第6章安全交易认证技术

第6章安全交易认证技术学习目标与要求1．掌握身份认证、PKI体系的概念；2．掌握数字证书的概论、种类、用途和应用操作方法；3．了解数字时间戳和电子印章的概念和用途；4．了解CA中心的职责和任务，掌握从CA中心获得数字证书并用于安全电子商务或安全网络通信的操作方法。北京一大学毕业生战某以北京四通利方信息技术有限责任公司的名义发布虚假广告,假称新浪网将为登录的网站提供有偿服务并推出小型广告服务项目。为增强该广告的可信度,他还用电脑合成了四通利方公司公章,“加盖”在向外发送的电子邮件上。此事件严重损害了四通利方公司的信誉,扰乱了社会管理秩序。战某的行为已经构成了伪造公司印章罪,北京市海淀区法院依法判处其有期徒刑6个月。云和县立信玩具厂在互联网上得到湖南岳阳某公司的一笔订单,价值140万元。过于优厚的条件使立信厂对这桩网上交易心存疑虑,于是向工商部门求助。云和工商局与岳阳工商部门取得联系后发现,该公司是空壳公司。一起网上诈骗案被及时制止了。广东省一个体户关某收到一封以“苏平”的名义发来的电子邮件,称有大量低价电脑配件出售。关某与这位自称“苏平”的人见面后,按“苏平”要求在某储蓄所存入货款8万元,意欲购买电脑配件。之后,“苏平”带了2名男子前来与关某洽谈生意,期间以掉包的方法换走其存有8万元的储蓄卡和该卡的密码信封,将钱取走。事后关某立刻报案,警方迅速擒获“苏平”三人,为关某挽回了损失。在电子商务活动中,交易者互不见面,数字合同不能使用企业的公章,这使得交易者身份的真实性如何确认成为电子商务交易安全的一个核心问题。假冒身份、伪造印章、以虚假公司进行电子商务诈骗的报道不时见于报端,以致影响了电子商务的发展。确保电子商务交易活动中参与者身份的真实性、电子商务文件的数据完整性、交易文件及交易事件的不可抵赖性,是电子商务正常开展的重要保证。6.1身份认证技术6.1.1身份认证的定义在互联网上,交易双方互不见面,因此身份认证既是判明和确认交易双方真实身份的必要环节,也是电子商务交易过程中最重要而又最为薄弱的环节。所谓身份认证，就是鉴别互联网上用户身份的真实性,并保证通信过程的不可抵赖性和信息的完整性。在许多时候,通过认证机构所进行的信息认证比信息保密更为重要。认证机构或信息服务商提供的认证具有以下功能:(1)保证信息源的可信性。保证信息的来源是可信的,即信息的接收者能够确认所获得的信息不是由假冒者所发出的。(2)保证信息的完整性。保证信息在传输过程中保持了完整,即信息接收者能够确认所获得的信息在传输过程中没有被修改、替换和延迟。(3)保证信息收发过程的不可抵赖性。保证信息发送者不能否认自己所发出的信息,同时信息接收者也不能否认已经收到了信息。6.1.2身份认证方法的类型有许多方法可以用来进行电子商务交易中的身份认证。下面介绍一些实现身份认证的基本方法。6.1.2.1用户口令6.1.2.2物理的身份证明6.1.2.3生物学身份认证6.1.2.4时钟同步的一次口令认证6.2.1PKI的定义PKI是基于公钥加密系统的概念和技术为互联网用户提供安全服务，利用公钥技术实现电子商务安全的通用安全基础设施。PKI由公钥加密系统、数字证书、证书认证机构(CA中心)和关于公钥的安全策略等基本成分共同组成。在PKI体系中,安全认证系统——CA系统是其最重要的组成部分。PKI是提供公钥加密和数字签名服务的平台,用于管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。6.2PKI认证体制与CA中心6.2.2PKI系统一个完整、有效的PKI应用系统至少应具有以下部分:(1)CA中心。CA中心是PKI的核心,负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,并负责用户证书的黑名单登记和黑名单发布。(2)X.500目录服务器。X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过其查询自己或其他人的证书和下载黑名单信息。