3.3數(shù)據(jù)加密技術(shù)3.3數(shù)據(jù)加密技術(shù)加密技術(shù)是保證網(wǎng)絡、信息安全的核心技術(shù)。加密技術(shù)與密碼學緊密相連。密碼學包括密碼編碼學和密碼分析學。密碼體制的設計是密碼編碼學的主要內(nèi)容。密碼體制的破譯是密碼分析學的主要內(nèi)容。加密技術(shù)是保證網(wǎng)絡、信息安全的核心技術(shù)。加密技術(shù)與密碼學緊將明文數(shù)據(jù)進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。加密和解密必須依賴兩個要素：算法和密鑰。算法是加密和解密的計算方法；密鑰是加密所需的一串數(shù)字。將明文數(shù)據(jù)進行某種變換，使其成為不可理解的形式，這個過程就是一般的數(shù)據(jù)加密模型:一般的數(shù)據(jù)加密模型:在無價格限制的條件下，目前幾乎所有使用的密碼體制都是可破的。如果一個密碼體制的密碼不能被現(xiàn)有的計算資源所破譯，那么這種密碼體制在計算上可以說是安全的。在加密算法公開的情況下，非法解密者就要設法破獲密鑰，為了使黑客難以破獲密鑰，就要增加密鑰的長度，使黑客無法用窮舉法測試破解密鑰。在無價格限制的條件下，目前幾乎所有使用的密碼體制都是可破的。早在幾千年前人類就已有了通信保密的思想和方法。如最古老的鎧撒密碼(Caesarcipher)。在這種方法中，a變成D，b變成E，c變成F，……z變成C。例如，english變成IRKPMWL。其中明文用小寫字母，密文用大寫字母。若允許密文字母表移動k個字母，那么k就成為循環(huán)移動字母表通用方法的密鑰。早在幾千年前人類就已有了通信保密的思想和方法。如最古老的鎧撒attackatfiveCVVCEMCVHKXGattackatfiveCVVCEMCVHKXG加密的分類?

散列編碼?

對稱加密?

非對稱加密加密的分類（1）

散列編碼：是用散列算法求出某個消息的散列值的過程。散列值就是通過把一個叫做散列算法的單向數(shù)學函數(shù)（無法根據(jù)散列值得到原函數(shù)）應用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)換為一個定長的、不可逆轉(zhuǎn)的數(shù)字。所產(chǎn)生的散列值的長度應足夠長，因此使找到兩塊具有相同散列值的數(shù)據(jù)的機會很少。

（1）散列編碼：是用散列算法求出某個消息的散列值的過散列編碼對于判別信息是否在傳輸時被改變非常方便：散列值和信息一起被傳送，如果信息被改變，原散列值≠接收者所收消息計算出的散列值。散列算法的常見例子包括：MD5：產(chǎn)生一個128位的散列值的散列算法；SHA1：產(chǎn)生一個160位的散列值。SHA1是流行的用于創(chuàng)建數(shù)字簽名的單向散列算法散列編碼對于判別信息是否在傳輸時被改變非常方便：（2）

對稱加密

又稱私有密鑰加密，它用且只用一個密鑰對信息進行加密和解密，由于加密和解密用的是同一密鑰，所以發(fā)送者和接收者都必須知道密鑰。（2）對稱加密電子商務安全2課件特點：1）對稱加密方法對信息編碼和解碼的速度很快，效率也很高，對稱密鑰加密是加密大量數(shù)據(jù)的一種行之有效的方法。2）

要細心保存密鑰：a.如果密鑰泄露，以前的所有信息都失去了保密性，致使以后發(fā)送者和接收者進行通訊時必須使用新的密鑰；b.將新密鑰發(fā)給授權(quán)雙方是很困難的，傳輸新密鑰的信息必須進行加密，這又要求有另一個新密鑰。特點：3）規(guī)模無法適應互聯(lián)網(wǎng)這類大環(huán)境的要求?；ヂ?lián)網(wǎng)交換保密信息的每對用戶都需要一個密鑰，這時密鑰組合就會是一個天文數(shù)字。如果每兩個人要求一個私有密鑰，n個人彼此之間進行保密通訊就需要n（n-1）/2個私有密鑰。3）規(guī)模無法適應互聯(lián)網(wǎng)這類大環(huán)境的要求。互聯(lián)網(wǎng)交換保密信息的應用最廣泛的對稱加密標準：DES（數(shù)據(jù)加密標準）——美國政府用來加密敏感和商業(yè)信息的標準，但是私有密鑰的長度不定期增加，因為不斷有人用高速計算機來破解。3DES——三重數(shù)據(jù)加密標準，即使采用超級計算機也無法破解，專家認為在未來幾年內(nèi)不可能破譯。AES——高級加密標準，正在研制一種專用于政府信息保密的新一代標準。應用最廣泛的對稱加密標準：（3）非對稱加密也叫公開密鑰加密，它用兩個數(shù)學相關(guān)的密鑰對信息進行編碼。在此系統(tǒng)中有一對密碼：給別人用的就叫公鑰，用于對信息的加密；給自己用的就叫私鑰，屬于密鑰持有者，對收到的信息進行解密；用公鑰加密后的密文，只有私鑰能解。（3）非對稱加密電子商務安全2課件1977年麻省理工學院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。按現(xiàn)在的計算機技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間！1977年麻省理工學院的三位教授（Rivest、Shami非對稱加密有若干優(yōu)點：第一，在多人之間進行保密信息傳輸所需的密鑰組合數(shù)量很小。在n個人彼此之間傳輸保密信息，只需要n對密鑰，遠遠小于對稱加密系統(tǒng)需要n（n-1）/2的要求。第二，公鑰的發(fā)布不成問題，它沒有特殊的發(fā)布要求，可以在網(wǎng)上公開。第三，非對稱加密可實現(xiàn)數(shù)字簽名。簽名者事后也不能否認曾以電子方式簽過文檔。非對稱加密系統(tǒng)也有缺點：加密解密的速度比對稱加密的速度慢得多非對稱加密有若干優(yōu)點：在實踐中，為了保證電子商務系統(tǒng)的安全、可靠以及使用效率，一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。在該系統(tǒng)中，用DES算法作為數(shù)據(jù)的加密算法對數(shù)據(jù)進行加密，用RSA算法作為DES密鑰的加密算法，對DES密鑰進行加密。這樣的系統(tǒng)既能發(fā)揮DES算法加密速度快、安全性好的優(yōu)點，又能發(fā)揮RSA算法密鑰管理方便的優(yōu)點，揚長避短。在實踐中，為了保證電子商務系統(tǒng)的安全、可靠以及使用效率，一般電子商務安全2課件（4）數(shù)字信封（DigitalEnvelop）數(shù)字信封是指發(fā)送者用接收者的公鑰對隨機產(chǎn)生的通信密鑰加密而得到的密文。數(shù)字信封的實現(xiàn)步驟如下：（1）發(fā)信方首先生成一個對稱密鑰(通信密鑰)，用該對稱密鑰加密要發(fā)送的報文；（2）發(fā)信方用收信方的公鑰加密上述對稱密鑰；（3）發(fā)信方將第一步和第二步的結(jié)果傳給收信方；（4）收信方使用自己的私鑰解密被加密的對稱密鑰；（5）收信方用得到的對稱密鑰解密被發(fā)信方加密的報文，得到真正的報文（4）數(shù)字信封（DigitalEnvelop）（5）數(shù)字簽名在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數(shù)字簽名技術(shù)。在電子商務中，完善的數(shù)字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰?。目前的?shù)字簽名建立在公鑰加密體制基礎上，是非對稱加密技術(shù)的另一類應用。數(shù)字簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）。（5）數(shù)字簽名電子商務安全2課件數(shù)字簽名能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。這樣數(shù)字簽名就可用來防止：（1）電子商務信息作偽；（2）冒用他人名義發(fā)送信息；（3）發(fā)出（收到）信件后又加以否認。數(shù)字簽名和一般數(shù)字加密的過程雖然都使用公開密鑰體系，但實現(xiàn)的過程不同。數(shù)字簽名能夠確認以下兩點：

