[理学]网上支付与电子商务安全-4.ppt

网上支付与电子商务安全 章学拯 zxz@ 电子商务安全 第1章 电子商务安全基础知识 第2章 信息加密技术与应用 第3章 数字签名技术与应用 第4章 数字证书与公钥基础设施 第5章 电子商务交易的安全协议 第6章 TCP/IP与WWW安全 第7章 防火墙的构造与选择 第8章 计算机病毒及其防治技术 第9章 网络攻击与防御 第4章 数字证书与公钥基础设施 第1节 公钥基础设施（PKI）基本概念 第2节 数字证书 第3节 证书生命周期管理 第4节 PKI相关标准 第5节 网站数字证书的申请和使用 实验要求 利用互联网查询国内CA认证机构业务状况； 利用相关网站提供的模拟操作，了解数字证书相关操作。 网上用户身份识别问题的思考 能否通过对方的公开密钥确认对方（包括设备、软件、系统进程等）的身份？ 解决方案基本思路 引入数字证书 通过一个结构化的数据，将某一成员的识别符和其公钥值通过某一可信成员的数字签名有效的捆绑在一起。 数字证书应用中的问题和解决方案 问题 密钥对如何生成和管理？ 如何安全获得对方的公开密钥？也就是如何确保你得到的一个公开密钥就一定是对方的公开密钥？ 公钥和身份如何建立联系？ 如何保证加密算法的统一？ 方案： 引入密钥管理中心（KMC）负责密钥对的生成、管理和分发。公钥分配不需要机密性，但需要完整性（不允许替代假冒）。因此，可采用统一管理和发布的方法。 引入数字证书(certificate)，通过证书把公钥和身份关联起来。 引入证书中心（Certificate Authority,CA），由该机构完成用户数字证书的管理和证书分发。 引入安全协议和证书标准，保证加密算法的统一，实现基于证书的安全服务。 基于以上解决问题的需要产生了公钥基础设施（PKI）。 公钥基础设施PKI PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。 PKI必须处理的问题 PKI的基本组成部分 PKI的功能 PKI的运行 PKI必须处理的问题 密钥的安全生成 初始身份的确认 证书的颁发、更新和终止 证书有效性检查 证书及相关信息的发布 密钥的安全归档和恢复 签名和时间戳的产生 信任关系的建立和管理 PKI的基本组成部分 公钥证书 （Cert） 证书注销列表（CRL） 认证机构（CA） 注册机构（RA） 证书仓库(Repository) 策略管理机构（PMA） 用户（User） PKI的功能 PKI的运行 1、署名用户向认证机构（CA）提出数字证书申请； 2、CA验明署名用户身份，并签发数字证书； 3、CA将证书公布到证书库中； 4、署名用户对电子消息数字签名作为发送认证，确保消息完整性，不可否认性，并发送给依赖方； 5、依赖方接收消息，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性； 6、证书库返回证书检查结果。 数字证书的基本概念 通过一个可信的第三方机构，审核用户的身份信息和公开钥信息，然后进行数字签名，则其他用户就可以用该可信的第三方机构的公开钥进行签名验证。从而确保用户的身份信息和公钥信息的一一对应。 由用户身份信息、用户公钥信息以及可信第三方机构所作的签名构成一个用户的身份数字证书。 证书类型 证书格式 证书生成和颁发 证书验证 证书类型 用户证书（最终实体的身份证书） 电子邮件证书 服务器端SSL证书 客户端SSL证书 代码签名证书 VPN证书 CA证书 WAP证书 …… CA证书（用于发布CA签名密钥） 自颁发证书 交叉证书 CA层次证书 CA层次结构 根CA具有一个自签名的证书，并对下面的CA进行签名。 对于用户而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的。 在CA的机构中，要维护这棵树。 在每个节点CA上，需要保存两种cert。 Forward Certificates: 其他CA发给它的certs。 Reverse Certificates: 它发给其他CA的certs。 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 证书中的签名算法 签发人名称 CA的名字 有效时间 起始和终止时间 主体名称 主体的公钥信息 算法、参数、密钥 签发人唯一标识符(v2) 主体唯一标识符(v2) 扩展域(v3) 签名 X.509证书结构——扩展域 密钥信息 政策信息 政策信息扩展项为CA发布关于一个特殊的证书应当怎样应用和怎样解释的信息提供了一种机制。 用户和CA属性 用户和CA属性扩展为一个用户或CA