(3)具有高强度密码算法的安全Web服务器(4)安全通信平台。安全通信平台有WebClient端和WebServer端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性,并进行身份验证。(5)自开发安全应用系统。自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券所的应用系统等。PKI系统的建立还包括认证政策、认证规则、运作制度的制定,所涉及的各方法律关系的确定,以及相关加密技术的实现。6.2.3PKI体系的核心——CA中心6.2.3.1CA中心的性质PKI体系的核心是证书认证机构(CertificateAuthority,简称CA中心)。CA中心在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动的顺利进行而设立的,主要是解决电子商务活动中交易参与各方身份和资信的认定,维护交易活动的安全。CA中心是提供身份验证的第三方机构,由一个或多个用户所信任的组织实体构成。6.2.3.2CA中心的工作原理6.2.3.3CA中心的职责(1)签发数字证书。(2)证书的更新。(3)证书的作废处理。(4)发布数字证书。(5)在线证书状态查询。(6)证书查询。(7)密钥管理。6.2.3.4上海市数字证书认证中心有限公司(SHECA)1998年,经中央密码工作领导小组批准,上海市政府批准和授权,我国首家CA中心——“上海市电子商务安全证书管理中心有限公司”(简称“SHECA”)成立。SHECA是负责数字证书申请、签发、制作、废止、认证和管理业务的权威性认证中心,提供网上身份认证、数字签名、电子公证、安全电子邮件、数字时间戳等服务。现在,SHECA已更名为“上海市数字证书认证中心有限公司”,简称不变。SHECA是上海市的网络安全基础设施,是由上海市政府授权建立,上海市唯一从事数字证书的签发和管理业务的权威性认证中心,为上海的信息化事业提供安全和信任服务。SHECA建立时定下的目标是为上海地区建立一个网上作业和交易的信任环境,为企业、消费者、金融、政府等对象服务。现在,它作为第三方网络安全和信任服务提供商,专门从事信息安全技术认证和安全信任服务,以及相关产品的研发和整合,为客户提供信息安全整体解决方案与第三方服务。SHECA目前已经颁发一系列数字证书,包括与信用卡绑定的SET证书、不与业务挂钩的通用证书,以及个人证书、单位证书、设备证书、代码签名证书等,发证对象包括个人、企事业单位、网站服务器、软件代码等。SHECA将数字证书与实体身份绑定,从而逐渐淘汰目前各种形式的卡和证,由数字证书标明实体身份,有关实体的性质如个人学历、银行账户、犯罪记录、社保信息等,经网上身份认证后到各自部门的数据库都可查询到。由于数字证书不可伪造,因此可以保证实体身份的真实性,同时也有利于数据的安全管理和控制,可以杜绝假文凭、假护照、假驾照等伪造现象。现在全国各省、市、自治区都建立了自己的由政府授权的CA中心,在各自的地区承担与SHECA相类似的任务。随着CA认证技术的发展,各地区的CA中心已经开始联合。SHECA提出“一证在手、走遍天下”的理念,联合北京、山东、安徽、天津和无锡、昆明等地的CA认证机构,成立了全国性的认证联合体——协卡认证体系(UnitedCertificationAuthority),并在全国各个省、市、自治区设有近400家证书受理机构。并且,SHECA为遍布全国的客户提供了复杂多样、满足需要的信息化安全解决方案和网络安全信任服务。目前SHECA颁布的证书中,个人身份证书使用较多。SHECA的个人身份证书是经SHECA签名的包含个人身份信息以及个人公钥的文件,证书的格式遵循ITU—TX.509国际标准。它用于标志证书持有人在进行信息交易、在线支付等网络活动中的身份,并且保障信息在传输中的安全性和完整性,该证书可以存储在硬盘、USBKey、IC卡等介质中。