只有合法用户只有合法用户才持有该硬件才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可所以只要密码验证通过就可以认为该用户的身份是可靠的。靠的。而用户每次使用的密码都不相同而用户每次使用的密码都不相同,即使黑客截获了一次密码即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。也

9、无法利用这个密码来仿冒合法用户的身份。上一页 下一页返回.身份认证与认证体系身份认证与认证体系动态口令技术采用动态口令技术采用“一次一密一次一密”的方法的方法,有效地保证了用户身份的安有效地保证了用户身份的安全性。全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步良好的同步,就可能发生合法用户无法登录的问题就可能发生合法用户无法登录的问题;并且用户每次登录并且用户每次登录时还需要通过键盘输入一长串无规律的密码时还需要通过键盘输入一长串无规律的密码,一旦看错或输错就要重一旦看错或输错就要重新输新输,用户的使用非常不方便。用户的

10、使用非常不方便。三、生物特征认证三、生物特征认证生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。技术。常见的有指纹识别、虹膜识别等。常见的有指纹识别、虹膜识别等。从理论上说从理论上说,生物特征认证生物特征认证是最可靠的身份认证方式是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一因为它直接使用人的物理特征来表示每一个人的数字身份个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。因此几乎不可能被仿冒。上一页 下一页返回.身份认证与认

11、证体系身份认证与认证体系生物特征认证基于生物特征识别技术生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术受到现在的生物特征识别技术成熟度的影响成熟度的影响,采用生物特征认证还具有较大的局限性。采用生物特征认证还具有较大的局限性。首先首先,生物生物特征识别的准确性和稳定性还有待提高特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤特别是如果用户身体受到伤病或污渍的影响病或污渍的影响,往往导致无法正常识别往往导致无法正常识别,造成合法用户无法登录的情造成合法用户无法登录的情况。况。其次其次,由于研发投入较大和产量较小的原因由于研发投入较大和产量较小的原因,生物特征认证系统生物

12、特征认证系统的成本非常高的成本非常高,目前只适合一些安全性要求非常高的场合目前只适合一些安全性要求非常高的场合,如银行、部如银行、部队等使用队等使用,还无法做到大范围推广。还无法做到大范围推广。.数字证书数字证书数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。以及公开密钥的文件。上一页 下一页返回.身份认证与认证体系身份认证与认证体系最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征数字证书还有一个重要的

13、特征,就是只在特定的时间段内有效。就是只在特定的时间段内有效。数字证书是一种权威性的电子文档数字证书是一种权威性的电子文档,可以由权威公正的第三方机构可以由权威公正的第三方机构,即即(例如中国各地方的例如中国各地方的 公司公司)中心签发证书中心签发证书,也可以由企业级也可以由企业级 系统进行签发。系统进行签发。它以数字证书为核心的加密技术它以数字证书为核心的加密技术(加密传输、数字加密传输、数字签名、数字信封等安全技术签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解可以对网络上传输的信息进行加密和解密、数字签名和签名验证密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交确

14、保网上传递信息的机密性、完整性及交易的不可抵赖性易的不可抵赖性。使用了数字证书使用了数字证书,即使您发送的信息在网上被他人即使您发送的信息在网上被他人截获截获,甚至您丢失了个人的账户、密码等信息甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、仍可以保证您的账户、资金安全。资金安全。上一页 下一页返回.身份认证与认证体系身份认证与认证体系它是能提供在它是能提供在 上进行身份验证的一种权威性电子上进行身份验证的一种权威性电子文档文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。身份。电子商务系统技术使得顾客在网上购物时电

15、子商务系统技术使得顾客在网上购物时,能够极能够极其方便地获得商家和企业的信息其方便地获得商家和企业的信息,但同时也增加了对某些敏感或有价但同时也增加了对某些敏感或有价值的数据被滥用的风险。值的数据被滥用的风险。为了保证互联网上电子交易及支付的安全为了保证互联网上电子交易及支付的安全性、保密性等性、保密性等,防范交易及支付过程中的欺诈行为防范交易及支付过程中的欺诈行为,必须在网上建立一必须在网上建立一种信任机制。种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法这就要求参加电子商务的买方和卖方都必须拥有合法的身份的身份,并且在网上能够有效无误地被进行验证。并且在网上能够有效无误地被进行验

