电子商务安全功能

第4章数字证书上海财经大学劳帼龄24.1数字证书简介4.2数字证书的格式4.3数字证书的申请与发放4.4数字证书的分发4.5数字证书的撤销4.6个人数字证书的应用——安全电子邮件4.7分析评价目录上海财经大学劳帼龄3引例：证书认证风暴席卷中国金融界中国金融认证中心是什么机构？数字证书为何物？《电子支付指引》为何提倡数字认证服务呢？数字证书机制真有从未被攻破那么神奇吗？上海财经大学劳帼龄4数字证书是指标志网络用户身份信息的一系列数据。4.1数字证书简介上海财经大学劳帼龄51.个人证书个人证书是指用户向对方表面个人身份的证明。2.单位证书单位证书是指颁发给独立的单位、组织，在互联网上用来证明该单位、组织身份的证书。4.1数字证书简介上海财经大学劳帼龄63.服务器证书服务器证书是指颁发给Web或其他需要安全鉴别的服务器证明服务器身份的信息。4.安全邮件证书5.代码签名证书6.根证书4.1数字证书简介上海财经大学劳帼龄74.2数字证书的格式4.2.1基本数字证书格式4.2.2数字证书扩展标准上海财经大学劳帼龄84.2.1基本数字证书格式X.509数字证书格式的三个不同版本证书中的数据域4.2数字证书的格式上海财经大学劳帼龄94.2.2数字证书扩展标准1.密钥信息的扩展2.政策信息扩展3.主体及发放者属性扩展4.认证路径约束扩展5.与数字证书撤销表相关的扩展4.2数字证书的格式上海财经大学劳帼龄104.3数字证书的申请与发放4.3.1数字证书的管理机构简介4.3.2数字证书的申请与生成4.3.3数字证书的更新上海财经大学劳帼龄114.3.1数字证书的管理机构简介认证机构CA又称认证中心、证书授予机构，是指承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。4.3数字证书的申请与发放上海财经大学劳帼龄124.3.2数字证书的申请和生成进入测试页面：4.3数字证书的申请与发放上海财经大学劳帼龄134.3.2数字证书的申请和生成申请测试证书：4.3数字证书的申请与发放上海财经大学劳帼龄144.3.2数字证书的申请和生成证书申请确认：4.3数字证书的申请与发放上海财经大学劳帼龄154.3.2数字证书的申请和生成创建RSA交换密钥：4.3数字证书的申请与发放上海财经大学劳帼龄164.3.2数字证书的申请和生成生成证书序列号：4.3数字证书的申请与发放上海财经大学劳帼龄174.3.2数字证书的申请和生成查看安装的证书：4.3数字证书的申请与发放上海财经大学劳帼龄184.3.3数字证书的更新4.3数字证书的申请与发放上海财经大学劳帼龄194.3数字证书中公私密钥对的管理4.3.1密钥对的生成4.3.2私钥的保护4.3.3密钥对的更新上海财经大学劳帼龄204.3.1密钥对的生成两种方法：•由密钥对持有者系统生成•由密钥管理中心系统生成4.3.2私钥的保护保护方法：•将私钥存储在不可写的硬件模块或标记中，如智能卡中•将私钥存储在计算机硬盘或其他数据存储媒介上的加密数据文件中•将私钥存储在数字证书服务器上，当用户通过了服务器的鉴定，并在服务器上使用了一段时间后，该服务器会将私钥传送给用户4.3公私密钥对的管理上海财经大学劳帼龄214.3.3密钥对的更新与加密有关的密钥对数字签名密钥对认证机构数字签名密钥对4.3公私密钥对的管理上海财经大学劳帼龄224.4数字证书的申请与更新4.4.1数字证书管理机构作用4.4.2数字证书的申请注册4.4.3数字证书的生成4.4.4数字证书的更新上海财经大学劳帼龄234.4.1数字证书管理机构的作用注册机构RA，本身并不发放数字证书，但RA可以确认、批准或拒绝数字证书申请人的申请，随后由CA给经过批准的申请人发放数字证书。RA功能：•注册、注销、批准或拒绝对数字证书属性的变更要求•确认数字证书申请人的合法性•批准生成密钥对和数字证书的请求及恢复备份密钥的请求•批准撤销或暂停数字证书的请求（需相应CA支持）•向有权拥有身份标记的人当面分发标记或恢复旧标记4.4数字证书的申请与更新上海财经大学劳帼龄244.4.2数字证书的申请注册身份确认方法：•了解私有文件•亲自到场•身份证明文件4.4.3数字证书的生成数字证书的生成步骤•数字证书申请人将数字证书内容信息提供给认证机构•认证机构确认信息的正确性•由CA给数字证书加上数字签名•将数字证书的一个副本传送给用户•将数字证书的一个副本传送到数字证书数据库，以便公布•数字证书的一个副本可以由CA或其他实体存档•CA将数字证书生成及发放过程中的细节记录在审计日志中4.4数字证书的申请与更新上海财经大学劳帼龄254.4.4数字证书的更新每份数字证书的生命周期都是有限的。