第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施課件_第1頁(yè)
第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施課件_第2頁(yè)
第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施課件_第3頁(yè)
第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施課件_第4頁(yè)
第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施課件_第5頁(yè)
已閱讀5頁(yè),還剩117頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.2數(shù)字證書與認(rèn)證技術(shù)

第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施4.1密鑰管理與PKI基4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.1.1密鑰的結(jié)構(gòu)與分配管理4.1.2PKI基礎(chǔ)設(shè)施4.1.3國(guó)家PKI戰(zhàn)略

4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.1.1密鑰的結(jié)構(gòu)與分配管4.1.1密鑰的結(jié)構(gòu)與分配管理在討論密鑰的結(jié)構(gòu)與分配管理之前,這里首先介紹密鑰的概念。從本質(zhì)上講,密鑰就是一種參數(shù),它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。目前的加密技術(shù)分為兩種:對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制(單密鑰密碼體制):加密密鑰與解密密鑰相同的體制。發(fā)送者和接收者共享有一個(gè)密鑰,這種對(duì)稱使加密和解密互為逆過程。非對(duì)稱密碼體制(公鑰密碼體制):加密和解密使用兩個(gè)不同的密鑰,即公鑰和私鑰,用戶的公鑰是對(duì)外界公開的,私鑰是對(duì)外界保密的。用公鑰加密的數(shù)據(jù)只有通過相應(yīng)的私鑰才能解密。下面將分別從這兩種密鑰體制來討論密鑰的結(jié)構(gòu)與分配管理。4.1.1密鑰的結(jié)構(gòu)與分配管理在討論密鑰的結(jié)構(gòu)與分配管理之前4.1.1密鑰的結(jié)構(gòu)與分配管理1.對(duì)稱加密體制(1)對(duì)稱密鑰加密技術(shù)對(duì)于普通的對(duì)稱密碼學(xué),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。通常,使用的加密算法比較簡(jiǎn)便高效,密鑰簡(jiǎn)短,破譯極其困難,由于系統(tǒng)的保密性主要取決于密鑰的安全性,所以,在公開的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問題。正是由于對(duì)稱密碼學(xué)中雙方都使用相同的密鑰,因此無法實(shí)現(xiàn)數(shù)據(jù)簽名和不可否認(rèn)性等功能。在此種加密過程中,報(bào)文的發(fā)送者和接收者必須預(yù)先共享密鑰。其加密、解密原理如下圖所示:4.1.1密鑰的結(jié)構(gòu)與分配管理1.對(duì)稱加密體制4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-1對(duì)稱加密原理4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-1對(duì)稱加密原理4.1.1密鑰的結(jié)構(gòu)與分配管理(3)對(duì)稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)對(duì)稱加密技術(shù)的優(yōu)點(diǎn)是效率高,算法簡(jiǎn)單,系統(tǒng)開銷小,速度比公鑰加密技術(shù)快得多,適合加密大量數(shù)據(jù),應(yīng)用廣泛。DES算法是目前世界上應(yīng)用得最廣泛的加密算法。而其主要問題,首先是發(fā)送方和接受方必須預(yù)先共享秘密密鑰,而不能讓其他的任何人知道,通常必須通過安全信道私下商定。其次,需要使用大量的密鑰,大量密鑰的發(fā)布、共享和管理是一個(gè)十分困難的問題。此外,每個(gè)用戶必須記下其他通信用戶所用的所有密鑰,這么多的密鑰管理對(duì)于普通用戶來說是非常困難的,也容易造成安全問題。再次,無法滿足互不認(rèn)識(shí)的人進(jìn)行私人通信的保密要求,難以解決數(shù)字簽名驗(yàn)證的問題。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)對(duì)稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)4.1.1密鑰的結(jié)構(gòu)與分配管理2.非對(duì)稱加密體制(1)公鑰加密技術(shù)非對(duì)稱加密體制,非對(duì)稱加密技術(shù)中要求密鑰成對(duì)使用,即加密和解密分別由兩個(gè)密鑰來實(shí)現(xiàn)。每個(gè)用戶都有一對(duì)選定的密鑰,一個(gè)可以公開,即公共密鑰,用于加密。另一個(gè)由用戶安全擁有,即私鑰,用于解密。也就是當(dāng)發(fā)送方A給接受方B方發(fā)信息(M)時(shí),用對(duì)方的公鑰進(jìn)行加密,而在接收方接到數(shù)據(jù)后,用自己的私鑰進(jìn)行解密。因此,非對(duì)稱加密技術(shù)又常常被稱為公鑰加密技術(shù)或雙鑰密碼加密技術(shù)。公鑰加密技術(shù)的加密、解密原理如圖4.3所示:4.1.1密鑰的結(jié)構(gòu)與分配管理2.非對(duì)稱加密體制4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-3公鑰加密技術(shù)的加解密示意圖4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-3公鑰加密技術(shù)的加解4.1.1密鑰的結(jié)構(gòu)與分配管理其中

之間是數(shù)學(xué)相關(guān)的,用B用戶的公鑰

加密的數(shù)據(jù)只能用B用戶的私鑰

才能解密,因而要求用戶的私鑰不能透露給自己不信任的任何人。通常情況下,公開密鑰用于對(duì)機(jī)密信息的加密,私有密鑰則是用于對(duì)加密信息的解密。由于公鑰加密技術(shù)使用一個(gè)密鑰加密,另一個(gè)相關(guān)但不同的密鑰解密,所以公鑰加密技術(shù)有以下特點(diǎn)。第一,僅知道密碼算法和加密密鑰,要確定解密密鑰,這在計(jì)算上是不可能的。第二,公鑰

