【正文】 的時(shí)間信息必須采用安全措施。數(shù)字時(shí)間戳服務(wù)（ DTS， digital timestamp service）是提供確認(rèn)電子文件發(fā)表時(shí)間的安全保護(hù)。 DTS必須由專門的服務(wù)機(jī)構(gòu)來提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它由三部分組成： （ 1）需加時(shí)間戳的文件摘要 （ 2） DTS收到文件的日期和時(shí)間 （ 3） DTS的數(shù)字簽名 Ha sh 算法 原文 摘要 1 加時(shí)間 數(shù)字 時(shí)間戳 In tern e t 用 DT S 機(jī)構(gòu)的私鑰加密 發(fā)送方 DT S 機(jī)構(gòu) Ha sh 算法 加了時(shí)間后的新摘要 摘要 1 摘 要 1 + 時(shí)間 數(shù)字 時(shí)間戳 獲得數(shù)字時(shí)間戳的過程 數(shù)字證書 數(shù)字證書是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易的各方都需驗(yàn)證對方數(shù)字證書的有效性，從而解決相互間的信任問題。 數(shù)字證書 1. 數(shù)字證書概述 數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（ CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 數(shù)字證書實(shí)質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。 數(shù)字證書由專門的機(jī)構(gòu)（ CA）負(fù)責(zé)發(fā)放和管理，其作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。 CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。 數(shù)字證書 1. 數(shù)字證書概述 數(shù)字信息的安全要求 身份驗(yàn)證 信息保密性（存儲(chǔ)與交易） 信息完整性 交易的不可否認(rèn)性 解決方案 數(shù)字證書與數(shù)字簽名 加密 數(shù)字簽名 數(shù)字簽名 數(shù)字證書 認(rèn)證中心所頒發(fā)的數(shù)字證書均遵循 V3標(biāo)準(zhǔn)，根據(jù)這項(xiàng)標(biāo)準(zhǔn)，數(shù)字證書包括證書申請者的信息和發(fā)放證書 CA的信息。 數(shù)字證書 查看數(shù)字證書 工具 inter內(nèi)容 證書 數(shù)字證書 對數(shù)字證書的驗(yàn)證包括以下幾個(gè)步驟： CA簽名真實(shí)？ 證書在有效期內(nèi)？ 證書在 CA發(fā)布的 證書撤消列表內(nèi)？ Y 偽造的證書 N 失效的證書 N Y 失效的證書 Y N 有效的證書 數(shù)字證書 CA簽名真實(shí)？ 數(shù)字證書 4. 數(shù)字證書的類型 ?客戶證書（個(gè)人證書） ?站點(diǎn)證書（服務(wù)器證書） ?安全郵件證書 ?CA證書 認(rèn)證中心 1. 什么是認(rèn)證中心 在網(wǎng)絡(luò)上，什么樣的信息交流才是安全的呢？ ?只有收件實(shí)體才能解讀信息 ， 即信息保密性 。 ?收件實(shí)體看到的信息確實(shí)是發(fā)件實(shí)體發(fā)送的信息 ， 其內(nèi)容未被篡改或替換 ，即信息真實(shí)完整性 。 ?發(fā)件實(shí)體日后不能否認(rèn)曾發(fā)送過此信息，即不可抵賴性。 加密！ 還差什么？ 建立信任和信任驗(yàn)證機(jī)制 數(shù)字證書 認(rèn)證中心 認(rèn)證中心 1. 什么是認(rèn)證中心 為什么？ 建立信任和信任驗(yàn)證機(jī)制 數(shù)字證書 認(rèn)證中心 目前大多數(shù)商務(wù)網(wǎng)站使用用戶名和口令的方式來對用戶進(jìn)行認(rèn)證，這種方式需要站點(diǎn)收集所有注冊用戶的信息，維護(hù)龐大的用戶信息數(shù)據(jù)庫。同時(shí)這種傳統(tǒng)登錄機(jī)制的安全性也比較脆弱，容易遭到外界的攻擊破壞。 認(rèn)證中心 為什么？ 建立信任和信任驗(yàn)證機(jī)制 數(shù)字證書 認(rèn)證中心 數(shù)字證書的安全與認(rèn)證功能消除了傳統(tǒng)的口令機(jī)制中內(nèi)在的安全脆弱性，為每個(gè)用戶提供唯一的標(biāo)識(shí)，以便利的方式來訪問Web服務(wù)器，降低了網(wǎng)站的維護(hù)和支持成本。