（1）保證信息是由簽名者自數(shù)字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進行加密，接收方用發(fā)送方的公鑰對數(shù)字簽名解密，是一對多的關(guān)系，表明發(fā)送方公司的任何一個貿(mào)易伙伴都可以驗證數(shù)字簽名的真?zhèn)涡?；密鑰加密解密過程使用的是接收方的密鑰對，是發(fā)送方用接收方的公鑰加密，接收方用自己的私鑰解密，是多對一的關(guān)系，表明任何擁有該公司公鑰的人都可以向該公司發(fā)送密文，但只有該公司才能解密，其他人不能解密；數(shù)字簽名與加密過程密鑰對使用差別數(shù)字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進電子商務安全2課件（6）數(shù)字時間戳1）數(shù)字時間戳的概念數(shù)字時間戳服務（DigitalTime－StampServiceDTSS）是用來證明消息的收發(fā)時間的。用戶首先將需要加時間戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送到專門提供數(shù)字時間戳服務的權(quán)威機構(gòu)，該機構(gòu)對原摘要加上時間后，進行數(shù)字簽名，用私鑰加密，并發(fā)送給原用戶。（6）數(shù)字時間戳1）數(shù)字時間戳的概念在電子商務交易過程中，時間同簽名一樣是十分重要的證明。數(shù)字時間戳服務可以有效地為文件發(fā)表時間提供佐證，從而有利于解決一系列的實際和法律問題。由于用戶桌面時間很容易改變，由桌面時間系統(tǒng)產(chǎn)生的時間戳不可信賴，因此需要一個第三方來提供可信賴的且不可抵賴的時間戳服務。在電子商務交易過程中，時間同簽名一樣是十分重要的證明。2）時間戳產(chǎn)生的過程用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTSS認證單位。DTSS認證單位在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由DTSS認證單位來加的，并以收到文件的時間為依據(jù)。2）時間戳產(chǎn)生的過程3）數(shù)字時間戳的作用（1）數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理媒體無關(guān)。（2）對已加蓋時間戳的文件不可能做絲毫改動。（3）要想對某個文件加蓋與當前日期和時間不同的時間戳是不可能的。3）數(shù)字時間戳的作用3.4認證技術(shù)(CA)在網(wǎng)上做交易時，由于交易雙方并不現(xiàn)場交易，怎樣保證交易雙方身份的真實性和交易的不可抵賴性，就成為人們迫切關(guān)心的一個問題。因此，在電子商務中，必須從技術(shù)上保證在交易過程中能夠?qū)崿F(xiàn)：身份認證、安全傳輸、不可否認性、數(shù)據(jù)一致性。因此在電子商務活動中，采用CA認證（數(shù)字證書）來保證交易能夠得到正常的執(zhí)行。3.4認證技術(shù)(CA)在網(wǎng)上做交易時，由于交易雙認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。主要包括身份認證和信息認證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性。認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。3.4.1認證中心（CA--CertificateAuthority）。也稱之為電子證書認證中心，是承擔網(wǎng)上安全電子交易認證服務，能簽發(fā)數(shù)字證書，確認用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機構(gòu)。3.4.1認證中心（CA--CertificateAu國外的認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理證書的申請、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎設施（PKI）。國外的認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理證書的申認證機構(gòu)的可靠程度取決于①系統(tǒng)的保密結(jié)構(gòu)。②確認用戶身份的政策和方法。③用戶是否能信賴他人的證明。④機構(gòu)在安全管理方面的經(jīng)驗。認證機構(gòu)的可靠程度取決于①系統(tǒng)的保密結(jié)構(gòu)。1.認證中心的職能認證機構(gòu)的核心職能是發(fā)放和管理用戶的數(shù)字證書。1.認證中心的職能認證機構(gòu)的核心職能是發(fā)放和管理用戶的數(shù)字認證中心的四大具體職能認證中心接受個人、單位的數(shù)字證書申請，何時申請人的各項資料是否真實，根據(jù)核實情況決定是否頒發(fā)數(shù)字證書。⑴核發(fā)證書認證中心的四大具體職能認證中心接受個人、單位的數(shù)字證書申請，證書使用總是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期；具體使用期長短由CA根據(jù)安全策略來定。更換過期證書，密鑰對也需要定期更換。⑵

