電子支付及結(jié)算第二章

1、PKIPKI的一些知識(shí)的一些知識(shí)重慶第二師范學(xué)院重慶第二師范學(xué)院 郭旭郭旭PKIPKI的一些知識(shí)的一些知識(shí)l隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)上辦公和網(wǎng)上交易逐漸成為了互聯(lián)網(wǎng)的又一種新的應(yīng)用方式。l但由于互聯(lián)網(wǎng)的開(kāi)放性，進(jìn)行網(wǎng)上辦公和網(wǎng)上交易的用戶會(huì)面臨很多安全問(wèn)題。PKIPKI的一些知識(shí)的一些知識(shí)l保密性：如何保證大量保密信息在公開(kāi)網(wǎng)絡(luò)的傳輸過(guò)程中不被竊取 l完整性：如何保證所傳輸?shù)男畔⒉槐恢型敬鄹募巴ㄟ^(guò)重復(fù)發(fā)送被偽造 l身份認(rèn)證與授權(quán)：如何對(duì)通信雙方進(jìn)行認(rèn)證，以保證雙方身份的正確性 l抗抵賴：如何保證任何一方對(duì)已發(fā)生操作的不可否認(rèn)性PKIPKI的一些知識(shí)的一些知識(shí)l對(duì)于這些安全問(wèn)題，目前最有效的

2、解決方案是建立在公開(kāi)密鑰技術(shù)基礎(chǔ)上的PKI/CA (Public Key Infrastructure /Certification Authority)技術(shù)。l什么是公鑰基礎(chǔ)設(shè)施(PKI)?lPKI(Public Key Infrastructure)，即公開(kāi)密鑰基礎(chǔ)設(shè)施。它是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保信息系統(tǒng)安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種基礎(chǔ)設(shè)施體系。PKI簡(jiǎn)介簡(jiǎn)介l從PKI的總體構(gòu)架來(lái)看，PKI主要由最終用戶、認(rèn)證中心系統(tǒng)和RA系統(tǒng)來(lái)組成。從應(yīng)用來(lái)看，主要的應(yīng)用都是基于證書(shū)的應(yīng)用，下面主要針對(duì)這些主要組成部分來(lái)簡(jiǎn)單介紹PKI安全解決方案。關(guān)于PKI主要涉及到的安全技術(shù)，

3、在此不作描述，請(qǐng)參閱相應(yīng)的技術(shù)資料。PKI簡(jiǎn)介簡(jiǎn)介l（1） 信任的原理lPKI的最基本原理就是互相信任。因?yàn)樵诨ヂ?lián)網(wǎng)上的安全隱患中，最難解決的就是可信任的關(guān)系，信息的加密已經(jīng)有非常悠久的歷史了，并且也一直被世人所應(yīng)用，但是信任是隨著互聯(lián)網(wǎng)的出現(xiàn)、普及，人們才開(kāi)始呼吁我如何才能夠被人信任？什么樣的人我才可以相信?quot;，這就是PKI體系出現(xiàn)的主要背景， PKI的概念及其解決方案一問(wèn)世，立即受到了全球的關(guān)注，現(xiàn)在PKI已經(jīng)成為當(dāng)前電子商務(wù)中最流行、最成熟的信息安全解決方案。PKI簡(jiǎn)介簡(jiǎn)介l2） 什么是認(rèn)證中心（CA）？l 只有先建立一個(gè)權(quán)威的、第三方的公正機(jī)構(gòu)，才能建立認(rèn)證中心。因?yàn)榇蠹叶夹湃?/p>

4、它，由此，所有信任它的人也就信任經(jīng)過(guò)它鑒定，并認(rèn)定是一個(gè)具有合法身份的其他人。這樣，原本相互并未建立信任關(guān)系的雙方，即可因此建立信任關(guān)系。綜上可知，一個(gè)認(rèn)證中心是以它為信任源，由她維護(hù)一定范圍的信任體系，在該信任體系中的所有用戶、服務(wù)器，都被發(fā)放一張數(shù)字證書(shū)來(lái)證明其身份已經(jīng)被鑒定過(guò)，并為其發(fā)放一張數(shù)字證書(shū)，每次在進(jìn)行交易的時(shí)候，通過(guò)互相檢查對(duì)方的數(shù)字證書(shū)即可判別是否是本信任域中的可信體。PKI簡(jiǎn)介簡(jiǎn)介lCA（Certificate Authority）中心是所有合法注冊(cè)用戶所信賴的具有權(quán)威性、信賴性及公正性的第三方機(jī)構(gòu)，是公鑰基礎(chǔ)設(shè)施的核心，負(fù)責(zé)為電子政務(wù)，電子商務(wù)環(huán)境中各個(gè)實(shí)體頒發(fā)數(shù)字證書(shū)，

