第五章 电子商务的认证机制.ppt

用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。 这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击。 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。 5.2.1 证书 1．数字证书的概念 数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。 数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。数字证书提供了一种在网上验证身份的方式，主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 数字证书(公钥证书)的结构 2.数字证书的内容 数字证书的内部格式遵循X.509标准。X.509是由国际电信联盟(ITU—T)制定的数字证书标准。根据这项标准，证书包括申请证书个人的信息和发行证书机构的信息。 l? 证书拥有者的姓名；证书所有人的名称，命名规则一般采用X.500格式； l? 证书的版本信息。用来与X.509标准的将来版本兼容。 l? 证书的序列号。每个证书都有一个唯一的证书序列号。 l? 证书所使用的签名算法。 l? 颁发者。即证书的发行机构名称，命名规则一般采用X.500格式。 l? 证书的有效期限。现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； l? 证书主题名称。 l? 证书所有人的公开密钥。包括公钥算法、公钥的位字符串表示（只适用于RSA加密体制）； l? 包含额外信息的特别扩展。 l? 证书发行者对证书的签名。 4 数字证书原理简介 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名； 同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。 当发送一份必威体育官网网址文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。 课题讨论 ：认证中心的本质 （CA--Certificate Authority）。 也称之为电子证书认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。 5.4 我国CA的发展及实例 我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。 在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。 在非金融CA方面，最初主要由中国电信负责建设。 在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一般脱机进行。 品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。 ⑶ 广东CA及“网证通”（NETCA）系统 广东省电子商务认证中心是国家电子商务的试点工程，其前身是中国电信南方电子商务中心，创立于1998年。2001年1月，广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测，被认定为安全可信的产品。2001年8月，国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心，成为国内提供网络安全认证服务的重要力量。 随着中国IT网络业的飞速发展，作为南中国首屈一指的安全认证机构，广东省电子商务认证中心联合海南、湖北、重庆、广西、河北等地的电子商务认证中心建立了全国最具影响力最具权威性的电子认证体系之一的“网证通”认证体系，提供电子身份认证、数字证书签发、密钥与证书管理服务、电子商务解决方案和电子商务顾问咨询等服务。 ⑷ 上海CA（SHECA） 上海市CA中心是中国第一个CA认证中心，创建于1998年， 经过国家批准并被列为信息产业部全国的示范工程。 中国协卡认证体系（SHECA）是在遵循PKI架构标准体系基础上，根据中国国情，由上海、北京、天津三地发起，由上海市电子商务安全证书管理中心有限公司（简称上海CA中心）设计、建设、并组织运行，联合国内多家CA机构和地区行业联合共建的认证体系。其宗旨是为互联网络交易和作业的主体提供网上身份认证和信任服务，保证交易主