證書更新證書使用總是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期；⑵

證書的撤消可以有許多理由，如發(fā)現(xiàn)、懷疑私鑰被泄露或檢測出證書已被篡改，則CA可以提前撤銷或暫停使用該證書。⑶證書撤銷證書的撤消可以有許多理由，如發(fā)現(xiàn)、懷疑私鑰被泄露或檢測出證書⑷證書驗證證書是通過信任分級層次體系（通常稱為證書的樹形驗證結(jié)構(gòu)）來驗證的。每一個證書與簽發(fā)數(shù)字證書的機構(gòu)的簽名證書關(guān)聯(lián)。⑷證書驗證證書是通過信任分級層次體系（通常稱為證書的樹形驗證2.CA的樹型驗證結(jié)構(gòu)2.CA的樹型驗證結(jié)構(gòu)國外CA中心介紹國外CA中心介紹世界上較早的數(shù)字證書認證中心、處于領導地位和全球最大的PKI／CA運營商是美國VeriSign公司，該公司成立于1995年4月，位于美國的加利福尼亞州。它為全世界50個國家提供數(shù)字證書服務，有超過45000個因特網(wǎng)服務器接受該公司的服務器數(shù)字證書，使用它提供的個人數(shù)字憑證的人數(shù)也已經(jīng)超過200萬。另外一家著名的公司是加拿大的ENTRUST。世界上較早的數(shù)字證書認證中心、處于領導地位和全球最大的PKI3.我國認證中心現(xiàn)狀我國安全認證體系(CA)可分為金融CA與非金融CA兩種類型來處理。在金融CA方面，根證書由中國人民銀行管理，根認證管理一般是脫機管理；品牌認證中心采用“統(tǒng)一品牌、聯(lián)合建設”的方針進行。在非金融CA方面，最初主要由中國電信負責建設。3.我國認證中心現(xiàn)狀我國安全認證體系(CA)可分為金融CA與我國的CA又可分為行業(yè)性CA和區(qū)域性CA兩大類。行業(yè)性CA：中國金融認證中心（CFCA）和中國電信認證中心（CTCA）是行業(yè)性CA中影響最大的兩家。區(qū)域性CA大多以地方政府為背景，以公司機制來運作，如廣東CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)，其中影響最大的是廣東CA中心（CNCA）和上海CA中心(SHECA)。我國的CA又可分為行業(yè)性CA和區(qū)域性CA兩大類。CFCA是全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一規(guī)劃管理，中國工商銀行、中國銀行、中國農(nóng)業(yè)銀行、中國建設銀行、交通銀行、招商銀行、中信實業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行和福建興業(yè)銀行共十三家商業(yè)銀行聯(lián)合建設，由銀行卡信息交換總中心承建，建立了SETCA和Non-SETCA兩套系統(tǒng)，于2000年6月29日正式開始為全國的用戶提供證書服務。⑴中國金融認證中心（CFCA）CFCA是全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一電子商務安全2課件⑵中國電信認證中心（CTCA）中國電信1997年底，開始進行電子商務試點工作，1999年8月，中國電信CTCA安全認證系統(tǒng)通過國家密碼委員會和信息產(chǎn)業(yè)部的聯(lián)合鑒定，并獲得國家信息產(chǎn)品安全認證中心頒發(fā)的認證證書，成為首家允許在公網(wǎng)上運營的CA安全認證系統(tǒng)。1999年底，按全國CA認證中心、省RA審核中心、業(yè)務受理點三級結(jié)構(gòu)在全國范圍內(nèi)大規(guī)模推廣。⑵中國電信認證中心（CTCA）中國電信1997年底，開始進⑶廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電子商務認證中心是國家電子商務的試點工程，其前身是中國電信南方電子商務中心，創(chuàng)立于1998年。2001年1月，廣東省電子商務認證中心的“網(wǎng)證通”電子認證系統(tǒng)通過國家公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測，被認定為安全可信的產(chǎn)品。2001年8月，國家密碼管理委員會辦公室批準廣東省電子商務認證中心使用密碼和建立密鑰管理中心，成為國內(nèi)提供網(wǎng)絡安全認證服務的重要力量。⑶廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電子商務認證⑷上海CA（SHECA）上海市CA中心是中國第一個CA認證中心，創(chuàng)建于1998年，經(jīng)過國家批準并被列為信息產(chǎn)業(yè)部全國的示范工程。⑷上海CA（SHECA）上海市CA中心是中國第一個CA認證電子商務安全2課件國內(nèi)主要的電子商務認證中心北京數(shù)字證書認證中心：深圳市電子商務認證中心：廣東省電子商務認證中心：海南省電子商務認證中心：湖北省電子商務認證中心：上海電子商務安全證書管理中心：中國數(shù)字認證網(wǎng)：山西省電子商務安全認證中心：中國金融認證中心：天津電子商務運作中心：/ca天威誠信CA認證中心：國內(nèi)主要的電子商務認證中心北京數(shù)字證書認證中心：http:3.4.2數(shù)字證書數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體（如個人用戶、服務器等）的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機構(gòu)，即CA中心簽發(fā)。1.數(shù)字證書的概念3.4.2數(shù)字證書數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)字證書的擁有者可以將其證書提供給其他人、Web站點及網(wǎng)絡資源，以證實他的合法身份，并且與對方建立加密的、可信的通信。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。數(shù)字證書的擁有者可以將其證書提供給其他人、Web站點及網(wǎng)絡資電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件2.數(shù)字證書的內(nèi)容數(shù)字證書的內(nèi)部格式遵循X.509標準。X.509是由國際電信聯(lián)盟(ITU—T)制定的數(shù)字證書標準。根據(jù)這項標準，證書包括申請證書個人的信息和發(fā)行證書機構(gòu)的信息。2.數(shù)字證書的內(nèi)容數(shù)字證書的內(nèi)部格式遵循X.509標準。Xl

證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用X.500格式；l

證書的版本信息。用來與X.509標準的將來版本兼容。l

證書的序列號。每個證書都有一個唯一的證書序列號。l

證書所使用的簽名算法。l

頒發(fā)者。即證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式。l

證書的有效期限。現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；l

證書主題名稱。l

證書所有人的公開密鑰。包括公鑰算法、公鑰的位字符串表示（只適用于RSA加密體制）；l

包含額外信息的特別擴展。l

證書發(fā)行者對證書的簽名。

標準的X.509數(shù)字證書包含內(nèi)容：l

證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用X電子商務安全2課件電子商務安全2課件3.數(shù)字證書的有效性數(shù)字證書的有效條件：⑴證書沒有過期。⑵密鑰沒有修改。⑶用戶仍然有權(quán)使用這個密鑰。⑷證書不在無效證書清單中。3.數(shù)字證書的有效性數(shù)字證書的有效條件：1.個人數(shù)字證書