5、以證明各實(shí)體身份的真實(shí)性，并負(fù)責(zé)檢驗(yàn)和管理數(shù)字證書(shū)。PKI簡(jiǎn)介簡(jiǎn)介l在日常生活中，認(rèn)證中心就像頒發(fā)居民身份證的公安局、頒發(fā)汽車駕照的交通管理局，因?yàn)樵谒麄兌荚谀骋活I(lǐng)域中是一個(gè)權(quán)威機(jī)構(gòu)，并且他們只管發(fā)放，不管使用，因此，是一個(gè)中立的第三方，我們所談的認(rèn)證中心正像這種機(jī)構(gòu)。l 認(rèn)證中心除了維護(hù)一套可信的信任域外，需要為所有經(jīng)過(guò)鑒別的用戶發(fā)放數(shù)字證書(shū)并維護(hù)該數(shù)字證書(shū)，該維護(hù)工作包括：吊銷數(shù)字證書(shū)、恢復(fù)密鑰、維護(hù)證書(shū)黑名單數(shù)字證書(shū)簡(jiǎn)介數(shù)字證書(shū)簡(jiǎn)介l什么是數(shù)字證書(shū) Digital Certificatel數(shù)字證書(shū)又稱為數(shù)字標(biāo)識(shí)（Digital ID），是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)。它提供了一種在I

6、nternet上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書(shū)就是個(gè)人或單位在Internet的身份證。l數(shù)字證書(shū)是由CA中心簽發(fā)的，以數(shù)字證書(shū)為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。PKI簡(jiǎn)介簡(jiǎn)介l4） 什么是注冊(cè)機(jī)構(gòu)（RA，Registration Authority）？l 當(dāng)您需要申請(qǐng)身份證、駕駛證的時(shí)候，您一般不會(huì)到公安局的身份證制證中心或交管局的駕駛證制證中心來(lái)申請(qǐng)，而是到您所在的街道派出所或者您所在區(qū)的交通

7、支隊(duì)來(lái)，并提交您的身份證明資料，以證明您具有申請(qǐng)的條件，經(jīng)過(guò)這些街道派出所、交通支隊(duì)的批準(zhǔn)后，由街道派出所、交通支隊(duì)將通過(guò)的申請(qǐng)資料送到制證中心，最后由制證中心完成制證過(guò)程。在證件需要補(bǔ)辦、掛失的時(shí)候，您也需要來(lái)到街道派出所或交通支隊(duì)來(lái)提交申請(qǐng)，但最后的操作都是由制證中心來(lái)處理。在PKI系統(tǒng)里，注冊(cè)機(jī)構(gòu)就像上述所說(shuō)的街道派出所、交通支隊(duì)，負(fù)責(zé)審核證書(shū)申請(qǐng)者的真實(shí)身份，在審核通過(guò)后，負(fù)責(zé)將用戶信息通過(guò)網(wǎng)絡(luò)上傳到證書(shū)制作中心，即認(rèn)證中心系統(tǒng)，由認(rèn)證中心系統(tǒng)負(fù)責(zé)最后的制證處理。證書(shū)的吊銷、更新也需要由注冊(cè)機(jī)構(gòu)來(lái)提交給認(rèn)證中心做處理。總的來(lái)說(shuō)，認(rèn)證中心是面向各注冊(cè)中心的，而注冊(cè)中心是面向最終用戶的。數(shù)

8、字證書(shū)認(rèn)證系統(tǒng)（例一）l國(guó)家信息安全工程技術(shù)研究中心（以下簡(jiǎn)稱“工程中心”），2001年10月經(jīng)科技部批準(zhǔn)成立，依托單位為江南計(jì)算技術(shù)研究所，是160余個(gè)國(guó)家級(jí)工程技術(shù)研究中心中唯一從事信息安全工程技術(shù)研究的單位。2002年1月，經(jīng)上海編制委員會(huì)辦公室批準(zhǔn)，工程中心在上海市注冊(cè)成立了上海信息工程技術(shù)研究中心，隸屬上海市科委。工程中心技術(shù)業(yè)務(wù)由科技部、上海市科委等部委共同指導(dǎo)。工程中心擁有多位國(guó)內(nèi)信息安全領(lǐng)域的知名專家和一批密碼、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、微電子等行業(yè)的技術(shù)人才。2005年底被科技部評(píng)為優(yōu)秀工程技術(shù)研究中心。工程中心是國(guó)家密碼管理局批準(zhǔn)的商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位和銷售許可單位，是國(guó)家保