个人身份证书中的个人E-mail证书,我们在日常上网时常常可以用到。个人E-mail证书使用户个人可以在重要的邮件通信中对信件内容进行加密和签名操作。用证书对电子邮件内容和附件进行加密后,则只有指定的收件人才能阅读该邮件,并且能够确保邮件在传输过程中不会被窃取。用证书对电子邮件进行签名,则可使接收方确认邮件的发送方,保证邮件的不可抵赖性及邮件在传送过程中不被篡改。6.3数字证书6.3.1数字证书的概念“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。由CA中心颁布的证书叫CA证书,最常用的CA证书是数字证书。数字证书作为网上交易双方真实身份证明的依据,是一个经CA中心数字签名的、包含证书申请者个人信息及其公开密钥的文件。6.3.2数字证书的类型数字证书按照其主要功能及用途,可以分为个人证书、单位证书、设备证书以及代码签名证书四大类,其中每一大类又可以进一步细分。6.3.2.1个人证书个人证书包括个人身份证书及个人E-mail证书。6.3.2.2单位证书单位证书包括单位身份证书、单位E-mail证书、部门证书、职位证书。6.3.2.3设备证书设备证书包括应用服务器证书、Web服务器证书、VPN网关证书、VPN客户端证书。6.3.2.4代码签名证书代码签名证书是对软件代码进行数字签名以表示软件代码的开发者身份的数字证书。代码签名证书包括个人代码签名证书及单位代码签名证书等。6.3.3数字证书的功能(1)数字签名。(2)验证数字证书的合法性。6.3.4数字证书的应用6.3.4.1数字证书的应用场所(1)网上交易。(2)工商管理。(3)网上办公。(4)网上招标。(5)网上报税。(6)安全电子邮件。6.3.4.2数字证书的应用流程电子商务活动中主要有以下五个交易参与方:买家、服务商、供货商、银行和CA中心。电子交易过程中数字证书的使用主要分为以下三个阶段:(1)第一阶段:数字证书的注册申请。交易各方首先需要进行数字证书的注册申请,通过CA中心获取各自的数字证书。(2)第二阶段:银行的支付中心对买家的数字证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字证书的验证,通过验证后,可以履行交易内容向买家发货。(3)第三阶段:银行验证服务商和供货商的数字证书后,将买家冻结在银行中的货款转到服务商和供货商的账户上,完成了此项电子交易。由于参与交易的各方都持有CA中心所颁发的数字证书,所以,能够保证在交易的过程中参与各方的真实身份,防止他人假冒。6.3.4.3数字证书的申请与发放一般地,个人数字证书的申请及发放流程如下:(1)客户从有关网站下载或到当地CA中心的业务受理点索取《个人证书申请受理表》与《数字证书客户申请责任书》,客户需认真完整填写,一式二份,一份由CA中心存档,一份由客户保存。(2)客户携带经由本人签字认可的《个人证书申请受理表》和《数字证书客户申请责任书》,再凭身份证原件及复印件到当地CA中心业务受理点办理证书申请手续。(3)CA中心业务受理点工作人员进行客户身份查验,查验通过后,客户缴纳申领证书的相关费用。(4)由CA中心业务受理点工作人员制作证书。(5)客户领取数字证书。单位数字证书、服务器数字证书、代码签名数字证书等的申领步骤与之类似,具体流程可到各CA中心网站查阅,这里不赘述。6.3.4.4数字证书的应用操作6.3.4.4.1数字证书的查看6.3.4.4.2数字证书的导出及导入操作6.3.4.4.3在OutlookExpress中设置数字证书6.3.4.5数字证书应用举例6.3.4.5.1使用数字证书访问安全站点6.3.4.5.2利用数字证书发送安全电子邮件(1)发送签名电子邮件(2)利用数字证书发送加密电子邮件6.4数字时间戳和电子印章6.4.1数字时间戳图6—24数字时间戳的产生过程6.4.2电子印章6.4.2.1电子印章的概念电子印章是传统印章的印迹和数字证书相结合的产物;是合法的数字化印章与数字证书绑定的,用用户的私钥