做好数据备份与灾难恢复功能42网络支付的安全策略及解决.ppt

4.6 数据证书与认证中心CA 4.6.1 数字证书 1. 数字证书的定义和应用原理 数字证书：指用数字技术手段确认、鉴定、认证Internet上信息交流参与者身份或服务器身份，是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。 工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。 4.6.1 数字证书 2.数字证书的内容 4.6.1 数字证书 3. 与网络支付有关的数字证书的类型 个人证书(客户证书)： 证实客户(例如一个使用IE的个人)身份和密钥所有权 服务器证书： 证实银行或商家业务服务器的身份和公钥 支付网关证书： 如果在网络支付时利用第三方支付网关，那么第三方要为支付网关申请一个数字证书 认证中心CA证书： 证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书) 4.6.1 数字证书 4. 数字证书的有效性与使用 数字证书必须同时满足以下三个条件，才是有效的： 1.证书没有过期 2.密钥没有被修改 3.有可信任的相应的颁发机构CA及时管理与回收无效证书，并且发行无效证书清单 4.6.2 认证中心CA 1.认证中心CA的定义 认证中心，简称CA，即 Certification Authority，是一个公正的、有权威性的、独立的（第三方的）、广受信赖的组织，负责电子商务中数字证书的发行和管理以及认证服务。 2. 认证中心CA的技术基础 CA的技术基础是PKI体系(Public Key Infrastructure) PKI的详细内容可在《电子商务安全》课程中学习 4.6.2 认证中心CA 3.认证中心CA的主要功能 1.生成密钥对及CA证书 2.验证申请人身份 3.颁发数字证书 4.证书以及持有者身份认证查询 5.吊销证书 6.证书管理与更新 7.制定相关政策 8.有能力保护数字证书服务器的安全 4.认证中心CA的组成框架与数字证书的申请流程 （CRL：证书发放清单） Certificate Authority 4.6.2 认证中心CA 4.认证中心CA的组成框架与数字证书的申请流程 4.7安全网上支付的SSL与SET协议机制 4.7.1 基于SSL协议的安全网络支付机制 1.SSL协议简介 SSL协议(Secure Socket Layer，安全套接层协议) 是一种在持有数字证书的浏览器和远程的WWW服务器(如Netscape Enterprise Server、IIS等等，这里具体为电子商务服务器或银行的网上支付结算服务器)之间，构造安全通道并且传输数据的协议。 SSL协议的协议层次 HTTP IMAP FTP SMTP SSL层 TCP/IP 应用层 网络层 4.7.1 基于SSL协议的安全网络支付机制 SSL协议的内容 SSL协议包括两个子协议： SSL记录协议 定制了传输数据的格式 SSL握手协议 利用前者在支持SSL的客户端和服务器端之间建立安全传输通道建立加密SSL连接，并在客户端验证服务器 SSL提供的3种基本安全服务 秘密性 SSL客户机和服务器之间通过密码算法和密钥的协商，建立安全通道 完整性 利用密码算法和Hash函数，确保要传输的信息全部到达目的地 认证性 SSL要求数字证书持有者在握手时双方通过相互交换数字证书来验证和保证对方身份的合法性 4.7.1 基于SSL协议的安全网络支付机制 2. SSL安全支付参与方及应用系统框架 CA认证中心 客 户 端 商家服务器 银行服务器 https:// 4.7.1 基于SSL协议的安全网络支付机制 3. SSL协议的特点 综合用到了对称密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段。目前几乎所有操作平台上的Web浏览器以及流行的Web服务器都支持SSL协议。因此使得使用该协议既便宜，开发成本也很小，应用简单（无需客户端专门软件） 4. SSL协议的应用: 可在服务器和许多世界知名企业的Intranet和Internet网络产品所支持。 下图显示的是IE浏览器中安全设置项中SSL标识。 4.7.2基于SET协议的安全网络支付机制 1. SET协议简介 SET协议为在Internet上安全地进行交易提出了一整套完整的方案，特别是采用数字证书的方法，用数字证书来证实在网上购物的确实是持卡人本人，以及向持卡人销售商品并收钱的各方，包括持卡人、商户、银行等的安全。 SET协议的主