《电子商务安全与支付》课件第4章-电子商务认证技术及应用.pptx

《《电子商务安全与支付》课件第4章-电子商务认证技术及应用.pptx》由会员分享，可在线阅读，更多相关《《电子商务安全与支付》课件第4章-电子商务认证技术及应用.pptx（42页珍藏版）》请在咨信网上搜索。

单击此处编辑母版标题样式,编辑母版文本样式,第二级,第三级,第四级,第五级,2020/6/14,#,第,四,章,电子商务,认证技术及应用,电子商务安全与支付,本章导入,为了,保证电子商务活动的正常开展，国家自,2005,年起相继颁布了,中华人民共和国电子签名法,电子支付指引,(,第一号,),等法令法规。电子支付业务类型按指令发起方式，可分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员交易和其他电子支付。,此前颁布的,中华人民共和国电子签名法,，也明确电子支付中数字签名的法律地位，但是对于银行是否必须采用第三方认证还缺乏硬性规定。中国金融认证中心总经理李晓峰说：“如果银行不通过第三方认证机构，那么就可能存在既当运动员又当裁判员的现象，这将会影响到客户对交易安全的信任。”,电子支付指引,(,第一号,),指出：“银行采用数字证书方式时，应当有合法的第三方认证机构提供认证服务，以保证电子支付交易认证的公正性。”,第三节,公,钥基础设施,PKI,技术应用,目录,第二,节,数字,证书的安装和使用,CONTENTS,第一节,认识,身份认证技术,掌握身份认证的概念和类型,。,熟悉常用的身份认证,方式,。,知识目标,能够顺利进行网上身份认证,。,技能目标,第一,节,认识,身份认证技术,认证,（,Authentication,）是指对主客体身份进行确认的过程。身份认证（,Identity Authentication,）也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。,一,.,身份认证的概念,第,一,节,认识,身份认证技术,（,1,）静态密码认证,静态,密码认证是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。,（,2,）动态口令认证,动态,口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一,密。,二,.,常用的身份认证方式,（,3,）,USB Key,认证,采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。其身份认证系统主要有两种认证模式：基于冲击,/,响应模式和基于,PKI,体系的认证模式。,二,.,常用的身份认证方式,第,一,节,认识,身份认证技术,（,4,）,生物识别技术,生物,识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户区别于其他用户的唯一生理特征或行为方式。生理特征包括声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和,DNA,等，行为特征包括签名、语音、行走步态等。,二,.,常用的身份认证方式,第,一,节,认识,身份认证技术,第一,节,认识,身份认证技术,（,5,）,CA,认证,国际,认证机构通称为,CA,，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即,CA,认证过程。,二,.,常用的身份认证方式,1,.Basic,认证模式,Basic,认证模式是较早被广泛应用的一种,HTTP,标准提供的认证模式。最常见的形式之一就是在,url,中直接写上用户名密码向服务器提供身份。,在,Basic,模式之中，每次向服务器请求受保护资源的时候都要在,url,中带上明文或仅被,Base64,编码过的用户名密码。而且在这种模式下，如果我们要实现“记住登录状态”功能，就需要将用户名密码这样的敏感信息直接缓存在浏览器中。这样就形成了它最主要的两个缺点，一是每个请求中都要带有用户名和密码凭据，二是安全性堪忧。,第一节 认识身份认证技术,三、身份认证技术,2.,基于,session,的认证模式,为了,解决每次请求敏感资源都要带有用户名密码凭证的问题，,Web,开发者们形成了一套基本的实践模式，就是将用户认证后的身份存储于服务端管理的会话（,session,）之中，以此来减少使用过程中对凭据的传输。,用户,想要请求受保护资源，先要登录，向服务端发送用户名密码。服务端验证用户名密码成功之后将用户的身份验证标识存储在,session,中，然后将,sessionId,（一个,session,的,key,）存储在,cookie,中。