16、证。上一页 下一页返回.身份认证与认证体系身份认证与认证体系数字证书可用于发送安全电子邮件、访问安全站点、网上证券交易、数字证书可用于发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。行等安全电子事务处理和安全电子交易活动。一、工作原理一、工作原理数字证书采用公钥体制数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥每个用户自己设定一把特定的仅

17、为本人所知的私有密钥(私钥私钥),用用它进行解密和签名它进行解密和签名;同时设定一把公共密钥同时设定一把公共密钥(公钥公钥)并由本人公开并由本人公开,为一为一组用户所共享组用户所共享,用于加密和验证签名。用于加密和验证签名。当发送一份保密文件时当发送一份保密文件时,发送发送方使用接收方的公钥对数据加密方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密而接收方则使用自己的私钥解密,这这样信息就可以安全无误地到达目的地了。样信息就可以安全无误地到达目的地了。上一页 下一页返回.身份认证与认证体系身份认证与认证体系通过数字的手段保证加密过程是一个不可逆过程通过数字的手段保证加密过程是一个不可

18、逆过程,即只有用私有密钥即只有用私有密钥才能解密。才能解密。在公开密钥密码体制中在公开密钥密码体制中,常用的一种是常用的一种是 体制。体制。其其数学原理是将一个大数分解成两个质数的乘积数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两加密和解密用的是两个不同的密钥。个不同的密钥。即使已知明文、密文和加密密钥即使已知明文、密文和加密密钥(公开密钥公开密钥),想要推想要推导出解密密钥导出解密密钥(私密密钥私密密钥),在计算上是不可能的。在计算上是不可能的。按当下计算机技术按当下计算机技术水平水平,要破解要破解 位位 密钥密钥,需要上千年的计算时间。需要上千年的计算时间。公公开密钥技术解决

19、了密钥发布的管理问题开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥商户可以公开其公开密钥,而而保留其私有密钥。保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息购物者可以用人人皆知的公开密钥对发送的信息进行加密进行加密,安全地传送给商户安全地传送给商户,然后由商户用自己的私有密钥进行解密然后由商户用自己的私有密钥进行解密。上一页 下一页返回.身份认证与认证体系身份认证与认证体系用户也可以采用自己的私钥对信息加以处理用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有由于密钥仅为本人所有,这样就产生了别人无法生成的文件这样就产生了别人无法生成的文件,也就形成了数字签名

20、。也就形成了数字签名。采用数字采用数字签名签名,能够确认以下两点能够确认以下两点:保证信息是由签名者自己签名发送的保证信息是由签名者自己签名发送的,签名者不能否认或难以否认签名者不能否认或难以否认。保证信息自签发后到收到为止未曾做过任何修改保证信息自签发后到收到为止未曾做过任何修改,签发的文件是真签发的文件是真实文件。实文件。二、颁发过程二、颁发过程数字证书颁发过程一般为数字证书颁发过程一般为:用户首先产生自己的密钥对用户首先产生自己的密钥对,并将公共密钥并将公共密钥及部分个人身份信息传送给认证中心。及部分个人身份信息传送给认证中心。上一页 下一页返回.身份认证与认证体系身份认证与认证体系认证

21、中心在核实身份后认证中心在核实身份后,将执行一些必要的步骤将执行一些必要的步骤,以确信请求确实由用以确信请求确实由用户发送而来户发送而来,然后然后,认证中心将发给用户一个数字证书认证中心将发给用户一个数字证书,该证书内包含该证书内包含用户的个人信息和他的公钥信息用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由数字证书由独立的证书发行机构发布。独立的证书发行机构发布。数字证书各不相同数字证书各不相同,每种证书可提供不同每种证书可提供不同级别的可信度。