加密后,使用公鑰

本身無法解密。第三,公鑰

加密后可用私鑰

解密,

加密后可用

解密,并驗(yàn)證的加密,即數(shù)字簽名和驗(yàn)證。4.1.1密鑰的結(jié)構(gòu)與分配管理其中和之間是數(shù)學(xué)相關(guān)的,用4.1.1密鑰的結(jié)構(gòu)與分配管理(2)公鑰加密算法——RSA公鑰加密技術(shù)中中被運(yùn)用的最廣泛的是RSA密碼體制。RSA從提出到現(xiàn)在經(jīng)歷了20多年,經(jīng)受了各種攻擊的考驗(yàn),已經(jīng)逐漸為人們所接受。RSA被普遍認(rèn)為是目前最優(yōu)秀的非對(duì)稱密碼體制方案之一。RSA密碼是由R.Rivest,A.Shamir和L.Adleman于1977年提出的。RSA的取名就是來自于這三位發(fā)明者姓的第一個(gè)字母。后來,他們?cè)?982年創(chuàng)辦了以RSA命名的公司RSADataSecurityInc.和RSA實(shí)驗(yàn)室,該公司和實(shí)驗(yàn)室在公開密鑰密碼系統(tǒng)的研究和商業(yè)應(yīng)用推廣方面具有舉足輕重的地位。4.1.1密鑰的結(jié)構(gòu)與分配管理(2)公鑰加密算法——RSA4.1.1密鑰的結(jié)構(gòu)與分配管理(3)公鑰加密技術(shù)的優(yōu)缺點(diǎn)公鑰加密技術(shù)的優(yōu)點(diǎn)是密鑰分配簡(jiǎn)單,密鑰的保存量少,可以滿足互不相識(shí)的人之間進(jìn)行私人談話時(shí)的保密性要求,同時(shí)還可以完成簽名和數(shù)字簽名。但這種加密技術(shù)也有它自身的不足,這主要表現(xiàn)在:①產(chǎn)生的密鑰麻煩,受到素?cái)?shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密;②安全性,RSA的安全性依賴于大數(shù)的因子分解,但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價(jià)。③速度太慢,由于RSA的分組長(zhǎng)度太大,為保證安全性,n至少也要600位以上,這使得運(yùn)算代價(jià)很高,尤其是速度較慢,較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí),且隨著大數(shù)分解技術(shù)的發(fā)展,這個(gè)長(zhǎng)度還在增加,不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)公鑰加密技術(shù)的優(yōu)缺點(diǎn)4.1.1密鑰的結(jié)構(gòu)與分配管理3.密鑰管理對(duì)密鑰系統(tǒng)的大多數(shù)攻擊發(fā)生在密鑰上,而不是針對(duì)某種具體的加密算法,因此對(duì)密鑰進(jìn)行安全管理是很重要的。密鑰管理包括由密鑰產(chǎn)生到銷毀的整個(gè)過程,包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲(chǔ)、分配、裝入、保護(hù)、更新、丟失、撤銷與銷毀等內(nèi)容。密鑰是密鑰系統(tǒng)中最為薄弱的環(huán)節(jié),其中的分配、存儲(chǔ)過程是最難處理的。隨著網(wǎng)絡(luò)善變得越來越復(fù)雜,對(duì)密鑰管理的要求也變得更加嚴(yán)格。4.1.1密鑰的結(jié)構(gòu)與分配管理3.密鑰管理4.1.1密鑰的結(jié)構(gòu)與分配管理(1)密鑰的使用期限如果某個(gè)用戶的私人密鑰丟失或被盜,必須立即通知與他有聯(lián)系的用戶,不要再以失效的公共密鑰來加密信息,也不要接收以失效的私人密鑰簽發(fā)的郵件。用戶必須安全地保存自己的私人密鑰,以防止攻擊者盜用用戶的私人密鑰。但是,私人密鑰必須有一定的使用期限,在失效日期前要保證密鑰可以使用。私人密鑰的失效日期必須妥善選擇,并要以安全的方式加以公布。4.1.1密鑰的結(jié)構(gòu)與分配管理(1)密鑰的使用期限4.1.1密鑰的結(jié)構(gòu)與分配管理(2)數(shù)字時(shí)間戳密鑰的失效日期可以保存在數(shù)字證書的公共密鑰上,也可以保存在存放數(shù)字證書的目錄表中。簽名驗(yàn)證程序應(yīng)檢查密鑰的失效日期,并拒絕所有使用失效密鑰簽名的信息。也就是說,密鑰過期意味著所有用該密鑰簽名的信息都將失效。文件的簽署日期與數(shù)字簽名是一樣重要的,都是防止文件等被偽造或篡改的重要標(biāo)記。4.1.1密鑰的結(jié)構(gòu)與分配管理(2)數(shù)字時(shí)間戳4.1.1密鑰的結(jié)構(gòu)與分配管理(3)密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范目前國(guó)際有關(guān)的標(biāo)準(zhǔn)化機(jī)構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。ISO與IEC下屬的信息技術(shù)委員會(huì)(JTC1)已起草了關(guān)于密鑰管理的國(guó)際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由3部分組成:第1部分是密鑰管理框架;第2部分是采用對(duì)稱技術(shù)的機(jī)制;第3部分是采用非對(duì)稱技術(shù)的機(jī)制。該規(guī)范現(xiàn)已進(jìn)入到國(guó)際標(biāo)準(zhǔn)草案表決階段,并將很快成為正式的國(guó)際標(biāo)準(zhǔn)。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范4.1.2PKI基礎(chǔ)設(shè)施隨著Internet的普及,人們通過因特網(wǎng)進(jìn)行溝通越來越多,相應(yīng)的通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)即電子商務(wù)也得到了廣泛的發(fā)展。電子商務(wù)為我國(guó)企業(yè)開拓國(guó)際國(guó)內(nèi)市場(chǎng)、利用好國(guó)內(nèi)外各種資源提供了一個(gè)千載難逢的良機(jī)。電子商務(wù)對(duì)企業(yè)來說真正體現(xiàn)了平等競(jìng)爭(zhēng)、高效率、低成本、高質(zhì)量的優(yōu)勢(shì),能讓企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中把握商機(jī)、脫穎而出。發(fā)達(dá)國(guó)家已經(jīng)把電子商務(wù)作為21世紀(jì)國(guó)家經(jīng)濟(jì)的增長(zhǎng)重點(diǎn),我國(guó)的有關(guān)部門也正在大力推進(jìn)我國(guó)企業(yè)發(fā)展電子商務(wù)。然而隨著電子商務(wù)的飛速發(fā)展也相應(yīng)的引發(fā)出一些Internet安全問題。為解決這些Internet的安全問題,世界各國(guó)對(duì)其進(jìn)行了多年的研究,初步形成了一套完整的Internet安全解決方案,即公鑰密碼體制的出現(xiàn),實(shí)現(xiàn)了密碼技術(shù)的革命性變革。4.1.2PKI基礎(chǔ)設(shè)施隨著Internet的普及,人們4.1.2PKI基礎(chǔ)設(shè)施X.509證書的出現(xiàn),為公鑰體制的應(yīng)用了有效的載體和基礎(chǔ),使用戶更容易對(duì)公鑰進(jìn)行驗(yàn)證。目前被廣泛采用的PKI技術(shù)(PublicKeyInfrastructure-公鑰基礎(chǔ)設(shè)施),PKI(公鑰基礎(chǔ)設(shè)施)技術(shù)采用證書管理公鑰,通過第三方的可信任機(jī)構(gòu)--認(rèn)證中心CA(CertificateAuthority),把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份。目前,通用的辦法是采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密,保證信息傳輸?shù)谋C苄?、完整性,簽名保證身份的真實(shí)性和抗抵賴。4.1.2PKI基礎(chǔ)設(shè)施X.509證書的出現(xiàn),為公鑰體制的4.1.2PKI基礎(chǔ)設(shè)施1.PKI的體系結(jié)構(gòu)使用基于公鑰技術(shù)系統(tǒng)的用戶建立安全通信信任機(jī)制的基礎(chǔ)是:網(wǎng)上進(jìn)行的任何需要安全服務(wù)的通信都是建立在公鑰的基礎(chǔ)之上的,而與公鑰成對(duì)的私鑰只掌握在他們與之通信的另一方。這個(gè)信任的基礎(chǔ)是通過公鑰證書的使用來實(shí)現(xiàn)的。公鑰證書就是一個(gè)用戶的身份與他所持有的公鑰的結(jié)合,在結(jié)合之前由一個(gè)可信任的權(quán)威機(jī)構(gòu)CA來證實(shí)用戶的身份,然后由其對(duì)該用戶身份及對(duì)應(yīng)公鑰相結(jié)合的證書進(jìn)行數(shù)字簽名,以證明其證書的有效性。PKI必須具有權(quán)威認(rèn)證機(jī)構(gòu)CA在公鑰加密技術(shù)基礎(chǔ)上對(duì)證書的產(chǎn)生、管理、存檔、發(fā)放以及作廢進(jìn)行管理的功能,包括實(shí)現(xiàn)這些功能的全部硬件、軟件、人力資源、相關(guān)政策和操作程序,以及為PKI體系中的各成員提供全部的安全服務(wù)。4.1.2PKI基礎(chǔ)設(shè)施1.PKI的體系結(jié)構(gòu)4.1.2PKI基礎(chǔ)設(shè)施(1)認(rèn)證機(jī)構(gòu)CA(CertificateAuthority)CA是PKI的核心執(zhí)行機(jī)構(gòu),是PKI的主要組成部分,業(yè)界人士通常稱它為認(rèn)證中心。從廣義上講,認(rèn)證中心還應(yīng)該包括證書申請(qǐng)注冊(cè)機(jī)構(gòu)RA(RegistrationAuthority),它是數(shù)字證書的申請(qǐng)注冊(cè)、證書簽發(fā)和管理機(jī)構(gòu)。CA的主要職責(zé)包括:驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份。對(duì)證書申請(qǐng)者的信用度、申請(qǐng)證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查,確保證書與身份綁定的正確性。確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量和安全性。為了防止被破譯,CA用于簽名的私鑰長(zhǎng)度必須足夠長(zhǎng)并且私鑰必須由硬件卡產(chǎn)生,私鑰不出卡。4.1.2PKI基礎(chǔ)設(shè)施(1)認(rèn)證機(jī)構(gòu)CA(Certifi4.1.2PKI基礎(chǔ)設(shè)施(2)證書和證書庫(kù)證書是數(shù)字證書或電子證書的簡(jiǎn)稱,它符合X.509標(biāo)準(zhǔn),是網(wǎng)上實(shí)體身份的證明。證書是由具備權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā)的,因此,它是權(quán)威性的電子文檔。證書庫(kù)是證書的集中存放地,是網(wǎng)上的一種公用信息庫(kù),用戶可以從中獲得其他用戶的證書和公鑰。證書庫(kù)的最佳構(gòu)造方法是采用支持輕量級(jí)目錄訪問協(xié)議(LDAP)的目錄系統(tǒng),用戶或相關(guān)應(yīng)用者通過LDAP來訪問證書庫(kù)。系統(tǒng)必須確保證書庫(kù)的完整性、防止偽造、篡改證書。4.1.2PKI基礎(chǔ)設(shè)施(2)證書和證書庫(kù)4.1.2PKI基礎(chǔ)設(shè)施(3)密鑰備份及恢復(fù)密鑰備份及恢復(fù)是密鑰管理的主要內(nèi)容,用戶由于某些原因?qū)⒔饷軘?shù)據(jù)的密鑰丟失,從而使已被加密的密文無法解開。