2.單位證書

3.服務器證書

4.代碼簽名證書數(shù)字證書按照使用對象劃分:4.數(shù)字證書的類型

1.個人數(shù)字證書

2.單位證書

3.服務器證書

4.代碼簽名①個人證書(客戶證書)個人身份證書個人身份證書是用來表明和驗證個人在網(wǎng)絡上身份的證書，它確保了網(wǎng)上交易的操作的安全性和可靠性。個人身份證書可以存儲在軟盤或IC卡中。個人安全電子郵件證書個人安全電子郵件證書可以確保郵件的真實性和保密性。①個人證書(客戶證書)個人身份證書個人身份證書是用來表②單位證書單位（客戶端）數(shù)字證書主要用于單位安全電子事務處理。具體應用如：安全電子郵件傳送、網(wǎng)上公文傳送、網(wǎng)上簽約、網(wǎng)上招標投標、網(wǎng)上辦公系統(tǒng)等。②單位證書單位（客戶端）數(shù)字證書主要用于單位安全電子③服務器證書服務器證書（站點證書）服務器證書主要用于網(wǎng)站交易服務器的身份識別，使得連接到服務器的用戶確信服務器的真實身份。目的是保證客戶和服務器之間交易、支付時確保雙方身份的真實性、安全性、可信任性等。③服務器證書服務器證書（站點證書）服務器證書主要用于網(wǎng)站④代碼簽名證書又稱代碼數(shù)字證書，代表軟件開發(fā)者的身份，用于對其開發(fā)的軟件進行數(shù)字簽名，證明軟件的合法性。④代碼簽名證書又稱代碼數(shù)字證書，代表軟件開發(fā)者的身份，用于對實驗證書申請創(chuàng)建操作流程實驗證書申請創(chuàng)建操作流程公開密鑰基礎設施公開密鑰基礎設施（PublicKeyInfrastructure）是一種以公鑰加密技術(shù)為基礎技術(shù)手段實現(xiàn)安全性的技術(shù)。它是一個遵循標準的密鑰管理平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，并支持SET、SSL協(xié)議。PKI可以進行不同CA的交叉驗證。PKI由認證機構(gòu)、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應用接口系統(tǒng)等基本成分組成。公開密鑰基礎設施公開密鑰基礎設施（PublicKey3.5電子商務安全協(xié)議1.安全套接層協(xié)議SSLSSL(SecureSocketsLayer)安全套接層協(xié)議是Netscape公司1995年推出的一種安全通信協(xié)議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。3.5電子商務安全協(xié)議1.安全套接層協(xié)議SSL電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件（1）安全套接層協(xié)議的概念

它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協(xié)議。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上，并且與上層協(xié)議無關(guān)，各種應用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)能通過SSL協(xié)議進行透明傳輸。(TCP之上，應用層之下)SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議。SSL協(xié)議與TCP/IP協(xié)議間的關(guān)系如圖所示：

（1）安全套接層協(xié)議的概念HTTPSFTPSTELNETSIMAPS等SSL握手協(xié)議SSL記錄協(xié)議TCP傳輸控制協(xié)議IP因特網(wǎng)協(xié)議HTTPSFTPSTELNETSIMAPS等SSL握手SSL握手協(xié)議SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，具體實現(xiàn)以下功能：（1）在客戶端驗證服務器，SSL協(xié)議采用公鑰方式進行身份認證；（2）在服務器端驗證客戶（可選的）；（3）客戶端和服務器之間協(xié)商雙方都支持的加密算法和壓縮算法，可選用的加密算法包括：RC4、DES、3DES、RSA、MD5、SHA等；（4）產(chǎn)生對稱加密算法的會話密鑰；（5）建立加密SSL連接。SSL握手協(xié)議SSL記錄協(xié)議SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理，最后由傳輸層發(fā)送出去。在SSL協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄中，SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。每個SSL記錄包含以下信息：a)

內(nèi)容類型：指SSL的高層協(xié)議；b)

協(xié)議版本號：指所用的SSL協(xié)議版本號，目前已有2.0和3.0版本；c)

長度：指記錄數(shù)據(jù)的長度，記錄數(shù)據(jù)的最大長度為16383個字節(jié)；d)

數(shù)據(jù)有效載荷：將數(shù)據(jù)用SSL握手階段所定義的壓縮方法和加密方法進行處理后得到的結(jié)果；SSL記錄協(xié)議（2）安全套接層協(xié)議的工作原理

首先，交換握手信號。這些握手交換使兩臺計算機確定它們支持的壓縮和加密標準。接著瀏覽器要求服務器提供數(shù)字證書，如同要求查看有照片的身份證。作為響應，服務器發(fā)給瀏覽器一個認證中心簽名的證書。瀏覽器檢查服務器證書的數(shù)字簽字與所存儲的認證中心的公開密鑰是否一致。

（2）安全套接層協(xié)議的工作原理接下來，瀏覽器為雙方生成加密密鑰，然后由瀏覽器利用服務器的公開密鑰對此加密密鑰進行加密。公開密鑰存儲在服務器在認證時發(fā)給瀏覽器的數(shù)字證書上。對加密密鑰加密后，瀏覽器把它發(fā)給服務器。服務器用其私有密鑰對它解密，得到雙方公用的加密密鑰。從現(xiàn)在開始就不再使用公開密鑰了，只需用加密密鑰加密。現(xiàn)在，在客戶機和服務器之間傳輸?shù)乃邢⒍加眉用苊荑€進行加密，此密鑰也叫會話密鑰。會話結(jié)束后，此密鑰就被丟棄。接下來，瀏覽器為雙方生成加密密鑰，然后由瀏覽器利用SSL支持的客戶機和服務器間的所有通訊都加密了：所加密的信息包括客戶機所請求的URL、用戶所填的各種表（如信用卡號）和HTTP訪問授權(quán)數(shù)據(jù)（如用戶名和口令）等。

除HTTP外，SSL可為FTP會話提供安全保護，支持敏感的文檔。SSL能保證Telnet會話的安全，實現(xiàn)SSL的協(xié)議是HTTP的安全版，名為HTTPS。SSL支持的客戶機和服務器間的所有通訊都（3）建立SSL安全連接的過程輸入的URL為http：//，點擊證書下載：（3）建立SSL安全連接的過程電子商務安全2課件電子商務安全2課件電子商務安全2課件SSL位于傳輸層與應用層之間，因此SSL能很好地封裝應用層數(shù)據(jù)，不用改變位于應用層的應用程序，對用戶是透明的。