在数字证书期满后需要更换数字证书。另外，密钥对也需要定期更换，而一旦更换了密钥对，那就需要用新的数字证书。4.4数字证书的申请与更新上海财经大学劳帼龄264.4数字证书的分发4.4.1利用数字签名分发数字证书4.4.2利用目录服务分发数字证书上海财经大学劳帼龄274.5数字证书的撤销4.5.1请求撤销数字证书4.5.2撤销数字证书的方法4.5.3X.509标准的数字证书撤销表上海财经大学劳帼龄284.5.1请求撤销数字证书4.5.2撤销数字证书的方法1.证书撤销列表CRL4.5数字证书的撤销发放者名称CRL发放的时间/日期被撤消证书的序列号撤消的时间/日期……被撤消证书的序列号撤消的时间/日期发放者的数字签名上海财经大学劳帼龄294.5.2撤销数字证书的方法2.在线查询机制3.前向安全证书撤销方案4.5数字证书的撤销上海财经大学劳帼龄304.5.3X.509标准的数字证书撤销表X.509的CRL格式4.5数字证书的撤销版本（CRL格式）签名算法CRL发放者本次更新时间下次更新时间证书序列号撤消时间CRL扩展名目……证书序列号撤消时间CRL扩展名目CRL扩展部分CRL发放者的数字签名上海财经大学劳帼龄314.5.3X.509标准的数字证书撤销表证书撤销列表14.5数字证书的撤销上海财经大学劳帼龄324.5.3X.509标准的数字证书撤销表证书撤销列表24.5数字证书的撤销上海财经大学劳帼龄334.6个人数字证书的应用——安全电子邮件4.6.1安全电子邮件简介4.6.2安全电子邮件证书的工作方式4.6.3OutlookExpress的设置4.6.4绑定证书4.6.5发送数字签名电子邮件上海财经大学劳帼龄344.6.1安全电子邮件简介4.6.2安全电子邮件证书的工作方式1.采用个人和单位证书发送安全电子邮件2.直接给电子信箱的所有人或单位的电子邮件地址颁发数字证书4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄354.6.3OutlookExpress的设置OutlookExpress的界面4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄364.6.3OutlookExpress的设置邮件中没有设置时的界面4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄374.6.3OutlookExpress的设置输入电子邮件地址4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄384.6.3OutlookExpress的设置收发邮件服务器设置4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄394.6.3OutlookExpress的设置身份验证4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄404.6.3OutlookExpress的设置完成邮件设置4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄414.6.4绑定证书在邮件中绑定数字证书4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄424.6.4绑定证书选择要使用的数字证书4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄434.6.4绑定证书数字证书属性以及绑定加密4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄444.6.5发送数字签名电子邮件4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄454.6.5发送数字签名电子邮件接收电子签名邮件提示4.6个人数字证书的应用——安全电子邮件上海财经大学劳帼龄464.7分析评价Thanks!