電子交易與支付7

1、第七章 電子交易與支付安全（下）,,學(xué)習(xí)目標(biāo)：,掌握數(shù)字證書(shū)的概念及常見(jiàn)的數(shù)字證書(shū)的種類(lèi)和使用方法掌握CA認(rèn)證的組成與運(yùn)作方式 了解數(shù)字簽名對(duì)電子交易與支付的安全管理重點(diǎn)： 數(shù)字證書(shū)、CA認(rèn)證難點(diǎn)： 數(shù)字簽名,§7-1 電子交易與支付的安全認(rèn)證系統(tǒng)概述,§7-1 電子交易與支付的安全認(rèn)證系統(tǒng)概述,§7-2 數(shù)字證書(shū),一、數(shù)字證書(shū)概念：1、定義：是由權(quán)威機(jī)構(gòu)－－CA證書(shū)

2、授權(quán)中心發(fā)行的，能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔。,為何要使用數(shù)字證書(shū),數(shù)字證書(shū)樣本,2、數(shù)字證書(shū)的格式與種類(lèi) ①格式：目前數(shù)字證書(shū)的格式普遍采用的是X.509 V3國(guó)際標(biāo)準(zhǔn)，內(nèi)容包括證書(shū)序列號(hào)、證書(shū)持有者名稱(chēng)、證書(shū)頒發(fā)者名稱(chēng)、證書(shū)有效期、公鑰、證書(shū)頒發(fā)者的數(shù)字簽名等.,②種類(lèi) ：個(gè)人數(shù)字證書(shū)：用于個(gè)人網(wǎng)上購(gòu)物、網(wǎng)上支付、簽訂電子合同等機(jī)構(gòu)身份證書(shū)：用于機(jī)構(gòu)在網(wǎng)上進(jìn)行稅務(wù)申報(bào)、招投標(biāo)、公文傳遞、訂購(gòu)、支付

3、等活動(dòng)安全電子郵件數(shù)字證書(shū)：用于加密和收發(fā)數(shù)字簽名郵件應(yīng)用服務(wù)器數(shù)字證書(shū)：確認(rèn)瀏覽器和服務(wù)器之間通信雙方的身份企業(yè)代碼簽名數(shù)字證書(shū)：用于對(duì)其提供的軟件代碼作數(shù)字簽名個(gè)人代碼簽名數(shù)字證書(shū)：用于對(duì)其提供的軟件代碼作數(shù)字簽名,二、數(shù)字證書(shū)的作用：身份認(rèn)證：核實(shí)持有者的身份機(jī)密性：加密文檔資料完整性：保證信息在傳遞過(guò)程中沒(méi)有被人修改不可抵賴(lài)性：判斷私鑰的持有者訪問(wèn)控制：控制發(fā)送的信息只供指定的人員訪問(wèn)其他應(yīng)用：訪問(wèn)安全站點(diǎn)、

4、發(fā)送安全電子郵件、網(wǎng)上證券交易、網(wǎng)上簽約、網(wǎng)上稅務(wù)等,,采用數(shù)字證書(shū)進(jìn)行身份認(rèn)證實(shí)例,,,,OA訪問(wèn)控制,,OA訪問(wèn)控制,,OA訪問(wèn)控制,,,,******,,,,,,,,,1、存儲(chǔ)在KEY盤(pán) KEY盤(pán)的外形如U盤(pán)，內(nèi)置了加密的芯片，是用于存儲(chǔ)數(shù)字證書(shū)的設(shè)備；外形小巧輕便，存儲(chǔ)容量小,三、數(shù)字證書(shū)的技能操作,2、查看保存在計(jì)算機(jī)里：在IE瀏覽器里點(diǎn)擊“工具”—“Internet選項(xiàng)”—“內(nèi)容”選項(xiàng)卡，可查看證書(shū)信息,,2、查

5、看保存在計(jì)算機(jī)里：在IE瀏覽器里點(diǎn)擊“工具”—“Internet選項(xiàng)”—“內(nèi)容”選項(xiàng)卡，可查看證書(shū)信息,,3、證書(shū)的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書(shū),,3、證書(shū)的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書(shū),3、證書(shū)的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書(shū),,3、證書(shū)的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書(shū),3、證書(shū)的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書(shū),,3、證書(shū)的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書(shū),3、證書(shū)的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝

6、數(shù)字證書(shū),3、證書(shū)的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書(shū),,§7-3 數(shù)字簽名,一、定義：數(shù)字簽名（又稱(chēng)電子簽章）是一種類(lèi)似寫(xiě)在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。,二、工作原理：1、數(shù)字簽名的全過(guò)程分兩大部分，即簽名與驗(yàn)證2、每個(gè)用戶(hù)的數(shù)字簽名擁有一對(duì)密鑰：公鑰和私鑰3、簽名由簽名者采用自己的私鑰進(jìn)行4、驗(yàn)證由接收者采用簽名人的公鑰進(jìn)行,數(shù)字簽名實(shí)現(xiàn)過(guò)程,采用數(shù)字簽

