1、第5章 电子商务的认证,5.1 身份证明与认证体系5.2 证书与认证机构 5.3 安全认证标准,5.1 身份证明与认证体系,5.1.1 认证与身份证明认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。只有确保双方身份的真实性、数据的完整性和可靠性及交易的不可抵赖性,才能确保电子商务安全有序地进行。 一个身份证明系统一般由三方组成,一方是出示证件的人,另一方为验证者,第三方是攻击者,认证系统在必要时也会有第四方,即可信赖者参与,经常调解纠纷。,对身份证明系统的要求: (1) 验证者正确识别合法示证者的概率极大化。 (2) 不具可传递性。 (3) 攻击者伪装示证者欺骗验证者成功
2、的概率小到可以忽略。 (4) 计算有效性。 (5) 通信有效性。,(6) 秘密参数安全存储。 (7) 交互识别。 (8) 第三方的实时参与。 (9) 第三方的可信赖性。 (10) 可证明安全性。,电子商务安全中有两个问题涉及到身份识别: 可信度 不可抵赖性,5.1.2 认证体系电子商务认证中心(CA)体系包括两大部分,即符合SET标准的SET CA认证体系和基于X.509的PKI CA体系。下面分别介绍这两种重要的CA机制。,1SET CA 从SET协议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。 SET CA是一套严密的认证体系,可保证B to C类型的电
3、子商务安全顺利地进行。,2PKI CAPKI CA是提供公钥加密和数字签名服务的平台 。PKI CA增加网上交易各方的信任,也为它们之间的可靠通信创造条件,并为B TO B及B TO 两种电子商务模式提供兼容性服务(特别是B TO B模式的服务)。,5.2 证书与认证机构,电子商务活动中,为保证商务、交易、支付活动的真实可靠,需要有一种机制来验证活动中各方的真实身份。目前最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书。,5.2.1 证书1证书的概念数字证书作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开
4、密钥的文件。,2证书类型 (1) 个人证书(客户证书) (2) 服务器证书(站点证书) (3) 安全电子函件证书 (4) CA证书,3证书的内容证书包括申请证书个人的信息和发行证书的CA的信息。 (1) 证书数据 (2) 发行证书的CA签名,4证书的有效性 只有下列条件为真时,证书才有效:(1)证书没有过期。(2) 密钥没有修改。(3) 用户仍然有权使用这个密钥。(4) CA负责回收证书,发行无效证书清单。,5证书使用 证书帮助证实个人身份。 认证机构发放的数字证书主要应用于: (1) 通过S/MIME协议实现安全的电子函件系统; (2) 通过SSL协议实现浏览器与Web服务器之间的安全通信;
5、 (3) 通过SET协议实现信用卡网上安全支付; (4) 提供电子商务中认证证书标准。,5.2.2 认证机构电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的。,认证中心主要有以下几种功能: (1) 证书的颁发 (2) 证书的更新 (3) 证书的查询 (4) 证书的作废 (5) 证书的归档,5.3 安全认证标准,5.3.1 PKI公开密钥基础设施PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。,PKI是围绕这五大系统来构建的。 1认证机关
6、 CA是证书的签发机构。 CA的机构职责归纳起来有: 验证并标识证书申请者的身份; 确保CA用于签名证书的非对称密钥的质量; 确保整个签证过程的安全性,确保签名私钥的安全性; 证书材料信息(包括公钥证书序列号、CA标识等)的管理;, 确定并检查证书的有效期限; 确保证书主体标识的唯一性,防止重名; 发布并维护作废证书表; 对整个证书签发过程做日志记录,向申请人发通知。,2证书库 证书库是证书的集中存放地,是网上的一种公用信息库,用户可以从此处获得其他用户的证书和公钥。 3密钥备份及恢复系统,4证书作废处理系统 对作废证书有如下三种策略: 作废一个或多个主体的证书; 作废由某一对密钥签发的所有证
7、书; 作废由某CA签发的所有证书。 5客户端证书处理系统,5.3.2 PKIX证书标准(X.509) PKIX系列标准定义了X.509证书在Internet上的使用,证书的生成、发布和获取,各种产生和分发密钥的机制,以及怎样实现这些标准的轮廓结构等。 互联网邮件扩展(S/MIME)、NON-SET认证等。,证书由CA根据X.509协议产生,应具备下列信息: 版本号(V) 序列号(N) 签名算法(AI) 发出该证书的认证机构(CA) 有效期限(TA) 主题信息(A) 公钥信息(Tp) 认证机构的数字签名。,5.3.3 X.500电子出版目录查询标准(目录服务协议LDAPX.500) 目录服务是用
8、于网络信息查询的技术。实现目录服务的方式有多种,但目前趋于统一到ITU-T X.500系列建议标准。,X.500系列由九个建议标准组成: X.500是目录服务的概要介绍; X.501定义了目录服务的模型; X.511对目录的各种抽象服务作了定义; X.518描述分布操作的实现过程; X.519是传输协议; X.520和X.521定义了常用对象类和属性; X.509提出了一种认证的框架; X.525规定了备份。,X.500系列建议的目录服务是分布式的。安全认证已经有一套完整的技术解决方案。采用国际通用的PKI技术、X.509证书标准、X.500信息发布标准等技术标准,可以安全发放证书,进行安全认证。安全认证需要的法律支持包括:信用立法、电子签名法、电子交易法、认证管理法律等。,