為避免這種情況的發(fā)生,PKI提供了密鑰備份與密鑰恢復(fù)機(jī)制:當(dāng)用戶證書生成時(shí),加密密鑰即被CA備份存儲(chǔ);當(dāng)需要恢復(fù)時(shí),用戶只需向CA提出申請(qǐng),CA就會(huì)為用戶自動(dòng)進(jìn)行恢復(fù)。(4)證書作廢處理系統(tǒng)(X.509Version3,CRLVersion2)證書作廢處理系統(tǒng)是PKI的一個(gè)重要組件。同其他證件一樣,CA簽署的證書同樣具有有效期和作廢的情況,PKI必須提供一系列證書作廢機(jī)制。一般有三種策略:作廢一個(gè)或多個(gè)主體的證書;作廢由某一對(duì)密鑰簽發(fā)的所有證書;作廢由某CA簽發(fā)的所有證書。4.1.2PKI基礎(chǔ)設(shè)施(3)密鑰備份及恢復(fù)4.1.2PKI基礎(chǔ)設(shè)施(5)客戶端證書處理系統(tǒng)客戶端證書與瀏覽器有關(guān),證書申請(qǐng)人可以通過瀏覽器申請(qǐng)、下載證書,并且安裝在瀏覽器上使用。PKI是一套軟硬件系統(tǒng)和安全策略的集合,它提供了一整套的安全性措施,使用戶在不知道對(duì)方的情況下,以證書為基礎(chǔ),通過一系列的信任關(guān)系進(jìn)行通信和電子商務(wù)交易。下面是一個(gè)典型的PKI組成實(shí)例,包括PIK策略、軟硬件系統(tǒng)、證書機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、證書發(fā)布系統(tǒng)和PKI應(yīng)用等,PKI的組成框圖如圖4.4所示。4.1.2PKI基礎(chǔ)設(shè)施(5)客戶端證書處理系統(tǒng)4.1.2PKI基礎(chǔ)設(shè)施圖4-4PKI組成框圖4.1.2PKI基礎(chǔ)設(shè)施圖4-4PKI組成框圖4.1.2PKI基礎(chǔ)設(shè)施圖4-5PKI基礎(chǔ)組件的使用除了證書之外,PKI還包括其他組件,圖4.5表示了組件的使用的過程。4.1.2PKI基礎(chǔ)設(shè)施圖4-5PKI基礎(chǔ)組件的使用除了4.1.2PKI基礎(chǔ)設(shè)施2.PKI技術(shù)的信任服務(wù)及其意義PKI安全平臺(tái)提供智能化的信任與有效的授權(quán)服務(wù)。其中,信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”,即交易者的真實(shí)身份的確認(rèn)問題,PKI是在網(wǎng)絡(luò)上建立信任體系最行之有效的技術(shù);授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”,即交易者權(quán)限問題。虛擬的網(wǎng)絡(luò)是對(duì)現(xiàn)實(shí)世界的模擬,必須建立這樣一個(gè)適合網(wǎng)絡(luò)環(huán)境的有效授權(quán)體系,而通過PKI建立授權(quán)管理基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)上建立有效授權(quán)的最佳選擇。4.1.2PKI基礎(chǔ)設(shè)施2.PKI技術(shù)的信任服務(wù)及其意義4.1.2PKI基礎(chǔ)設(shè)施2.1PKI所提供的服務(wù)(1)認(rèn)證PKI通過證書進(jìn)行認(rèn)證,認(rèn)證時(shí)對(duì)方知道你就是你,但卻無法知道你為什么是你。在這里證書是一個(gè)可信的第三方證明,通過它,通信雙方可以安全地進(jìn)行互相認(rèn)證,而不用擔(dān)心對(duì)方是假冒的。(2)支持密鑰管理通過加密證書,通信雙方可以協(xié)商一個(gè)秘密,而這個(gè)秘密可以作為通信加密的密鑰。在需要通信時(shí),可以在認(rèn)證的基礎(chǔ)上協(xié)商一個(gè)密鑰。PKI能夠通過良好的密鑰恢復(fù)能力,提供可信的,可管理的密鑰恢復(fù)機(jī)制。PKI普及應(yīng)用能夠保證在全社會(huì)范圍內(nèi)提供全面的密鑰恢復(fù)與管理能力,保證網(wǎng)上活動(dòng)的健康有序發(fā)展。4.1.2PKI基礎(chǔ)設(shè)施2.1PKI所提供的服務(wù)4.1.2PKI基礎(chǔ)設(shè)施(3)完整性和不可否認(rèn)性完整性和不可否認(rèn)是PKI提供的最基本的服務(wù)。一般地,完整性也可以通過雙方協(xié)商一個(gè)秘密來,但一方有意抵賴時(shí),這種完整性就無法接受第三方的仲裁。PKI提供的完整性是可以通過第三方仲裁的,并且這種可以由第三方進(jìn)行仲裁的完整性是通信雙方都不可否認(rèn)的。例如,A發(fā)送一個(gè)合約給B,B可以要求A進(jìn)行數(shù)字簽名,簽名后的合約不僅B可以驗(yàn)證其完整性,其他人也可以驗(yàn)證該合約確實(shí)是A簽發(fā)的。而所有的人,包括B,都沒有模仿A簽署這個(gè)合約的能力?!安豢煞裾J(rèn)”就是通過這樣的PKI數(shù)字簽名機(jī)制來提供服務(wù)的。當(dāng)法律許可時(shí),該“不可否認(rèn)性”可以作為法律依據(jù)。正確使用時(shí),PKI的安全性應(yīng)該高于目前使用的紙面圖章系統(tǒng)。4.1.2PKI基礎(chǔ)設(shè)施(3)完整性和不可否認(rèn)性4.1.2PKI基礎(chǔ)設(shè)施2.2PKI技術(shù)的作用與意義(1)PKI可以構(gòu)建一個(gè)可管、可控、安全的Internet在傳統(tǒng)的Internet中,為了解決安全接入的問題,人們采取了“口令字”等措施,但很容易被猜破,難以對(duì)抗有組織的集團(tuán)性攻擊。近年來,伴隨寬帶Internet技術(shù)和大規(guī)模集成電路技術(shù)的飛速發(fā)展,公鑰加密技術(shù)有了其用武之地,加密、解密的開銷已不再是其應(yīng)用的障礙。因此,國(guó)際電信聯(lián)盟(ITU)、國(guó)際標(biāo)準(zhǔn)化組織(ISO)、國(guó)際電工委員會(huì)(IEC)、Internet任務(wù)工作組(IETF)等密切合作,制定了一系列的有關(guān)PKI的技術(shù)標(biāo)準(zhǔn),通過認(rèn)證機(jī)制,建立證書服務(wù)系統(tǒng),通過證書綁定每個(gè)網(wǎng)絡(luò)褓的公鑰,使網(wǎng)絡(luò)的每個(gè)實(shí)體均可識(shí)別,從而有效地解決了網(wǎng)絡(luò)上“你是誰”的問題,把寬帶Internet在一定的安全域內(nèi)變成了一個(gè)可控、可管、安全的網(wǎng)絡(luò)。4.1.2PKI基礎(chǔ)設(shè)施2.2PKI技術(shù)的作用與意義4.1.2PKI基礎(chǔ)設(shè)施(2)PKI可以在Internet中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系PKI通過對(duì)數(shù)字證書進(jìn)行擴(kuò)展,在公鑰證書的基礎(chǔ)上,給特定的網(wǎng)絡(luò)實(shí)體簽發(fā)屬性證書,用以表征褓的角色和屬性的權(quán)力(3)PKI可以建設(shè)一個(gè)普適性好、安全性高的統(tǒng)一平臺(tái)PKI遵循一套完整的國(guó)際技術(shù)標(biāo)準(zhǔn),可以對(duì)物理層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行系統(tǒng)的安全結(jié)構(gòu)設(shè)計(jì),構(gòu)建統(tǒng)一的安全域。4.1.2PKI基礎(chǔ)設(shè)施(2)PKI可以在Internet4.1.2PKI基礎(chǔ)設(shè)施3.PKI標(biāo)準(zhǔn)為滿足電子商務(wù)交易的可交互性,要求PKI遵循一定的標(biāo)準(zhǔn)。PKI的標(biāo)準(zhǔn)化是其發(fā)展的前提和基礎(chǔ),只有符合一定的標(biāo)準(zhǔn),才能保證不同的PKI產(chǎn)品之間的正常交互。由于該技術(shù)的前衛(wèi)性和先進(jìn)性,使這項(xiàng)技術(shù)至今沒有非常固定的標(biāo)準(zhǔn),目前出現(xiàn)的并且已經(jīng)投入使用的有以下幾個(gè):(1)X.209(1988)ASN.1基本編碼規(guī)則的規(guī)范(2)X.500(1993)信息技術(shù)之開放系統(tǒng)互聯(lián):概念、模型及服務(wù)簡(jiǎn)述(3)X.509(1993)信息技術(shù)之開放系統(tǒng)互聯(lián):鑒別框架(4)PKCS系列標(biāo)準(zhǔn)(5)OCSP在線證書狀態(tài)協(xié)議4.1.2PKI基礎(chǔ)設(shè)施3.PKI標(biāo)準(zhǔn)4.1.2PKI基礎(chǔ)設(shè)施(6)LDAP輕量級(jí)目錄訪問協(xié)議4.PKI的應(yīng)用(1)虛擬專用網(wǎng)絡(luò)(VPN)通常,企業(yè)在架構(gòu)VPN時(shí)會(huì)利用防火墻和訪問控制技術(shù)來提高VPN的安全性。這只解決了很少一部分問題,而一個(gè)現(xiàn)代VPN所需要的安全保障,如認(rèn)證、機(jī)密、完整、不可否認(rèn)以及易用性都需要采用更完善的安全技術(shù)。就技術(shù)而言,除了基于防火墻的VPN之外,還可以有其他的結(jié)構(gòu)方式,如基于黑盒的VPN、基于路由器的VPN、基于遠(yuǎn)程訪問的VPN或者基于軟件的VPN?,F(xiàn)實(shí)構(gòu)造VPN往往并不局限于一種單一的結(jié)構(gòu),而是趨向于采用混合結(jié)構(gòu)方式,以達(dá)到最適合具體環(huán)境、最理想的效果。在實(shí)現(xiàn)上,VPN的基本思想是采用秘密通信通道,用加密的方法來實(shí)現(xiàn)。具體協(xié)議一般有PPTP、L2TP和IPSec3種。4.1.2PKI基礎(chǔ)設(shè)施(6)LDAP輕量級(jí)目錄訪問協(xié)議4.1.2PKI基礎(chǔ)設(shè)施(2)安全電子郵件作為Internet上最有效的應(yīng)用,電子郵件憑借其易用、低成本和高效率,已經(jīng)成為現(xiàn)代商業(yè)中的一種標(biāo)準(zhǔn)信息交換工具。隨著Internet的持續(xù)增長(zhǎng),商業(yè)機(jī)構(gòu)或政府機(jī)構(gòu)都開始用的電子郵件交換一些秘密的或有商業(yè)價(jià)值的信息,這就引發(fā)了一些安全方面的問題。如:消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉;沒有辦法可以確定一封電子郵件是否真的來自某人,也就是說,發(fā)信者的身份可能被人偽造。4.1.2PKI基礎(chǔ)設(shè)施(2)安全電子郵件4.1.2PKI基礎(chǔ)設(shè)施(3)Web安全瀏覽Web頁(yè)面或許是人們最常用的訪問Internet的方式。一般的瀏覽也許并不會(huì)讓人產(chǎn)生不妥的感覺,可是當(dāng)您在填寫表單數(shù)據(jù)時(shí),您有沒有意識(shí)到您的私人敏感信息可能被一些居心叵測(cè)的人截獲,而如果您或您的公司要通過Web進(jìn)行一些商業(yè)交易,您又如何保證交易的安全呢?4.1.2PKI基礎(chǔ)設(shè)施(3)Web安全4.1.3國(guó)家PKI戰(zhàn)略日前我國(guó)PKI戰(zhàn)略主要集中在中國(guó)PKI論壇的建設(shè)和完善上。基于國(guó)際和國(guó)內(nèi)PKI發(fā)展的進(jìn)程,為在維護(hù)國(guó)家利益的前提下促進(jìn)國(guó)際與地區(qū)間的合作,促進(jìn)超越地域和經(jīng)濟(jì)貿(mào)易領(lǐng)域的電子商務(wù)的應(yīng)用推廣,建設(shè)中國(guó)

