第3章电子商务安全系统.pptVIP

7.认证技术 (CA) 由于电子商务是在网络中完成，交易双方互相之间不见面，为了保证每个人及机构（如银行、商家）都能唯一而且被无误地识别，这就需要进行身份认证。 1）认证中心（CA） 电子商务认证授权机构也称为电子商务认证中心（Certificate Authority，CA）。CA就是承担网上安全电子交易的认证服务，它能签发数字证书，并能确认用户身份的服务机构。CA通常是一个服务性机构，主要任务是受理数字证书的申请，签发及管理数字证书，如护照办理机构。 * （6）系统的可靠性 是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。 * 如果能够迅速地检测到入侵或其他破坏活动，那么就能够确认入侵者，将其可能造成的损害降低至最低限度。 安全检测系统作用 收集有关入侵活动的信息 加强系统的安全措施 三种安全检测技术 1.审计追踪 2.入侵检测 3.隐蔽信道检测 3.2.5 安全检测 * 3.3.1 身份认证的目的和基本功能 3.3.2 身份认证的基本方法 3.3.3 证书的概念和类型 3.3.4 证书的内容和使用 3.3 身份认证 * 认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性。 * 认证的目的 第一、验证信息的发送者是真的，而不是冒充的，此为实体认证；包括信源、信宿等的认证和识别 。 第二、验证信息的完整性，验证数据在传送或存储中未被篡改、重放或延迟等，此为消息认证。 3.3.1 身份认证的目的与基本功能 * 认证功能 1）可信性：信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者所发出的。 2）完整性：要求信息在传输过程中保证其完整性，也即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。 3）不可抵赖性：要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息。 4）访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。 * 1、身份认证的单因素法（口令） 2、双因素法（智能卡加服务器中存入某个事先由用户选择的随机数 ） 3、一次性口令机制（每次用户登录系统时口令互不相同 ） 3.3.2 身份认证的基本方法 * 3.3.3 证书的概念和类型 1、证书的概念 证书也叫数字证书、数字凭证、数字标识，是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。证书需要由社会上公认的可靠组织发行，如果由于它签发的证书造成不恰当的信任关系，该组织需要负责任。 例如用户证书证实用户拥有一个特别的公钥，服务器证书证实某一特定的公钥属于这个服务器。证书由发证机构(认证授权中心．简称CA，Certificate Authority)发行，其中含有掌握相应密钥的证卡者的确切身份或其他属性。这些机构负责在发行证书前证实个人身份和密钥所有权。 * * 认证机构的层次体系 CA认证体系通常以各种基本加密算法为基础，同时采用各种基本安全技术，为上层的安全应用协议提供证书认证功能。 根CA 持卡人CA （CCA） 持卡人证书 品牌CA 区域CA 商家CA （MCA） 支付网关CA （PCA） 商家证书 支付网关证书 * 2、证书的类型 1）个人证书（客户证书) 这种证书证实客户身份和密钥所有权。在某些情况下，服务器可能在建立SSL连接时要求客户证书来证实客户身份。为了取得个人证书，用户可向某一CA申请，CA经过审查后决定是否向用户颁发证书。 * 2）服务器证书（服务器证书） 这种证书证实服务器的身份和公钥。当与客户建立SSL连接时，服务器格它的证书传送给客户。当客户收到证书后，客户检查证书是由哪家CA发行的，这家CA是否被客户所信任。如果客户不信任这家CA，浏览器会提示用户接受或拒绝这个证书。在Netscape Navigator中，用户可以选择总是接受某一站点的证书。如果用户选择这个选项，这个站点的证书被存在用户计算机的数据库里。用户可以看到这些证书。在Netscape服务器里，管理员可以看到这个服务器的服务器证书。 * 3）安全邮件证书 这种证书证实电子邮件用户的身份和公钥。有些传送安全电子邮件的应用程序使用证书来验证用户身份和加密解密消息。 * 4）CA证书 这种证书证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)。在Netscape Navigator里，用户可以看到浏览器所接受的CA证书，也可以选择他们是否信任这些证书。在Netscape服务