電子交易與支付7

1、第七章 電子交易與支付安全（下）,,學習目標：,掌握數(shù)字證書的概念及常見的數(shù)字證書的種類和使用方法掌握CA認證的組成與運作方式 了解數(shù)字簽名對電子交易與支付的安全管理重點： 數(shù)字證書、CA認證難點： 數(shù)字簽名,§7-1 電子交易與支付的安全認證系統(tǒng)概述,§7-1 電子交易與支付的安全認證系統(tǒng)概述,§7-2 數(shù)字證書,一、數(shù)字證書概念：1、定義：是由權威機構－－CA證書

2、授權中心發(fā)行的，能提供在Internet上進行身份驗證的一種權威性電子文檔。,為何要使用數(shù)字證書,數(shù)字證書樣本,2、數(shù)字證書的格式與種類 ①格式：目前數(shù)字證書的格式普遍采用的是X.509 V3國際標準，內(nèi)容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等.,②種類 ：個人數(shù)字證書：用于個人網(wǎng)上購物、網(wǎng)上支付、簽訂電子合同等機構身份證書：用于機構在網(wǎng)上進行稅務申報、招投標、公文傳遞、訂購、支付

3、等活動安全電子郵件數(shù)字證書：用于加密和收發(fā)數(shù)字簽名郵件應用服務器數(shù)字證書：確認瀏覽器和服務器之間通信雙方的身份企業(yè)代碼簽名數(shù)字證書：用于對其提供的軟件代碼作數(shù)字簽名個人代碼簽名數(shù)字證書：用于對其提供的軟件代碼作數(shù)字簽名,二、數(shù)字證書的作用：身份認證：核實持有者的身份機密性：加密文檔資料完整性：保證信息在傳遞過程中沒有被人修改不可抵賴性：判斷私鑰的持有者訪問控制：控制發(fā)送的信息只供指定的人員訪問其他應用：訪問安全站點、

4、發(fā)送安全電子郵件、網(wǎng)上證券交易、網(wǎng)上簽約、網(wǎng)上稅務等,,采用數(shù)字證書進行身份認證實例,,,,OA訪問控制,,OA訪問控制,,OA訪問控制,,,,******,,,,,,,,,1、存儲在KEY盤 KEY盤的外形如U盤，內(nèi)置了加密的芯片，是用于存儲數(shù)字證書的設備；外形小巧輕便，存儲容量小,三、數(shù)字證書的技能操作,2、查看保存在計算機里：在IE瀏覽器里點擊“工具”—“Internet選項”—“內(nèi)容”選項卡，可查看證書信息,,2、查

5、看保存在計算機里：在IE瀏覽器里點擊“工具”—“Internet選項”—“內(nèi)容”選項卡，可查看證書信息,,3、證書的導入和導出：①導出：備份存儲數(shù)字證書,,3、證書的導入和導出：①導出：備份存儲數(shù)字證書,3、證書的導入和導出：①導出：備份存儲數(shù)字證書,,3、證書的導入和導出：①導出：備份存儲數(shù)字證書,3、證書的導入和導出：②導入：安裝數(shù)字證書,,3、證書的導入和導出：②導入：安裝數(shù)字證書,3、證書的導入和導出：②導入：安裝

6、數(shù)字證書,3、證書的導入和導出：②導入：安裝數(shù)字證書,,§7-3 數(shù)字簽名,一、定義：數(shù)字簽名（又稱電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領域的技術實現(xiàn)，用于鑒別數(shù)字信息的方法。,二、工作原理：1、數(shù)字簽名的全過程分兩大部分，即簽名與驗證2、每個用戶的數(shù)字簽名擁有一對密鑰：公鑰和私鑰3、簽名由簽名者采用自己的私鑰進行4、驗證由接收者采用簽名人的公鑰進行,數(shù)字簽名實現(xiàn)過程,采用數(shù)字簽