同時，SSL只需要通過一次“握手”過程建立客戶與服務器之間一條安全通信的通道，保證傳輸數(shù)據(jù)的安全。因此它被廣泛的應用于電子商務領域中。然而，SSL并不是專為支持電子商務而設計的，只支持雙方認證，商家完全掌握消費者的帳戶信息。SSL位于傳輸層與應用層之間，因此SSL能很好地封裝應用層數(shù)2安全電子交易協(xié)議SETVISA和MasterCard聯(lián)合其他國際組織共同制定了安全電子交易（SecureElectronicTransaction，SET）協(xié)議。SET協(xié)議是專為電子商務系統(tǒng)設計的。它位于應用層，其認證體系十分完善，能實現(xiàn)多方認證。在SET的實現(xiàn)中，消費者帳戶信息對商家來說是保密的。但是SET協(xié)議十分復雜，交易數(shù)據(jù)需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協(xié)議中除消費者與商家外，還有發(fā)卡行、收單行、認證中心、支付網(wǎng)關(guān)等其它參與者。2安全電子交易協(xié)議SETVISA和MasterCard聯(lián)合SET協(xié)議的數(shù)據(jù)交換過程（支持多方認證）SET協(xié)議的購物系統(tǒng)由持卡人、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行、認證中心六個部分組成，這六大部分之間的數(shù)據(jù)交換過程如圖所示。SET協(xié)議的數(shù)據(jù)交換過程（支持多方認證）電子商務安全2課件3SSL協(xié)議和SET協(xié)議的對比SSL協(xié)議和SET協(xié)議的差別主要表現(xiàn)在以下幾個方面：（1）

用戶接口：

SSL協(xié)議已被瀏覽器和WEB服務器內(nèi)置，無需安裝專門軟件；SET協(xié)議中客戶端需安裝專門的電子錢包軟件，在商家服務器和銀行網(wǎng)絡上也需安裝相應的軟件。

3SSL協(xié)議和SET協(xié)議的對比SSL協(xié)議和SET協(xié)議的差（2）

處理速度：SET協(xié)議非常復雜、龐大，處理速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數(shù)字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程可能需花費1.5至2分鐘；SSL協(xié)議則簡單得多，處理速度比SET協(xié)議快。（2）處理速度：（3）

認證要求：早期的SSL協(xié)議并沒有提供身份認證機制，雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書實現(xiàn)瀏覽器和Web服務器之間的身份驗證，但仍不能實現(xiàn)多方認證，而且SSL中只有商家服務器的認證是必須的，客戶端認證則是可選的。SET協(xié)議的認證要求較高，所有參與SET交易的成員都必須申請數(shù)字證書，并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。（3）認證要求：（4）

協(xié)議層次和功能：SSL屬于傳輸層和應用層之間的安全技術(shù)規(guī)范，它不具備電子商務的商務性、協(xié)調(diào)性和集成性功能。SET協(xié)議位于應用層，它不僅規(guī)范了整個商務活動的流程，而且制定了嚴格的加密和認證標準，具備商務性、協(xié)調(diào)性和集成性功能。

（4）協(xié)議層次和功能：電子商務安全2課件3.3數(shù)據(jù)加密技術(shù)3.3數(shù)據(jù)加密技術(shù)加密技術(shù)是保證網(wǎng)絡、信息安全的核心技術(shù)。加密技術(shù)與密碼學緊密相連。密碼學包括密碼編碼學和密碼分析學。密碼體制的設計是密碼編碼學的主要內(nèi)容。密碼體制的破譯是密碼分析學的主要內(nèi)容。加密技術(shù)是保證網(wǎng)絡、信息安全的核心技術(shù)。加密技術(shù)與密碼學緊將明文數(shù)據(jù)進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。加密和解密必須依賴兩個要素：算法和密鑰。算法是加密和解密的計算方法；密鑰是加密所需的一串數(shù)字。將明文數(shù)據(jù)進行某種變換，使其成為不可理解的形式，這個過程就是一般的數(shù)據(jù)加密模型:一般的數(shù)據(jù)加密模型:在無價格限制的條件下，目前幾乎所有使用的密碼體制都是可破的。如果一個密碼體制的密碼不能被現(xiàn)有的計算資源所破譯，那么這種密碼體制在計算上可以說是安全的。在加密算法公開的情況下，非法解密者就要設法破獲密鑰，為了使黑客難以破獲密鑰，就要增加密鑰的長度，使黑客無法用窮舉法測試破解密鑰。在無價格限制的條件下，目前幾乎所有使用的密碼體制都是可破的。早在幾千年前人類就已有了通信保密的思想和方法。如最古老的鎧撒密碼(Caesarcipher)。在這種方法中，a變成D，b變成E，c變成F，……z變成C。例如，english變成IRKPMWL。其中明文用小寫字母，密文用大寫字母。若允許密文字母表移動k個字母，那么k就成為循環(huán)移動字母表通用方法的密鑰。早在幾千年前人類就已有了通信保密的思想和方法。如最古老的鎧撒attackatfiveCVVCEMCVHKXGattackatfiveCVVCEMCVHKXG加密的分類?

散列編碼?

對稱加密?

非對稱加密加密的分類（1）

散列編碼：是用散列算法求出某個消息的散列值的過程。散列值就是通過把一個叫做散列算法的單向數(shù)學函數(shù)（無法根據(jù)散列值得到原函數(shù)）應用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)換為一個定長的、不可逆轉(zhuǎn)的數(shù)字。所產(chǎn)生的散列值的長度應足夠長，因此使找到兩塊具有相同散列值的數(shù)據(jù)的機會很少。

（1）散列編碼：是用散列算法求出某個消息的散列值的過散列編碼對于判別信息是否在傳輸時被改變非常方便：散列值和信息一起被傳送，如果信息被改變，原散列值≠接收者所收消息計算出的散列值。散列算法的常見例子包括：MD5：產(chǎn)生一個128位的散列值的散列算法；SHA1：產(chǎn)生一個160位的散列值。SHA1是流行的用于創(chuàng)建數(shù)字簽名的單向散列算法散列編碼對于判別信息是否在傳輸時被改變非常方便：（2）

對稱加密

又稱私有密鑰加密，它用且只用一個密鑰對信息進行加密和解密，由于加密和解密用的是同一密鑰，所以發(fā)送者和接收者都必須知道密鑰。（2）對稱加密電子商務安全2課件特點：1）對稱加密方法對信息編碼和解碼的速度很快，效率也很高，對稱密鑰加密是加密大量數(shù)據(jù)的一種行之有效的方法。2）

