项目四 网络商务安全ppt.pptVIP

由于电子商务在网络中完成，互相之间不见面，因此为了保证每个人及机构(如银行、商家)都能惟一而且被无误地识别，这就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现，而数字证书是由认证中心(CA)颁发的。下面我们分别介绍数字证书和认证中心的有关内容。 任务三 CA认证 1．数字证书(Digital Certificate或Digital ID) 1) 数字证书的基本概念 数字证书就是标志网络用户身份信息的一系列数据，用来在网络应用中识别通信各方的身份，其作用类似于现实生活中的身份证。 数字证书则是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件。 数字证书采用公—私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥进行解密，这样，信息就可以安全无误地到达目的地，即使被第三方截获，由于没有相应的私钥，也无法进行解密。 数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。 2) 数字证书的内容 数字证书由以下两部分组成： (1) 证书数据。证书里的数据包含以下信息： ● 版本信息，用来与X.509的将来版本兼容； ● 证书序列号，每一个由CA发行的证书必须有一个惟一的序列号； ● CA所使用的签名算法； ● 发行证书CA的名称； ● 证书的有效期限； ● 证书主题名称； ● 被证明的公钥信息，包括公钥算法、公钥的位字符串表示(只适用于RSA加密体制)； ● 包含额外信息的特别扩展。 (2) 发行证书的CA签名。证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签署的。-------相当于证书发行机构的公章 在Internet Explorer浏览器中，可以查看数字证书的内容。其方法是：进入IE窗口，依次选择“工具”→“Internet”→“内容”→“证书”，然后选择一种证书类别，再在证书列表中选择一个证书，单击“查看”标签，即可查看所选证书的内容。 3) 数字证书的类型 不同的CA所颁发的数字证书略有不同，下面介绍几种常见的数字证书类型： (1) 个人数字证书：常见的有个人身份证书和个人安全电子邮件证书两种。 (2) 单位证书：常见的有企业身份证书、企业安全电子邮件证书两种。 （3） 单位(服务器)数字证书：主要用于网站交易服务器，需要和网站的IP地址、域名绑定，以保证网站的真实性和不被人仿造。目的是保证客户机和服务器之间交易及支付时双方身份的真实性、安全性和可信任度等。 (4) 信用卡身份证书：用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份，符合SET标准。 (5) 软件CA证书：为软件开发商提供凭证，证明软件的合法性，防止软件代码被篡改。 2．认证中心CA(Certificate Authority) 1) CA概述 CA是一个负责发放和管理数字证书的权威机构。CA中心作为电子交易中的权威第三方，验证交易中的各实体的身份后，为其颁发数字证书。并且在交易中负责检验证书和管理证书。 2）数字认证中心的功能 证书发放 证书更新 证书撤销 证书验证和查询 3）数字证书与私钥、公钥的关系 A 数字证书持有人下载安装ca证书后，私钥存在 计算机的程序中（如IE浏览器），可以把它导 出存在其他的介质中。安装了带有私钥的数字 证书可以进行数字签名和解密。 B.如何获取他人的公钥 请对方使用他的数字证书向您发送签名邮件。 获得对方导出的公钥文件(数字证书)。 从证书颁发机构的服务器上查询并获取对方的公钥 (数字证书) 。 4) CA的树形验证结构 ? 认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 在进行交易时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，可逐级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个