电子商务的认证与安全电子邮件技术本章提要1)PKI的含义、组成及功能2)数字证书及认证中心3)PKI的应用第4章电子商务的认证与安全电子邮件技术4.1PKI概述4.2证书和认证系统4.3Windows2000PKI在电子商务中的应用4.4认证实训——个人数字证书申请4.5安全电子邮件技术实训4.2.2数字证书1.数字证书的概念数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUTX.509国际标准4.2.2数字证书一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称,命名规则一般采用X.500格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;证书所有人的名称,命名规则一般采用X.500格式;证书所有人的公开密钥;证书发行者对证书的签名。4.2.2数字证书2.数字证书的作用(1)信息的保密性(2)信息的完整性(3)信息的不可否认性(4)交易者身份的确定性4.2.2数字证书3.数字证书的原理数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了4.2.2数字证书4.数字证书的用途数字证书可以应用于公众网络上的商务活动和行政作业活动,包括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统4.2.2数字证书5.数字证书的申请流程4.2.3认证中心CA(CertificateAuthority)机构,又称为认证中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任1.行业性认证中心(1)中国金融认证中心(2)中国电子邮政安全证书管理中心2.区域性认证中心(1)上海市电子商务安全证书管理中心(2)广东省电子商务认证中心(3)北京数字证书认证中心3.商业性认证中心4.2.3认证中心CA(CertificateAuthority)机构,又称为认证中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任1.行业性认证中心(1)中国金融认证中心(2)中国电子邮政安全证书管理中心2.区域性认证中心(1)上海市电子商务安全证书管理中心(2)广东省电子商务认证中心(3)北京数字证书认证中心3.商业性认证中心4.1.1PKI技术的含义PKI是“PublicKeyInfrastructure”的缩写,意为“公钥基础设施”。PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。4.1.2PKI的组成及功能PKI系统由五个基本部分组成:证书申请者(Subscriber)、注册机构(RegistrationAuthority,RA)、认证中心(CertificateAuthority,CA)、证书库(CertificateRepository,CR)和证书信任方(RelyingParty)。其中,认证中心、注册机构和证书库三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者4.1.2PKI的组成及功能1.证书申请者证书申请者是证书的持有者,证书的目的是把用户的身份与其密钥绑定在一起,用户身份可以是参与网上交易的人或应用服务器。PKI为证书申请者提供如下功能:(1)证书请求(2)生成密钥对(3)生成证书请求格式(4)密钥更新请求(5)安装/存储私有密钥(6)安装/存储证书(7)私有密钥的签名和解密(8)向其他用户传送证书(9)证书撤销请求4.1.2PKI的组成及功能2.注册机构根据PKI的管理政策,RA的主要功能是核实证书申请者的身份,这项功能通常由人工完成,也可以由机器自动完成,但是系统必须具有身份自动检查机制。RA的功能如下:(1)验证申请者身份(2)批准证书(3)证书撤销请求4.1.2PKI的组成及功能3.认证中心CA主要完成证书的管理,CA使用其私有密钥对RA提交的证书申请签名,来保证证书数据的完整性,任何对证书内容的非法修改,都会被用户使用CA的公共密钥进行验证而发现。CA功能如下:(1)批准证书请求(2)生成密钥对(3)密钥的备份(4)撤销证书(5)发布CRL(6)生成CA根证书(7)签发证书(8)证书发放(9)交叉认证4.1.2PKI的组成及功能4.证书库证书库存放了经CA签发的证书和已撤销证书的列表,网上交易的用户可以使用应用程序,从证书库中得到交易对象的证书、验证其证书的真伪或查询证书的状态。证书库的功能如下:(1)存储证书(2)提供证书(3)确认证书状态4.1.2PKI的组成及功能5.证书信任方PKI为证书信任方提供了检查证书申请者身份以及与证书申请者进行安全数据交换的功能。在电子商务应用中,用户通常同时扮演证书申请者和证书信任方的双重角色。证书信任方的功能如下:(1)接收证书(2)证书请求(3)核实证书(4)检查身份和数字签名(5)数据加密4.1.3PKI的性能要求对PKI的性能有如下要求:1.开放性2.可扩展性3.安全性4.易操作性4.1.4轻型目录访问协议LDAP(LightweightDirectoryAccessProtocol)降低了使用X.500目录服务的复杂性,以10%的处理代价几乎提供了X.500协议的全部功能。在PKI环境中,LDAP服务器已经成为了首选的证书存储方式,因为LDAP产品到处都有,它给出存储及获取证书和CRL的标准方法;而且,很容易得到编写LDAP应用程序的开发工具包4.1.5PKI技术标准1.ASN.1:ASN.1是描述在网络上传输信息格式的标准方法。