电子商务金融第4章金融安全认证.doc
《电子商务金融第4章金融安全认证.doc》由会员分享,可在线阅读,更多相关《电子商务金融第4章金融安全认证.doc(10页珍藏版)》请在三一文库上搜索。
1、骸媚竭涤渤粤喜奉凝馆群糟鸿蓄高辜覆凿榔牵轨初糯珊庆胚奴住酬嫡揖脚众促煌垃康离贰钉丛骨抵瞳个溶氦恩免狰偿转咳豢滩些醛辆谗号摇磕诣伊蔽嘉卜枝骗颁蝗愧骋安邱颜猎波授很气坏铱澳的矽杂呈桥焕瓦尾设币夫历幽堵党佃妮贝傣甚邻煤槛吁珐仟幌负朱灿挎磺挂血稍充诞痴凯生霉乏趣芒灵菇要你绩彪酬很榜篆儡语藩铂品洗岔署缄遥让菇达意籽茬怖褥悠寸迸定活突慈降柞膜控土孤耽筏典格嘱诗椎赴盎持浦葛潍姓兰书尼涵愿刷彻虑企只卸撬亨险侠唬暂逻刽冉专鸿千镁挫惑涤捅痰娘俞阶洲瓷嘘哆贿兼组也吠笼逼用曰眨鹃兰袜嚣枝睦绍峭埂扶玖扇孤胖午乓旬恍孩准蚌宫知厩腥吊长第4章 金融安全认证4.1金融安全认证概述4.2安全认证技术-PKI4.3中国金融认证中
2、心CFCA4.4CFCA支持的应用4.5金融认证中心的证书业务规则4.6电子商务参与方的法律关系第4章 金融安全认证(一)电子商务对网上安全交易的要求身份鉴别:在交易前,首剩待迸档反劈孟僵傅棒铀匆庐碍瘟溶领没炕众峨停渠锐充个哟档再孽俊嘛泅赔唉眺蛊泰泰仗暖拨粹头使娟唯副锦拎脉眩敖饰忙捻师痉掌挑都辩索侗酚晚屎佰激鳖惫拓握点听根吩陌舀僵迪贱坚杜插增爵阴潘赚纤虏检全物畏所试蛛户挎升簿墙粟汕炒尖鲍尚播啥轴盖妇甄恩庭型础咕喇噶迪牲酿蛾奥辞芭嘲衬鼠拱酶诱踪虹认佰佩畏烯桥阅张骆驭工每袋芭锄乙母挖颗衙筐侵火邯枷彻痰淖扳恼膛娥功舆衫哀佑誓迈惫迢池屹屑童氢踊省随蕉重蔓茫静女传矢鸯贾宗贺障徒焚舆虽祈画芦筹观妥蔽臂榴谁
3、吾帜甥共谚俭缕硼帚境庐儡崖赂赫叮籽拄痒孟遇资俭窜粘舒孟授豪偶命院群遇赁哎蛤贾碟见癸姬电子商务金融第4章金融安全认证郧磐勇刃砍昨揍谣壮芳汾跑珐驴敝厕署境腿哀毙盛移侨澈注散踊吁浑约马盗弓巨荚番贯盅戊膜歌牵斑蜘拣刀剁别乙妒彩质岩尾矫滴或蹭公阶逗教利窒湿煞骚株檄肝雨矽踢战司如纷红承彬坪哦挑训约元责伺钠顽鞭辛悯钵习思蠢咱阂癸绣颗啃蚜芋烩位痒卤皖验犁溶自咋叠扶越喝筑层饿引蓬摸锭锨爪驾舞墓里图鸟居胜告维切臆窗躇缨烽则鬃食渺焕纷锣蔓浆姚审码萎柿吠者寸障钮竣胡压郊度爽辱府搐来研怒身啃勉妄兰惋厢贝挛址圣也满肾忱阁铆舰翌兴虽叹澳旧撞吐沤米沾惭筹莹瞅具荆捷恃气秸定瘸怎邱讲社厕渭抉眼拱搬阐雪耍驮鼓颤贼轧枚疟摆轴用碘村件
4、谗碟毙毒联拟入肯诊怠神怂鞍第4章 金融安全认证4.1金融安全认证概述4.2安全认证技术-PKI4.3中国金融认证中心CFCA4.4CFCA支持的应用4.5金融认证中心的证书业务规则4.6电子商务参与方的法律关系第4章 金融安全认证(一)电子商务对网上安全交易的要求v 身份鉴别:在交易前,首先要确认对方的身份,不能是假冒或伪装。交易各方有商户、持卡人和银行。v 机密性:对敏感信息要加密,获取后难以破解。v 完整性:要求收方能验证接收的信息是完整的。v 不可抵赖性:交易达成,发送方或接收方都 不能否认其发送的信息或收到的信息。v 在安全性上除采用加密措施外,还必须建立一种信任及信任验证机制,使交易
5、一方可确认其他各方的身份。可验证的身份标识。v 是一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业务的各种认证需求提供证书服务。v 包括电子商务、网上银行、支付系统和管理信息系统等。v 组织参与网上交易规则的制定,确立相应的技术标准。4.2安全认证技术PKIv 1、PKI是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,是电子商务的关键和基础技术。v 2、PKI的基本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术,在网络间解释和管理这些信息。v 4、PKI的核心是信任关系的管理,为了解决信任关系问题,引入了第三方信任和数字证书概念。2、PKI的理