之后当用户再去请求受保护资源的时候，只要携带好,cookie,中的,sessionId,就可以验证其身份，返回受保护资源了。,第一节 认识身份认证技术,三、身份认证技术,3.,基于,cookie,的认证模式,既然,使用,session,会产生诸多的问题，需要一种优化方案来解决这种问题，于是出现了将认证信息直接存储在客户端的,cookie,中。但是存储在客户端还会面临着一系列的安全问题。例如，用户直接在,cookie,中以用户,id,存储标识，甚至自己篡改,cookie,改成别的用户,id,，就可以切换自己的身份，为了避免这类情况，就要涉及,cookie,信息加密和解密。,第一节 认识身份认证技术,三、身份认证技术,第三,节,公,钥基础设施,PKI,技术应用,目录,第二,节,数字,证书的安装和使用,CONTENTS,第一节,认识,身份认证技术,掌握数字证书的定义和分类,。,了解数字证书的,作用,。,知识目标,能够在网上申请下载安装个人数字,证书,。,技能目标,一、数字证书的定义,数字,证书又称为数字标识，是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在互联网的身份证。,第二节 数字证书的安装和使用,一、数字证书的定义,从,数字证书的技术角度分，,CA,中心发放的证书分为两类：,SSL,证书和,SET,证书,。,从,数字证书使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。,第二节 数字证书的安装和使用,二、数字证书的分类,1,.,个人身份证书,数字,证书的标准有,X.509,证书、简单,PKI,证书、,PGP,证书和属性证书几种，其中,X.509,格式证书是被广泛使用的数字证书标准，是用于标志通信各方身份信息的一系列数据。,2,.,企业或机构身份证书,符合,X.509,标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于,E-key,或,IC,卡中，可以用于企业在电子商务方面的对外,活动。签订,、网上证券交易、交易支付信息等方面。,第二节 数字证书的安装和使用,二、数字证书的分类,3,.,支付网关证书,支付,网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务,(,互联网 上各种安全协议与银行现有网络数据格式的转换）,。,4.,服务器证书,符合,X.509,标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通信中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于,E-key,中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。,第二节 数字证书的安装和使用,二、数字证书的分类,5.,企业或机构代码签名证书,代码,签名证书是,CA,中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及,CA,的签名。软件提供商使用代码签名证书对软件进行签名后放到 互联网 上，当用户在 互联网 上下载该软件时，将会得到提示，从而可以确信软件的来源；软件自签名后到下载前，没有遭到修改或破坏,。,6,.,安全电子邮件证书,符合,X.509,标准的安全电子邮件证书，通过,IE,或,Netscape,申请，用,IE,申请的证书存储于,Windows,的注册表中，用,Netscape,申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的,Web,服务器,(Https,服务,),表明身份。,第二节,数字证书的安装和使用,二、数字证书的分类,7,个人代码签名证书,个人,代码签名证书是,CA,签发给软件提供人的数字证书，包含软件提供人的身份信息、公钥及,CA,的签名。软件提供人使用代码签名证书对软件进行签名后放到互联网上，当用户在互联网上下载该软件时，将会得到提示，从而可以确信软件的来源，以及软件自签名后到下载前，没有遭到修改或破坏。,第二节 数字证书的安装和使用,二、数字证书的分类,第一,，安全性。用户申请证书时会有两份不同证书，分别用于工作电脑以及用于验证用户的信息交互，即使他人窃取了证书，也无法获取用户的账户信息，保障了账户信息。,第二,，唯一性。数字证书依用户身份不同给予其相应的访问权限，若换电脑进行账户登录，而用户无证书备份，其是无法实施操作的，只能查看账户信息，数字证书就犹如“钥匙”一般，所谓“一把钥匙只能开一把锁”，就是其唯一性的体现。