PKI體系,國(guó)家發(fā)展和改革委員會(huì)于2001年2月批準(zhǔn)成立中國(guó)PKI論壇籌備工作組。2001年6月,中國(guó)政府代表參加了首屆“亞洲

PKI論壇”大會(huì),會(huì)議通過了《亞洲

PKI論壇憲章》和《亞洲

PKI論壇組織代表聯(lián)合聲明》。2001年8月,中國(guó)政府代表簽署了《亞洲PKI論壇憲章》,成為亞洲PKI論壇成員,以中國(guó)PKI論壇名義任亞洲PKI論壇副主席。4.1.3國(guó)家PKI戰(zhàn)略日前我國(guó)PKI戰(zhàn)略主要集中在中國(guó)P4.2數(shù)字證書與認(rèn)證技術(shù)4.2.1數(shù)字證書4.2.2身份認(rèn)證4.2.3訪問控制

4.2數(shù)字證書與認(rèn)證技術(shù)4.2.1數(shù)字證書4.2數(shù)字證書與認(rèn)證技術(shù)由于電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性,保密性等,防范交易及支付過程中的欺詐行為,必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份,并且在網(wǎng)上能夠有效無誤的被進(jìn)行認(rèn)證。數(shù)字證書和相關(guān)認(rèn)證技術(shù)就能比較好的解決該問題,這一節(jié)我們將就此進(jìn)行學(xué)習(xí)和探討。4.2數(shù)字證書與認(rèn)證技術(shù)由于電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的4.2.1數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。證書就是一份文檔,記錄了用戶的公開密鑰和其他身份信息。數(shù)字證書是由

CA認(rèn)證中心頒發(fā)的、包含了公開密鑰持有者信息以及公開密鑰的文件,證書上還有

CA認(rèn)證中心的數(shù)字簽名。證書的格式遵循ITUX.509v3協(xié)議。就像駕駛執(zhí)照能將照片、姓名、出生日期進(jìn)行有公證效果的關(guān)聯(lián)一樣,一個(gè)用戶的數(shù)字證書就是一個(gè)有公證效果的將公開密鑰與所有者的身份信息相聯(lián)系的“數(shù)字身份證”。在網(wǎng)上的電子交易中,如果雙方出示了各自的數(shù)字證書并用它來進(jìn)行交易操作,那么雙方都可不必為對(duì)方的身份擔(dān)心。數(shù)字證書可用于與電子商務(wù)相關(guān)的各個(gè)領(lǐng)域。4.2.1數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和4.2.1數(shù)字證書1.數(shù)字證書的類型數(shù)字證書從使用對(duì)象角度來說主要有以下七種類型:(1)個(gè)人身份證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含個(gè)人身份信息和個(gè)人的公鑰,用于標(biāo)識(shí)證書持有人的個(gè)人身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key中,用于個(gè)人在網(wǎng)上進(jìn)行合同簽訂、定單、錄入審核、操作權(quán)限、支付信息等活動(dòng)中標(biāo)明身份。(2)企業(yè)或機(jī)構(gòu)身份證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含企業(yè)信息和企業(yè)的公鑰,用于標(biāo)識(shí)證書持有企業(yè)的身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key或

IC卡中,可以用于企業(yè)在電子商務(wù)方面的對(duì)外活動(dòng),如合同簽訂、網(wǎng)上證券交易、交易支付信息等方面。4.2.1數(shù)字證書1.數(shù)字證書的類型4.2.1數(shù)字證書(3)支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書是證書簽發(fā)中心針對(duì)支付網(wǎng)關(guān)簽發(fā)的數(shù)字證書,是支付網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)加解密的主要工具,用于數(shù)字簽名和信息加密。支付網(wǎng)關(guān)證書僅用于支付網(wǎng)關(guān)提供的服務(wù)(Internet上各種安全協(xié)議與銀行現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)格式的轉(zhuǎn)換)。(4)服務(wù)器證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含服務(wù)器信息和服務(wù)器的公鑰,在網(wǎng)絡(luò)通訊中用于標(biāo)識(shí)和驗(yàn)證服務(wù)器的身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key中。服務(wù)器軟件利用證書機(jī)制保證與其他服務(wù)器或客戶端通信時(shí)雙方身份的真實(shí)性、安全性、可信任度等。4.2.1數(shù)字證書(3)支付網(wǎng)關(guān)證書4.2.1數(shù)字證書(5)企業(yè)或機(jī)構(gòu)代碼簽名證書代碼簽名證書是