要細心保存密鑰：a.如果密鑰泄露，以前的所有信息都失去了保密性，致使以后發(fā)送者和接收者進行通訊時必須使用新的密鑰；b.將新密鑰發(fā)給授權(quán)雙方是很困難的，傳輸新密鑰的信息必須進行加密，這又要求有另一個新密鑰。特點：3）規(guī)模無法適應互聯(lián)網(wǎng)這類大環(huán)境的要求?；ヂ?lián)網(wǎng)交換保密信息的每對用戶都需要一個密鑰，這時密鑰組合就會是一個天文數(shù)字。如果每兩個人要求一個私有密鑰，n個人彼此之間進行保密通訊就需要n（n-1）/2個私有密鑰。3）規(guī)模無法適應互聯(lián)網(wǎng)這類大環(huán)境的要求?；ヂ?lián)網(wǎng)交換保密信息的應用最廣泛的對稱加密標準：DES（數(shù)據(jù)加密標準）——美國政府用來加密敏感和商業(yè)信息的標準，但是私有密鑰的長度不定期增加，因為不斷有人用高速計算機來破解。3DES——三重數(shù)據(jù)加密標準，即使采用超級計算機也無法破解，專家認為在未來幾年內(nèi)不可能破譯。AES——高級加密標準，正在研制一種專用于政府信息保密的新一代標準。應用最廣泛的對稱加密標準：（3）非對稱加密也叫公開密鑰加密，它用兩個數(shù)學相關(guān)的密鑰對信息進行編碼。在此系統(tǒng)中有一對密碼：給別人用的就叫公鑰，用于對信息的加密；給自己用的就叫私鑰，屬于密鑰持有者，對收到的信息進行解密；用公鑰加密后的密文，只有私鑰能解。（3）非對稱加密電子商務安全2課件1977年麻省理工學院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。按現(xiàn)在的計算機技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間！1977年麻省理工學院的三位教授（Rivest、Shami非對稱加密有若干優(yōu)點：第一，在多人之間進行保密信息傳輸所需的密鑰組合數(shù)量很小。在n個人彼此之間傳輸保密信息，只需要n對密鑰，遠遠小于對稱加密系統(tǒng)需要n（n-1）/2的要求。第二，公鑰的發(fā)布不成問題，它沒有特殊的發(fā)布要求，可以在網(wǎng)上公開。第三，非對稱加密可實現(xiàn)數(shù)字簽名。簽名者事后也不能否認曾以電子方式簽過文檔。非對稱加密系統(tǒng)也有缺點：加密解密的速度比對稱加密的速度慢得多非對稱加密有若干優(yōu)點：在實踐中，為了保證電子商務系統(tǒng)的安全、可靠以及使用效率，一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。在該系統(tǒng)中，用DES算法作為數(shù)據(jù)的加密算法對數(shù)據(jù)進行加密，用RSA算法作為DES密鑰的加密算法，對DES密鑰進行加密。這樣的系統(tǒng)既能發(fā)揮DES算法加密速度快、安全性好的優(yōu)點，又能發(fā)揮RSA算法密鑰管理方便的優(yōu)點，揚長避短。在實踐中，為了保證電子商務系統(tǒng)的安全、可靠以及使用效率，一般電子商務安全2課件（4）數(shù)字信封（DigitalEnvelop）數(shù)字信封是指發(fā)送者用接收者的公鑰對隨機產(chǎn)生的通信密鑰加密而得到的密文。數(shù)字信封的實現(xiàn)步驟如下：（1）發(fā)信方首先生成一個對稱密鑰(通信密鑰)，用該對稱密鑰加密要發(fā)送的報文；（2）發(fā)信方用收信方的公鑰加密上述對稱密鑰；（3）發(fā)信方將第一步和第二步的結(jié)果傳給收信方；（4）收信方使用自己的私鑰解密被加密的對稱密鑰；（5）收信方用得到的對稱密鑰解密被發(fā)信方加密的報文，得到真正的報文（4）數(shù)字信封（DigitalEnvelop）（5）數(shù)字簽名在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數(shù)字簽名技術(shù)。在電子商務中，完善的數(shù)字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰?。目前的?shù)字簽名建立在公鑰加密體制基礎上，是非對稱加密技術(shù)的另一類應用。數(shù)字簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）。（5）數(shù)字簽名電子商務安全2課件數(shù)字簽名能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。這樣數(shù)字簽名就可用來防止：（1）電子商務信息作偽；（2）冒用他人名義發(fā)送信息；（3）發(fā)出（收到）信件后又加以否認。數(shù)字簽名和一般數(shù)字加密的過程雖然都使用公開密鑰體系，但實現(xiàn)的過程不同。數(shù)字簽名能夠確認以下兩點：

