1、 電子商務基礎電子商務基礎 6.3.1 身份認證身份認證 6.3.2 數字摘要數字摘要(Digital Digest) 6.3.3 數字簽名數字簽名(Digital Signature) 6.3.4 數字時間戳數字時間戳(Digital Time-stamp) 6.3.5 數字憑證數字憑證(Digital Certificate，Digital ID) 6.3.6 認證中心認證中心(Certification Authority簡稱簡稱CA) 電子商務基礎電子商務基礎 1.用戶所知道的某個秘密信息，如用戶知道自己的口令用戶所知道的某個秘密信息，如用戶知道自己的口令2.用戶所持有的某個秘密信息用

2、戶所持有的某個秘密信息(硬件硬件) 身份認證是判明和確認貿易雙方真實身份的重要環(huán)節(jié)，也是身份認證是判明和確認貿易雙方真實身份的重要環(huán)節(jié)，也是電子商務交易過程中最薄弱的環(huán)節(jié)。因為非法用戶常采用竊取電子商務交易過程中最薄弱的環(huán)節(jié)。因為非法用戶常采用竊取口令、修改或偽造、阻斷服務等方式對網絡交易系統(tǒng)進行攻擊，口令、修改或偽造、阻斷服務等方式對網絡交易系統(tǒng)進行攻擊，阻止系統(tǒng)資源的合法管理和使用。在目前電子交易中，用戶身阻止系統(tǒng)資源的合法管理和使用。在目前電子交易中，用戶身份認證可通過三種基本方式或其組合方式來實現：份認證可通過三種基本方式或其組合方式來實現：3.用戶所具有的某些生物學特征用戶所具有的某

3、些生物學特征電子商務基礎電子商務基礎 1.身份認證的單因素法身份認證的單因素法 2.基于智能卡的用戶身份認證基于智能卡的用戶身份認證 根據在認證中采用因素的多少，可以分為單因素認證、雙因根據在認證中采用因素的多少，可以分為單因素認證、雙因素認證、多因素認證等方法。素認證、多因素認證等方法。 P31 43.一次口令機制一次口令機制 請求響答方式 時鐘同步機制電子商務基礎電子商務基礎 數字摘要加密方法又可以稱為安全數字摘要加密方法又可以稱為安全Hash編碼法編碼法(Secure Hash Algorithm簡稱簡稱SHA)或或MD5(MDStandardsforMessageDigest)。該編碼

4、法由該編碼法由RonRivest所設計，采用單向所設計，采用單向Hash函數，將需加密函數，將需加密的明文的明文“摘要摘要”成一串成一串128bit的密文，這一串密文亦稱為的密文，這一串密文亦稱為數字數字指紋指紋(FingerPrint)，它有，它有固定的長度固定的長度，且不同的明文摘要而成，且不同的明文摘要而成的密文，其的密文，其結果總是不同結果總是不同的，而同樣的明文其的，而同樣的明文其摘要必定一致摘要必定一致。只有完全一致，才可以證明信息在傳送過程中是安全可靠，沒只有完全一致，才可以證明信息在傳送過程中是安全可靠，沒有被進行篡改的。有被進行篡改的。 P25 3電子商務基礎電子商務基礎 1

5、.公開密鑰數字簽名公開密鑰數字簽名 2.對文件的數字簽名對文件的數字簽名 數字簽名即以是數字化方式表明身份的標志信息。在書面文數字簽名即以是數字化方式表明身份的標志信息。在書面文件上簽名是日常生活中確認文件的一種最為常用的手段。簽名件上簽名是日常生活中確認文件的一種最為常用的手段。簽名的作用有兩點：一是因為自己的簽名難以否認，從而確認了文的作用有兩點：一是因為自己的簽名難以否認，從而確認了文件已經簽署這一事實；二是因為簽名不易被人模仿假冒，從而件已經簽署這一事實；二是因為簽名不易被人模仿假冒，從而確定了文件的真實性。確定了文件的真實性。電子商務基礎電子商務基礎 1.公開密鑰數字簽名公開密鑰數字