CA中心簽發(fā)給軟件提供商的數(shù)字證書,包含軟件提供商的身份信息、公鑰及

CA的簽名。軟件提供商使用代碼簽名證書對(duì)軟件進(jìn)行簽名后放到

Internet上,當(dāng)用戶在

Internet上下載該軟件時(shí),將會(huì)得到提示,從而可以確信:軟件的來源;軟件自簽名后到下載前,沒有遭到修改或破壞。代碼簽名證書可以對(duì)32-bit.exe、.cab、.ocx、.class等程序和文件進(jìn)行簽名。(6)安全電子郵件證書符合X.509標(biāo)準(zhǔn)的數(shù)字安全證書,通過

IE或

Netscape申請(qǐng),用IE申請(qǐng)的證書存儲(chǔ)于WINDOWS的注冊(cè)表中,用

NETSCAPE申請(qǐng)的存儲(chǔ)于個(gè)人用戶目錄下的文件中。用于安全電子郵件或向需要客戶驗(yàn)證的

WEB服務(wù)器(https服務(wù))表明身份。4.2.1數(shù)字證書(5)企業(yè)或機(jī)構(gòu)代碼簽名證書4.2.1數(shù)字證書(7)個(gè)人代碼簽名證書個(gè)人代碼簽名證書是

CA中心簽發(fā)給軟件提供人的數(shù)字證書,包含軟件提供個(gè)人的身份信息、公鑰及CA的簽名。軟件提供人使用代碼簽名證書對(duì)軟件進(jìn)行簽名后放到

Internet上,當(dāng)用戶在

Internet上下載該軟件時(shí),將會(huì)得到提示,從而可以確信:軟件的來源;軟件自簽名后到下載前,沒有遭到修改或破壞。代碼簽名證書可以對(duì)

32-bit.exe、.cab、.ocx、.class等程序和文件進(jìn)行簽名。4.2.1數(shù)字證書(7)個(gè)人代碼簽名證書4.2.1數(shù)字證書2.數(shù)字證書的原理數(shù)字證書基于公鑰技術(shù)。在公開密鑰系統(tǒng)中,為每個(gè)用戶生成一對(duì)相關(guān)的密鑰:一個(gè)公開密鑰和一個(gè)私有密鑰。公開密鑰用于對(duì)機(jī)密信息的加密,通過非保密方式向他人公開;私有密鑰用于對(duì)加密信息的解密,由用戶自己安全存放。這樣貿(mào)易雙方進(jìn)行信息交換的基本過程是:發(fā)送方通過網(wǎng)絡(luò)或其他公開途徑得到接收方的公鑰,然后使用該密鑰對(duì)信息加密后發(fā)送給接收方;接收方用自己的私鑰對(duì)收到的信息進(jìn)行解密,得到信息明文。在這里,只有接收方(而不是其他第三方)才能成功地解密該信息,因?yàn)橹挥薪邮辗綋碛信c之相對(duì)應(yīng)的私有密鑰,從而保證了信息的機(jī)密性。如果發(fā)送方在發(fā)送信息時(shí)附上自己的數(shù)字簽名(數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)),則接收方通過驗(yàn)證數(shù)字簽名可以保證信息的完整性和不可抵賴性。4.2.1數(shù)字證書2.數(shù)字證書的原理4.2.1數(shù)字證書3.數(shù)字證書的內(nèi)容數(shù)字證書中一般包含證書持有者的名稱、公開密鑰、認(rèn)證中心的數(shù)字簽名,此外還包括密鑰的有效時(shí)間、認(rèn)證中心的名稱以及該證書的序列號(hào)等信息。交易伙伴可以利用數(shù)字證書來交換彼此的公開密鑰。國(guó)際電信聯(lián)盟(ITU)在其制訂的

X.509標(biāo)準(zhǔn)(信息技術(shù)——開放系統(tǒng)互聯(lián)——目錄:鑒別框架)中,對(duì)數(shù)字證書進(jìn)行了詳細(xì)的定義。一個(gè)標(biāo)準(zhǔn)的

X.509數(shù)字證書包含如下主要內(nèi)容:(1)證書的版本信息。(2)證書的序列號(hào)。每個(gè)證書都有一個(gè)惟一的證書序列號(hào)。(3)證書所使用的簽名算法。(4)證書的發(fā)行機(jī)構(gòu)名稱。命名規(guī)則一般采用

X.509格式。4.2.1數(shù)字證書3.數(shù)字證書的內(nèi)容4.2.1數(shù)字證書(5)證書的有效期?,F(xiàn)在通用的證書一般采用

UTC時(shí)間格式,其計(jì)時(shí)范圍為

1950年~2049年。(6)證書所有人的名稱。命名規(guī)則一般采用

X.500格式。(7)證書所有人的公開密鑰。(8)證書發(fā)行者對(duì)證書的簽名。4.2.1數(shù)字證書(5)證書的有效期?,F(xiàn)在通用的證書一般采用4.2.1數(shù)字證書4.數(shù)字證書的使用流程電子商務(wù)應(yīng)用中主要有以下五個(gè)交易參與方:買家、服務(wù)商、供貨商、銀行和認(rèn)證中心(CA)。交易流程主要有以下三個(gè)階段:第一階段:認(rèn)證中心(CA)證書的注冊(cè)申請(qǐng)。交易各方通過認(rèn)證中心(CA)獲取各自的數(shù)字安全證書。第二階段:銀行的支付中心對(duì)買家的數(shù)字安全證書進(jìn)行驗(yàn)證,通過驗(yàn)證后,將買家的所付款凍結(jié)在銀行中。此時(shí)服務(wù)商和供應(yīng)商也相互進(jìn)行數(shù)字安全證書的驗(yàn)證,通過驗(yàn)證后,可以履行交易內(nèi)容進(jìn)行發(fā)貨。第三階段:銀行驗(yàn)證服務(wù)商和供貨商的數(shù)字安全證書后,將買家凍結(jié)在銀行中的貨款轉(zhuǎn)到服務(wù)商和供貨商的戶頭上,完成了此項(xiàng)電子交易。4.2.1數(shù)字證書4.數(shù)字證書的使用流程4.2.2身份認(rèn)證信息加密技術(shù)基本解決了數(shù)據(jù)保密問題,但是在電子商務(wù)活動(dòng)中,還常常會(huì)涉及到數(shù)據(jù)的真實(shí)、偽造、篡改問題,數(shù)據(jù)擁有者的真實(shí)身份問題或商務(wù)參與者的商務(wù)行為的認(rèn)證與不可抵賴問題等,比如,比如客戶收到號(hào)稱客戶開戶銀行發(fā)來的繳費(fèi)通知單,客戶交費(fèi)后查詢,發(fā)現(xiàn)開戶銀行是假的;銀行按照客戶發(fā)來的轉(zhuǎn)賬單轉(zhuǎn)移了金額,客戶卻矢口否認(rèn)發(fā)過相關(guān)轉(zhuǎn)賬單等等,這些都涉及到數(shù)據(jù)安全性、完整性、可靠性和交易的不可抵賴性。4.2.2身份認(rèn)證信息加密技術(shù)基本解決了數(shù)據(jù)保密問題,但是4.2.2身份認(rèn)證1.CA認(rèn)證(1)CA的相關(guān)概念CA(CertificateAuthorities)又稱認(rèn)證權(quán)威、認(rèn)證中心、證書授予機(jī)構(gòu),是承擔(dān)網(wǎng)上認(rèn)證服務(wù),能簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的受大家信任的第三方機(jī)構(gòu)。CA能提供一份電子密鑰形式的“證書”,交易者隨時(shí)可以通過網(wǎng)絡(luò)將它提交認(rèn)證機(jī)構(gòu)驗(yàn)證。為了保證電子商務(wù)的交易安全,CA認(rèn)證是必不可少的部分。4.2.2身份認(rèn)證1.CA認(rèn)證4.2.2身份認(rèn)證(2)CA的體系結(jié)構(gòu)CA在大型網(wǎng)絡(luò)環(huán)境下,采用樹狀分級(jí)結(jié)構(gòu),分層分級(jí)進(jìn)行CA的認(rèn)證服務(wù)服務(wù)和認(rèn)證證書的業(yè)務(wù)管理。CA不同等級(jí)的認(rèn)證中心負(fù)責(zé)發(fā)送不同的證書。上級(jí)CA負(fù)責(zé)簽發(fā)和管理下級(jí)CA的證書,最下級(jí)的CA直接面向最終客戶。這些證書包括持卡人證書、商戶證書、支付網(wǎng)關(guān)證書,分別有持卡人認(rèn)證中心、商戶認(rèn)證中心、支付網(wǎng)關(guān)認(rèn)證中心頒發(fā),而這些認(rèn)證中心的證書則由品牌認(rèn)證中心和區(qū)域性認(rèn)證中心頒發(fā)。品牌認(rèn)證中心和區(qū)域性認(rèn)證中心的證書則由根認(rèn)證中心頒發(fā)。根據(jù)SET協(xié)議的要求,CA認(rèn)證體系如圖所示:4.2.2身份認(rèn)證(2)CA的體系結(jié)構(gòu)4.1.2PKI基礎(chǔ)設(shè)施圖4-6CA體系結(jié)構(gòu)4.1.2PKI基礎(chǔ)設(shè)施圖4-6CA體系結(jié)構(gòu)4.2.2身份認(rèn)證(3)CA的主要職責(zé)驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份。對(duì)證書申請(qǐng)者的信用度、申請(qǐng)證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查,確保證書與身份綁定的正確性。確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量和安全。為了防止被破譯,CA用于簽名的私鑰長(zhǎng)度必須有硬件卡產(chǎn)生,私鑰不出卡。4.2.2身份認(rèn)證(3)CA的主要職責(zé)4.2.2身份認(rèn)證(4)CA的選擇構(gòu)建CA系統(tǒng)的復(fù)雜性,取決于項(xiàng)目的商業(yè)流程、可操作性、相關(guān)法律和技術(shù)需求。CA的最終目標(biāo)取決于商業(yè)需求;系統(tǒng)的限制性架構(gòu)取決于對(duì)可操作性的需求;CA系統(tǒng)外圍架構(gòu)對(duì)于最終客戶的權(quán)利和責(zé)任取決于法律需求;開發(fā)和管理CA系統(tǒng)的能力取決于技術(shù)性的需求。4.2.2身份認(rèn)證(4)CA的選擇4.2.2身份認(rèn)證2.數(shù)字摘要數(shù)字摘要又叫消息摘要,也是一種加密方法,該方法又稱為散列編碼(Hash編碼)。散列編碼利用單向的散列函數(shù)將需要加密的明文“摘要”成一串固定長(zhǎng)度(如