（1）保證信息是由簽名者自數(shù)字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進行加密，接收方用發(fā)送方的公鑰對數(shù)字簽名解密，是一對多的關(guān)系，表明發(fā)送方公司的任何一個貿(mào)易伙伴都可以驗證數(shù)字簽名的真?zhèn)涡?；密鑰加密解密過程使用的是接收方的密鑰對，是發(fā)送方用接收方的公鑰加密，接收方用自己的私鑰解密，是多對一的關(guān)系，表明任何擁有該公司公鑰的人都可以向該公司發(fā)送密文，但只有該公司才能解密，其他人不能解密；數(shù)字簽名與加密過程密鑰對使用差別數(shù)字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進電子商務安全2課件（6）數(shù)字時間戳1）數(shù)字時間戳的概念數(shù)字時間戳服務（DigitalTime－StampServiceDTSS）是用來證明消息的收發(fā)時間的。用戶首先將需要加時間戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送到專門提供數(shù)字時間戳服務的權(quán)威機構(gòu)，該機構(gòu)對原摘要加上時間后，進行數(shù)字簽名，用私鑰加密，并發(fā)送給原用戶。（6）數(shù)字時間戳1）數(shù)字時間戳的概念在電子商務交易過程中，時間同簽名一樣是十分重要的證明。數(shù)字時間戳服務可以有效地為文件發(fā)表時間提供佐證，從而有利于解決一系列的實際和法律問題。由于用戶桌面時間很容易改變，由桌面時間系統(tǒng)產(chǎn)生的時間戳不可信賴，因此需要一個第三方來提供可信賴的且不可抵賴的時間戳服務。在電子商務交易過程中，時間同簽名一樣是十分重要的證明。2）時間戳產(chǎn)生的過程用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTSS認證單位。DTSS認證單位在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由DTSS認證單位來加的，并以收到文件的時間為依據(jù)。2）時間戳產(chǎn)生的過程3）數(shù)字時間戳的作用（1）數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理媒體無關(guān)。（2）對已加蓋時間戳的文件不可能做絲毫改動。（3）要想對某個文件加蓋與當前日期和時間不同的時間戳是不可能的。3）數(shù)字時間戳的作用3.4認證技術(shù)(CA)在網(wǎng)上做交易時，由于交易雙方并不現(xiàn)場交易，怎樣保證交易雙方身份的真實性和交易的不可抵賴性，就成為人們迫切關(guān)心的一個問題。因此，在電子商務中，必須從技術(shù)上保證在交易過程中能夠?qū)崿F(xiàn)：身份認證、安全傳輸、不可否認性、數(shù)據(jù)一致性。因此在電子商務活動中，采用CA認證（數(shù)字證書）來保證交易能夠得到正常的執(zhí)行。3.4認證技術(shù)(CA)在網(wǎng)上做交易時，由于交易雙認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。主要包括身份認證和信息認證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性。認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。3.4.1認證中心（CA--CertificateAuthority）。也稱之為電子證書認證中心，是承擔網(wǎng)上安全電子交易認證服務，能簽發(fā)數(shù)字證書，確認用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機構(gòu)。3.4.1認證中心（CA--CertificateAu國外的認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理證書的申請、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎設施（PKI）。國外的認證中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理證書的申認證機構(gòu)的可靠程度取決于①系統(tǒng)的保密結(jié)構(gòu)。②確認用戶身份的政策和方法。③用戶是否能信賴他人的證明。④機構(gòu)在安全管理方面的經(jīng)驗。認證機構(gòu)的可靠程度取決于①系統(tǒng)的保密結(jié)構(gòu)。1.認證中心的職能認證機構(gòu)的核心職能是發(fā)放和管理用戶的數(shù)字證書。1.認證中心的職能認證機構(gòu)的核心職能是發(fā)放和管理用戶的數(shù)字認證中心的四大具體職能認證中心接受個人、單位的數(shù)字證書申請，何時申請人的各項資料是否真實，根據(jù)核實情況決定是否頒發(fā)數(shù)字證書。⑴核發(fā)證書認證中心的四大具體職能認證中心接受個人、單位的數(shù)字證書申請，證書使用總是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期；具體使用期長短由CA根據(jù)安全策略來定。更換過期證書，密鑰對也需要定期更換。⑵

證書更新證書使用總是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期；⑵

證書的撤消可以有許多理由，如發(fā)現(xiàn)、懷疑私鑰被泄露或檢測出證書已被篡改，則CA可以提前撤銷或暫停使用該證書。⑶證書撤銷證書的撤消可以有許多理由，如發(fā)現(xiàn)、懷疑私鑰被泄露或檢測出證書⑷證書驗證證書是通過信任分級層次體系（通常稱為證書的樹形驗證結(jié)構(gòu)）來驗證的。每一個證書與簽發(fā)數(shù)字證書的機構(gòu)的簽名證書關(guān)聯(lián)。⑷證書驗證證書是通過信任分級層次體系（通常稱為證書的樹形驗證2.CA的樹型驗證結(jié)構(gòu)2.CA的樹型驗證結(jié)構(gòu)國外CA中心介紹國外CA中心介紹世界上較早的數(shù)字證書認證中心、處于領導地位和全球最大的PKI／CA運營商是美國VeriSign公司，該公司成立于1995年4月，位于美國的加利福尼亞州。它為全世界50個國家提供數(shù)字證書服務，有超過45000個因特網(wǎng)服務器接受該公司的服務器數(shù)字證書，使用它提供的個人數(shù)字憑證的人數(shù)也已經(jīng)超過200萬。另外一家著名的公司是加拿大的ENTRUST。世界上較早的數(shù)字證書認證中心、處于領導地位和全球最大的PKI3.我國認證中心現(xiàn)狀我國安全認證體系(CA)可分為金融CA與非金融CA兩種類型來處理。在金融CA方面，根證書由中國人民銀行管理，根認證管理一般是脫機管理；品牌認證中心采用“統(tǒng)一品牌、聯(lián)合建設”的方針進行。在非金融CA方面，最初主要由中國電信負責建設。3.我國認證中心現(xiàn)狀我國安全認證體系(CA)可分為金融CA與我國的CA又可分為行業(yè)性CA和區(qū)域性CA兩大類。行業(yè)性CA：中國金融認證中心（CFCA）和中國電信認證中心（CTCA）是行業(yè)性CA中影響最大的兩家。區(qū)域性CA大多以地方政府為背景，以公司機制來運作，如廣東CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)，其中影響最大的是廣東CA中心（CNCA）和上海CA中心(SHECA)。我國的CA又可分為行業(yè)性CA和區(qū)域性CA兩大類。CFCA是全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一規(guī)劃管理，中國工商銀行、中國銀行、中國農(nóng)業(yè)銀行、中國建設銀行、交通銀行、招商銀行、中信實業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行和福建興業(yè)銀行共十三家商業(yè)銀行聯(lián)合建設，由銀行卡信息交換總中心承建，建立了SETCA和Non-SETCA兩套系統(tǒng)，于2000年6月29日正式開始為全國的用戶提供證書服務。⑴中國金融認證中心（CFCA）CFCA是全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一電子商務安全2課件⑵中國電信認證中心（CTCA）中國電信1997年底，開始進行電子商務試點工作，1999年8月，中國電信CTCA安全認證系統(tǒng)通過國家密碼委員會和信息產(chǎn)業(yè)部的聯(lián)合鑒定，并獲得國家信息產(chǎn)品安全認證中心頒發(fā)的認證證書，成為首家允許在公網(wǎng)上運營的CA安全認證系統(tǒng)。1999年底，按全國CA認證中心、省RA審核中心、業(yè)務受理點三級結(jié)構(gòu)在全國范圍內(nèi)大規(guī)模推廣。⑵中國電信認證中心（CTCA）中國電信1997年底，開始進⑶廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電子商務認證中心是國家電子商務的試點工程，其前身是中國電信南方電子商務中心，創(chuàng)立于1998年。2001年1月，廣東省電子商務認證中心的“網(wǎng)證通”電子認證系統(tǒng)通過國家公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測，被認定為安全可信的產(chǎn)品。2001年8月，國家密碼管理委員會辦公室批準廣東省電子商務認證中心使用密碼和建立密鑰管理中心，成為國內(nèi)提供網(wǎng)絡安全認證服務的重要力量。⑶廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電子商務認證⑷上海CA（SHECA）上海市CA中心是中國第一個CA認證中心，創(chuàng)建于1998年，經(jīng)過國家批準并被列為信息產(chǎn)業(yè)部全國的示范工程。⑷上海CA（SHECA）上海市CA中心是中國第一個CA認證電子商務安全2課件國內(nèi)主要的電子商務認證中心北京數(shù)字證書認證中心：深圳市電子商務認證中心：廣東省電子商務認證中心：海南省電子商務認證中心：湖北省電子商務認證中心：上海電子商務安全證書管理中心：中國數(shù)字認證網(wǎng)：山西省電子商務安全認證中心：中國金融認證中心：天津電子商務運作中心：/ca天威誠信CA認證中心：國內(nèi)主要的電子商務認證中心北京數(shù)字證書認證中心：http:3.4.2數(shù)字證書數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體（如個人用戶、服務器等）的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機構(gòu)，即CA中心簽發(fā)。1.數(shù)字證書的概念3.4.2數(shù)字證書數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)字證書的擁有者可以將其證書提供給其他人、Web站點及網(wǎng)絡資源，以證實他的合法身份，并且與對方建立加密的、可信的通信。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。數(shù)字證書的擁有者可以將其證書提供給其他人、Web站點及網(wǎng)絡資電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件2.數(shù)字證書的內(nèi)容數(shù)字證書的內(nèi)部格式遵循X.509標準。X.509是由國際電信聯(lián)盟(ITU—T)制定的數(shù)字證書標準。根據(jù)這項標準，證書包括申請證書個人的信息和發(fā)行證書機構(gòu)的信息。2.數(shù)字證書的內(nèi)容數(shù)字證書的內(nèi)部格式遵循X.509標準。Xl

