数字身份认证技术第七章解析.pptxVIP

第七章 PKI的常规应用 本章学习目标 熟练操作PKI在网上银行、智能卡、移动支付、电子商务、电子政务、网上证劵、移动数据业务等领域的应用 7.1 PKI技术在银行业中的应用 网上银行 银行智能卡 移动支付 7.1.1 网上银行 网上银行是借助互联网技术向客户提供金融信息服务和交易服务的新型模式。 网上银行的应用模式主要包括个人网银和企业网银两种。 目前网上银行主要包括三个方面的安全隐患： 信息泄漏 篡改 身份识别 PKI 能实现以下几方面的安全性： 发送事物的人确定是源用户 接收事物的人确实是目的用户 数据完整性不会受到威胁 7.1.2 银行智能卡 智能卡是集成电路发展的产物，相当于是内嵌CPU的一个微型计算机平台，不仅体积小，而且便于携带，与一般的计算机一样具备加密计算能力和超大容量的存储空间。 用户对智能卡的操作都是通过卡操作系统COS来实现的。COS在卡片初始化时载入智能卡的ROM中，COS通过命令- 响应的方式与外界进行信息交流。 从功能上可以将COS分为5个模块：控制模块、数据传输模块、命令解析模块、文件管理模块和安全模块。 多款智能卡芯片（如亿恒SLE66CX320系列）都带有随机数发生器和加密协处理器或算法加速器。 智能卡利用自身的硬件资源可以在卡内生成公钥、私钥对，保存在MF或DF下的密钥文件中。 这样做的好处在于私钥可以永不离开智能卡硬件，任何人包括合法用户都不能读出私钥。比起用户私钥保存在易受黑客攻击的个人电脑或磁盘中的安全性大大提高。 基于智能卡的PKI的应用 基于智能卡的身份认证 基于智能卡的数字签名 基于智能卡数字加密 7.1.3 移动支付 从技术的发展来看，新型银行不再仅限于有线网络互联，移动支付、手机银行开始走进我们的生活，随之而来的是对无线通信领域安全的关注。 移动支付安全机制是传统信息安全技术在移动环境下的新发展。通过发展新的安全技术、修改原有解决方案或提出新的解决方案，移动安全机制为移动安全支付提供安全技术保障。 移动支付安全性的一个关键方面，就是能否对交易实体的身份进行认证。怎么样选择安全的身份认证体制成为移动支付安全性的决定因素. 一个安全的身份认证体制至少需要满足下列要求： 互相认证性 可确认性 不可否认性 不可伪造性 WPKI（wireless Public Key Infrastructure），即无线“无线公开密钥体系”，是PKI结合移动环境特点的产物。 图7-4 WPKI系统结构图 7.2 PKI技术在电子商务中的应用7.2.1 电子商务概述 在业务上，电子商务是指实现整个贸易活动的电子化，交易各主以电子交易方式进行各种形式的商业交易； 在技术上，电子商务采用电子数据交换（EDI）、电子邮件（Email）、共享数据（Database）、电子公告牌（BBS）以及条形码（Barcode）等多种技术。 7.2.2 电子商务存在的主要安全问题 数据被非法截获、读取或者修改; 身份认证; 冒名顶替和否认行为。 7.2.3 PKI在电子商务安全方面的应用 数据传输的机密性; 用户身份的识别; 信任关系的建立. 7.2.4基于PKI的电子商务安全问题 1．针对CRL的攻击 在PKI中，若用户私钥泄漏、证书过期或由于安全原因需要变更证书中某些属性的时候，必须向CA申请注销与之相关的旧证书。证书被注销后，与其相关的公钥和私钥将不再有效，用其实施的行为也不再有效。证书注销方法常用的是CRL。 2．针对证书持有者态度的攻击 这类攻击源于证书持有者的消极态度，如盲目签名、证书持有者长时间不用证书、私钥可能泄漏时不及时申请注销证书等等情况给攻击者留下了可乘之机和时间。 3．针对定制协议的攻击 定制协议攻击是通过定制一个协议并用它来与安全协议进行交互，从而影响安全协议产生可以利用的消息。这类攻击多是针对公钥的认证协议进行的，其条件是PKI中允许多个协议中使用同一个公钥，这时可用定制的协议来影响安全协议，用安全协议产生的信息来冒充某个参与者而成功完成协议。 7.2.5 PKI体系在电子商务安全方面应用评价 PKI体系结构的安全性分析 PKI的互操作性和扩展性问题 我国PKI应用环境的建设问题 7.3 PKI技术在电子政务中的应用 电子政务（E—Govemment）是指政府运用现代计算机和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向社会提供高效优质、规范透明和全方位的管理与服务。 7.3.1 电子政务的安全 电子政务系统必须实现如下的信息安全目标: 可用性目标 完整性目标 保密性目标 可记账性目标 保障性目标 电子政务安全中涉及到的数字证书认证中心CA、审核注册中心RA、密钥管理中心KM 都是组成PKI的关键组件，