第六章 电子商务安全及保密体系.pptVIP

第六章 电子商务安全及保密体系 第六章 电子商务安全及保密体系 6.2.3 认证技术 ■加密和认证是Internet信息安全彼此独立的两个方面，它们都采用密码学的基本理论，加密保证Internet信息的机密性，认证保护信息的真实性和完整性 ■实现认证功能的密码系统称为认证系统(Authentication System)。一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求 ■消息的认证性和消息的保密性不同 —保密性是使截获者在不知密钥条件下不能解读密文的内容 —认证性是使任何不知密钥的人不能构造一个密报，使意定的接收者解密一个可理解的消息（合法消息） 信息认证（Authentication） 内容 —确认信息的来源 —验证信息内容的完整性 —确认信息的序号和时间 身份认证 ●目标： 可信性、完整性、不可抵赖性、访问控制 ●基本方式 —用户所知道的某个秘密信息（如口令） —用户所持有的某个秘密信息或硬件（如智能卡） —用户所具有的某些生物学特征（如指纹） ●常用方法 —身份认证的单因素法：口令 改进：计算机不存储口令，只存储口令的单项函数值 基于CA的身份认证 　　　Internet的认证系统可分为用户对主机、主机对主机、用户对用户以及第三方验证。目前用的最多的是第三方验证，是在一系列安全协议的支持下建立起来的认证系统 ，由一个大家都相信的第三方认证中心 （Certificate Authority ）来验证公钥的真实可靠性。 数字证书（Digital certificates） ■数字证书：是一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档，它的格式必须符合CCITT X.509国际标准的规定 ■数字证书可以解决公开密钥的认证问题 ■基于公开密钥体制（PKI）的数字证书是电子商务安全体系的核心，其用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构CA颁发 ■应用程序能识别的证书类型如下： 客户证书（个人证书）、站点证书（服务器证书）、安全邮件证书、CA证书 ■证书的内容(证书格式遵循 X.509国际标准) —证书的数据：版本信息、证书序列号、CA使用的签名算法、发行证书CA的名称、证书的有效期、被证明的公钥信息 —发行证书的CA签名：CA签名和签名算法 ■证书的有效性 —证书没有过期 —密钥没有修改 —用户仍然有权使用这个密钥 —CA负责回收证书，发行无效证书清单 ■证书使用 证书帮助证实个人身份，你的证书和你的密钥就是你是谁的证据 公钥证书的结构 SET中的证书 ●持卡人证书 是支付卡的一种电子化的表示。它由金融机构以数字化形式签发，不能随意更改。包括用单向哈希算法根据帐号、截止日期生成的一个码 ●商家证书 由金融机构签发，不能被第三方改变，表示商家收款可用的卡。在SET中，一个商家至少应有一个证书，与银行交往中可能会有多个证书，表示与多家银行的合作关系，可接受多种付款方式 ■ X.500和X.509是安全认证系统的核心 : 为了提供公用网络用户目录信息服务，ITU于1988年制定了X.500系列标准。X.500定义了一种区别命名规则，以命名树来确保用户名称的唯一性 X.509是由国际电信联盟（ITU-T）制定的数字证书标准。X.509为X.500用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口，X.509称之为证书。 X.509证书由用户公共密钥与用户标识符组成，此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等。 目前，X.509标准已在编排公共密钥格式方面被广泛接受，已用于许多网络安全应用程序，其中包括IP安全（Ipsec）、安全套接层（SSL）、安全电子交易（SET）、安全多媒体INTERNET邮件扩展（S/MIME）等。? 公钥基础结构(Public?Key?Infrastructure, PKI) ● PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。 ● PKI体系结构采用证书管理公钥，即结合X.509标准中的鉴别框架（Authentication?Framework）来实现密钥管理，通过CA把用户的公钥及其它标识信息捆绑在一起，在INTERNET上验证用户的身份，保证网上数据的保密性和完整性。 一个PKI必须支持下面的密钥和证书管理服务： ◆认证机关(CA)◆证书库◆证书的撤消◆密钥的备份与恢复◆对数字签名的抗抵赖性的支持◆