電子交易與支付7

1、第七章 電子交易與支付安全（下）,,學(xué)習(xí)目標(biāo)：,掌握數(shù)字證書的概念及常見的數(shù)字證書的種類和使用方法掌握CA認(rèn)證的組成與運(yùn)作方式 了解數(shù)字簽名對(duì)電子交易與支付的安全管理重點(diǎn)： 數(shù)字證書、CA認(rèn)證難點(diǎn)： 數(shù)字簽名,§7-1 電子交易與支付的安全認(rèn)證系統(tǒng)概述,§7-1 電子交易與支付的安全認(rèn)證系統(tǒng)概述,§7-2 數(shù)字證書,一、數(shù)字證書概念：1、定義：是由權(quán)威機(jī)構(gòu)－－CA證書

2、授權(quán)中心發(fā)行的，能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔。,為何要使用數(shù)字證書,數(shù)字證書樣本,2、數(shù)字證書的格式與種類 ①格式：目前數(shù)字證書的格式普遍采用的是X.509 V3國(guó)際標(biāo)準(zhǔn)，內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等.,②種類 ：個(gè)人數(shù)字證書：用于個(gè)人網(wǎng)上購(gòu)物、網(wǎng)上支付、簽訂電子合同等機(jī)構(gòu)身份證書：用于機(jī)構(gòu)在網(wǎng)上進(jìn)行稅務(wù)申報(bào)、招投標(biāo)、公文傳遞、訂購(gòu)、支付

3、等活動(dòng)安全電子郵件數(shù)字證書：用于加密和收發(fā)數(shù)字簽名郵件應(yīng)用服務(wù)器數(shù)字證書：確認(rèn)瀏覽器和服務(wù)器之間通信雙方的身份企業(yè)代碼簽名數(shù)字證書：用于對(duì)其提供的軟件代碼作數(shù)字簽名個(gè)人代碼簽名數(shù)字證書：用于對(duì)其提供的軟件代碼作數(shù)字簽名,二、數(shù)字證書的作用：身份認(rèn)證：核實(shí)持有者的身份機(jī)密性：加密文檔資料完整性：保證信息在傳遞過程中沒有被人修改不可抵賴性：判斷私鑰的持有者訪問控制：控制發(fā)送的信息只供指定的人員訪問其他應(yīng)用：訪問安全站點(diǎn)、

4、發(fā)送安全電子郵件、網(wǎng)上證券交易、網(wǎng)上簽約、網(wǎng)上稅務(wù)等,,采用數(shù)字證書進(jìn)行身份認(rèn)證實(shí)例,,,,OA訪問控制,,OA訪問控制,,OA訪問控制,,,,******,,,,,,,,,1、存儲(chǔ)在KEY盤 KEY盤的外形如U盤，內(nèi)置了加密的芯片，是用于存儲(chǔ)數(shù)字證書的設(shè)備；外形小巧輕便，存儲(chǔ)容量小,三、數(shù)字證書的技能操作,2、查看保存在計(jì)算機(jī)里：在IE瀏覽器里點(diǎn)擊“工具”—“Internet選項(xiàng)”—“內(nèi)容”選項(xiàng)卡，可查看證書信息,,2、查

5、看保存在計(jì)算機(jī)里：在IE瀏覽器里點(diǎn)擊“工具”—“Internet選項(xiàng)”—“內(nèi)容”選項(xiàng)卡，可查看證書信息,,3、證書的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書,,3、證書的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書,3、證書的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書,,3、證書的導(dǎo)入和導(dǎo)出：①導(dǎo)出：備份存儲(chǔ)數(shù)字證書,3、證書的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書,,3、證書的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書,3、證書的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝

6、數(shù)字證書,3、證書的導(dǎo)入和導(dǎo)出：②導(dǎo)入：安裝數(shù)字證書,,§7-3 數(shù)字簽名,一、定義：數(shù)字簽名（又稱電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。,二、工作原理：1、數(shù)字簽名的全過程分兩大部分，即簽名與驗(yàn)證2、每個(gè)用戶的數(shù)字簽名擁有一對(duì)密鑰：公鑰和私鑰3、簽名由簽名者采用自己的私鑰進(jìn)行4、驗(yàn)證由接收者采用簽名人的公鑰進(jìn)行,數(shù)字簽名實(shí)現(xiàn)過程,采用數(shù)字簽

7、名實(shí)現(xiàn)數(shù)據(jù)完整、機(jī)密和抗抵賴實(shí)例,1、選擇數(shù)字證書，錄入待簽名信息,2、插入數(shù)字簽名，點(diǎn)擊“簽名驗(yàn)證”,3、明示簽名結(jié)果,4、修改待簽名信息原文,5、 “簽名驗(yàn)證”失敗,§7-4 CA認(rèn)證,一、CA認(rèn)證中心： CA認(rèn)證中心也稱為數(shù)字證書認(rèn)證中心，證書授權(quán)中心（ Infrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。,二、CA認(rèn)證中心