9、密局批準(zhǔn)的涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)建設(shè)工程監(jiān)理單位，是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員單位以及WG1、WG3、WG4工作組的骨干成員。SRQ14數(shù)字證書(shū)認(rèn)證系統(tǒng)1、 系統(tǒng)作用 SRQ14數(shù)字證書(shū)認(rèn)證系統(tǒng)是面向電子商務(wù)和電子政務(wù)應(yīng)用的通用數(shù)字證書(shū)認(rèn)證系統(tǒng)。該系統(tǒng)嚴(yán)格遵守國(guó)家和國(guó)際相關(guān)技術(shù)標(biāo)準(zhǔn)，執(zhí)行雙證書(shū)體制，數(shù)字證書(shū)符合ITU X.509V3標(biāo)準(zhǔn)和國(guó)家X.509CV3標(biāo)準(zhǔn)，具有數(shù)字證書(shū)的申請(qǐng)、審核、生成、簽發(fā)、存儲(chǔ)、發(fā)布、更新、注銷、撤消、作廢、掛起與恢復(fù)等功能。系統(tǒng)具有自身安全的防護(hù)體系和完善的審計(jì)功能，能有效地保障系統(tǒng)自身的安全。SRQ14系統(tǒng)已通過(guò)國(guó)家密碼管理局的技術(shù)鑒定，在電子

10、政務(wù)、電子商務(wù)中得到應(yīng)用。SRQ14數(shù)字證書(shū)認(rèn)證系統(tǒng)2、 系統(tǒng)組成證書(shū)簽發(fā)系統(tǒng)：用于簽發(fā)用戶簽名證書(shū)和用戶加密證書(shū)。證書(shū)管理系統(tǒng)：用于管理用戶簽名證書(shū)和用戶加密證書(shū)。證書(shū)及CRL發(fā)布系統(tǒng)：用于發(fā)布用戶簽名證書(shū)、用戶加密證書(shū)和CRL。證書(shū)及CRL查詢系統(tǒng)：用于查詢和下載用戶簽名證書(shū)、用戶加密證書(shū)和CRL。證書(shū)注冊(cè)管理系統(tǒng)：用于用戶數(shù)字證書(shū)的申請(qǐng)、審核、制證、更新、注銷、撤消、作廢、掛起與恢復(fù)等功能。SRQ14數(shù)字證書(shū)認(rèn)證系統(tǒng)3、 功能特點(diǎn) 接受證書(shū)注冊(cè)管理系統(tǒng)的業(yè)務(wù)請(qǐng)求，根據(jù)不同的業(yè)務(wù)流程來(lái)調(diào)度證書(shū)業(yè)務(wù)服務(wù)，主要有：證書(shū)申請(qǐng)、證書(shū)更新、證書(shū)吊銷、證書(shū)注銷、證書(shū)掛失、證書(shū)暫停、證書(shū)解掛、證書(shū)恢復(fù)、

11、密鑰恢復(fù)、證書(shū)歸檔、證書(shū)發(fā)布、CRL發(fā)布、證書(shū)模板管理等，同時(shí)還提供證書(shū)策略配置功能。 支持多種證書(shū)類型：按使用對(duì)象，證書(shū)可分為個(gè)人證書(shū)、設(shè)備證書(shū)、機(jī)構(gòu)證書(shū)三種類型。按功能，證書(shū)可分為加密證書(shū)和簽名證書(shū)兩種。 雙證書(shū)機(jī)制：數(shù)字證書(shū)應(yīng)采用雙證書(shū)機(jī)制，每個(gè)用戶同時(shí)擁有簽名和加密兩套數(shù)字證書(shū)，簽名證書(shū)用于用戶的數(shù)字簽名，加密證書(shū)用于對(duì)信息的加密。 證書(shū)及證書(shū)撤銷列表發(fā)布及查詢：提供基于LDAP的證書(shū)及證書(shū)撤銷列表的發(fā)布和查詢功能，提供基于OCSP的在線證書(shū)狀態(tài)查詢功能。 證書(shū)管理功能：主要是對(duì)系統(tǒng)中各種數(shù)字證書(shū)及內(nèi)部設(shè)備證書(shū)的有關(guān)操作進(jìn)行管理。提供對(duì)證書(shū)操作策略的管理，人員證書(shū)、設(shè)備證書(shū)、機(jī)構(gòu)證書(shū)的

