第四章网络支付安全.ppt

数字证书的内容：认证中心CA在确认了用户的身份后，向用户（企业或个人）颁发数字证书，数字证书中包括了用户的基本信息以及用户的公开密钥等，并由CA进行数字签名。（详细见下页） 工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。下图显示了数字证书的基本内容。 证书的具体内容格式：定义在ITU-T Rec．X．509标准里。证书由以下两部分组成： (1)证书数据的组成 　①版本信息Version：用来区分X．509证书格式的版本； 　②证书序列号Serial number：每一个由CA发行的证书必须有一个惟一的序列号用于识别证书： 　③CA使用的签名算法Algorithm Identifier：CA的双钥加密体制算法： 　④发证者的识别码Issuer Unique Identifier：发此证书的CA识别码； 　⑤有效使用期限Period of Validity：本证书的有效起始、结束日期； 　⑥证书主题名称； 　⑦公钥信息Public key Information：此双钥加密体制的算法名称、公钥的位字符串表示(只适用于RSA加密体制)； 　⑧使用者Subject：此公钥的所有者； 　⑨使用者识别码Subject Unique Identifier； 　⑩额外的特别扩展信息。 (2)发行证书的CA签名与签名算法 　　证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是由CA的签名密钥签署的。 3. 与网络支付有关的数字证书的类型 个人证书(客户证书)： 证实客户(例如一个使用IE的个人)身份和密钥所有权。例如，在网络支付时，服务器可能在建立SSL连接时，要求客户证书来证实客户身份。为了取得个人证书，用户可向某一CA申请，CA经过审查后决定是否向用户颁发证书。 服务器证书(站点证书) ： 　　证实如电子商务服务器的身份和公钥。当与客户建立SSL连接时，服务器将它的证书传送给客户。当客户收到证书后，客户检查证书是由哪家CA发行的，这家CA是否被客户所信任。如果客户不信任这家CA，浏览器会提示用户接受或拒绝这个证书。 支付网关证书： 如果在网络支付时利用第三方的支付网关，那么这个第三方要为支付网关申请一个数字证书，以证实自己的身份。 认证中心CA证书： 　　证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)。在IE浏览器里，用户可以看到浏览器所接受的CA证书，也可以选择他们是否信任这些证书。在服务器端，管理员可以看到服务器所接受的CA证书，也可以选择是否信任这些证书。 4. 数字证书的有效性与使用 只有下列条件都为真时，数字证书才有效： (1)证书没有过期。所有的证书都有一个期限，可以检查证书的期限来决定证书是否有效。 (2)密钥没有被修改。如果密钥被修改，就不应该再继续使用，密钥对应的证书就应被视为无效。 (3)CA负责回收证书，并发行无效证书清单。证书必须不在CA发行的无效证书清单中。 　数字证书的认证使用： 　　当把数字证书传送给某人或某站点时，并将消息用自己的私人密钥加密，接收者就能用证书里的公钥来证实你的身份。 二、认证中心CA 　　在传统商务中，用来认证商户身份的认证证书大多是被认为公正的第三方机构如政府部门颁发的。而作为电子商务平台的Internet上是没有“政府”的，因此也必须建立网上的第三方公正的“认证中心”机构，来负责颁发签名所述的“数字证书”和检验“网上商户身份”的工作。 1. 建立认证中心CA的必要性 2. 认证中心CA的定义 　　认证中心，简称CA，即 Certification Authority，是一个公正的、有权威性的、独立的（第三方的）、广受信赖的组织，负责电子商务中数字证书的发行和管理。 　　一个完整安全的电子商务活动，如在网络支付结算中，必须要有认证中心的参与。因此在社会上必须建立具有绝对权威性的认证中心CA，这样的认证中心能确保所有交易过程的安全性。各电子商务商家和用户上网注册加入到已有的认证中心中，从而开展安全的电子商务。 3. 认证中心CA的技术基础 CA的角色是重要的，不仅要拥有第三方要求并且保持公正、具备良好信誉之外，关键是CA的建立与运作需要强大的技术支撑，因此其涉及许多先进的密码技术。 CA的技术基础是PKI体系。英文Public Key Infrastructure, 意为公开密钥体系或公开密钥基础，是一种遵循既定标准的密