最新安全交易认证技术.ppt

第6章 安全交易认证技术 学习目标与要求 1．掌握身份认证、PKI体系的概念； 2．掌握数字证书的概论、种类、用途和应用操作方法； 3．了解数字时间戳和电子印章的概念和用途； 4．了解CA中心的职责和任务，掌握从CA中心获得数字证书并用于安全电子商务或安全网络通信的操作方法。 北京一大学毕业生战某以北京四通利方信息技术有限责任公司的名义发布虚假广告,假称新浪网将为登录的网站提供有偿服务并推出小型广告服务项目。为增强该广告的可信度,他还用电脑合成了四通利方公司公章,“加盖”在向外发送的电子邮件上。此事件严重损害了四通利方公司的信誉,扰乱了社会管理秩序。战某的行为已经构成了伪造公司印章罪,北京市海淀区法院依法判处其有期徒刑6个月。 云和县立信玩具厂在互联网上得到湖南岳阳某公司的一笔订单,价值140万元。过于优厚的条件使立信厂对这桩网上交易心存疑虑,于是向工商部门求助。云和工商局与岳阳工商部门取得联系后发现,该公司是空壳公司。一起网上诈骗案被及时制止了。 广东省一个体户关某收到一封以“苏平”的名义发来的电子邮件,称有大量低价电脑配件出售。关某与这位自称“苏平”的人见面后,按“苏平”要求在某储蓄所存入货款8万元,意欲购买电脑配件。之后,“苏平”带了2名男子前来与关某洽谈生意,期间以掉包的方法换走其存有8万元的储蓄卡和该卡的密码信封,将钱取走。事后关某立刻报案,警方迅速擒获“苏平”三人,为关某挽回了损失。 在电子商务活动中,交易者互不见面,数字合同不能使用企业的公章,这使得交易者身份的真实性如何确认成为电子商务交易安全的一个核心问题。假冒身份、伪造印章、以虚假公司进行电子商务诈骗的报道不时见于报端,以致影响了电子商务的发展。确保电子商务交易活动中参与者身份的真实性、电子商务文件的数据完整性、交易文件及交易事件的不可抵赖性,是电子商务正常开展的重要保证。 6.1身份认证技术 6.1.1　身份认证的定义 在互联网上,交易双方互不见面,因此身份认证既是判明和确认交易双方真实身份的必要环节,也是电子商务交易过程中最重要而又最为薄弱的环节。 所谓身份认证，就是鉴别互联网上用户身份的真实性,并保证通信过程的不可抵赖性和信息的完整性。在许多时候,通过认证机构所进行的信息认证比信息保密更为重要。 认证机构或信息服务商提供的认证具有以下功能: (1)保证信息源的可信性。保证信息的来源是可信的,即信息的接收者能够确认所获得的信息不是由假冒者所发出的。 (2)保证信息的完整性。保证信息在传输过程中保持了完整,即信息接收者能够确认所获得的信息在传输过程中没有被修改、替换和延迟。 (3)保证信息收发过程的不可抵赖性。保证信息发送者不能否认自己所发出的信息,同时信息接收者也不能否认已经收到了信息。 6.1.2　身份认证方法的类型 有许多方法可以用来进行电子商务交易中的身份认证。下面介绍一些实现身份认证的基本方法。 6.1.2.1　用户口令 6.1.2.2　物理的身份证明 6.1.2.3　生物学身份认证 6.1.2.4　时钟同步的一次口令认证 6.2 PKI认证体制与CA中心 6.2.1　PKI 的定义 PKI是基于公钥加密系统的概念和技术为互联网用户提供安全服务，利用公钥技术实现电子商务安全的通用安全基础设施。PKI由公钥加密系统、数字证书、证书认证机构(CA中心)和关于公钥的安全策略等基本成分共同组成。在PKI体系中,安全认证系统——CA 系统是其最重要的组成部分。PKI是提供公钥加密和数字签名服务的平台,用于管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。 6.2.2　PKI系统 一个完整、有效的PKI应用系统至少应具有以下部分: (1)CA中心。CA中心是PKI的核心,负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,并负责用户证书的黑名单登记和黑名单发布。 (2)X.500目录服务器。X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过其查询自己或其他人的证书和下载黑名单信息。 (3)具有高强度密码算法的安全Web服务器 (4)安全通信平台。安全通信平台有Web Client端和Web Server端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性,并进行身份验证。 (5)自开发安全应用系统。自开发安全应用系统是指各行业自开发的各种具体应