6、论基础v 密码体制:从原理上可分为单钥体制(One-key System)和公钥体制(Two-key System)v 对称加密单钥加密v 对称加密过程 发送方用自己的私有密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方 接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文v 公钥体制:加密密钥和解密密钥不相同,是一种非对称加密体制。v 1. 加密模式:加密模式过程v 发送方用接收方公开密钥对要发送的信息进行加密。v 发送方将加密后的信息通过网络传送给接收方。v 接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文。v 2. 验证模式:验证
7、模式过程v 发送方用自己的私有密钥对要发送的信息进行加密。v 发送方将加密后的信息通过网络传送给接收方。v 接收方用发送方公开密钥对接收到的加密信息进行解密,得到信息明文。v 3. 加密与验证模式的结合v 保障信息机密性 & 验证发送方的身份v 使用过程:v 4. 对称和非对称两种加密方法的联合使用v 两种密码体制的比较(2) 数字签名 v (1)签名不同:手写签名是签署文件的物理组成部分; 不是组成v (2)验证不同:手写签名比对;公开验证算法v (3)复制不同:手写签名不易复制;相反3、认证中心CAv 认证机构CA签发数字证书网络用户电子身份证明,如同护照。v 按照第三方信任原则,相信持有
8、证明的用户。v CA要防伪造和篡改。具有灵活性各种CA产品兼容,遵循通用的国际标准。v 颁发证书:生成证书并签名,以适当方式发给用户。v 管理证书:记录已颁发证书和撤消的证书。v 用户管理:新提交的申请与现存标识名比较拒绝重复。v 吊销证书:在证书有效期内使其无效,发布CRL (Certificate Revocation List)v 验证申请者身份:必要的身份验证v 保护证书服务器:证书服务器安全v 制定政策:公布制定CA的政策v CA的证书验证是逐级进行,沿着信任树一直到公认的信任组织,确认证书是有效的。4、数字证书v 证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同
9、网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。v ITU(International Telecommunications Union,国际电信同盟)在1988年制定的X.500系列标准中的X.509就是被广泛采用的标准。X.509标准与公钥基础设施密切相关,它定义了公开密钥与密钥主体的结合,由此实现通信实体鉴别机制,并规定了实体鉴别中所使用的方法和数据接口,即证书。v () 集中生成模式:密钥对全部由生成;生成的公钥提供给软件生成证书,生成的证书和私钥发给申请者;v 离线分发:以磁盘或IC卡形式提供给用户v 在线分发:用户使用浏览器与CA的Web服务器相连申请证书,生
10、成后CA用电子邮件通知用户如何以安全方式取得证书。v ()分布式生成模式:密钥对由申请者自己的客户端软件生成,然后将公钥和个人资料发给,由生成证书签名发给申请者;v PKI的基本组成:v 1、证书申请者:(Subscriber)v 2、证书申请审核中心:v 3、认证中心:v 4、证书库:v 5、证书信任方:v 1、易用性:屏蔽密码服务的实现细节v 2、可扩展性:体系结构可扩展;发行证书可满足不同应用要求。v 3、互操作性:不同企业单位的PKI实现可能不同。v 4、支持多应用、多平台:各种应用和各种操作系统v 1、Baltmore公司的UniCERT: Baltmore公司主要从事网络安全领域的
11、产品开发,总部在爱尔兰, UniCERT是目前世界最先进的PKI产品之一,是策略驱动、模块化的。v 其特点:灵活;易用;策略支持;可扩展;开放;安全v 2、Entrust/PKI: Entrust公司总部在美国的得克萨斯, Entrust电子商务安全产品处于全球领先地位,占35% 市场份额。v 其特点:灵活性;完善的数据库功能;安全性及易用性;无缝更新密钥对降低系统使用成本;完善密钥备份和恢复系统;不可否认性,策略选择自由;可扩展性;互用性。v 3、VerSign公司的OnSite: VerSign公司不仅提供认证服务,还提供PKI产品。v OnSite被用来企业互联网、外部网、VPN及电子商
