第七章电子商务安全体系.pptVIP

(2) 发行证书的CA签名。证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签署的。 在Internet Explorer浏览器中，可以查看数字证书的内容。其方法是：进入IE窗口，依次选择“工具”→“Internet”→“内容”→“证书”，然后选择一种证书类别，再在证书列表中选择一个证书，单击“查看”标签，即可查看所选证书的内容。 3) 数字证书的类型 不同的CA所颁发的数字证书略有不同，下面介绍几种常见的数字证书类型： (1) 个人数字证书：常见的有个人身份证书和个人安全电子邮件证书两种。 ● 个人身份证书：用来表明和验证个人在网络上的身份的证书，它确保了网上交易和作业的安全性和可靠性。可应用于网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或IC卡中。 ● 个人安全电子邮件证书：个人安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。 (2) 单位证书：常见的有企业身份证书、企业安全电子邮件证书和单位数字证书三种。 ● 企业身份证书：用来表明和验证企业用户在网络上身份的证书，它确保了企业网上交易和作业的安全性和可靠性。可应用于网上证券、网上办公、网上交税、网上采购、网上资金转帐、网上银行等。企业身份证书可以存储在软盘和IC卡中。 ● 企业安全电子邮件证书：可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。企业可以利用它来发送签名或加密的电子邮件。 ● 单位(服务器)数字证书：主要用于网站交易服务器，需要和网站的IP地址、域名绑定，以保证网站的真实性和不被人仿造。目的是保证客户机和服务器之间交易及支付时双方身份的真实性、安全性和可信任度等。 (3) 信用卡身份证书：用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份，符合SET标准。 (4) CA证书：用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)，在Netscape Navigator里，用户可以看到浏览器所接受的CA证书，也可以选择他们是否信任这些证书。在Netscape服务器里，管理员可以看到服务器所接受的CA证书，也可以选择是否信任这些证书。 2．认证中心CA(Certificate Authority) 1) CA概述 CA是一个负责发放和管理数字证书的权威机构。在电子商务交易中，商家、客户、银行的身份都要由CA认证。例如，持卡人要与商家通信，就要从公共媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的(有信誉)，于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。这个过程如图7-9所示。 图7-9 CA认证 CA通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实际运作中，CA可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系或有账号。在这种情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理他的卡客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则由商家自己担当CA角色。 2) CA的树形验证结构 ? 认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。在进行交易时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，可逐级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签名证书关联。沿着信任树一直到一个公认的信任组织，就可确认该证书是有效的。例如，C的证书是由名称为B的CA签发的，而B的证书又是由名称为A的CA签发的，A是权威机构，通常称为根(Root)CA，验证到了根CA处，就可确信C的证书是合法的。证书的验证结构如图7-10所示。 防火墙的主要目的是控制数据组，只允许合法流通过。它要对内域网和Internet之间传递的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则，检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。单纯靠IP地址的过滤规则是不安全的，因为一个主机可以用改变IP源地址来蒙混过关。 3．防火墙的优点 防火墙应该具有高度安全性、高度透明性及良好的网络性能，而这些特性