6、簽名 圖中M為明文，C為密文，KAd，、KAe和KBd，、KBe分別為用戶A和B的私鑰和公鑰 公開密鑰數字簽名示意圖公開密鑰數字簽名示意圖 電子商務基礎電子商務基礎 2.對文件的數字簽名對文件的數字簽名 對文件的數字簽名過程是通過一個哈希函數來實現的。將對文件的數字簽名過程是通過一個哈希函數來實現的。將待簽名的文件代人哈希函數，輸出得到的是一組定長的代碼，待簽名的文件代人哈希函數，輸出得到的是一組定長的代碼，這組代碼即是數字簽名。數字簽名代表著文件的特征，數字簽這組代碼即是數字簽名。數字簽名代表著文件的特征，數字簽名的值將隨著文件的變化而發(fā)生變化，也就是說，不同的文件名的值將隨著文件的變化而發(fā)

7、生變化，也就是說，不同的文件將得到不同的數字簽名。哈希函數對于發(fā)送數據的雙方都是公將得到不同的數字簽名。哈希函數對于發(fā)送數據的雙方都是公開的。要在公開的網絡上實現安全的文件傳輸，必須在文件中開的。要在公開的網絡上實現安全的文件傳輸，必須在文件中加入數字簽名及實現數字簽名的驗證。加入數字簽名及實現數字簽名的驗證。電子商務基礎電子商務基礎 1.需加時間戳的文件的摘要需加時間戳的文件的摘要 2. DTS收到文件的日期和時間收到文件的日期和時間 數字時間戳服務數字時間戳服務(DigitalTimestampService，簡稱，簡稱DTS)是由是由專門的機構提供電子文件發(fā)表時間的安全保護。時間戳專門的

8、機構提供電子文件發(fā)表時間的安全保護。時間戳(Timestamp)是一個經加密后形成的憑證文檔，它包括三個部分：是一個經加密后形成的憑證文檔，它包括三個部分：3. DTS的數字簽名的數字簽名 p25 10電子商務基礎電子商務基礎 Hash算法 原文 摘要 1 加時間 數字 時間戳 Internet 用 DTS 機構的私鑰加密 發(fā)送方 DTS 機構 Hash 算法 加了時間后的新摘要 摘要 1 摘要1 +時間 數字 時間戳 獲得數字時間戳的過程獲得數字時間戳的過程 p31 2電子商務基礎電子商務基礎 憑證擁有者的姓名憑證擁有者的姓名 憑證擁有者的公共密鑰憑證擁有者的公共密鑰 數字憑證又稱為數字證書

9、，是用電子手段來證實一個用戶的身數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網絡資源的訪問權限，由份和對網絡資源的訪問權限，由CA中心簽發(fā)。數字憑證的內部中心簽發(fā)。數字憑證的內部格式是由格式是由CCITYX509國際標準規(guī)定，它包含內容：國際標準規(guī)定，它包含內容：p28 1公共密鑰的有效期公共密鑰的有效期 頒發(fā)數字憑證的單位頒發(fā)數字憑證的單位 數字憑證的序列號數字憑證的序列號(SerialNumber) 頒發(fā)數字憑證單位的數字簽名頒發(fā)數字憑證單位的數字簽名 電子商務基礎電子商務基礎 1.安全電子郵件證書安全電子郵件證書2.個人數字證書個人數字證書 3.企業(yè)數字證書企業(yè)數字證書

10、5. SSL服務器數字證書服務器數字證書 4. 服務器數字證書服務器數字證書 電子商務基礎電子商務基礎 1.安全電子郵件證書安全電子郵件證書 個人安全個人安全E-mailE-mail證書是指個人用戶收發(fā)電子郵件時采用證書機證書是指個人用戶收發(fā)電子郵件時采用證書機制保證安全所必須具備的證書。它的申請不需要通過業(yè)務受理點，制保證安全所必須具備的證書。它的申請不需要通過業(yè)務受理點，由用戶直接通過自己的瀏覽器完成，用戶的密鑰對由瀏覽器產生由用戶直接通過自己的瀏覽器完成，用戶的密鑰對由瀏覽器產生和管理，密鑰位長為和管理，密鑰位長為512512位，證書裝載到瀏覽器中。另外，安全位，證書裝載到瀏覽器中。另外