7、名實(shí)現(xiàn)數(shù)據(jù)完整、機(jī)密和抗抵賴(lài)實(shí)例,1、選擇數(shù)字證書(shū)，錄入待簽名信息,2、插入數(shù)字簽名，點(diǎn)擊“簽名驗(yàn)證”,3、明示簽名結(jié)果,4、修改待簽名信息原文,5、 “簽名驗(yàn)證”失敗,§7-4 CA認(rèn)證,一、CA認(rèn)證中心： CA認(rèn)證中心也稱(chēng)為數(shù)字證書(shū)認(rèn)證中心，證書(shū)授權(quán)中心（ Infrastructure）公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)，專(zhuān)門(mén)提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū)，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。,二、CA認(rèn)證中心

8、體系結(jié)構(gòu),注釋?zhuān)?CA認(rèn)證中心體系結(jié)構(gòu),安全服務(wù)器：面向普通用戶(hù)，用于提供數(shù)字證書(shū)的申請(qǐng)、瀏覽、撤銷(xiāo)列表以及證書(shū)下載等安全服務(wù)。CA服務(wù)器（核心）：負(fù)責(zé)證書(shū)的簽發(fā)。注冊(cè)機(jī)構(gòu)RA：審核證書(shū)資料，轉(zhuǎn)發(fā)CA頒發(fā)的證書(shū)和證書(shū)撤銷(xiāo)列表。LDAP服務(wù)器：提供目錄瀏覽服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器（核心）：認(rèn)證機(jī)構(gòu)的數(shù)據(jù)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。,三、CA認(rèn)證的功能,證書(shū)的頒發(fā)證書(shū)的更新證書(shū)的查詢(xún)證書(shū)的撤銷(xiāo)（作廢）證書(shū)的歸檔,認(rèn)證中心的服務(wù),

9、五、認(rèn)證中心作業(yè)流程,用戶(hù)申請(qǐng)與使用數(shù)字證書(shū)的一般程序如下： 1、用戶(hù)向金融機(jī)構(gòu)申請(qǐng)開(kāi)通網(wǎng)上銀行業(yè)務(wù)。2、銀行提供相關(guān)軟件及數(shù)字證書(shū)申請(qǐng)識(shí)別資。3、用戶(hù)安裝相關(guān)軟件后， 連上Internet 。4、用戶(hù)透過(guò)Internet到認(rèn)證中心(CA)申請(qǐng)數(shù)字證書(shū)5、用戶(hù)進(jìn)行轉(zhuǎn)帳、繳款及購(gòu)物付款等各項(xiàng)交易。 6、當(dāng)交易完成，用戶(hù)收到交易結(jié)果。,四、申請(qǐng)CA證書(shū)的方法,領(lǐng)取并填寫(xiě)證書(shū)申請(qǐng)表注：CA認(rèn)證機(jī)構(gòu)網(wǎng)上下載、CA認(rèn)證機(jī)構(gòu)受理點(diǎn)領(lǐng)取

10、提交申請(qǐng)表及有效證明資料接受審核受理點(diǎn)錄入審核用戶(hù)信息后，發(fā)放密碼信封申請(qǐng)人憑密碼信封序列號(hào)及其密碼到CA認(rèn)證機(jī)構(gòu)網(wǎng)站下載安裝CA證書(shū)。,需提交的證明資料,五、認(rèn)證中心作業(yè)流程,§7-5 中國(guó)金融認(rèn)證中心（CFCA）,一、中國(guó)金融認(rèn)證中心：（China Financial Certification Authority）中國(guó)金融認(rèn)證中心是經(jīng)中國(guó)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威的安全認(rèn)證機(jī)構(gòu)，為網(wǎng)上金融

11、、電子商務(wù)、電子政務(wù)提供安全認(rèn)證服務(wù)；確保了網(wǎng)上信息傳遞雙方身份的真實(shí)性、信息的保密性和完整性、以及網(wǎng)上交易的不可否認(rèn)性。,二、CFCA體系結(jié)構(gòu),二、CFCA體系結(jié)構(gòu),CFCA體系結(jié)構(gòu)總體分為三層(1)根CA(2)政策CA：可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍(3) 運(yùn)營(yíng)CA：根據(jù)證書(shū)運(yùn)作規(guī)范發(fā)放證書(shū)，它由“CA系統(tǒng)”和“證書(shū)注冊(cè)審批機(jī)構(gòu)RA”兩大部分組成CA系統(tǒng)：證書(shū)簽發(fā)和管理，不直接面向用戶(hù)。RA系統(tǒng)：直接面向用戶(hù)，負(fù)責(zé)用戶(hù)身份

12、申請(qǐng)審核，向CA申請(qǐng)為用戶(hù)轉(zhuǎn)發(fā)證書(shū)。,三、CFCA證書(shū)種類(lèi)：,企業(yè)高級(jí)證書(shū)個(gè)人高級(jí)證書(shū)企業(yè)普通證書(shū)個(gè)人普通證書(shū)服務(wù)器證書(shū)手機(jī)證書(shū)安全E-mail證書(shū)VPN設(shè)備證書(shū)代碼簽名證書(shū),四、 CFCA數(shù)字證書(shū)的典型應(yīng)用,1.網(wǎng)上銀行2.網(wǎng)上證券3.網(wǎng)上申報(bào)與繳稅4.網(wǎng)上企業(yè)購(gòu)銷(xiāo)5.安全移動(dòng)商務(wù)(WAP/短信)6.企業(yè)級(jí)VPN部署7.基于數(shù)字簽名的安全E-mail、安全文檔管理系統(tǒng)8.基于數(shù)字簽名的TruePass系統(tǒng)