4第四讲电子商务认证技术--数字证书课案.pptVIP

3.3 认证技术 电子商务身份认证的目标 信息来源的可信性 完整性。信息没有被修改、延迟和替换； 不可抵赖性。信息的发送方或接收方不能否认 访问控制。拒绝非法用户访问。 用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击。 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。 登陆支付宝主页下载支付宝数字证书，并安装，体会PKI身份验证方式 3.3 认证技术 3.3.2 认证中心 （CA--Certificate Authority）。 也称之为电子证书认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。 认证机构的可靠程度取决于 ①系统的保密结构。 ②确认用户身份的政策和方法。 ③用户是否能信赖他人的证明。 ④机构在安全管理方面的经验。 1.认证中心的职能 认证机构的核心职能是发放和管理用户的数字证书。 认证中心的四大具体职能 认证中心接受个人、单位的数字证书申请，何时申请人的各项资料是否真实，根据核实情况决定是否颁发数字证书。 证书使用总是有期限的，在证书发行签字时都规定了失效日期； 具体使用期长短由CA根据安全策略来定。 更换过期证书，密钥对也需要定期更换。 证书的撤消可以有许多理由，如发现、怀疑私钥被泄露或检测出证书已被篡改，则CA可以提前撤销或暂停使用该证书。 申请撤销。 证书撤销表CRL。 CRL证书撤销列表 如果一个小公司通过商业性CA购买的证书被盗了，只要将相关信息告知CA，这家CA就会将这个证书的内容添加到CRL中。随后任何一个用户在执行涉及到证书的操作，例如安装带有数字签名的软件，或者访问SSL网站的时候，系统都会通过这个CRL地址检索吊销清单，并查看当前软件或网站使用的证书是否位于清单中。如果不在，就证明这个证书依然是可信任的；如果在，就证明该证书已经被盗，因此软件或网站存在仿冒的可能。 ⑷证书验证 证书是通过信任分级层次体系（通常称为证书的树形验证结构）来验证的。每一个证书与签发数字证书的机构的签名证书关联。 在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处。就可确信证书的有效性。 证书链 访问支付宝主页，观察地址栏的不同？ 查看支付宝网站的数字证书链 2.CA的树型验证结构 3.我国认证中心现状 我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。 在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。 在非金融CA方面，最初主要由中国电信负责建设。 在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一般脱机进行。 品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。 ⑵ 广东CA及“网证通”（NETCA）系统 广东省电子商务认证中心是国家电子商务的试点工程，其前身是中国电信南方电子商务中心，创立于1998年。2001年1月，广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测，被认定为安全可信的产品。2001年8月，国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心，成为国内提供网络安全认证服务的重要力量。 ⑶ 上海CA（SHECA） 上海市CA中心是中国第一个CA认证中心，创建于1998年， 经过国家批准并被列为信息产业部全国的示范工程。 中国协卡认证体系（SHECA）是在遵循PKI架构标准体系基础上，根据中国国情，由上海、北京、天津三地发起，由上海市电子商务安全证书管理中心有限公司（简称上海CA中心）设计、建设、并组织运行，联合国内多家CA机构和地区行业联合共建的认证体系。 国内主要的电子商务认证中心 北京数字证书认证中心： 深圳市电子商务认证中心： 广东省电子商务认证中心： 海南省电子商务认证中心： 湖北省电子商务认证中心： 上海电子商务安全证书管理中心： 中国数字认证网： 山西省电子商务安全认证中心： 中国金融认证中心： 天津电子商务运作中心：/ca 天威诚信CA认证中心： 3.3 认证技术 3.3.3 数字证书 数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即