11、，安全EmailEmail證書也可作為瀏覽器與證書也可作為瀏覽器與WebWeb站點建立安全站點建立安全SSLSSL連接的客戶端證連接的客戶端證書。安全書。安全E-mailE-mail證書可以直接到證書可以直接到CACA中心的站點申請，也可到開辦中心的站點申請，也可到開辦了該業(yè)務的當地站點申請。了該業(yè)務的當地站點申請。電子商務基礎電子商務基礎 用戶到用戶到CA中心申請安全中心申請安全Email證書的流程證書的流程 登錄電子商務網站，填寫申請表格登錄電子商務網站，填寫申請表格 用戶帶相關證明到用戶帶相關證明到CA中心進行審核中心進行審核 用戶填寫證書申請表格和證書申請協(xié)議書用戶填寫證書申請表格和證

12、書申請協(xié)議書 CA中心證書審核員對用戶信息進行審核，審核通過中心證書審核員對用戶信息進行審核，審核通過后為用戶生成口令，打印口令密碼信封，交給用戶后為用戶生成口令，打印口令密碼信封，交給用戶 用戶登錄電子商務網站，輸入密碼信封中的口令及用戶登錄電子商務網站，輸入密碼信封中的口令及個人個人E-mail帳號后，下載證書帳號后，下載證書 電子商務基礎電子商務基礎 用戶到當地申請安全用戶到當地申請安全Email證書的流程證書的流程 登錄電子商務網站，填寫申請表格登錄電子商務網站，填寫申請表格 用戶帶相關證明到當地的審核機關進行審核用戶帶相關證明到當地的審核機關進行審核 用戶填寫證書申請表格和證書申請協(xié)

13、議書用戶填寫證書申請表格和證書申請協(xié)議書 審核操作員對用戶信息進行審核，審核通過后為審核操作員對用戶信息進行審核，審核通過后為用戶生成口令，打印口令密碼信封，交給用戶用戶生成口令，打印口令密碼信封，交給用戶 用戶登錄電子商務網站，輸入密碼信封中的口令用戶登錄電子商務網站，輸入密碼信封中的口令及個人及個人E-mail帳號后，下載證書帳號后，下載證書 電子商務基礎電子商務基礎 一般個人證書是指個人使用電子商務應用系統(tǒng)應具備的證書。一般個人證書是指個人使用電子商務應用系統(tǒng)應具備的證書。一般個人證書通過業(yè)務受理點申請，用戶的密鑰對由一般個人證書通過業(yè)務受理點申請，用戶的密鑰對由RARA中心產生，中心產

14、生，密鑰位長為密鑰位長為10241024位，用于電子商務應用系統(tǒng)時，需要使用專用的位，用于電子商務應用系統(tǒng)時，需要使用專用的應用系統(tǒng)客戶端（如電子錢包）管理證書和密鑰，它的作用是保應用系統(tǒng)客戶端（如電子錢包）管理證書和密鑰，它的作用是保證與其他電子商務應用系統(tǒng)的安全通信。證與其他電子商務應用系統(tǒng)的安全通信。2.個人數字證書個人數字證書 電子商務基礎電子商務基礎 一般個人證書離線申請的流程一般個人證書離線申請的流程 1用戶帶相關證明到證書業(yè)務受理中心申請證書用戶帶相關證明到證書業(yè)務受理中心申請證書2用戶填寫證書申請表格和證書申請協(xié)議書用戶填寫證書申請表格和證書申請協(xié)議書3證書業(yè)務受理中心錄入人員

15、將數據錄入并提交給證書業(yè)務受理中心錄入人員將數據錄入并提交給RA中心中心4業(yè)務受理點的審核員通過離線方式審核申請者的業(yè)務受理點的審核員通過離線方式審核申請者的身份、能力和信譽等身份、能力和信譽等5審核通過后，審核通過后，RA中心向中心向CA中心轉發(fā)證書的申請中心轉發(fā)證書的申請請求請求電子商務基礎電子商務基礎 一般個人證書離線申請的流程一般個人證書離線申請的流程 6CA中心響應中心響應RA中心的證書請求，為該用戶簽中心的證書請求，為該用戶簽發(fā)證書并返回給發(fā)證書并返回給RA中心中心7RA中心將簽發(fā)的證書返回到地市業(yè)務受理中心中心將簽發(fā)的證書返回到地市業(yè)務受理中心8如果證書介質是如果證書介質是IC卡