數(shù)字證書已經(jīng)成為服務(wù)器認(rèn)證的標(biāo)準(zhǔn)，成千上萬的商業(yè)站點(diǎn)使用數(shù)字證書與客戶創(chuàng)建安全的通信管道。數(shù)字證書正在成為因特網(wǎng)的客戶識(shí)別和登錄標(biāo)準(zhǔn)。數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)絡(luò)銀行等安全電子事務(wù)處理和安全電子交易活動(dòng)等領(lǐng)域。 認(rèn)證中心 1. 什么是認(rèn)證中心 電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心（ CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需檢驗(yàn)對方數(shù)字證書的有效性，從而解決了用戶信任問題。 電子商務(wù)安全認(rèn)證體系是一套融合了各種先進(jìn)的加密技術(shù)和認(rèn)證技術(shù)的安全體系，它主要定義和建立自身認(rèn)證和授權(quán)規(guī)則，然后分發(fā)、交換這些規(guī)則，并在網(wǎng)絡(luò)之間解釋和管理這些規(guī)則。 電子商務(wù)安全認(rèn)證體系的核心機(jī)構(gòu)就是 CA認(rèn)證中心。 認(rèn)證中心 1. 什么是認(rèn)證中心 認(rèn)證中心（ Certificate Authority,CA）是網(wǎng)上各方都信任的機(jī)構(gòu)，主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的身份認(rèn)證數(shù)字證書。 認(rèn)證中心 1. 什么是認(rèn)證中心 各級(jí) CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。 根 CA 各級(jí) CA 認(rèn)證中心 2. CA功能 認(rèn)證中心的核心功能就是發(fā)放和管理數(shù)字證書。 （ 1）接收驗(yàn)證最終用戶數(shù)字證書的申請 （ 2）確定是否接受最終用戶數(shù)字證書的申請 （ 3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書 （ 4）接收、處理最終用戶的數(shù)字證書更新請求 （ 5）接收最終用戶的數(shù)字證書查詢 （ 6）產(chǎn)生和發(fā)布黑名單 （ 7）數(shù)字證書歸檔 （ 8）密鑰歸檔 （ 9）歷史數(shù)據(jù)歸檔 （ 10） CA與 RA之間的數(shù)據(jù)交換安全 認(rèn)證中心 2. CA功能 認(rèn)證中心的核心功能就是發(fā)放和管理數(shù)字證書。 （ 11） CA內(nèi)部管理 ①向上級(jí) CA申請自身 CA數(shù)字證書 ②向上級(jí) CA要求廢除自身 CA數(shù)字證書 ③簽發(fā) /拒絕下級(jí) CA數(shù)字證書申請 ④同意 /拒絕下級(jí) CA數(shù)字證書廢除請求 ⑤查詢自身數(shù)字證書擁有情況 ⑥查詢黑名單情況 ⑦查詢操作日志 ⑧管理員信息維護(hù) ⑨統(tǒng)計(jì)報(bào)表輸出 ⑩ CA的安全審計(jì) 知名的 CA中心 知名的 CA中心 知名的 CA中心 電子商務(wù)安全協(xié)議 為了保障電子商務(wù)的安全性，一些公司和機(jī)構(gòu)制定了電子商務(wù)的安全協(xié)議，來規(guī)范在 Inter上從事商務(wù)活動(dòng)的流程。 目前，典型的電子商務(wù)安全協(xié)議有： ?SSL（安全套接層）協(xié)議 ?SET（安全電子交易）協(xié)議 SSL協(xié)議 SSL協(xié)議（ Security Socket Layer， 安全套接層協(xié)議）是 Netscape公司提出的基于 Web應(yīng)用的安全協(xié)議，該協(xié)議向基于 TCP/IP的 C/S應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。 1. 協(xié)議簡介 SSL協(xié)議 SSL采用對稱密碼技術(shù)和公開密碼技術(shù)相結(jié)合，提供了如下三種基本的安全服務(wù)： ?秘密性 。 SSL客戶機(jī)和服務(wù)器之間通過密碼算法和密鑰的協(xié)商 ， 建立起一個(gè)安全通道 。 以后在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過了加密處理 。 ?完整性 。 SSL利用密碼算法和 hash函數(shù) ， 通過對傳輸信息特征值的提取來保證信息的完整性 。 ?認(rèn)證性 。利用證書技術(shù)和可信的第三方 CA，可以讓客戶機(jī)和服務(wù)器相互識(shí)別對方的身份。 