【正文】 4. 如何通過安全機(jī)制對(duì)所收到的報(bào)文進(jìn)行認(rèn)證？ 復(fù)習(xí)思考題 Thanks！ 。 1. 名詞解釋 數(shù)字簽名、數(shù)字證書、數(shù)字信封、信息摘要 。其實(shí)質(zhì)是一種應(yīng)用在 Inter上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的就是為了保證網(wǎng)絡(luò)交易的安全。 ?建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道： 要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被 發(fā)送端加密 ，所有的接收數(shù)據(jù)都被 接收端解密 ，同時(shí) SSL協(xié)議會(huì)在傳輸過程中解查數(shù)據(jù)是否被中途修改。 1. 協(xié)議簡(jiǎn)介 SSL協(xié)議 SSL協(xié)議的關(guān)鍵是要解決以下幾個(gè)問題： ?客戶對(duì)服務(wù)器的身份確認(rèn)： 容許客戶瀏覽器，使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心（ CA）的證書，來確認(rèn)服務(wù)器的合法性。 防火墻在互連網(wǎng)絡(luò)中的位置 G 內(nèi)聯(lián)網(wǎng) 可信賴的網(wǎng)絡(luò) 不可信賴的網(wǎng)絡(luò) 分組過濾 路由器 R 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 外局域網(wǎng) 內(nèi)局域網(wǎng) 防火墻 因特網(wǎng) 電子商務(wù)基本安全技術(shù) 4. 電子商務(wù)安全協(xié)議 為了保障電子商務(wù)的安全性，一些公司和機(jī)構(gòu)制定了電子商務(wù)的安全協(xié)議，來規(guī)范在 Inter上從事商務(wù)活動(dòng)的流程。 掃描器的一般功能： ?發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的能力 ?發(fā)現(xiàn)什么服務(wù)正運(yùn)行在這臺(tái)主機(jī)上的能力 ?通過測(cè)試這些服務(wù)，發(fā)現(xiàn)漏洞的能力 掃描器的種類 ?基于服務(wù)器的掃描器 ?基于網(wǎng)絡(luò)的掃描器 電子商務(wù)基本安全技術(shù) 3. 黑客防范技術(shù) （ 2）防火墻 防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略進(jìn)行檢查，從而 決定網(wǎng)絡(luò)之間的通信是否被允許 。 – B用戶把 “ 信息摘要 ” 與 “ 信息摘要 1”進(jìn)行比較，若一致，說明收到的 “ 明文 ” 沒有被修改過。 – 為了確保 “ 明文 ” 的完整性， B用戶把明文用 Hash算法對(duì)明文進(jìn)行運(yùn)算，形成 “ 信息摘要 ” 。這樣 A用戶最后把密文和數(shù)字信封一起發(fā)送給 B用戶。 – A用戶隨機(jī)產(chǎn)生的對(duì)稱密鑰（ DES密鑰）對(duì)明文進(jìn)行加密，形成密文。 （ 1）接收驗(yàn)證最終用戶數(shù)字證書的申請(qǐng) （ 2）確定是否接受最終用戶數(shù)字證書的申請(qǐng) （ 3）向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書 （ 4）接收、處理最終用戶的數(shù)字證書更新請(qǐng)求 （ 5）接收最終用戶的數(shù)字證書查詢 （ 6）產(chǎn)生和發(fā)布黑名單 （ 7）數(shù)字證書歸檔 （ 8）密鑰歸檔 （ 9）歷史數(shù)據(jù)歸檔 （ 10） CA與 RA之間的數(shù)據(jù)交換安全 數(shù)據(jù)加密解密、身份認(rèn)證流程圖 用戶 B數(shù)字證書 用戶 A數(shù)字證書 加密 數(shù)字 信封 數(shù)字簽名 數(shù)字簽名 解密 密文 明文 明文 加密 Hash 加密 密文 A用戶 用戶 A的私有 簽名密鑰 數(shù)字簽名 對(duì)稱密鑰 + + 密文 加密 解密 用戶 A數(shù)字證書 數(shù)字簽名 明文 信息 摘要 信息 摘要 比 較 Hash + + 用戶 A的公開 簽名密鑰 用戶 B的私有 密鑰 B用戶 用戶 B的公開 簽名密鑰 對(duì)稱密鑰 對(duì)稱密鑰 + 對(duì)稱密鑰 信息 摘要 數(shù)字 信封 數(shù)字 信封 ? 