22、级别的可信度。可以从证书发行机构获得你自己的数字证书。可以从证书发行机构获得你自己的数字证书。三、相关作用三、相关作用基于因特网的电子商务系统技术使在网上购物的顾客能够极其方便轻基于因特网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的但同时也增加了对某些敏感或有价值的数据被滥用的风险。数据被滥用的风险。上一页 下一页返回.身份认证与认证体系身份认证与认证体系要使买方和卖方都必须确信在因特网上进行的一切金融交易运作都是要使买方和卖方都必须确信在因特网上进行的一切金融交易运作都是真实可靠的真实可靠的,并且要使顾

23、客、商家和企业等交易各方都具有绝对的信并且要使顾客、商家和企业等交易各方都具有绝对的信心心,因而因特网电子商务系统必须保证具有十分可靠的安全保密技术因而因特网电子商务系统必须保证具有十分可靠的安全保密技术,也就是说也就是说,必须保证网络安全的四大要素必须保证网络安全的四大要素,即信息传输的保密性、数据即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。交换的完整性、发送信息的不可否认性、交易者身份的确定性。()信息的保密性信息的保密性。交易中的商务信息均有保密的要求。交易中的商务信息均有保密的要求。()交易者身份的确定性交易者身份的确定性。上一页 下一页返回.身份认

24、证与认证体系身份认证与认证体系网上交易的双方很可能素昧平生、相隔千里网上交易的双方很可能素昧平生、相隔千里,要使交易成功首先要能要使交易成功首先要能确认对方的身份确认对方的身份,商家要确信客户端不是骗子商家要确信客户端不是骗子,而客户也要确信网上的而客户也要确信网上的商店不是一个欺诈人的黑店。商店不是一个欺诈人的黑店。因此能方便而可靠地确认对方身份是因此能方便而可靠地确认对方身份是交易的前提。交易的前提。()不可否认性不可否认性由于商情的千变万化由于商情的千变万化,交易一旦达成是不能否认的。交易一旦达成是不能否认的。否则必然会损害否则必然会损害一方的利益。一方的利益。例如订购黄金例如订购黄金,

25、订货时金价较低订货时金价较低,但收到订单后但收到订单后,金价上金价上涨了涨了,如果收单方能否认收到订单的实际时间如果收单方能否认收到订单的实际时间,甚至否认收到订单的事甚至否认收到订单的事实实,则订货方就会蒙受损失。则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必因此电子交易通信过程的各个环节都必须是不可否认的。须是不可否认的。上一页 下一页返回.身份认证与认证体系身份认证与认证体系()不可修改性不可修改性交易的文件是不可被修改的交易的文件是不可被修改的,如上例所举的订购黄金。如上例所举的订购黄金。供货单位在收供货单位在收到订单后到订单后,发现金价大幅上涨了发现金价大幅上涨了,如果其能

26、改动文件内容如果其能改动文件内容,将订购数将订购数 吨改为吨改为 克克,则可大幅受益则可大幅受益,那么订货单位可能就会因此蒙受损失。那么订货单位可能就会因此蒙受损失。因此电子交易文件也要能做到不可修改因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正以保障交易的严肃和公正。人们在感叹电子商务的巨大潜力的同时人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考不得不冷静地思考,在人与人在人与人互不见面的计算机互联网上进行交易和作业时互不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的怎么才能保证交易的公正性和安全性公正性和安全性,保证交易双方身份的真实性。保证交易双方身份的真实性

27、。国际上已经有比较成国际上已经有比较成熟的安全解决方案熟的安全解决方案,那就是建立安全证书体系结构。那就是建立安全证书体系结构。上一页 下一页返回.身份认证与认证体系身份认证与认证体系数字安全证书提供了一种在网上验证身份的方式。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主安全证书体制主要采用了公开密钥体制要采用了公开密钥体制,其他还包括对称密钥加密、数字签名、数字其他还包括对称密钥加密、数字签名、数字信封等技术。信封等技术。我们可以使用数字证书我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统建立起一套严