8、體系結(jié)構(gòu),注釋： CA認(rèn)證中心體系結(jié)構(gòu),安全服務(wù)器：面向普通用戶，用于提供數(shù)字證書的申請(qǐng)、瀏覽、撤銷列表以及證書下載等安全服務(wù)。CA服務(wù)器（核心）：負(fù)責(zé)證書的簽發(fā)。注冊(cè)機(jī)構(gòu)RA：審核證書資料，轉(zhuǎn)發(fā)CA頒發(fā)的證書和證書撤銷列表。LDAP服務(wù)器：提供目錄瀏覽服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器（核心）：認(rèn)證機(jī)構(gòu)的數(shù)據(jù)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。,三、CA認(rèn)證的功能,證書的頒發(fā)證書的更新證書的查詢證書的撤銷（作廢）證書的歸檔,認(rèn)證中心的服務(wù),

9、五、認(rèn)證中心作業(yè)流程,用戶申請(qǐng)與使用數(shù)字證書的一般程序如下： 1、用戶向金融機(jī)構(gòu)申請(qǐng)開通網(wǎng)上銀行業(yè)務(wù)。2、銀行提供相關(guān)軟件及數(shù)字證書申請(qǐng)識(shí)別資。3、用戶安裝相關(guān)軟件后， 連上Internet 。4、用戶透過Internet到認(rèn)證中心(CA)申請(qǐng)數(shù)字證書5、用戶進(jìn)行轉(zhuǎn)帳、繳款及購(gòu)物付款等各項(xiàng)交易。 6、當(dāng)交易完成，用戶收到交易結(jié)果。,四、申請(qǐng)CA證書的方法,領(lǐng)取并填寫證書申請(qǐng)表注：CA認(rèn)證機(jī)構(gòu)網(wǎng)上下載、CA認(rèn)證機(jī)構(gòu)受理點(diǎn)領(lǐng)取

10、提交申請(qǐng)表及有效證明資料接受審核受理點(diǎn)錄入審核用戶信息后，發(fā)放密碼信封申請(qǐng)人憑密碼信封序列號(hào)及其密碼到CA認(rèn)證機(jī)構(gòu)網(wǎng)站下載安裝CA證書。,需提交的證明資料,五、認(rèn)證中心作業(yè)流程,§7-5 中國(guó)金融認(rèn)證中心（CFCA）,一、中國(guó)金融認(rèn)證中心：（China Financial Certification Authority）中國(guó)金融認(rèn)證中心是經(jīng)中國(guó)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威的安全認(rèn)證機(jī)構(gòu)，為網(wǎng)上金融

11、、電子商務(wù)、電子政務(wù)提供安全認(rèn)證服務(wù)；確保了網(wǎng)上信息傳遞雙方身份的真實(shí)性、信息的保密性和完整性、以及網(wǎng)上交易的不可否認(rèn)性。,二、CFCA體系結(jié)構(gòu),二、CFCA體系結(jié)構(gòu),CFCA體系結(jié)構(gòu)總體分為三層(1)根CA(2)政策CA：可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍(3) 運(yùn)營(yíng)CA：根據(jù)證書運(yùn)作規(guī)范發(fā)放證書，它由“CA系統(tǒng)”和“證書注冊(cè)審批機(jī)構(gòu)RA”兩大部分組成CA系統(tǒng)：證書簽發(fā)和管理，不直接面向用戶。RA系統(tǒng)：直接面向用戶，負(fù)責(zé)用戶身份

12、申請(qǐng)審核，向CA申請(qǐng)為用戶轉(zhuǎn)發(fā)證書。,三、CFCA證書種類：,企業(yè)高級(jí)證書個(gè)人高級(jí)證書企業(yè)普通證書個(gè)人普通證書服務(wù)器證書手機(jī)證書安全E-mail證書VPN設(shè)備證書代碼簽名證書,四、 CFCA數(shù)字證書的典型應(yīng)用,1.網(wǎng)上銀行2.網(wǎng)上證券3.網(wǎng)上申報(bào)與繳稅4.網(wǎng)上企業(yè)購(gòu)銷5.安全移動(dòng)商務(wù)(WAP/短信)6.企業(yè)級(jí)VPN部署7.基于數(shù)字簽名的安全E-mail、安全文檔管理系統(tǒng)8.基于數(shù)字簽名的TruePass系統(tǒng)