电子商务安全课件3.pptVIP

5.4.1認證中心1．證書在一個電子商務系統中，所有參與活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統中的其他實體證明自己的身份，另一方面由於每份證書都攜帶著證書持有者的公鑰（簽名證書攜帶的是簽名公鑰，加密證書攜帶的是加密公鑰），所以，證書也可以向接收者證實某人或某個機構對公開密匙的擁有，同時也起著公鑰分發的作用。在電子商務系統中，所有實體的證書都是由證書授權中心（CA認證中心）分發並簽名的。一個完整的、安全的電子商務系統必須建立起一套完整的、合理的CA認證體系。簡言之，證書就是用戶在網上的電子身份證，同日常生活中使用的身份證作用一樣。CA相當於網上公安局，專門發放、驗證身份證。5.4.1認證中心2．CA中心CA是CertificateAuthority的縮寫，意思是“證書授權”。證書授權中心，即CA認證中心就是承擔網上安全電子交易認證服務，負責發放和管理數字證書的權威機構。對於一個大型的應用環境，認證中心往往採用一種多層次的分級結構（樹型驗證結構），各級的認證中心類似於各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。目前在全球處於領導地位的認證中心是美國的VeriSign公司。該公司創建於1995年4月，總部在美國加州的MountainView。VeriSign公司所提供的數字憑證服務已經遍及全世界50個國家，接受該公司的伺服器數字憑證的Web站點已超過45000個，而使用該公司個人數字憑證的用戶已超過200萬名。5.4.1認證中心3．CA的作用CA中心為用戶發放的數字證書是一個有該用戶的公開密鑰及個人資訊並經證書授權中心數字簽名的檔。由於CA的數字簽名使得攻擊者不能偽造和篡改證書，因此，證書便向接收者證實了某人或某機構對公開密鑰的擁有。與其進行交易的身份不必懷疑，對方傳來的數據是帶有其身份特徵而且是不可否認的。CA也擁有一個證書（內含公鑰），當然，它也有自己的私鑰，所以它有簽字的能力（CA簽字實際上是經過CA私鑰加密的資訊，簽字驗證的過程還伴隨使用CA公鑰解密的過程）。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），來驗證其簽發的證書。如果用戶想得到一份屬於自己的證書，他應向CA提出申請，請CA為之分配一個公鑰，CA將該公鑰和他的身份資訊綁在一起，並為之簽字，形成證書發給那個用戶。5.4.1認證中心如果一個用戶想鑒別另一個證書的真偽，他就用CA的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。CA除了簽發證書之外，它的另一個重要作用是證書和密鑰的管理。5.4.2基本認證技術基於對稱密鑰、公開密鑰以及安全Hash函數等基本安全技術和演算法，電子商務採用以下幾種認證技術來解決電子商務應用中遇到的各種問題。1）資訊摘要方法解決了資訊的完整性問題。2）採用數字信封技術保證數據的傳輸安全。3）採用數字簽名技術進行發送者的身份認證，並同時保證數據的完整性、完成交易的不可否認性。4）採用口令字技術或公開密鑰技術進行身份認證。5.4.2基本認證技術1．資訊摘要資訊摘要是一個惟一的對應一個資訊的值，它由單向Hash加密演算法對一個資訊作用而生成的，有固定的長度。所謂單向是指不能被解密。不同的資訊其摘要不同，相同的資訊摘要相同，摘要成為資訊“指紋”，以驗證資訊是否是“真身”。發送端將資訊和摘要一同發送，接收端收到後，Hash函數對收到的資訊產生一個摘要，與收到的摘要對比，若相同，則說明收到的資訊是完整的，在傳輸過程中沒有被修改，否則，就是被修改過，不是原資訊。資訊摘要方法解決了資訊的完整性問題，資訊摘要過程如圖5-5所示。5.4.2基本認證技術圖5-5資訊摘要過程Hash演算法原文摘要摘要對比？原文摘要InternetHash演算法發送方接收方5.4.2基本認證技術2．數字信封數字信封技術結合了對稱密鑰和公開密鑰加密技術的優點，並可克服對稱密鑰加密中對稱密鑰分發困難和公開密鑰加密中加密時間長的問題。它使用兩個層次的加密，從而既有公開密鑰技術的靈活性，又有對稱密鑰技術的高效性。數字信封技術在外層使用公開密鑰加密技術，享受到公開密鑰技術的靈活性；內層的對稱密鑰長度通常較短，使得公開密鑰加密的相對低效率被限制在最低限度。數字信封的過程為：使用對稱密鑰來加密數據，然後將此對稱密鑰