數(shù)據(jù)加密解密、身份認(rèn)證流程 – A用戶先用 Hash算法對(duì)發(fā)送發(fā)信息（即“明文”）進(jìn)行運(yùn)算，形成“ 信息摘要 ”，并用自己的私人密鑰對(duì)其加密，從而形成數(shù)字簽名。 認(rèn)證中心 1. 什么是認(rèn)證中心 各級(jí) CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的 信任鏈 。 電子商務(wù)安全認(rèn)證體系的核心機(jī)構(gòu)就是 CA認(rèn)證中心 。 數(shù)字證書 (公鑰證書 )的結(jié)構(gòu) 數(shù)字證書與 CA認(rèn)證中心 ? CA認(rèn)證體系的功能模型 ?RS接收用戶證書申請(qǐng)的證書受理者 ?RA證書發(fā)放的審核部門 ?CP證書發(fā)放的操作部門 ?CRL記錄作廢證書的證書作廢表 認(rèn)證中心 1. 什么是認(rèn)證中心 電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心（ CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需 檢驗(yàn)對(duì)方數(shù)字證書的有效性 ，從而解決了用戶信任問題。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名； 同時(shí)設(shè)定一把公共密鑰（ 公鑰 ）并由本人公開，為一組用戶所共享，用于 加密 和 驗(yàn)證簽名 。 一個(gè)標(biāo)準(zhǔn)的 ?證書的版本信息； ?證書的序列號(hào) ， 每個(gè)證書都有一個(gè)唯一的證書序列號(hào)； ?證書的發(fā)行機(jī)構(gòu)名稱 ， 命名規(guī)則一般采用 格式； ?證書的有效期 ， 現(xiàn)在通用的證書一般采用 UTC時(shí)間格式 ， 它的計(jì)時(shí)范圍為 19502049； ?證書 所有人的名稱 ， 命名規(guī)則一般采用 式； ?證書所有人的 公開密鑰 ； ?證書發(fā)行者對(duì)證書的 數(shù)字簽名 。 – 證書的格式遵循 ITU 。 – 數(shù)字簽名的作用 ? 保證信息完整 ? 信息發(fā)送者身份的驗(yàn)證 （ a）生成數(shù)字簽名流程 (b) 驗(yàn)證數(shù)字簽名流程 數(shù)字證書與 CA認(rèn)證中心 1. 什么是 數(shù)字證書 – 數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在 Inter上驗(yàn)證您身份的方式。 數(shù)字信封用于傳遞對(duì)稱秘鑰給接收方 ， 接收方用自己的私鑰解開數(shù)字信封后得到對(duì)稱秘鑰 ， 才可將發(fā)送方的密文解開 。 收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰 ， 再用該對(duì)稱密鑰解密出真正的報(bào)文 。 數(shù)字信封 ? “數(shù)字信封” (也稱電子信封 )技術(shù)。 認(rèn)證的功能 電子商務(wù)基本安全技術(shù) 2. 認(rèn)證技術(shù) ?用戶所知道的某種秘密信息 ?用戶持有的某種秘密信息（硬件） ?用戶所具有的某些生物學(xué)特征 身份認(rèn)證：用于鑒別用戶身份 報(bào)文認(rèn)證：用于保證通信雙方的 不可抵賴性 和 信息完整性 實(shí)現(xiàn)方式 驗(yàn)證內(nèi)容 ?證實(shí)報(bào)文是由指定的發(fā)送方產(chǎn)生的 ?證實(shí)報(bào)文的內(nèi)容沒有被修改過 ?確認(rèn)報(bào)文的序號(hào)和時(shí)間是正確的 電子商務(wù)基本安全技術(shù) 2. 認(rèn)證技術(shù) ?數(shù)字摘要 ?數(shù)字信封 ?數(shù)字簽名 ?數(shù)字證書 ?CA安全認(rèn)證體系 廣泛使用的認(rèn)證技術(shù) 數(shù)字摘要 ? Hash編碼法采用單向 Hash函數(shù)將需加密的明文“摘要”成一串 128位的密文，這128位的密文就是所謂的數(shù)字指紋，又稱信息鑒別碼（ MAC， Message