7、名實現(xiàn)數(shù)據(jù)完整、機密和抗抵賴實例,1、選擇數(shù)字證書，錄入待簽名信息,2、插入數(shù)字簽名，點擊“簽名驗證”,3、明示簽名結果,4、修改待簽名信息原文,5、 “簽名驗證”失敗,§7-4 CA認證,一、CA認證中心： CA認證中心也稱為數(shù)字證書認證中心，證書授權中心（ Infrastructure）公開密鑰基礎架構技術，專門提供網(wǎng)絡身份認證服務，負責簽發(fā)和管理數(shù)字證書，且具有權威性和公正性的第三方信任機構。,二、CA認證中心

8、體系結構,注釋： CA認證中心體系結構,安全服務器：面向普通用戶，用于提供數(shù)字證書的申請、瀏覽、撤銷列表以及證書下載等安全服務。CA服務器（核心）：負責證書的簽發(fā)。注冊機構RA：審核證書資料，轉發(fā)CA頒發(fā)的證書和證書撤銷列表。LDAP服務器：提供目錄瀏覽服務。數(shù)據(jù)庫服務器（核心）：認證機構的數(shù)據(jù)、日志和統(tǒng)計信息的存儲和管理。,三、CA認證的功能,證書的頒發(fā)證書的更新證書的查詢證書的撤銷（作廢）證書的歸檔,認證中心的服務,

9、五、認證中心作業(yè)流程,用戶申請與使用數(shù)字證書的一般程序如下： 1、用戶向金融機構申請開通網(wǎng)上銀行業(yè)務。2、銀行提供相關軟件及數(shù)字證書申請識別資。3、用戶安裝相關軟件后， 連上Internet 。4、用戶透過Internet到認證中心(CA)申請數(shù)字證書5、用戶進行轉帳、繳款及購物付款等各項交易。 6、當交易完成，用戶收到交易結果。,四、申請CA證書的方法,領取并填寫證書申請表注：CA認證機構網(wǎng)上下載、CA認證機構受理點領取

10、提交申請表及有效證明資料接受審核受理點錄入審核用戶信息后，發(fā)放密碼信封申請人憑密碼信封序列號及其密碼到CA認證機構網(wǎng)站下載安裝CA證書。,需提交的證明資料,五、認證中心作業(yè)流程,§7-5 中國金融認證中心（CFCA）,一、中國金融認證中心：（China Financial Certification Authority）中國金融認證中心是經(jīng)中國人民銀行和國家信息安全管理機構批準成立的國家級權威的安全認證機構，為網(wǎng)上金融

11、、電子商務、電子政務提供安全認證服務；確保了網(wǎng)上信息傳遞雙方身份的真實性、信息的保密性和完整性、以及網(wǎng)上交易的不可否認性。,二、CFCA體系結構,二、CFCA體系結構,CFCA體系結構總體分為三層(1)根CA(2)政策CA：可向不同行業(yè)、領域擴展信用范圍(3) 運營CA：根據(jù)證書運作規(guī)范發(fā)放證書，它由“CA系統(tǒng)”和“證書注冊審批機構RA”兩大部分組成CA系統(tǒng)：證書簽發(fā)和管理，不直接面向用戶。RA系統(tǒng)：直接面向用戶，負責用戶身份

12、申請審核，向CA申請為用戶轉發(fā)證書。,三、CFCA證書種類：,企業(yè)高級證書個人高級證書企業(yè)普通證書個人普通證書服務器證書手機證書安全E-mail證書VPN設備證書代碼簽名證書,四、 CFCA數(shù)字證書的典型應用,1.網(wǎng)上銀行2.網(wǎng)上證券3.網(wǎng)上申報與繳稅4.網(wǎng)上企業(yè)購銷5.安全移動商務(WAP/短信)6.企業(yè)級VPN部署7.基于數(shù)字簽名的安全E-mail、安全文檔管理系統(tǒng)8.基于數(shù)字簽名的TruePass系統(tǒng)