128位)的散列值,稱為數(shù)字摘要,又叫做數(shù)字指紋(FingerPrint)。根據(jù)所用的散列函數(shù),生成的散列值有固定的長(zhǎng)度。一定信息的散列值具有惟一性,即不同的信息摘要生成的散列值,其結(jié)果一定是不同的,而同樣的信息其散列值則一定是一樣的。散列函數(shù)還是一種單向函數(shù),即只能從原信息摘要成散列值,而無法從散列值還原成原信息。散列算法不需要密鑰,其算法原理對(duì)發(fā)送方和接收方是公開的。4.2.2身份認(rèn)證2.數(shù)字摘要4.1.2PKI基礎(chǔ)設(shè)施圖4-7數(shù)字摘要產(chǎn)生示意圖4.1.2PKI基礎(chǔ)設(shè)施圖4-7數(shù)字摘要產(chǎn)生示意圖4.2.2身份認(rèn)證數(shù)字摘要可以保證信息原文的真實(shí)性,可在一定程度上防偽、防篡改,但是數(shù)字摘要技術(shù)本身并不能保證數(shù)據(jù)的完整性,還必須與其他密鑰加密技術(shù)結(jié)合起來使用才行。因?yàn)镠ash算法是公開的,如果某人改變了傳送信息報(bào)文的明文,可以很容易的通過該算法改變數(shù)字摘要,所以單用數(shù)字摘要顯然無法保證數(shù)據(jù)的完整性,而必須將數(shù)字摘要保護(hù)起來,是別人無法偽造才行。下面要談的數(shù)字簽名技術(shù)就能很好的解決這個(gè)問題。4.2.2身份認(rèn)證數(shù)字摘要可以保證信息原文的真實(shí)性,可在一4.2.2身份認(rèn)證(1)數(shù)字簽名原理

數(shù)字簽名是公鑰加密技術(shù)與數(shù)字摘要兩者的結(jié)合。它的主要方式是:發(fā)送方使用Hash編碼算法(SHA)加密,從報(bào)文中生成一個(gè)散列值(數(shù)字摘要),用自己的私鑰對(duì)此進(jìn)行加密,形成發(fā)送方的數(shù)字簽名,并作為報(bào)文的附件與報(bào)文一起發(fā)送給接收方??梢钥闯觯臋n的信息不同,產(chǎn)生的發(fā)送者的數(shù)字簽名也不相同,即數(shù)字簽名與原文信息唯一對(duì)應(yīng),如果沒有私有密鑰,任何人都無法完成非法復(fù)制。接受方首先從收到的原始報(bào)文中算出數(shù)字摘要,再用發(fā)送方的公鑰對(duì)報(bào)文的數(shù)字簽名解密;如果生成的兩個(gè)數(shù)字摘要相同,接受方就可以確定該數(shù)字簽名是發(fā)送方的。所以,通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文完整性和不可抵賴性的鑒別。數(shù)字簽名的流程圖如下:4.2.2身份認(rèn)證(1)數(shù)字簽名原理4.1.2PKI基礎(chǔ)設(shè)施圖4-8數(shù)字簽名流程4.1.2PKI基礎(chǔ)設(shè)施圖4-8數(shù)字簽名流程4.2.2身份認(rèn)證(2)數(shù)字簽名與數(shù)字證書的關(guān)聯(lián)性數(shù)字簽名與數(shù)字證書有一定的關(guān)聯(lián)性。一般情況下,密鑰的管理是通過數(shù)字證書實(shí)現(xiàn)的。數(shù)字證書與傳遞密鑰和簽名密鑰對(duì)的產(chǎn)生相對(duì)應(yīng),為每一個(gè)公鑰做一個(gè)數(shù)字證書,私鑰用最安全的方式傳給用戶,或由用戶自己生成密鑰對(duì)。4.2.2身份認(rèn)證(2)數(shù)字簽名與數(shù)字證書的關(guān)聯(lián)性4.1.2PKI基礎(chǔ)設(shè)施圖4-9CA證書簽發(fā)4.1.2PKI基礎(chǔ)設(shè)施圖4-9CA證書簽發(fā)4.2.3訪問控制訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。在用戶身份認(rèn)證和授權(quán)之后,訪問控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶訪問某項(xiàng)資源(目標(biāo))進(jìn)行控制,只有規(guī)則允許時(shí)才能訪問,違反預(yù)訂的安全規(guī)則的訪問行為將被拒絕。訪問控制是信息安全保障機(jī)制的核心內(nèi)容,它是實(shí)現(xiàn)數(shù)據(jù)庫(kù)保密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體對(duì)訪問客體(需要保護(hù)的資源)的訪問權(quán)限,從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么以及做到什么程度。4.2.3訪問控制訪問控制是在保障授權(quán)用戶能獲取所需資源的4.1.2PKI基礎(chǔ)設(shè)施圖4-10訪問控制模型基本組成4.1.2PKI基礎(chǔ)設(shè)施圖4-10訪問控制模型基本組成4.1.2PKI基礎(chǔ)設(shè)施圖4-11角色訪問控制的一般模式4.1.2PKI基礎(chǔ)設(shè)施圖4-11角色訪問控制的一般模第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.2數(shù)字證書與認(rèn)證技術(shù)

第4章電子商務(wù)交易安全的基礎(chǔ)設(shè)施4.1密鑰管理與PKI基4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.1.1密鑰的結(jié)構(gòu)與分配管理4.1.2PKI基礎(chǔ)設(shè)施4.1.3國(guó)家PKI戰(zhàn)略

