中华讲师网-曹卫中：电子商务与快递物流.pptVIP

加密技术 证书库 证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。 采用支持LDAP协议的目录系统，系统必须确保证书库的完整性，防止伪造和篡改证书。 密钥备份和恢复系统 备份用于数据解密的密钥（脱密数据的密钥） 用于数字签名的密钥不能做备份。 证书作废处理系统 在有效期内可能作废，策略：作废一个或多个主体的证书、作废由某一对密钥签发的所有证书、作废由某个CA签发的所有证书。 加密技术 PKI的功能 PKI应为应用提供如下的安全支持： 证书与CA 密钥备份及恢复证书、密钥对的自动更换 交叉签证：每个CA只可能覆盖一定的作业范围，即CA的域，当隶属于不同的CA的用户需要交换信息时，就需要引入交叉证书和交叉验证。 加密密钥和签名密钥的分隔 支持对数字签名的不可抵赖 密钥的历史管理 认证技术 一、证书认证中心（CA中心） 认证中心 CA，又称为证书授权(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数字证书的权威机构。 认证中心采用一种多层次的分级结构 CA中心为每个使用公开密钥的用户发放一个数字证书，证明其合法性 CA机构的数字签名使得攻击者不能伪造和篡改证书 参加电子商务的主体必须获得CA颁布的电子证书 认证技术 CA解决的问题 安全保障 防窃听 防冒充 防篡改 防抵赖 CA中心的功能 证书的颁发 证书的更新 证书的查询 认证技术 证书的作废 证书的归档 安全解决方案的内容 认证中心的建立 密码体制的选择 安全协议的选择 认证中心的基本框架结构 技术方案 基础设施 运作管理 认证技术 第三方CA CA中心是一个公证机构，其管理和维护工作应该由专门的机构负责，该机构应独立于电子商务业务的主题之外 认证是电子商务中的一个核心问题，认证机构的建立必须考虑权威性、安全性、考虑高效、快捷，并注意投入产出比 注意几个问题：身份认证、资信认证、企业税收情况 成立对应的认证（工商、银行、税务） 行业认证中心、第三方认证中心 认证技术 中国金融认证中心CFCA CFCA，1999.8由中国人民银行牵头，12家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生）联合共建的一个大型系统工程。 原则：统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先。 宗旨：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。 2000.3初步发放试验证书，主要用于商业银行的网上银行和网上购物的BtoB应用模式及SET购物的BtoC模式。 认证技术 二、数字证书 概念 数字证书就是在网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 一个标准的数字证书包含以下内容： 证书的版本信息 证书的序列号 证书使用的签名算法 证书的发证机构名称 认证技术 证书的有效期（采用UTC时间格式，计时范围为1950~2049） 证书所有人的名称 证书所有人的公开密钥 证书发行者对证书的签名 数字证书的重要性 信息的保密性 交易者身份的确定性 不可否认性 不可修改性 认证技术 数字证书的原理 RSA公钥体制 数字证书的用途 证实电子商务或信息交换中参加者的身份 授权交易 授权接入重要信息库，以替换口令或其他传统方式 提供经过Internet发送信息的不可抵赖性的证据 验证通过Internet交换信息的完整性。 认证技术 三、数字签名技术 数字签名必须保证以下几点 接收者能够核实发送者对报文的签名 发送者事后不能抵赖对报文的签名 接收者不能伪造对报文的签名 数字签名技术源于数字摘要技术，描述如下：也称为安全Hash编码法(SHA)或MD5 ，由Ron Rivest所设计。采用单向Hash函数将需要加密的明文摘要成一串128bit的密文，这一串密文也称为数字指纹，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要内容必定一致。 认证技术 发送信息 （明文） Internet 数字摘要技术流程 摘 要 SHA加密 接收信息 （明文） 摘 要 SHA加密 摘 要 一致？ 接受 信息 Y 认证技术 数字签名采用两双重加密的方法来实现防伪、防赖，其原理为： 被发送文件用SHA编码加密产生128bit的数字摘要； 发送方用自己的私用密钥对摘要进行再加密，这样就形成了数字签名； 将原文和加密的摘要同时传给对方； 对方（接收方）用发送方的公共密钥对摘要进行解密，同时对收到的文件用SHA编码加密产生由一摘要； 将解密后的摘要与收到的文件在接收方重新加密产生的摘要相互比较，如两者一致，则说明传送过程中信息没有被破坏或修改过，否则，文件可能已经被