电子商务金融第4章金融安全认证..docVIP

第4章 金融安全认证 4.1金融安全认证概述 4.2安全认证技术--PKI 4.3中国金融认证中心CFCA 4.4CFCA支持的应用 4.5金融认证中心的证书业务规则 4.6电子商务参与方的法律关系 第4章 金融安全认证 （一）电子商务对网上安全交易的要求 身份鉴别：在交易前，首先要确认对方的身份，不能是假冒或伪装。交易各方有商户、持卡人和银行。 机密性：对敏感信息要加密，获取后难以破解。 完整性：要求收方能验证接收的信息是完整的。 不可抵赖性：交易达成，发送方或接收方都 不能否认其发送的信息或收到的信息。 在安全性上除采用加密措施外，还必须建立一种信任及信任验证机制，使交易一方可确认其他各方的身份。可验证的身份标识。 是一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业务的各种认证需求提供证书服务。 包括电子商务、网上银行、支付系统和管理信息系统等。 组织参与网上交易规则的制定，确立相应的技术标准。 4.2安全认证技术—PKI 1、PKI是利用公钥理论和技术建立的提供安全服务的基础设施，是信息安全技术的核心，是电子商务的关键和基础技术。 2、PKI的基本机制是定义和建立身份、认证和授权技术，然后分发、交换这些技术，在网络间解释和管理这些信息。 4、PKI的核心是信任关系的管理，为了解决信任关系问题，引入了第三方信任和数字证书概念。 2、PKI的理论基础 密码体制：从原理上可分为单钥体制（One-key System）和公钥体制（Two-key System） 对称加密?a?a单钥加密 对称加密过程 发送方用自己的私有密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方 接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文 公钥体制：加密密钥和解密密钥不相同，是一种非对称加密体制。 1. 加密模式：加密模式过程 发送方用接收方公开密钥对要发送的信息进行加密。 发送方将加密后的信息通过网络传送给接收方。 接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文。 2. 验证模式：验证模式过程 发送方用自己的私有密钥对要发送的信息进行加密。 发送方将加密后的信息通过网络传送给接收方。 接收方用发送方公开密钥对接收到的加密信息进行解密，得到信息明文。 3. 加密与验证模式的结合 保障信息机密性 验证发送方的身份 使用过程： 4. 对称和非对称两种加密方法的联合使用 两种密码体制的比较 （2） 数字签名 （1）签名不同：手写签名是签署文件的物理组成部分； 不是组成 （2）验证不同：手写签名比对；公开验证算法 （3）复制不同：手写签名不易复制；相反 3、认证中心CA 认证机构CA签发数字证书—网络用户电子身份证明，如同护照。 按照第三方信任原则，相信持有证明的用户。 CA要防伪造和篡改。具有灵活性各种CA产品兼容，遵循通用的国际标准。 颁发证书：生成证书并签名，以适当方式发给用户。 管理证书：记录已颁发证书和撤消的证书。 用户管理：新提交的申请与现存标识名比较拒绝重复。 吊销证书：在证书有效期内使其无效，发布CRL （Certificate Revocation List） 验证申请者身份：必要的身份验证 保护证书服务器：证书服务器安全 制定政策：公布制定CA的政策 CA的证书验证是逐级进行，沿着信任树一直到公认的信任组织，确认证书是有效的。 4、数字证书 证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性。 ITU（International Telecommunications Union，国际电信同盟）在1988年制定的X.500系列标准中的X.509就是被广泛采用的标准。X.509标准与公钥基础设施密切相关，它定义了公开密钥与密钥主体的结合，由此实现通信实体鉴别机制，并规定了实体鉴别中所使用的方法和数据接口，即证书。 (１) 集中生成模式：密钥对全部由ＣＡ生成；生成的公钥提供给ＣＡ软件生成证书，生成的证书和私钥发给申请者； 离线分发：以磁盘或IC卡形式提供给用户 在线分发：用户使用浏览器与CA的Web服务器相连申请证书，生成后CA用电子邮件通知用户如何以安全方式取得证书。 (２)分布式生成模式：密钥对由申请者自己的客户端软件生成，然后将公钥和个人资料发给ＣＡ，由ＣＡ生成证书签名发给申请者； PKI的基本组成： 1、证书申请者:（Subscriber） 2、证书申请审核中心: 3、认证中心: 4、证书库: 5、证书信任方: 1、易用性：屏蔽密码服务的实现细节 2、可扩展性：体系结构可扩展