16、方式，則由印卡操作員對相卡方式，則由印卡操作員對相應的應的IC卡進行印刷操作卡進行印刷操作9證書業(yè)務受理中心的制做操作員打印相應證書的證書業(yè)務受理中心的制做操作員打印相應證書的密碼信封，并將該用戶的證書灌制到證書介質中后密碼信封，并將該用戶的證書灌制到證書介質中后通知用戶領取通知用戶領取10用戶根據應用指南使用相關的證書業(yè)務用戶根據應用指南使用相關的證書業(yè)務 電子商務基礎電子商務基礎 企業(yè)證書是指單位、團體、企業(yè)作為被服務者，參與電子商務企業(yè)證書是指單位、團體、企業(yè)作為被服務者，參與電子商務應用系統(tǒng)時（如進行網上采購）應具備的證書。一般企業(yè)證書通應用系統(tǒng)時（如進行網上采購）應具備的證書。一般企

17、業(yè)證書通過業(yè)務受理點申請，經業(yè)務受理點的審核操作員一次審核完成申過業(yè)務受理點申請，經業(yè)務受理點的審核操作員一次審核完成申請，密鑰對由請，密鑰對由RARA中心產生，密鑰位長為中心產生，密鑰位長為10241024位，用于電子商務應位，用于電子商務應用系統(tǒng)時，需要使用專用的應用系統(tǒng)軟件（如電子錢包）管理證用系統(tǒng)時，需要使用專用的應用系統(tǒng)軟件（如電子錢包）管理證書和密鑰，它的作用是保證與其他電子商務應用系統(tǒng)的安全通信書和密鑰，它的作用是保證與其他電子商務應用系統(tǒng)的安全通信 。3.企業(yè)數字證書企業(yè)數字證書 電子商務基礎電子商務基礎 企業(yè)證書的申請操作流程企業(yè)證書的申請操作流程 1用戶帶相關證明到證書業(yè)務

18、受理中心申請證書用戶帶相關證明到證書業(yè)務受理中心申請證書2用戶填寫證書申請表格和證書申請協(xié)議書用戶填寫證書申請表格和證書申請協(xié)議書3業(yè)務受理中心錄入人員將數據錄入并提交給業(yè)務受理中心錄入人員將數據錄入并提交給RA中心中心4業(yè)務受理點的審核員通過離線方式審核申請者的業(yè)務受理點的審核員通過離線方式審核申請者的身份、能力和信譽等身份、能力和信譽等5審核通過后，審核通過后，RA中心向中心向CA中心轉發(fā)證書的申請中心轉發(fā)證書的申請請求請求電子商務基礎電子商務基礎 企業(yè)證書的申請操作流程企業(yè)證書的申請操作流程 6CA中心響應中心響應RA中心的證書請求，為該用戶簽中心的證書請求，為該用戶簽發(fā)證書并返回給發(fā)證

19、書并返回給RA中心中心7RA中心將簽發(fā)的證書返回到地市業(yè)務受理中心中心將簽發(fā)的證書返回到地市業(yè)務受理中心8如果證書介質是如果證書介質是IC卡方式，則由印卡操作員對相卡方式，則由印卡操作員對相應的應的IC卡進行印刷操作卡進行印刷操作9證書業(yè)務受理中心的制做操作員打印相應證書的證書業(yè)務受理中心的制做操作員打印相應證書的密碼信封，并將該用戶的證書灌制到證書介質中后密碼信封，并將該用戶的證書灌制到證書介質中后通知用戶領取通知用戶領取10用戶根據應用指南使用相關的證書業(yè)務用戶根據應用指南使用相關的證書業(yè)務 電子商務基礎電子商務基礎 服務器證書通過業(yè)務受理點申請，密鑰對由服務器證書通過業(yè)務受理點申請，密鑰