,第三,，便利性。用户可即时申请、开通并使用数字证书，且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理，就能够直接通过数字证书来进行安全防护，十分便捷高效,。,第二节,数字证书的安装和使用,三数字证书的,特点,一,信息的保密性,二,交易者身份的确定性,三,不可否认性,四,不可修改性,第二节 数字证书的安装和使用,四数字证书的作用,第三,节,公,钥基础设施,PKI,技术应用,目录,第二,节,数字,证书的安装和使用,CONTENTS,第一节,认识,身份认证技术,掌握,PKI,的概念,。,熟悉,PKI,的体系结构,。,熟悉,PKI,的应用和发展,趋势,。,知识目标,能够通过操作获取私钥和公,钥,。,技能目标,PKI,是,Public Key Infrastructure,的缩写，意为“公钥基础设施”。简单地说，,PKI,技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性，如图,4-5,所示。目前，公钥体制广泛地用于,CA,认证、数字签名和密钥交换等领域。,第三节,公钥基础设施,PKI,技术应用,一,PKI,的,概念,第三节,公钥基础设施,PKI,技术应用,（,1,）认证,在,现实生活中，认证采用的方式通常是两个人事前进行协商，确定一个秘密，然后，依据这个秘密进行相互认证。随着网络的扩大和用户的增加，事前协商秘密会变得非常复杂，特别是在电子政务中，经常会有新聘用和退休的情况。另外，在大规模的网络中，两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难，而且当网络规模巨大时，密钥管理中心甚至有可能成为网络通信的瓶颈。,第三节,公钥基础设施,PKI,技术应用,二,PKI,技术的信任服务,（,2,）支持密钥管理,通过,加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。在需要通信时，可以在认证的基础上协商一个密钥。在大规模的网络中，特别是在电子政务中，密钥恢复也是密钥管理的一个重要方面。政府可以通过法定的手续解密其通信内容，保护政府的合法权益。,PKI,能够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制。,PKI,的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力，保证网上活动的健康有序发展。,第三节,公钥基础设施,PKI,技术应用,二,PKI,技术的信任服务,（,3,）完整性与不可否认,完整性,与不可否认是,PKI,提供的最基本的服务。一般来说，完整性也可以通过双方协商一个秘密来解决，但一方有意抵赖时，这种完整性就无法接受第三方的仲裁。而,PKI,提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的,。,“不可否认”,就是通过这样的,PKI,数字签名机制来提供服务的。当法律许可时，该“不可否认性”可以作为法律,依据。,正确使用时，,PKI,的安全性应该高于目前使用的纸面图章系统。,第三节,公钥基础设施,PKI,技术应用,二,PKI,技术的信任服务,1,.,通过,PKI,可以构建一个可管、可控、安全的互联网络,2,.,通过,PKI,可以在互联网中构建一个完整的授权服务体系,3.,通过,PKI,可以建设一个普适性好、安全性高的统一平台,第三节,公钥基础设施,PKI,技术应用,三,PKI,技术的意义,一,个典型的,PKI,系统包括,PKI,策略、软硬件系统、认证机构,CA,、证书,/CRL,库、证书撤销处理系统、密钥备份及恢复系统和应用程序接口等,部分。,第三,节,公,钥基础设施,PKI,技术应用,四,PKI,的系统结构,1.PKI,策略,PKI,策略体系的建立和运行是需要一套策略的，如,CA,可以为哪些人颁发证书,颁发证书的流程是怎样的,这都需要一套策略来指导。,PKI,策略是一个包含增强和支持安全策略的一些操作过程的详细文档。在,PKI,中有两种类型的策略,:,一是证书策略,(CP),用来说明证书的适用范围或应用分类,例如证书策略可以限定证书的用户群、用户使用证书的目的等,;,另一种是认证惯例声明,(CPS),它是一份详细的文档,包括如何建立和执行,CA,如何发行、接受和废除证书,如何生成、注册和鉴定密钥,以及如何确立证书的存放位置和如何让用户使用。,第三节,公钥基础设施,PKI,技术应用,四,PKI,的系统结构,2,.,软硬件系统,软硬件,系统是,PKI,系统运行所需硬件和软件的集合,主要包括认证服务器、目录服务器、,PKI,平台、应用程序接口、数据库等。