第03章 电子商务的安全防范1.pptVIP

第3章 电子商务的安全防范 ? 3.1 计算机与网络的安全 ? 3.2 电子商务的安全保障 ? 3.3 电子商务安全的标准 ? 3.4 公钥基础设施PKI ? 3.5 建立安全的认证中心 ? 3.6 电子商务的安全技术 上一页 下一页 目 录 结 束 1.认证机关 CA（Certificate Authority）是证书的签发机构。构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥，即私钥和公钥。私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题。目前较好的解决方案是引进证书机制。 2.证书库 证书库是证书的集中存放地，它与网上“白页”类似，是网上的一种公共信息库，用户可从此处获得其他用户的证书和公钥。 3.密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则密文数据将无法被解密，从而造成数据丢失。为避免这种情况的出现，PKI应该提供备份与恢复解密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，例如CA可以充当这一角色。 3.4.4 PKI的基本成份 本 节 上一页 下一页 目 录 结 束 4.证书作废处理系统 证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样，证书在CA为其签署的有效期以内也可能需要作废。例如，A公司的职员a辞职离开公司，这就需要终止a证书的生命期。为实现这一点，PKI必须提供作废证书的一系列机制。作废证书有3种策略：一是作废一个或多个主体的证书；一是作废由某一对密钥签发的所有证书；还有一个是作废由某CA签发的所有证书。 作废证书一般通过将证书列入作废证书表（CRL）来完成。通常，系统中由CA负责创建并维护一张及时更新的CRL，而由用户在验证证书时负责检查该证书是否在CRL之列。 5.客户端证书处理系统 客户端证书与浏览器有关，证书申请人可以通过浏览器申请和下载证书，并安装在浏览器上使用。 PKI是一个比较完整的安全体系。在电子商务的建设过程中涉及的许多安全问题都可以由此得到解决。这无疑对信息产业是一个巨大的推动。在我国，由于电子商务的建设刚刚起步，对公钥基础设施方面的研究还比较欠缺。但我们应该在建设电子商务的同时，积极进行安全体系方面的研究与建设。这样，才能保证电子商务的健康发展。 本 节 上一页 下一页 目 录 结 束 本 节 ? 3.5.1 认证机构 ? 3.5.2 数字证书 ? 3.5.3 证书操作的流程 ? 3.5.4 认证中心的安全性 ? 3.5.5 应用前景 ? 3.5.6 我国认证中心现状 3.5 建立安全的认证中心 上一页 下一页 目 录 结 束 怎样才能保证一对密钥只属于一个人呢？这就需要一个权威机构对密钥进行有效地管理，颁发证书证明密钥的有效性，将公开密钥同某一个实体（消费者、商户、银行）联系在一起。这种机构就称为“认证机构（Certificate Authority，简称CA）”。 认证中心类似于现实生活中公证人的角色，它具有权威性，是一个普遍可信的第三方。当通信双方都信任同一个认证中心时，两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。 （一）认证中心的总体结构 认证中心包括安全服务器、登记中心服务器、认证中心服务器以及LDAP（Lightweight Directory Access Protocol）服务器，涉及的人员有用户、登记中心操作员以及认证中心操作员。 1.服务器 认证中心服务器认证中心服务器需要最先设置，认证中心首先产生自身的私钥和公钥对（密钥长度至少为1024位），然后生成数字证书，并且将数字证书传输给安全服务器。 （1）安全服务器。 （2）登记中心服务器。 3.5.1 认证机构 本 节 上一页 下一页 目 录 结 束 （3）LDAP服务器。提供目录浏览服务。 2.人员 （1）用户。 （2）操作员。 认证中心操作员负责颁发和撤消用户的数字证书，是整个系统的核心，必须选用最可信赖的人。 （二）认证中心的功能 认证中心遵循国际PKCS（Public Key Cryptography Standard）和PKIX（Public Key Infrastructure Standards）系列标准，签发的数字证书遵循ITU-T X.509v3标准。具体来说，安全认证中心主要有以下功能。 （1）为个人用户、Web服务器或网上的各种资源设备发放不同用途、不同安全级别的证书。 （2）提供证书的创建、撤消、查询以及证书撤消列表的发布、证书状态的在线查询等