20、對由RARA中心產生，密鑰中心產生，密鑰位長為位長為10241024位，服務器證書用于電子商務應用系統(tǒng)中的服務器軟位，服務器證書用于電子商務應用系統(tǒng)中的服務器軟件向其余企業(yè)和個人提供電子商務應用時使用，證書和密鑰由服件向其余企業(yè)和個人提供電子商務應用時使用，證書和密鑰由服務器軟件自身管理。服務器軟件作為電子商務服務提供者，利用務器軟件自身管理。服務器軟件作為電子商務服務提供者，利用證書機制保證與其他服務器或個人通信的安全證書機制保證與其他服務器或個人通信的安全 。4. 服務器數字證書服務器數字證書 電子商務基礎電子商務基礎 服務器證書的申請操作流程服務器證書的申請操作流程 1用戶帶相關證明到證

21、書業(yè)務受理中心申請證書用戶帶相關證明到證書業(yè)務受理中心申請證書2用戶填寫證書申請表格和證書申請協(xié)議書用戶填寫證書申請表格和證書申請協(xié)議書3業(yè)務受理中心錄入人員將數據錄入并提交給業(yè)務受理中心錄入人員將數據錄入并提交給RA中心中心4業(yè)務受理點的審核員通過離線方式初步審核申請業(yè)務受理點的審核員通過離線方式初步審核申請者的身份、能力和信譽等者的身份、能力和信譽等5審核通過后，審核通過后，RA中心向中心向CA中心轉發(fā)證書的申請中心轉發(fā)證書的申請請求請求6CA中心證書審核操作員對提交的證書的申請進行中心證書審核操作員對提交的證書的申請進行復核，并保存審核結果復核，并保存審核結果電子商務基礎電子商務基礎 服

22、務器證書的申請操作流程服務器證書的申請操作流程 7CA中心簽名服務器為證書審核通過的用戶簽發(fā)證書中心簽名服務器為證書審核通過的用戶簽發(fā)證書 9RA中心定時從中心定時從CA中心得到已簽發(fā)的證書中心得到已簽發(fā)的證書 8如果證書介質是如果證書介質是IC卡方式，則由印卡操作員對相卡方式，則由印卡操作員對相應的應的IC卡進行印刷操作卡進行印刷操作11證書業(yè)務受理中心的制做操作員打印相應證書證書業(yè)務受理中心的制做操作員打印相應證書的密碼信封，并將該用戶的證書灌制到證書介質中的密碼信封，并將該用戶的證書灌制到證書介質中后通知用戶一同領取后通知用戶一同領取 12用戶根據應用指南使用相關的證書業(yè)務用戶根據應用指

23、南使用相關的證書業(yè)務 10業(yè)務受理中心定時將在此受理點申請的證書取回業(yè)務受理中心定時將在此受理點申請的證書取回 電子商務基礎電子商務基礎 SSLSSL服務器證書是服務器證書是Web ServerWeb Server與瀏覽器用戶建立安全連接時所與瀏覽器用戶建立安全連接時所必須具備的證書。它的申請不需要通過業(yè)務受理點，用戶的密鑰必須具備的證書。它的申請不需要通過業(yè)務受理點，用戶的密鑰對由相應的對由相應的Web ServerWeb Server自己產生和管理，申請證書時只需將自己產生和管理，申請證書時只需將Web Web ServerServer產生的證書申請數據包提交給產生的證書申請數據包提交給C

24、ACA中心即可，密鑰位長為中心即可，密鑰位長為512512位（或位（或10241024位），證書裝載到位），證書裝載到Web ServerWeb Server中中 。5. SSL服務器數字證書服務器數字證書 電子商務基礎電子商務基礎 SSL服務器證書的申請操作流程服務器證書的申請操作流程 1申請證書的申請證書的Web Server管理員在相應的管理員在相應的Web Server運行證書申請數據包生成程序，生成證書請求包運行證書申請數據包生成程序，生成證書請求包 2Web Server管理者登錄電子商務網站，選擇管理者登錄電子商務網站，選擇SSL證證書申請，填寫證書申請的基本信息，并提交書申請，填寫證書申請的基本信息，并提交1中生成中生成的證書請求包的證書請求包 3在線提交成功后，相應的在線