28、密的身份认证系统,从而保证信息除发送方和接收方外从而保证信息除发送方和接收方外不被其他人窃取不被其他人窃取,信息在传输过程中不被篡改信息在传输过程中不被篡改,发送方能够通过数字证发送方能够通过数字证书来确认接收方的身份书来确认接收方的身份,发送方对于自己的信息不能抵赖。发送方对于自己的信息不能抵赖。四、证书分类四、证书分类基于数字证书的应用角度分类基于数字证书的应用角度分类,数字证书可以分为以下三种数字证书可以分为以下三种:上一页 下一页返回.身份认证与认证体系身份认证与认证体系()服务器证书。服务器证书。服务器证书被安装于服务器设备上服务器证书被安装于服务器设备上,用来证明服务器的身份和进行

29、通用来证明服务器的身份和进行通信加密。信加密。服务器证书可以用来防止欺诈钓鱼站点。服务器证书可以用来防止欺诈钓鱼站点。在服务器上安装服务器证书后在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立客户端浏览器可以与服务器证书建立 连接连接,在连接上传输的任何数据都会被加密。在连接上传输的任何数据都会被加密。同时同时,浏浏览器会自动验证服务器证书是否有效览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒验证所访问的站点是否是假冒站点站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。上银行交易等。全球知

30、名的服务器证书品牌有全球知名的服务器证书品牌有、等。等。上一页 下一页返回.身份认证与认证体系身份认证与认证体系()电子邮件证书。电子邮件证书。电子邮件证书可以用来证明电子邮件发件人的真实性。电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明它并不证明数字证书上面数字证书上面 一项所标识的证书所有者姓名的真实性一项所标识的证书所有者姓名的真实性,它只证明它只证明邮件地址的真实性。邮件地址的真实性。收到具有有效电子签名的电子邮件收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定我们除了能相信邮件确实由指定邮箱发出外邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。还可以确信该

31、邮件从被发出后没有被篡改过。()个人证书个人证书。客户端证书主要被用来进行身份验证和电子签名。客户端证书主要被用来进行身份验证和电子签名。安全的客户端证书被存储于专用的安全的客户端证书被存储于专用的 中。中。上一页 下一页返回.身份认证与认证体系身份认证与认证体系存储于存储于 中的证书不能被导出或复制中的证书不能被导出或复制,且且 使用时需要输入使用时需要输入 的保护密码。的保护密码。使用该证书需要物理上获得其存储介质使用该证书需要物理上获得其存储介质,且需要知道且需要知道 的保护密码的保护密码,这也被称为双因子认证。这也被称为双因子认证。这这种认证手段是目前在种认证手段是目前在 最安全的身份

32、认证手段之一最安全的身份认证手段之一。的种类有多种的种类有多种,指纹识别、第三键确认指纹识别、第三键确认,语音报读语音报读,以及带以及带显示屏的专用显示屏的专用 和普通和普通 等。等。五、证书格式五、证书格式数字证书的格式普遍采用的是数字证书的格式普遍采用的是.国际标准国际标准,一个标准的一个标准的.数字证书包含以下一些内容数字证书包含以下一些内容:证书的版本信息证书的版本信息;上一页 下一页返回.身份认证与认证体系身份认证与认证体系证书的序列号证书的序列号,每个证书都有一个唯一的证书序列号每个证书都有一个唯一的证书序列号;证书所使用的签名算法证书所使用的签名算法;证书的发行机构名称证书的发行

33、机构名称,命名规则一般采用命名规则一般采用.格式格式;证书的有效期证书的有效期,通用的证书一般采用通用的证书一般采用 时间格式时间格式,它的计时范围它的计时范围为为 年年;证书所有人的名称证书所有人的名称,命名规则一般采用命名规则一般采用.格式格式;证书所有人的公开密钥证书所有人的公开密钥;证书发行者对证书的签名。证书发行者对证书的签名。上一页 下一页返回.身份认证与认证体系身份认证与认证体系依据依据电子认证服务管理办法电子认证服务管理办法 中华人民共和国电子签名法中华人民共和国电子签名法,目前国目前国内有内有 家机构获得相关资质家机构获得相关资质,具体资质可以查询工业和信息化部网具体资质可以