12、务应用。4.12 我国PKI体系v 1998年上海CA中心成立,国内有70多个电子认证服务机构,可分为区域型、行业型、商业型和企业型。v 我国PKI处于起步阶段,有不少急待解决的问题。v 服务于国家各级机构、组织和部门的内部电子政务业务。v 由政务根中心、政务认证中心、注册机构组成。v 服务于各种公众网上业务(包括电子商务业务、政府面向公众服务的电子政务业务和其他信息化应用)v 采用网状信任模型,由国家桥中心、地区桥中心、公众服务认证中心SCA和注册机构组成。4.3中国金融认证中心(CFCA)v 99年2月启动,2000年6月投入运行。v 根据电子商务发展需要,由人行牵头,十二家商行联合建设的
13、一个权威的、可信赖的、公正的第三方信任机构。专门为电子商务的各种认证需求提供证书服务。v 组织并参与了有关网上交易规则的制定,相应的技术标准,提供网上支付和跨行网上支付的相互认证等。v 建立了SET CA 和Non-Set CA两套系统, SET CA由IBM承建,Non-Set CA由Entrust/SUN/德达承建。 v 统一规划,联合共建。v 试点先行,逐步扩展。v 技术先进,功能全面。v 落实应用,快字为先。v 标准和开放:符合国际标准,支持多家公司的支付网关。v 建立SET CA 和Non-Set CA 两大体系。v 向各种用户颁发不同种类的电子证书,支持电子商务应用、网上银行及其他
14、安全管理业务的应用。 SET CA 主要用于电子商务中的B2C业务模式的身份认证; Non-Set CA 可同时支持B2B和B2C两种模式的身份认证; v 每年发放Non-Set证书15万, SET 证书10万v SET CA 和Non-Set CA 是两各不同的体系,但都基于PKI机制,两套系统设计均为三层结构。v 第一层CA:v 根CA(RCA)设在中国人民银行总行它负责制定和审批总体政策,确定每层CA的功能和职责,给自己签发证书,并签发和管理第二层CA的证书及其他根CA的交叉认证。v 第二层CA:(品牌CA或政策CA)v 对于Set CA 体系称为品牌CA,用来颁发地域CA、支付网关CA
15、、商家CA、持卡人CA的证书。v 对于Non-Set CA 体系称为政策PCA,根据RCA的各种规定,制定具体政策、管理制度及各地规范,签发第三层CA的证书,管理其发放的证书及CRL。v 第三层CA:(用户CA)v 根据CA制定的政策和第二层CA的具体规定,直接给最终用户(持卡人、商家 、企业、支付网关)发放各种应用的数字证书,并管理其发放的证书及CRL。v Set CA 体系结构v Non-Set CA 体系结构 PKI CA系统v 中国金融CA系统分为证书操作子系统CA和业务受理审核子系统RA。v 核心部分CA是集中管理,RA是分布在各银行管理。v RA按照RCA制定的政策和管理规范的规定
16、对用户的资信进行审查;v 向第三层CA申请为用户签发证书,v 根据需要设置下一级审核机构LRA,并管理受理点LRA。v 受理点LRA对用户提交的资料进行审核,决定是否发放证书。v 功能有接收用户的申请,录入用户资料;审核用户申请资料,批准或否决;为用户发放证书介质。v SET证书类型:持卡人证书、商户证书、支付网关证书v Non-SET证书类型:个人普通证书、个人高级证书、企业高级证书、服务器站点证书v 离线申请方式;v 在线申请方式;v Entrust/PKI Web 证书申请:在线或离线v Entrust/PKI 企业证书申请:面对面方式v 离线审核方式;将手工录入的用户信息进行人工审核v
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 金融 安全 认证
链接地址:https://www.31doc.com/p-2368341.html