电子商务的安全技术剖析.ppt

仲恺农业工程学院市场营销系鲁江 《电子签名法》 5.4.5 数字证书与CA认证 1.数字证书（Digital ID）原理 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用电子手段来证实一个用户的身份和对网络资源访问的权限，是各实体(买方、商户／企业、银行等)在网上进行信息交流及商务活动的电子身份证。 证书格式遵循ITUT.509国际标准。 数字证书采用公钥体系，即利用一对互相匹配的密钥进行加密、解密。 （1）客户证书 （2）服务器证书 （3）安全邮件证书 （4）CA机构证书 SSL保证了Web站点间通信信道的安全，面向网络协议栈的低层通道进行安全监控。 SSL提供三种基本安全服务： （1）加密处理 （2）保证信息的完整性 （3）提供较完善的认证服务 SSL协议包括两个子协议：SSL记录协议和SSL握手协议。SSL记录协议建立在可靠的传输协议上（如TCP） ，用来封装高层协议。 SSL握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。 2. SET的目标 ①信息在Internet上安全传输，保证网上传输的数据不被黑客窃取。 ②订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息。 ③持卡人和商家通过CA颁发数字证书相互认证，以确定通信双方的身份。 ④不同厂家开发的SET软件要求具有兼容性和互操作性，并且可运行在不同的硬件和操作系统平台上。 3. SET协议中的角色： 持卡人、发卡机构、商家、银行、支付网关。 4.SET协议的工作流程 图3–6 SET协议的工作流程 * * PKI PKI的性能要求 透明性和易用性：向用户屏蔽密码服务的实现细节和复杂的安全解决方案，使其简单易用，同时便于单位、企业完全控制其信息资源； 可扩展性：证书库与CRL的可扩展性 互操作性：针对不同应用，PKI必须建立在标准上，有加密标准、数字签名标准、HASH标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、程序接口规范等 支持多应用 支持多平台 * * Digital Signature 加密 私钥与数字签名 应用授权 数字证书 PKI与现实世界对比 John Hancock 保密性 身份鉴证 访问控制授权 完整性 抗抵赖 * * 软件下载的安全问题 不明身份的代码的威胁 是谁发布的这个代码？Microsoft或Hacker 发布后这代码被修改过么？病毒或木马 文件下载的安全警告 * * 代码的身份认证 公正第三方CA认证中心为软件开发商签发数字证书 软件开发商用自己的证书为自己的代码进行数字签名 客户端验证代码签名证书，并验证代码签名，确认代码发布后未篡改。 Microsoft’s Authenticode; Netscape’s object signing；Sun JAVA * * 软件下载策略 依然需要手工的过程 用户确认是否接受软件开发商的证书 用户确认是否下载该软件 用户确认是否将来也相信该软件开发商 * * PKI/CA应用安全电子邮件 安全 领先 值得信赖 * * E-Mail: 安全的需求 一个公司60%的的信息资产以电子数据的形式保留在它的E-mail系统中。 60% 一个公司的68%信息是商业机密，是不可传播的。 68% * * 作为企业决策者，网管人员... 作为企业决策者，可以 通过电子邮件向下属发送命令、批示… 下属用邮件向您汇报 黑客、网管 可以看到所有你们来往的电子邮件 可以篡改你的信 甚至假冒你发信 究竟谁的权力最大？ * * 什么是安全的企业邮箱? 没有人能偷看到我信件的内容 (加密) 被人可以截取我的信，但是他无法阅读 没有人可以篡改我的信件 (签名) 他可以篡改我的信件，但是我会知道 没有人可以冒充我的身份给别人发信(签名) 这封信的确是他发出的，他不可以抵赖（签名） 使用简单 常用邮件应用程序都紧密支持 OutLook Express,OutLook Netscape Messenger Foxmail 其它 Web mail * * 什么是安全电子邮件证书？ 电子身份证 一种特殊的密码文件 将一段128位密钥与现实身份绑定 由国家认可得公证第三方签发 遵循国际标准x.509 广泛的应用支持 应用程序能自动用它处理电子邮件 支持S/MINE协议 * * * * * 5.4.2 数字签名（digital signature）  只有信息的发送者才能产生的，而别人无法伪造的一段数字串，这段数字串同时也是对发送者发送信息的