34、查询工业和信息化部网站。站。数字证书文件格式数字证书文件格式(和和)的区别的区别:作为文件形式存在的证书一般有这几种格式作为文件形式存在的证书一般有这几种格式:带有私钥的证书由带有私钥的证书由 ,标准定义标准定义,包含了公包含了公钥和私钥的二进制格式的证书形式钥和私钥的二进制格式的证书形式,以以 作为证书文件后缀名。作为证书文件后缀名。上一页 下一页返回.身份认证与认证体系身份认证与认证体系 二进制编码的证书二进制编码的证书,证书中没有私钥证书中没有私钥,编码二进制格式的证编码二进制格式的证书文件以书文件以 作为证书文件后缀名。作为证书文件后缀名。编码的证书编码的证书,证书中没有私钥证书中没有

35、私钥,编码格编码格式的证书文件也是以式的证书文件也是以 作为证书文件后缀名。作为证书文件后缀名。由定义可以看出由定义可以看出,只有只有 格式的数字证书是包含私钥的格式的数字证书是包含私钥的,格式的数字证书里面只有公钥格式的数字证书里面只有公钥,没有私钥。没有私钥。在在 证书的导入过程中有一项是证书的导入过程中有一项是“标志此密钥是可导出的。标志此密钥是可导出的。这这将您在稍后备份或传输密钥将您在稍后备份或传输密钥”。一般是不选中的一般是不选中的,如果选中如果选中,别人就别人就有机会备份你的密钥了。有机会备份你的密钥了。如果不选中如果不选中,其实密钥也导入了其实密钥也导入了,只是不能只是不能再次

36、被导出。再次被导出。这就保证了密钥的安全。这就保证了密钥的安全。上一页 下一页返回.身份认证与认证体系身份认证与认证体系如果导入过程中没有选中这一项如果导入过程中没有选中这一项,做证书备份时做证书备份时“导出私钥导出私钥”这一项这一项是灰色的是灰色的,不能选不能选,只能导出只能导出 格式的公钥。格式的公钥。如果导入时选中该如果导入时选中该项项,则在导出时则在导出时“导出私钥导出私钥”这一项就是可选的这一项就是可选的。如果要导出私钥如果要导出私钥(),是需要输入密码的是需要输入密码的,这个密码就是对私钥再这个密码就是对私钥再次加密次加密,这样就保证了私钥的安全这样就保证了私钥的安全,别人即使拿到

37、了你的证书备份别人即使拿到了你的证书备份(),不知道加密私钥的密码不知道加密私钥的密码,也是无法导入证书的。也是无法导入证书的。相反相反,如果只如果只是导入导出是导入导出 格式的证书格式的证书,是不会提示你输入密码的。是不会提示你输入密码的。因为公钥因为公钥一般来说是对外公开的一般来说是对外公开的,不用加密。不用加密。六、证书申请六、证书申请上一页 下一页返回.身份认证与认证体系身份认证与认证体系一般来讲一般来讲,用户要携带有关证件到各地的证书受理点用户要携带有关证件到各地的证书受理点,或者直接到证书或者直接到证书发放机构即中心填写申请表并进行身份审核发放机构即中心填写申请表并进行身份审核,审

38、核通过后交纳一审核通过后交纳一定费用就可以得到装有证书的相关介质定费用就可以得到装有证书的相关介质(磁盘或磁盘或)和一个写有密和一个写有密码口令的密码信封。码口令的密码信封。域名型的证书申请的时候域名型的证书申请的时候,无须递交书面审查资料无须递交书面审查资料,仅需进行域名有效仅需进行域名有效性验证性验证,网上申请。网上申请。而企业型证书需要进行严格的网站所有权的真实而企业型证书需要进行严格的网站所有权的真实身份验证身份验证,证书标示企业组织机构详情证书标示企业组织机构详情,强化信任度。强化信任度。增强型证书除增强型证书除了进行严格的网站所有权的真实身份验证之外了进行严格的网站所有权的真实身份

