电子商务信息安全技术教学课件ppt作者陈孟建第四章电子商务安全认证技术课件.ppt

电子商务信息安全技术 第四章 电子商务安全认证技术 学习目标 1．掌握身份论证的基本概念； 2．掌握身份认证的分类以及体系； 3．掌握论证的常用协议； 4．掌握数字证书的基本概念； 5．掌握PKI的体系结构； 6．掌握生物特征身份认证的常用方法。 4.1 身份认证与认证体系 4.1.1 身份认证概念 1．身份认证的定义 所谓身份认证就是计算机系统的用户在进入计算机系统时，系统确认该用户的身份是否真实、合法和唯一，一般可以分成以下几种。 （1）消息认证 消息认证主要用于保证信息的完整性和抗否认性，在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，这就需要消息认证。 （2）身份认证 身份认证主要为了确保用户身份的真实、合法和唯一。这样，就可以防止非法人员进入系统，防止非法人员通过违法操作获取不正当利益，访问受控信息，恶意破坏系统数据的完整性的情况的发生。同时，在一些需要具有较高安全性的系统中，通过用户身份的唯一性，系统可以自动记录用户所作的操作，进行有效的稽核。 4.1 身份认证与认证体系 2．身份认证中的几个重要术语 （1）识别：明确并区分访问者的身份； （2）验证：对访问者声称的身份进行确认身份认证的基本方法； （3）认证：在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份身份。认证又称为鉴别、确认。 （4）授权：授权是指当用户身份被确认合法后，赋予该用户操作文件和数据等的权限，赋予的权限包括读、写、执行及从属权等。 （5）审计：每一个人都应该为自己所作的操作负责，所以在事情完成后都应该有记录，以便检查责任。 4.1 身份认证与认证体系 4．用户访问资源的过程 日常生活中，人们的身份主要是通过各种证件来确认的，例如，身份证、教师资格证、记者证、军官证、户口簿等。在计算机网络系统中，各种资源，例如，文件、数据等也要求有一定的保证机制来确保这些资源被应该使用的人使用。身份认证通常是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的失败。 4.1 身份认证与认证体系 4.1.2 身份认证方法 1．基于秘密信息的身份认证方法 （1）口令核对 口令核对是指每一个合法用户都有系统给的一个用户名或口令对，用户进入时，系统要求输入用户名、口令，如果正确，则该用户的身份得到了验证。 （2）单向认证 单向认证是指通信的双方只要一方被另一方鉴别，这样的身份认证过程就是一种单向认证。 4.1 身份认证与认证体系 （3）双向认证 双向认证是指在单向认证基础上结合第二物理认证因素，以使认证的确定性按指数递增。 （4）身份的零知识证明 通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术。 4.1 身份认证与认证体系 2．基于物理安全的身份认证方法 （1）基于生物学的方案 基于生物学的方案包括：个人特征的指纹、掌纹、面孔、声音、视网膜血管图、虹膜、基因、手写签名等。 （2）基于个人拥有物的身份识别 基于个人拥有物的身份识别包括：身份证、护照、教师证、军官证、驾驶证、图章、IC卡或其他有效证件。 3．基于IC卡的身份认证方式 IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据， 4．基于USB Key的身份认证方式 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。 5．基于动态口令技术的认证方式 动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。 4.1 身份认证与认证体系 4.1.3 数字证书 1．数字证书概念 数字证书是由权威机构－－CA证书授权（Certificate Authority）中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。 2．数字证书颁发过程 数字证书颁发过程如图4-3所示。 4.1 身份认证与认证体系 4.1 身份认证与认证体系 4．基于应用的数字证书类型 （1）个人身份证书 个人身份证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。 （2）企业或机构身份证书 企业或机构身份证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。 （3）支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。 （4）服务器证书 服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。 （5）电子邮件证书 电子邮件证书可以用来证