4.1密鑰管理與PKI基礎(chǔ)設(shè)施4.1.1密鑰的結(jié)構(gòu)與分配管4.1.1密鑰的結(jié)構(gòu)與分配管理在討論密鑰的結(jié)構(gòu)與分配管理之前,這里首先介紹密鑰的概念。從本質(zhì)上講,密鑰就是一種參數(shù),它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。目前的加密技術(shù)分為兩種:對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制(單密鑰密碼體制):加密密鑰與解密密鑰相同的體制。發(fā)送者和接收者共享有一個(gè)密鑰,這種對(duì)稱使加密和解密互為逆過程。非對(duì)稱密碼體制(公鑰密碼體制):加密和解密使用兩個(gè)不同的密鑰,即公鑰和私鑰,用戶的公鑰是對(duì)外界公開的,私鑰是對(duì)外界保密的。用公鑰加密的數(shù)據(jù)只有通過相應(yīng)的私鑰才能解密。下面將分別從這兩種密鑰體制來討論密鑰的結(jié)構(gòu)與分配管理。4.1.1密鑰的結(jié)構(gòu)與分配管理在討論密鑰的結(jié)構(gòu)與分配管理之前4.1.1密鑰的結(jié)構(gòu)與分配管理1.對(duì)稱加密體制(1)對(duì)稱密鑰加密技術(shù)對(duì)于普通的對(duì)稱密碼學(xué),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。通常,使用的加密算法比較簡(jiǎn)便高效,密鑰簡(jiǎn)短,破譯極其困難,由于系統(tǒng)的保密性主要取決于密鑰的安全性,所以,在公開的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問題。正是由于對(duì)稱密碼學(xué)中雙方都使用相同的密鑰,因此無法實(shí)現(xiàn)數(shù)據(jù)簽名和不可否認(rèn)性等功能。在此種加密過程中,報(bào)文的發(fā)送者和接收者必須預(yù)先共享密鑰。其加密、解密原理如下圖所示:4.1.1密鑰的結(jié)構(gòu)與分配管理1.對(duì)稱加密體制4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-1對(duì)稱加密原理4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-1對(duì)稱加密原理4.1.1密鑰的結(jié)構(gòu)與分配管理(3)對(duì)稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)對(duì)稱加密技術(shù)的優(yōu)點(diǎn)是效率高,算法簡(jiǎn)單,系統(tǒng)開銷小,速度比公鑰加密技術(shù)快得多,適合加密大量數(shù)據(jù),應(yīng)用廣泛。DES算法是目前世界上應(yīng)用得最廣泛的加密算法。而其主要問題,首先是發(fā)送方和接受方必須預(yù)先共享秘密密鑰,而不能讓其他的任何人知道,通常必須通過安全信道私下商定。其次,需要使用大量的密鑰,大量密鑰的發(fā)布、共享和管理是一個(gè)十分困難的問題。此外,每個(gè)用戶必須記下其他通信用戶所用的所有密鑰,這么多的密鑰管理對(duì)于普通用戶來說是非常困難的,也容易造成安全問題。再次,無法滿足互不認(rèn)識(shí)的人進(jìn)行私人通信的保密要求,難以解決數(shù)字簽名驗(yàn)證的問題。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)對(duì)稱密鑰加密技術(shù)的優(yōu)缺點(diǎn)4.1.1密鑰的結(jié)構(gòu)與分配管理2.非對(duì)稱加密體制(1)公鑰加密技術(shù)非對(duì)稱加密體制,非對(duì)稱加密技術(shù)中要求密鑰成對(duì)使用,即加密和解密分別由兩個(gè)密鑰來實(shí)現(xiàn)。每個(gè)用戶都有一對(duì)選定的密鑰,一個(gè)可以公開,即公共密鑰,用于加密。另一個(gè)由用戶安全擁有,即私鑰,用于解密。也就是當(dāng)發(fā)送方A給接受方B方發(fā)信息(M)時(shí),用對(duì)方的公鑰進(jìn)行加密,而在接收方接到數(shù)據(jù)后,用自己的私鑰進(jìn)行解密。因此,非對(duì)稱加密技術(shù)又常常被稱為公鑰加密技術(shù)或雙鑰密碼加密技術(shù)。公鑰加密技術(shù)的加密、解密原理如圖4.3所示:4.1.1密鑰的結(jié)構(gòu)與分配管理2.非對(duì)稱加密體制4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-3公鑰加密技術(shù)的加解密示意圖4.1.1密鑰的結(jié)構(gòu)與分配管理圖4-3公鑰加密技術(shù)的加解4.1.1密鑰的結(jié)構(gòu)與分配管理其中

之間是數(shù)學(xué)相關(guān)的,用B用戶的公鑰

加密的數(shù)據(jù)只能用B用戶的私鑰

才能解密,因而要求用戶的私鑰不能透露給自己不信任的任何人。通常情況下,公開密鑰用于對(duì)機(jī)密信息的加密,私有密鑰則是用于對(duì)加密信息的解密。由于公鑰加密技術(shù)使用一個(gè)密鑰加密,另一個(gè)相關(guān)但不同的密鑰解密,所以公鑰加密技術(shù)有以下特點(diǎn)。第一,僅知道密碼算法和加密密鑰,要確定解密密鑰,這在計(jì)算上是不可能的。第二,公鑰