39、验证之外,还加入第三方验证还加入第三方验证,证证书标示增强组织机构详情书标示增强组织机构详情,强化信任度。强化信任度。上一页 下一页返回.身份认证与认证体系身份认证与认证体系七、使用方法七、使用方法用户在进行需要使用证书的网上操作时用户在进行需要使用证书的网上操作时,必须准备好装有证书的存储必须准备好装有证书的存储介质。介质。如果用户是在自己的计算机上进行操作如果用户是在自己的计算机上进行操作,操作前必须先安装操作前必须先安装 根证书。根证书。一般所访问的系统如果需要使用数字证书会自动弹出提一般所访问的系统如果需要使用数字证书会自动弹出提示框要求安装根证书示框要求安装根证书,用户直接选择确认即

40、可用户直接选择确认即可;当然也可以直接登录当然也可以直接登录 中心的网站中心的网站,下载安装根证书。下载安装根证书。操作时操作时,一般系统会自动提示用户一般系统会自动提示用户出示数字证书或者插入证书介质出示数字证书或者插入证书介质(IC 卡或卡或Key),用户插入证书介质后用户插入证书介质后,系统将要求用户输入密码口令系统将要求用户输入密码口令,此时用户需要输入申请证书时获得的此时用户需要输入申请证书时获得的密码信封中的密码密码信封中的密码,密码验证正确后密码验证正确后,系统将自动调用数字证书进行相系统将自动调用数字证书进行相关操作。关操作。使用后使用后,用户应记住取出证书介质用户应记住取出证

41、书介质,并妥善保管。并妥善保管。上一页 下一页返回.身份认证与认证体系身份认证与认证体系八、应用八、应用随着随着 的普及、各种电子商务活动和电子政务活动的普及、各种电子商务活动和电子政务活动的飞速发展的飞速发展,数字证书的应用越来越广泛数字证书的应用越来越广泛,主要包括主要包括:发送安全电子邮发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。其中包括大家最为熟悉的用于网上银行的其中包括大家最

42、为熟悉的用于网上银行的 和部分使和部分使用数字证书的用数字证书的 即网络身份证即网络身份证。.认证中心认证中心上一页 下一页返回.身份认证与认证体系身份认证与认证体系认证中心为安全电子交易中之重要单位认证中心为安全电子交易中之重要单位,为一公正、公开的代理组织为一公正、公开的代理组织,接受持卡人和特约商店的申请接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料会同发卡及收单银行核对其申请资料是否一致是否一致,并负责电子证书之发放、管理及取消等事宜并负责电子证书之发放、管理及取消等事宜,是在线交易的是在线交易的监督者和担保人。监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立主

43、要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。和确认、密钥管理、为支付系统中的各参与方提供身份认证等。类似于现实生活中公证人的角色类似于现实生活中公证人的角色,具有权威性具有权威性,是一个普遍可信的是一个普遍可信的第三方。第三方。认证中心可将官方某个公钥授权给用户。认证中心可将官方某个公钥授权给用户。如果一个公司在内部或同如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构就可能会出现这样一个机构。和和 提供了用于管理数字证书的证明提供了用于管理数字证书的证明服务器。服务器。上一页

44、 下一页返回.身份认证与认证体系身份认证与认证体系当很多用户共用一个证明权威时当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的证明权威应该是个受到大家信赖的可靠方。可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体证明权威甚至可以是个规模更大、公用程度更高的实体,比比如、如、或或,它们在验证身份和签它们在验证身份和签发数字证书上的严谨态度早已有口皆碑。发数字证书上的严谨态度早已有口皆碑。兴原认证中心是经国家认监委批准、国家认可委认可的权威认证机构兴原认证中心是经国家认监委批准、国家认可委认可的权威认证机构,从事、从事、认证和核供应商评价。认证和核供应商评价。认证中心承担网上安

45、全电子交易认证服务认证中心承担网上安全电子交易认证服务,是能签发数字证书并确认是能签发数字证书并确认用户身份的服务机构。用户身份的服务机构。认证中心通常是企业性的服务机构认证中心通常是企业性的服务机构,主要任务主要任务是受理数字凭证的申请、签发以及对数字凭证的管理是受理数字凭证的申请、签发以及对数字凭证的管理。上一页 下一页返回.身份认证与认证体系身份认证与认证体系认证中心通过向电子商务各参与方发放数字证书认证中心通过向电子商务各参与方发放数字证书,来确认各方的身份来确认各方的身份,保证网上支付的安全性。保证网上支付的安全性。认证中心主要包括三个组成部分认证中心主要包括三个组成部分:注册服务注