12、統(tǒng)一管理。 安全通訊功能：系統(tǒng)能夠提供安全的通信機(jī)制，符合SPKM安全協(xié)議，適應(yīng)在不同的應(yīng)用環(huán)境進(jìn)行安全的數(shù)據(jù)傳輸。SRQ14數(shù)字證書(shū)認(rèn)證系統(tǒng)4、 性能指標(biāo)(i) 系統(tǒng)證書(shū)容量：200萬(wàn)（可擴(kuò)充）(ii) 系統(tǒng)并發(fā)能力：128個(gè)連接(iii) 證書(shū)查詢能力：50萬(wàn)級(jí)（可擴(kuò)充）(iv) 數(shù)字簽名速度*：500次/秒(v) 簽名驗(yàn)證速度*：2000次/秒例二、iTrusCA2.0系統(tǒng)l最新的SSL證書(shū)為 EV SSL 證書(shū)的推出，其推出的Secure Site Pro-EV 具有強(qiáng)制SGC128位加密技術(shù)，最大程度上確保網(wǎng)站的安全可靠性。全球最大的 SSL證書(shū)廠商是VeriSign ，該公司提供的

13、SSL證書(shū)保護(hù)著全世界超過(guò) 百萬(wàn)臺(tái) Web 服務(wù)器的安全。目前VeriSign在中國(guó)區(qū)不提供直接數(shù)字證書(shū)服務(wù)，其中國(guó)區(qū)授權(quán)的合作伙伴是天威誠(chéng)信數(shù)字認(rèn)證中心，該機(jī)構(gòu)為VeriSign在中國(guó)區(qū)首席合作伙伴，擁有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌證書(shū)產(chǎn)品，可以訪問(wèn)VeriSign中國(guó)區(qū)官方網(wǎng)站 或其合作伙伴天威誠(chéng)信 查找詳細(xì)的信息。例二、iTrusCA2.0系統(tǒng)l天威誠(chéng)信iTrusCA2.0系統(tǒng)借鑒了國(guó)際領(lǐng)先的PKI/CA系統(tǒng)的設(shè)計(jì)思想，繼承了PKI/CA系統(tǒng)的成熟性、先進(jìn)性、安全可靠及可擴(kuò)展性，是天威誠(chéng)信自主研發(fā)、享有完全知識(shí)產(chǎn)權(quán)的數(shù)字證書(shū)管理系統(tǒng)，能夠?yàn)?/p>

14、用戶構(gòu)建完善的CA認(rèn)證體系。例二、iTrusCA2.0系統(tǒng)l（一）系統(tǒng)組成：liTrusCA系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計(jì)，由最終用戶、RA管理員、CA管理員、注冊(cè)中心（RA）、認(rèn)證中心（CA）等構(gòu)成，其中注冊(cè)中心（RA）和認(rèn)證中心（CA）又包含相應(yīng)的模塊。例二、iTrusCA2.0系統(tǒng) 系統(tǒng)功能系統(tǒng)功能例二、iTrusCA2.0系統(tǒng)l系統(tǒng)特點(diǎn)：系統(tǒng)特點(diǎn)：例二、iTrusCA2.0系統(tǒng)系統(tǒng)價(jià)值系統(tǒng)價(jià)值例二、iTrusCA2.0系統(tǒng)l運(yùn)用：支付寶項(xiàng)目l1、項(xiàng)目背景：阿里巴巴是全球最領(lǐng)先的網(wǎng)上貿(mào)易市場(chǎng)，在阿里巴巴這個(gè)虛擬的世界中，來(lái)自200個(gè)國(guó)家的七百萬(wàn)進(jìn)口商與兩百萬(wàn)家中國(guó)企業(yè)每天聚集在這里進(jìn)行商業(yè)活動(dòng)。旗下的支付寶（）是國(guó)內(nèi)領(lǐng)先的獨(dú)立第三方支付平臺(tái)。為中國(guó)電子商務(wù)提供“簡(jiǎn)單、安全、快速”的在線支付解決方案。支付寶不僅要從產(chǎn)品上確保用戶在線支付的安全，同時(shí)讓用戶通過(guò)支付寶在網(wǎng)絡(luò)間建立起相互信任。l隨著支付寶業(yè)務(wù)的發(fā)展，其安全性變得越來(lái)越重要。一開(kāi)始使用的單向SSL（SSL：Secure Socket Layer，安全套接字協(xié)議）認(rèn)證方式解決了支付寶網(wǎng)站真實(shí)性和防止網(wǎng)絡(luò)竊取等安全需求，沒(méi)有真正解決對(duì)支付寶用戶的身份認(rèn)證，非法用戶