證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用X.500格式；l

證書的版本信息。用來與X.509標準的將來版本兼容。l

證書的序列號。每個證書都有一個唯一的證書序列號。l

證書所使用的簽名算法。l

頒發(fā)者。即證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式。l

證書的有效期限?，F(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；l

證書主題名稱。l

證書所有人的公開密鑰。包括公鑰算法、公鑰的位字符串表示（只適用于RSA加密體制）；l

包含額外信息的特別擴展。l

證書發(fā)行者對證書的簽名。

標準的X.509數(shù)字證書包含內(nèi)容：l

證書擁有者的姓名；證書所有人的名稱，命名規(guī)則一般采用X電子商務安全2課件電子商務安全2課件3.數(shù)字證書的有效性數(shù)字證書的有效條件：⑴證書沒有過期。⑵密鑰沒有修改。⑶用戶仍然有權(quán)使用這個密鑰。⑷證書不在無效證書清單中。3.數(shù)字證書的有效性數(shù)字證書的有效條件：1.個人數(shù)字證書

2.單位證書

3.服務器證書

4.代碼簽名證書數(shù)字證書按照使用對象劃分:4.數(shù)字證書的類型

1.個人數(shù)字證書

2.單位證書

3.服務器證書

4.代碼簽名①個人證書(客戶證書)個人身份證書個人身份證書是用來表明和驗證個人在網(wǎng)絡上身份的證書，它確保了網(wǎng)上交易的操作的安全性和可靠性。個人身份證書可以存儲在軟盤或IC卡中。個人安全電子郵件證書個人安全電子郵件證書可以確保郵件的真實性和保密性。①個人證書(客戶證書)個人身份證書個人身份證書是用來表②單位證書單位（客戶端）數(shù)字證書主要用于單位安全電子事務處理。具體應用如：安全電子郵件傳送、網(wǎng)上公文傳送、網(wǎng)上簽約、網(wǎng)上招標投標、網(wǎng)上辦公系統(tǒng)等。②單位證書單位（客戶端）數(shù)字證書主要用于單位安全電子③服務器證書服務器證書（站點證書）服務器證書主要用于網(wǎng)站交易服務器的身份識別，使得連接到服務器的用戶確信服務器的真實身份。目的是保證客戶和服務器之間交易、支付時確保雙方身份的真實性、安全性、可信任性等。③服務器證書服務器證書（站點證書）服務器證書主要用于網(wǎng)站④代碼簽名證書又稱代碼數(shù)字證書，代表軟件開發(fā)者的身份，用于對其開發(fā)的軟件進行數(shù)字簽名，證明軟件的合法性。④代碼簽名證書又稱代碼數(shù)字證書，代表軟件開發(fā)者的身份，用于對實驗證書申請創(chuàng)建操作流程實驗證書申請創(chuàng)建操作流程公開密鑰基礎設施公開密鑰基礎設施（PublicKeyInfrastructure）是一種以公鑰加密技術(shù)為基礎技術(shù)手段實現(xiàn)安全性的技術(shù)。它是一個遵循標準的密鑰管理平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，并支持SET、SSL協(xié)議。PKI可以進行不同CA的交叉驗證。PKI由認證機構(gòu)、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應用接口系統(tǒng)等基本成分組成。公開密鑰基礎設施公開密鑰基礎設施（PublicKey3.5電子商務安全協(xié)議1.安全套接層協(xié)議SSLSSL(SecureSocketsLayer)安全套接層協(xié)議是Netscape公司1995年推出的一種安全通信協(xié)議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。3.5電子商務安全協(xié)議1.安全套接層協(xié)議SSL電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件電子商務安全2課件（1）安全套接層協(xié)議的概念

它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協(xié)議。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上，并且與上層協(xié)議無關(guān)，各種應用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)能通過SSL協(xié)議進行透明傳輸。(TCP之上，應用層之下)SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議。SSL協(xié)議與TCP/IP協(xié)議間的關(guān)系如圖所示：

（1）安全套接層協(xié)議的概念HTTPSFTPSTELNETSIMAPS等SSL握手協(xié)議SSL記錄協(xié)議TCP傳輸控制協(xié)議IP因特網(wǎng)協(xié)議HTTPSFTPSTELNETSIMAPS等SSL握手SSL握手協(xié)議SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，具體實現(xiàn)以下功能：（1）在客戶端驗證服務器，SSL協(xié)議采用公鑰方式進行身份認證；（2）在服務器端驗證客戶（可選的）；（3）客戶端和服務器之間協(xié)商雙方都支持的加密算法和壓縮算法，可選用的加密算法包括：RC4、DES、3DES、RSA、MD5、SHA等；（4）產(chǎn)生對稱加密算法的會話密鑰；（5）建立加密SSL連接。SSL握手協(xié)議SSL記錄協(xié)議SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮和加密處理，最后由傳輸層發(fā)送出去。在SSL協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄中，SS