第四章网络支付安全介绍.ppt

3. 与网络支付有关的数字证书的类型 个人证书(客户证书)： 证实客户(例如一个使用IE的个人)身份和密钥所有权。例如，在网络支付时，服务器可能在建立SSL连接时，要求客户证书来证实客户身份。为了取得个人证书，用户可向某一CA申请，CA经过审查后决定是否向用户颁发证书。 服务器证书(站点证书) ： 　　证实如电子商务服务器的身份和公钥。当与客户建立SSL连接时，服务器将它的证书传送给客户。当客户收到证书后，客户检查证书是由哪家CA发行的，这家CA是否被客户所信任。如果客户不信任这家CA，浏览器会提示用户接受或拒绝这个证书。 支付网关证书： 如果在网络支付时利用第三方的支付网关，那么这个第三方要为支付网关申请一个数字证书，以证实自己的身份。 认证中心CA证书： 　　证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)。在IE浏览器里，用户可以看到浏览器所接受的CA证书，也可以选择他们是否信任这些证书。在服务器端，管理员可以看到服务器所接受的CA证书，也可以选择是否信任这些证书。 4. 数字证书的有效性与使用 只有下列条件都为真时，数字证书才有效： (1)证书没有过期。所有的证书都有一个期限，可以检查证书的期限来决定证书是否有效。 (2)密钥没有被修改。如果密钥被修改，就不应该再继续使用，密钥对应的证书就应被视为无效。 (3)CA负责回收证书，并发行无效证书清单。证书必须不在CA发行的无效证书清单中。 　数字证书的认证使用： 　　当把数字证书传送给某人或某站点时，并将消息用自己的私人密钥加密，接收者就能用证书里的公钥来证实你的身份。 二、认证中心CA 　　在传统商务中，用来认证商户身份的认证证书大多是被认为公正的第三方机构如政府部门颁发的。而作为电子商务平台的Internet上是没有“政府”的，因此也必须建立网上的第三方公正的“认证中心”机构，来负责颁发签名所述的“数字证书”和检验“网上商户身份”的工作。 1. 建立认证中心CA的必要性 2. 认证中心CA的定义 　　认证中心，简称CA，即 Certification Authority，是一个公正的、有权威性的、独立的（第三方的）、广受信赖的组织，负责电子商务中数字证书的发行和管理。 　　一个完整安全的电子商务活动，如在网络支付结算中，必须要有认证中心的参与。因此在社会上必须建立具有绝对权威性的认证中心CA，这样的认证中心能确保所有交易过程的安全性。各电子商务商家和用户上网注册加入到已有的认证中心中，从而开展安全的电子商务。 3. 认证中心CA的技术基础 CA的角色是重要的，不仅要拥有第三方要求并且保持公正、具备良好信誉之外，关键是CA的建立与运作需要强大的技术支撑，因此其涉及许多先进的密码技术。 CA的技术基础是PKI体系。英文Public Key Infrastructure, 意为公开密钥体系或公开密钥基础，是一种遵循既定标准的密钥管理平台，能为所有网络应用服务提供加密和数字签名等密码服务及其必需的密钥证书管理体系。它是信息安全技术的核心，也是电子商务交易与网络支付的关键和基础技术。 PKI基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。一个完整PKI系统的基本构成包括权威的认证中心CA，数字证书库，密钥备份及恢复系统，证书作废系统，应用接口等。其中，CA作为数字证书的签发与管理机构，公开密钥的承载者，是PKI的核心部分。 CA认证数字证书采用一种树形验证结构。 　(1)生成密钥对及CA证书：CA要向交易各方颁发证书，必须生成公钥体系中自己的密钥对，并对私钥进行有效的保护，以利于签名的使用。 　(2)验证申请人的身份：网络支付的交易各方，如持卡人、商家、支付网关等在向CA申请数字证书时，CA必须对其真实的身份进行认证，防止数字证书被冒领。 　(3)颁发数字证书：CA系统必须能在Internet上接收交易各方的证书申请，在签名验证申请者的真实身份并且通过资格检查后，有CA签名的申请者的数字证书将在线发送或离线给申请者。 　(4)证书以及持有者身份认证查询：借助CA服务器，可在线查询证书的生成情况，也可在线认证证书持有者，CA必须保证24h×365day的跨区域服务，且需拥有足够的带宽，保证较快的查询速度。 　(5)证书管理及更新 (6)吊销证书：根据持有者的应用情况，可在数字证书有效期内使其无效，并且公布于众。 (7)制定相关政策：CA的政策是指CA必须对新人它的事务各方负责。 (8)有能力保护数字证书服务器的安全。 4. 认证中心CA的主要功能 5. 认证中心CA的组成框架 证书的发放过程实际上由两大部