46、册服务器器()、注册管理机构、注册管理机构()和证书管理机构和证书管理机构()。注册管理机注册管理机构构()负责证书申请的审批负责证书申请的审批,是持卡人的发卡行或商户的收单是持卡人的发卡行或商户的收单行。行。因此因此,认证中心离不开银行的参与。认证中心离不开银行的参与。认证中心所颁发的数字证书主要有持卡人证书、商户证书和支付网关认证中心所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。证书。持卡人证书中包括持卡人持卡人证书中包括持卡人,这其中包含了有关该持卡人所这其中包含了有关该持卡人所使用的支付卡的数据和相应的账户信息。商户证书也同样包含了有关使用的支付卡的数据和相应的账户信息。商

47、户证书也同样包含了有关其账户的信息。支付网关一般为收单行或为收单行参加的银行卡组织其账户的信息。支付网关一般为收单行或为收单行参加的银行卡组织。从这里的分析不难看出从这里的分析不难看出,的角色为什么必须由银行来担当。的角色为什么必须由银行来担当。上一页 下一页返回.身份认证与认证体系身份认证与认证体系当前当前,在国际上已有一些在国际上已有一些 建设方面的经验值得我们借鉴。建设方面的经验值得我们借鉴。和和 在年在年 月共同成立的月共同成立的 公司公司,被授权作为被授权作为 根根;香港电子商务认证中心由银通香港电子商务认证中心由银通(,银行卡联营组织银行卡联营组织)负责建设负责建设;新加坡电新加坡

48、电子商务认证中心由子商务认证中心由 负责运作和管理。负责运作和管理。银行卡组织由会员银银行卡组织由会员银行组成行组成,作为认证中心有着固有的优势作为认证中心有着固有的优势。上一页返回.身份认证构架体系身份认证构架体系.身份认证构架方案身份认证构架方案统一身份认证系统的设计采用层次式结构统一身份认证系统的设计采用层次式结构,主要分为数据层、认证通主要分为数据层、认证通道层和认证接口层道层和认证接口层,同时分为多个功能模块同时分为多个功能模块,其中最主要的有身份认证其中最主要的有身份认证模块和权限管理模块。模块和权限管理模块。身份认证模块管理用户身份和成员站点身份。身份认证模块管理用户身份和成员站

49、点身份。该模块向用户提供在该模块向用户提供在线注册功能线注册功能,用户注册时必须提供相应信息用户注册时必须提供相应信息(如用户名、密码如用户名、密码),该信息该信息即为用户身份的唯一凭证即为用户身份的唯一凭证,拥有该信息的用户即为统一身份认证系统拥有该信息的用户即为统一身份认证系统的合法用户的合法用户;身份认证模块还向成员站点提供在线注册功能身份认证模块还向成员站点提供在线注册功能,成员站点成员站点注册时需提供一些关于成员站点的基本信息注册时需提供一些关于成员站点的基本信息,还包括为用户定义的角还包括为用户定义的角色种类色种类(如普通用户、高级用户、管理员用户如普通用户、高级用户、管理员用户)

50、。下一页返回.身份认证构架体系身份认证构架体系权限管理模块主要有权限管理模块主要有:成员站点对用户的权限控制、用户对成员站点成员站点对用户的权限控制、用户对成员站点的权限控制、成员站点对成员站点的权限控制。的权限控制、成员站点对成员站点的权限控制。用户向某成员站点用户向某成员站点申请分配权限时申请分配权限时,需向该成员站点提供他的某些信息需向该成员站点提供他的某些信息,这些信息就是用这些信息就是用户提供给成员站点的权限户提供给成员站点的权限,而成员站点通过统一身份认证系统认证身而成员站点通过统一身份认证系统认证身份后就可以查询用户信息份后就可以查询用户信息,并给该用户分配权限并给该用户分配权限