第二章网络支付的安全及相关安全技术.pptVIP

数字证书与认证中心CA 　　在传统商务与电子商务中，均存在对贸易伙伴身份的确定与认证问题。特别在电子商务中，由于是基于非面对面的网上交易，贸易双方几乎不会见面，那么验证贸易对方的身份比如在网络支付中对收款人或付款人身份的认证是非常必要的。 　　因此如何在Internet上识别对方身份，在电子商务时代是重要的一环。传统商务中有相应的双方身份认证机制，如政府部门颁发的身份证、护照、公司营业证书、产品质量检验证书等。有了这些政府颁发的证书，保证了贸易双方身份的认证和合法性的认证，才保证了传统商务的安全、有序、可靠进行。 　　而在Internet上是没有“政府”的。因此必须建立公正的“认证中心”机构，负责颁发“身份认证证书”和检验“身份”的工作，认证的方法则变为通过网络的电子手段。因此不得不使用全新的机制，来保证电子商务的进行。 　　在电子商务的网络支付中，涉及到大量的双方身份认证，本节就主要介绍电子商务下的身份认证工具－－数字证书及其发行者CA的基本知识。 一、数字证书 　　传统的身份证明一般是通过检验“物理物品”的有效性来确认持有者的身份。这类“物理物品”可以是身份证、护照、工作证、信用卡、驾驶执照、徽章等，上面往往含有与个人真实身份相关的易于识别的照片、指纹、视网膜等，并具有权威机构如公安机关等发证机构的盖章。 　　由于在电子商务中，信息业务是面向全球的，要求验证的对象集合也迅速加大，因而大大增加了身份验证的复杂性和实现的困难性。比如，在网络通讯双方使用非对称密钥加密之前，必须先要确认说得到的公开密钥确实是对方的，也就是有一个身份确认得问题。最好的办法是双方面对面交换公开密钥，但这在实际是不可行的。就像在前面的例子中，这个商户不可能和几百万个消费者都面对面地交换公开密钥。 　　为了能确认双方的身份，必须要由网络上双方都信任的第三方机构（这个机构就是数字证书认证中心CA)发行一个特殊证书来认证。在电子商务中，通常是把传统的身份证书改用数字形式，由双方都信任的第三方机构发行和管理，以便在网络社会上使用，进行身份认证。这就是数字证书。 1. 数字证书的产生需求 2. 数字证书的定义及内容 数字证书：就是指用数字技术手段确认、鉴定、认证Internet上信息交流参与者身份或服务器身份，是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。是模拟传统证书如个人身份证、企业营业证书等的特殊数字信息文档。例如用户数字证书证实用户拥有一个特别的公钥，服务器证书证实某一特定的公钥属于这个服务器。 　　数字证书由发证机构——认证授权中心CA发行。这些机构负责在发行证书前证实个人或组织身份和密钥所有权，证书需要由社会上公认的可靠组织发行，如果由于它签发的证书造成不恰当的信任关系，该组织需要负责任。 　　数字证书在保证电子商务安全中是不可缺少和不可替代的，特别是在保证网络支付的安全方面。它的使用面很广，重要的安全电子交易协议(SET)、电子邮件安全协议(Secure MINE)都是以数字证书为基础的。 数字证书的内容：认证中心CA在确认了用户的身份后，向用户（企业或个人）颁发数字证书，数字证书中包括了用户的基本信息以及用户的公开密钥等，并由CA进行数字签名。（详细见下页） 工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。下图显示了数字证书的基本内容。 证书的具体内容格式：定义在ITU-T Rec．X．509标准里。证书由以下两部分组成： (1)证书数据的组成 　①版本信息Version：用来区分X．509证书格式的版本； 　②证书序列号Serial number：每一个由CA发行的证书必须有一个惟一的序列号于识别证书： 　③CA使用的签名算法Algorithm Identifier：CA的双钥加密体制算法： 　④发证者的识别码Issuer Unique Identifier：发此证书的CA识别码； 　⑤有效使用期限Period of Validity：本证书的有效起始、结束日期； 　⑥证书主题名称； 　⑦公钥信息Public key Information：此双钥加密体制的算法名称、公钥的位字符串表示(只适用于RSA加密体制)； 　⑧使用者Subject：此公钥的所有者； 　⑨使用者识别码Subject Unique Identifier； 　⑩额外的特别扩展信息。 (2)发行证书的CA签名与签名算法 　　证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证