电子商务安全与支付_第5章__电子商务的认证.pdf

第5章电子商务的认证 5.1 身份证明与认证体系 5.2 证书与认证机构 5.3 安全认证标准 5.1 身份证明与认证体系 5.1.1 认证与身份证明 认证是判明和确认交易双方真实身份的重要 环节，是开展电子商务的重要条件。 只有确保双方身份的真实性、数据的完整性 和可靠性及交易的不可抵赖性，才能确保电子商 务安全有序地进行。 一个身份证明系统一般由三方组成，一方是 出示证件的人，另一方为验证者,第三方是攻击 者，认证系统在必要时也会有第四方，即可信赖 者参与，经常调解纠纷。 对身份证明系统的要求： (1) 验证者正确识别合法示证者的概率极大化。 (2) 不具可传递性。 (3) 攻击者伪装示证者欺骗验证者成功的概率小 到可以忽略。 (4) 计算有效性。 (5) 通信有效性。 (6) 秘密参数安全存储。 (7) 交互识别。 (8) 第三方的实时参与。 (9) 第三方的可信赖性。 (10) 可证明安全性。 电子商务安全中有两个问题涉及到身份识别： (1)可信度 (2)不可抵赖性 5.1.2 认证体系 电子商务认证中心（CA）体 系包括两大部分，即符合SET标 准的SET CA认证体系和基于 X.509 的PKI CA体系。下面分别 介绍这两种重要的CA机制。 1．SET CA 从SET协议中可以看出，由于采用公开 密钥加密算法，认证中心(CA)就成为整个系统 的安全核心。 SET CA是一套严密的认证体系，可保证 B to C类型的电子商务安全顺利地进行。 2．PKI CA PKI CA是提供公钥加密和数字签名服务的平 台 。 PKI CA增加网上交易各方的信任，也为它们 之间的可靠通信创造条件，并为B TO B及B TO Ｃ两种电子商务模式提供兼容性服务（特别是B TO B模式的服务）。 5.2 证书与认证机构 电子商务活动中，为保证商务、交易、支付 活动的真实可靠，需要有一种机制来验证活动中 各方的真实身份。目前最有效的认证方式是由权 威的认证机构为参与电子商务的各方发放证书。 5.2.1 证书 1．证书的概念 数字证书作为网上交易双方真实身份 证明的依据，是一个经证书授权中心(CA) 数字签名的、包含证书申请者(公开密钥拥 有者)个人信息及其公开密钥的文件。 2．证书类型 (1) 个人证书（客户证书） (2) 服务器证书（站点证书） (3) 安全电子函件证书 (4) CA证书 3．证书的内容 证书包括申请证书个人的信息和发行证书 的CA的信息。 (1) 证书数据 (2) 发行证书的CA签名 4 ．证书的有效性 只有下列条件为真时，证书才有效： (1)证书没有过期。 (2) 密钥没有修改。 (3) 用户仍然有权使用这个密钥。 (4) CA负责回收证书，发行无效证书清单。 5．证书使用 证书帮助证实个人身份。 认证机构发放的数字证书主要应用于： (1) 通过S/MIME协议实现安全的电子函件系统； (2) 通过SSL协议实现浏览器与Web服务器之间的 安全通信； (3) 通过SET协议实现信用卡网上安全支付； (4) 提供电子商务中认证证书标准。 5.2.2 认证机构 电子商务认证机构(CA)是为了解决电子商务 中交易参与各方身份及资信的认定，维护交易活 动的安全，从根本上保障电子商务交易活动顺利 进行而设立的。 认证中心主要有以下几种功能： (1) 证书的颁发 (2) 证书的更新 (3) 证书的查询 (4) 证书的作废 (5) 证书的归档 5.3 安全认证标准 5.3.1 PKI公开密钥基础设施 PKI是一种遵循标准的密钥管理平台，它能够 为所有网络应用透明地提供采用加密和数字签 名等密码服务所必需的密钥和证书管理。 PKI是围绕这五大系统来构建的。 1．认证机关 CA是证书的签发机构。 CA的机构职责归纳起来有: ① 验证并标识证书申请者的身份； ② 确保CA用于签名证书的非对称密钥的质量； ③ 确保整个签证过程的安全性，确保签名私钥的 安全性； ④ 证书材料信息(包括公钥证书序列号、CA标识 等)的管理