1. 協(xié)議簡介 SSL協(xié)議 1. 協(xié)議簡介 SSL協(xié)議 SSL協(xié)議的關(guān)鍵是要解決以下幾個(gè)問題： ?客戶對服務(wù)器的身份確認(rèn) ：允許客戶瀏覽器，使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心（ CA）的證書，來確認(rèn)服務(wù)器的合法性。 ?服務(wù)器對客戶的身份確認(rèn) ：容許客戶服務(wù)器的軟件通過公鑰技術(shù)和可信賴的證書，來確認(rèn)客戶的身份。 ?建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道 ：要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被發(fā)送端加密，所有的接收數(shù)據(jù)都被接收端解密，同時(shí) SSL協(xié)議會(huì)在傳輸過程中解查數(shù)據(jù)是否被中途修改。 2. SSL協(xié)議的作用 SSL協(xié)議 3. SSL的實(shí)現(xiàn)過程 ? ① 接通階段：客戶機(jī)呼叫服務(wù)器 ， 服務(wù)器回應(yīng)客戶 。 ? ② 認(rèn)證階段：服務(wù)器向客戶機(jī)發(fā)送服務(wù)器證書和公鑰 ， 如果服務(wù)器需要雙方認(rèn)證 ， 還要向?qū)Ψ教岢稣J(rèn)證請求；客戶機(jī)用服務(wù)器公鑰加密向服務(wù)器發(fā)送自己的公鑰 ， 并根據(jù)服務(wù)器是否需要認(rèn)證客戶身份 ，向服務(wù)器發(fā)送客戶端證書 。 SSL協(xié)議 3. SSL的實(shí)現(xiàn)過程 ? ③ 確立會(huì)話密鑰階段：客戶和服務(wù)器之間協(xié)議確立會(huì)話密鑰 。 ? ④ 會(huì)話階段：客戶機(jī)與服務(wù)器使用會(huì)話密鑰加密交換會(huì)話信息 。 ? ⑤ 結(jié)束階段：客戶機(jī)與服務(wù)器交換結(jié)束信息 ， 通信結(jié)束 。 SSL協(xié)議 SSL協(xié)議 4. 雙向認(rèn)證 SSL協(xié)議的具體過程 雙向認(rèn)證 SSL協(xié)議的具體通訊過程，要求服務(wù)器和用戶雙方都有證書。單向認(rèn)證 SSL協(xié)議不需要客戶擁有 CA證書。 基于 SSL協(xié)議，雙方的通訊內(nèi)容是經(jīng)過加密的數(shù)據(jù)，這時(shí)候的安全就依賴于密碼方案的安全。 SSL協(xié)議 5. SSL的交易過程 SSL協(xié)議 5. SSL的交易過程 ① 客戶購買的信息首先發(fā)往商家； ② 商家再將信息轉(zhuǎn)發(fā)銀行； ③④ 銀行驗(yàn)證客戶信息的合法性后 ， 再通知客戶和商家付款成功； ⑤ 商家再通知客戶購買成功 。 SSL協(xié)議 5. SSL的交易過程 流程的缺點(diǎn)：首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證。由于默認(rèn)了商家是可以信賴的，商家可以對客戶做出信息保密的承諾。因此沒有提供客戶對商家的認(rèn)證，這對客戶來說是不公平的。這是 SSL協(xié)議的缺點(diǎn)之一。其次， SSL協(xié)議雖然提供了資料傳遞過程的安全通道，但 SSL協(xié)議安全方面有缺少數(shù)字簽名功能、沒有授權(quán)和存取控制、多方互相認(rèn)證困難、不能抗抵賴、用戶身份可能被冒充等弱點(diǎn)。這些弱點(diǎn)限制了它的安全功能，在實(shí)踐中也曾有過 SSL協(xié)議構(gòu)筑的安全防線被黑客攻破的實(shí)例。 為了解決這一問題，可以采用 SET協(xié)議。 SET協(xié)議 1. SET概述 SET協(xié)議（ Secure Electronic Transaction，安全電子交易協(xié)議）是由 VISA和 MasterCard兩大信用卡公司于 1997年 5月聯(lián)合推出的規(guī)范。 其實(shí)質(zhì)是一種應(yīng)用在 Inter上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的就是為了保證網(wǎng)絡(luò)交易的安全。 SET協(xié)議采用公鑰密碼體制和 ，提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡 /借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。 SET協(xié)議 2. SET協(xié)議的目標(biāo) SET要達(dá)到的最主要目標(biāo)是： （ 1） 信息