2.X.500:X.500是一套已经被国际标准化组织(ISO)接受的目录服务系统标准,它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。3.X.509是由国际电信联盟(ITU-T)制定的数字证书标准4.PKCS系列标准:由RSA实验室制订的PKCS系列标准,是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准5.OCSP(在线证书状态协议)是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。6.LDAP(轻型目录访问协议)4.2证书和认证系统4.2.1PKI系统的常用信任模型4.2.2数字证书4.2.3认证中心4.2.1PKI系统的常用信任模型信任模型主要阐述了以下几个问题:1)一个PKI用户能够信任的证书是怎样被确定的?2)这种信任是怎样被建立的?3)在一定的环境下,这种信任如何被控制?4.2.1PKI系统的常用信任模型1.认证机构的严格层次结构模型可以被描绘为一棵倒转的树1)根CA认证(更准确地说是创立和签署证书)直接连接到它下面的CA2)每个CA都认证零个或多个直接连接在它下面的CA3)倒数第二层的CA认证终端用户4.2.1PKI系统的常用信任模型2.分布式信任结构模型分布式信任结构把信任分散在两个或多个CA上。也就是说,用户A把CA1作为其根CA,而用户B可以把CA2做为其根CA。因为这些CA都被作为根CA,因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA(CA1是包括用户A在内的严格层次结构的根,CA2是包括用户B在内的严格层次结构的根)4.2.1PKI系统的常用信任模型3.Web模型(WebModel)Web模型是在万维网(WorldWideWeb)上诞生的,而且依赖于流行的浏览器。从根本上讲,它更类似于认证机构的严格层次结构模型。因为实际上,浏览器厂商起到了根CA的作用,而与被嵌入的密钥相对应的CA就是它所认证的CA,当然这种认证并不是通过颁发证书实现的,而只是物理地把CA的密钥嵌入浏览器Web模型在方便性和简单互操作性方面有明显的优势,但是也存在许多安全隐患。4.2.1PKI系统的常用信任模型4.以用户为中心的信任模型在以用户为中心的信任模型中,每个用户自己决定信任哪些证书。通常,用户的最初信任对象可能是家人、朋友或同事,但是否信任某证书则是由多种因素决定的。4.3Windows2000PKI在电子商务中的应用4.3.1Windows2000PKI概述4.3.2Windows2000PKI的公钥基础结构4.3.3Windows2000PKI公钥基础结构的证书服务4.3.4智能卡4.3.1Windows2000PKI概述Windows2000操作系统对PKI做了全面支持。Windows2000中,PKI在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在4.3.2Windows2000PKI的公钥基础结构4.3.3Windows2000PKI公钥基础结构的证书服务1.选择CA模式在建立认证服务之前,选择CA模式是非常关键的,安装认证服务时可选择四种CA模式(1)企业根CA(2)企业从属CA(3)独立根CA(4)独立从属CA2.安装认证服务1)选择“开始”-“设置”-“控制面板”,用鼠标双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证书服务”,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务4.3.3Windows2000PKI公钥基础结构的证书服务2)选中“独立根CA”,并选中“高级选项”,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务3)设定高级选项,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务4)输入CA的标识信息和有效期限,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务5)指定证书数据库和日志存储位置,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务6)证书服务会配置Internet信息服务,因此会暂停这项服务并弹出如图4-9所示的对话框,单击“确定”按钮4.3.3Windows2000PKI公钥基础结构的证书服务7)安装完成,单击“完成”即可4.3.3Windows2000PKI公钥基础结构的证书服务3.备份和还原CA对安装了证书服务的计算机中的CA进行备份可减少由于硬件损坏对CA造成的影响。(1)备份CA1)选择“开始”-“程序”-“管理工具”-“证书颁发机构”,选择要备份的CA,单击鼠标右键,选择“所有任务”中的“备份CA”4.3.3Windows2000PKI公钥基础结构的证书服务4.3.3Windows2000PKI公钥基础结构的证书服务2)选择要备份的项目,单击“浏览”指定备份文件的位置4.3.3Windows2000PKI公钥基础结构的证书服务3)输入访问私钥和证书的密码,单击“下一步”4.3.3Windows2000PKI公钥基础结构的证书服务4)单击“完成”则成功完成CA备份4.3.3Windows2000PKI公钥基础结构的证书服务(2)还原CA还原CA与备份CA的过程基本相同,但需要暂时停止证书服务。1)选择“开始”-“程序”-“管理工具”-“证书颁发机构”,选择任意CA,单击鼠标右键,选择“所有任务”中的“还原CA”,出现如图4-15所示的对话框,单击“确定”暂停证书服务4.3.3Windows2000PKI公钥基础结构的证书服务4.