,3,.,密钥备份与恢复系统,（,1,）当用户证书生成时,用户公钥即被,PKI,备份存储。,（,2,）当需要恢复密钥时,用户只需向,CA,提出申请即可；但须注意,密钥备份与恢复系统只能备份用户的公钥,不能备份私钥。,（,3,）归档密钥,如当一个公司的员工辞职时,PKI,系统管理员一方面要使该证书作废,使证书中的公钥,无效,第三节,公钥基础设施,PKI,技术应用,四,PKI,的系统结构,4.PKI,应用程序接口系统,(,1),为使用公钥证书的所有应用提供支持，以完成证书的验证工作。,(2),为应用程序提供统一的密钥备份与恢复支持,向应用提供历史密钥的安全管理服务。,(3),阻止备份私钥的行为。,(4),实现密钥更新的自动、透明与一致。,(5),为所有用户访问统一的公用证书库提供支持。,(6),向所有应用提供统一的证书撤销处理服务。,(7),完成交叉证书的验证工作,为所有应用程序提供统一模式的交叉验证支持。,(8),接口系统支持多种密钥存放介质,包括,IC,卡、安全文件等,并有相应的防复制技术。,第三节,公钥基础设施,PKI,技术应用,四,PKI,的系统结构,5.PKI,的部署,部署,PKI,时,推荐将,PKI,的主要功能部件放在各自分开的系统中,即,CA,放在一台主机中,RA,放在另一台主机中,而目录服务器又放在其他系统中。,CA,系统尤为重要,因为,CA,出现一点问题就可能使整个,PKI,瘫痪,从而不得不重新签发所有的证书。因此建议将,CA,放在专设的防火墙之后,这样它就可以得到互联网防火墙和企业内的防火墙的双重保护。当然,企业内的防火墙应允许,CA,与,RA,及其他系统之间进行通信，如果不同,PKI,之间想互相访间对方的证书,它们的目录对对方必须是可用的,与此同时,目录服务器可能包含对于组织来说比较敏感的不适合公用的数据,。,第三节,公钥基础设施,PKI,技术应用,四,PKI,的系统结构,1,.,在身份认证方面的应用,PKI,技术通过数字证书来进行身份认证，数字证书就相当于交易实体方的身份证明，通过公钥绑定用户的个人信息，包括个人标识信息及其电子交易中的账号信息等，在每次电子交易的过程中，首先要通过验证数字证书是否有效来验证双方身份的合法性，只有验证通过，交易实体双方才能够建立相互信任的关系。其利用,PKI,进行身份认证的具体过程为：电子商务交易中发送的信息利用发送方的私钥进行加密，然后利用接收方的公钥再次进行加密；经过双重加密后把信息传输过去，然后再利用接收方的私钥，发送方的公钥进行解密，其中利用发送方的私钥进行加密和利用接收方的私钥进行解密的过程可以进行发送方、接收方身份的验证,。,第三节,公钥基础设施,PKI,技术应用,五,PKI,技术在电子商务安全方面的应用,2.,在信息传输方面的应用,在,电子商务的数据信息传输中，进行交易货物的价格、金额和数量等信息只希望让交易实体双方获取，这就需要在数据信息的传输过程中严格保密，,PKI,技术利用交易实体间的公钥和私钥相互配合实现对数据信息的加密和解密，这样就能够保证传输数据的机密性，在传输中即使数据被不法分子非法获取到，因为没有接收方的私钥，也无法解密传输信息，从而保证了传输数据的安全性。,3.,网络间信任关系的建立,信任,关系的建立由于网络的特殊性，商务交易的安全性备受买方和卖方的关注，交易双方建立对网络交易的信任是电子商务交易的前提。采用,PKI,技术，可以使合作伙伴之间的相互网络认证得以实现,。,第三节,公钥基础设施,PKI,技术应用,五,PKI,技术在电子商务安全方面的应用,随着,PKI,技术应用的不断深入，,PKI,技术本身也在不断发展与变化，近年来比较重要的变化有以下方面。,（,1,）属性证书,（,2,）漫游证书,（,3,）无线,PKI,（,WPKI,）,第三节,公钥基础设施,PKI,技术应用,六、,PKI,的发展趋势,本章总结,本章,主要介绍了身份认证的概念、方式和技术，数字证书的种类以及电子商务安全认证技术及其应用。认证方式包括短消息认证、动态口令认证、,UKEY,认证、生物识别技术等。掌握数字证书的申请和安装是电子商务安全的关键和重要内容。,思考题,1.,身份认证的方式包括哪些？,2.,数字证书的种类包括哪些？,3.PKI,技术的信任服务包含哪些方面？,4.,简述,PKI,技术在电子商务安全方面的应用。,课后训练,1,.,了解,Windows Server 2008,的安全机制，并尝试在,Windows Server 2008,下建立一个,CA,认证中心。,2.,了解个人数字证书的申请、安装的过程，在互联网上申请个人数字证书。,THANKS,