加密后,使用公鑰

本身無法解密。第三,公鑰

加密后可用私鑰

解密,

加密后可用

解密,并驗(yàn)證的加密,即數(shù)字簽名和驗(yàn)證。4.1.1密鑰的結(jié)構(gòu)與分配管理其中和之間是數(shù)學(xué)相關(guān)的,用4.1.1密鑰的結(jié)構(gòu)與分配管理(2)公鑰加密算法——RSA公鑰加密技術(shù)中中被運(yùn)用的最廣泛的是RSA密碼體制。RSA從提出到現(xiàn)在經(jīng)歷了20多年,經(jīng)受了各種攻擊的考驗(yàn),已經(jīng)逐漸為人們所接受。RSA被普遍認(rèn)為是目前最優(yōu)秀的非對(duì)稱密碼體制方案之一。RSA密碼是由R.Rivest,A.Shamir和L.Adleman于1977年提出的。RSA的取名就是來自于這三位發(fā)明者姓的第一個(gè)字母。后來,他們?cè)?982年創(chuàng)辦了以RSA命名的公司RSADataSecurityInc.和RSA實(shí)驗(yàn)室,該公司和實(shí)驗(yàn)室在公開密鑰密碼系統(tǒng)的研究和商業(yè)應(yīng)用推廣方面具有舉足輕重的地位。4.1.1密鑰的結(jié)構(gòu)與分配管理(2)公鑰加密算法——RSA4.1.1密鑰的結(jié)構(gòu)與分配管理(3)公鑰加密技術(shù)的優(yōu)缺點(diǎn)公鑰加密技術(shù)的優(yōu)點(diǎn)是密鑰分配簡(jiǎn)單,密鑰的保存量少,可以滿足互不相識(shí)的人之間進(jìn)行私人談話時(shí)的保密性要求,同時(shí)還可以完成簽名和數(shù)字簽名。但這種加密技術(shù)也有它自身的不足,這主要表現(xiàn)在:①產(chǎn)生的密鑰麻煩,受到素?cái)?shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密;②安全性,RSA的安全性依賴于大數(shù)的因子分解,但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價(jià)。③速度太慢,由于RSA的分組長(zhǎng)度太大,為保證安全性,n至少也要600位以上,這使得運(yùn)算代價(jià)很高,尤其是速度較慢,較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí),且隨著大數(shù)分解技術(shù)的發(fā)展,這個(gè)長(zhǎng)度還在增加,不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)公鑰加密技術(shù)的優(yōu)缺點(diǎn)4.1.1密鑰的結(jié)構(gòu)與分配管理3.密鑰管理對(duì)密鑰系統(tǒng)的大多數(shù)攻擊發(fā)生在密鑰上,而不是針對(duì)某種具體的加密算法,因此對(duì)密鑰進(jìn)行安全管理是很重要的。密鑰管理包括由密鑰產(chǎn)生到銷毀的整個(gè)過程,包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲(chǔ)、分配、裝入、保護(hù)、更新、丟失、撤銷與銷毀等內(nèi)容。密鑰是密鑰系統(tǒng)中最為薄弱的環(huán)節(jié),其中的分配、存儲(chǔ)過程是最難處理的。隨著網(wǎng)絡(luò)善變得越來越復(fù)雜,對(duì)密鑰管理的要求也變得更加嚴(yán)格。4.1.1密鑰的結(jié)構(gòu)與分配管理3.密鑰管理4.1.1密鑰的結(jié)構(gòu)與分配管理(1)密鑰的使用期限如果某個(gè)用戶的私人密鑰丟失或被盜,必須立即通知與他有聯(lián)系的用戶,不要再以失效的公共密鑰來加密信息,也不要接收以失效的私人密鑰簽發(fā)的郵件。用戶必須安全地保存自己的私人密鑰,以防止攻擊者盜用用戶的私人密鑰。但是,私人密鑰必須有一定的使用期限,在失效日期前要保證密鑰可以使用。私人密鑰的失效日期必須妥善選擇,并要以安全的方式加以公布。4.1.1密鑰的結(jié)構(gòu)與分配管理(1)密鑰的使用期限4.1.1密鑰的結(jié)構(gòu)與分配管理(2)數(shù)字時(shí)間戳密鑰的失效日期可以保存在數(shù)字證書的公共密鑰上,也可以保存在存放數(shù)字證書的目錄表中。簽名驗(yàn)證程序應(yīng)檢查密鑰的失效日期,并拒絕所有使用失效密鑰簽名的信息。也就是說,密鑰過期意味著所有用該密鑰簽名的信息都將失效。文件的簽署日期與數(shù)字簽名是一樣重要的,都是防止文件等被偽造或篡改的重要標(biāo)記。4.1.1密鑰的結(jié)構(gòu)與分配管理(2)數(shù)字時(shí)間戳4.1.1密鑰的結(jié)構(gòu)與分配管理(3)密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范目前國(guó)際有關(guān)的標(biāo)準(zhǔn)化機(jī)構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。ISO與IEC下屬的信息技術(shù)委員會(huì)(JTC1)已起草了關(guān)于密鑰管理的國(guó)際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由3部分組成:第1部分是密鑰管理框架;第2部分是采用對(duì)稱技術(shù)的機(jī)制;第3部分是采用非對(duì)稱技術(shù)的機(jī)制。該規(guī)范現(xiàn)已進(jìn)入到國(guó)際標(biāo)準(zhǔn)草案表決階段,并將很快成為正式的國(guó)際標(biāo)準(zhǔn)。4.1.1密鑰的結(jié)構(gòu)與分配管理(3)密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范4.1.2PKI基礎(chǔ)設(shè)施隨著Internet的普及,人們通過因特網(wǎng)進(jìn)行溝通越來越多,相應(yīng)的通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)即電子商務(wù)也得到了廣泛的發(fā)展。電子商務(wù)為我國(guó)企業(yè)開拓國(guó)際國(guó)內(nèi)市場(chǎng)、利用好國(guó)內(nèi)外各種資源提供了一個(gè)千載難逢的良機(jī)。電子商務(wù)對(duì)企業(yè)來說真正體現(xiàn)了平等競(jìng)爭(zhēng)、高效率、低成本、高質(zhì)量的優(yōu)勢(shì),能讓企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中把握商機(jī)、脫穎而出。發(fā)達(dá)國(guó)家已經(jīng)把電子商務(wù)作為21世紀(jì)國(guó)家經(jīng)濟(jì)的增長(zhǎng)重點(diǎn),我國(guó)的有關(guān)部門也正在大力推進(jìn)我國(guó)企業(yè)發(fā)展電子商務(wù)。然而隨著電子商務(wù)的飛速發(fā)展也相應(yīng)的引發(fā)出一些Internet安全問題。為解決這些Internet的安全問題,世界各國(guó)對(duì)其進(jìn)行了多年的研究,初步形成了一套完整的Internet安全解決方案,即公鑰密碼體制的出現(xiàn),實(shí)現(xiàn)了密碼技術(shù)的革命性變革。4.1.2PKI基礎(chǔ)設(shè)施隨著Internet的普及,人們4.1.2PKI基礎(chǔ)設(shè)施X.509證書的出現(xiàn),為公鑰體制的應(yīng)用了有效的載體和基礎(chǔ),使用戶更容易對(duì)公鑰進(jìn)行驗(yàn)證。目前被廣泛采用的PKI技術(shù)(PublicKeyInfrastructure-公鑰基礎(chǔ)設(shè)施),PKI(公鑰基礎(chǔ)設(shè)施)技術(shù)采用證書管理公鑰,通過第三方的可信任機(jī)構(gòu)--認(rèn)證中心CA(CertificateAuthority),把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份。目前,通用的辦法是采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密,保證信息傳輸?shù)谋C苄?、完整性,簽名保證身份的真實(shí)性和抗抵賴。4.1.2PKI基礎(chǔ)設(shè)施X.509證書的出現(xiàn),為公鑰體制的4.1.2PKI基礎(chǔ)設(shè)施1.PKI的體系結(jié)構(gòu)使用基于公鑰技術(shù)系統(tǒng)的用戶建立安全通信信任機(jī)制的基礎(chǔ)是:網(wǎng)上進(jìn)行的任何需要安全服務(wù)的通信都是建立在公鑰的基礎(chǔ)之上的,而與公鑰成對(duì)的私鑰只掌握在他們與之通信的另一方。這個(gè)信任的基礎(chǔ)是通過公鑰證書的使用來實(shí)現(xiàn)的。公鑰證書就是一個(gè)用戶的身份與他所持有的公鑰的結(jié)合,在結(jié)合之前由一個(gè)可信任的權(quán)威機(jī)構(gòu)CA來證實(shí)用戶的身份,然后由其對(duì)該用戶身份及對(duì)應(yīng)公鑰相結(jié)合的證書進(jìn)行數(shù)字簽名,以證明其證書的有效性。PKI必須具有權(quán)威認(rèn)證機(jī)構(gòu)CA在公鑰加密技術(shù)基礎(chǔ)上對(duì)證書的產(chǎn)生、管理、存檔、發(fā)放以及作廢進(jìn)行管理的功能,包括實(shí)現(xiàn)這些功能的全部硬件、軟件、人力資源、相關(guān)政策和操作程序,以及為PKI體系中的各成員提供全部的安全服務(wù)。4.1.2PKI基礎(chǔ)設(shè)施1.PKI的體系結(jié)構(gòu)4.1.2PKI基礎(chǔ)設(shè)施(1)認(rèn)證機(jī)構(gòu)CA(CertificateAuthority)CA是PKI的核心執(zhí)行機(jī)構(gòu),是PKI的主要組成部分,業(yè)界人士通常稱它為認(rèn)證中心。從廣義上講,認(rèn)證中心還應(yīng)該包括證書申請(qǐng)注冊(cè)機(jī)構(gòu)RA(RegistrationAuthority),它是數(shù)字證書的申請(qǐng)注冊(cè)、證書簽發(fā)和管理機(jī)構(gòu)。CA的主要職責(zé)包括:驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份。對(duì)證書申請(qǐng)者的信用度、申請(qǐng)證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查,確保證書與身份綁定的正確性。確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量和安全性。為了防止被破譯,CA用于簽名的私鑰長(zhǎng)度必須足夠長(zhǎng)并且私鑰必須由硬件卡產(chǎn)生,私鑰不出卡。4.1.2PKI基礎(chǔ)設(shè)施(1)認(rèn)證機(jī)構(gòu)CA(Certifi4.1.2PKI基礎(chǔ)設(shè)施(2)證書和證書庫(kù)證書是數(shù)字證書或電子證書的簡(jiǎn)稱,它符合X.509標(biāo)準(zhǔn),是網(wǎng)上實(shí)體身份的證明。證書是由具備權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā)的,因此,它是權(quán)威性的電子文檔。證書庫(kù)是證書的集中存放地,是網(wǎng)上的一種公用信息庫(kù),用戶可以從中獲得其他用戶的證書和公鑰。證書庫(kù)的最佳構(gòu)造方法是采用支持輕量級(jí)目錄訪問協(xié)議(LDAP)的目錄系統(tǒng),用戶或相關(guān)應(yīng)用者通過LDAP來訪問證書庫(kù)。系統(tǒng)必須確保證書庫(kù)的完整性、防止偽造、篡改證書。4.1.2PKI基礎(chǔ)設(shè)施(2)證書和證書庫(kù)4.1.2PKI基礎(chǔ)設(shè)施(3)密鑰備份及恢復(fù)密鑰備份及恢復(fù)是密鑰管理的主要內(nèi)容,用戶由于某些原因?qū)⒔饷軘?shù)據(jù)的密鑰丟失,從而使已被加密的密文無法解開。為避免這種情況的發(fā)生,PKI提供了密鑰備份與密鑰恢復(fù)機(jī)制:當(dāng)用戶證書生成時(shí),加密密鑰即被CA備份存儲(chǔ);當(dāng)需要恢復(fù)時(shí),用戶只需向CA提出申請(qǐng),CA就會(huì)為用戶自動(dòng)進(jìn)行恢復(fù)。(4)證書作廢處理系統(tǒng)(X.509Version3,CRLVersion2)證書作廢處理系統(tǒng)是PKI的一個(gè)重要組件。同其他證件一樣,CA簽署的證書同樣具有有效期和作廢的情況,PKI必須提供一系列證書作廢機(jī)制。一般有三種策略:作廢一個(gè)或多個(gè)主體的證書;作廢由某一對(duì)密鑰簽發(fā)的所有證書;作廢由某CA簽發(fā)的所有證書。4.1.2PKI基礎(chǔ)設(shè)施(3)密鑰備份及恢復(fù)4.1.2PKI基礎(chǔ)設(shè)施(5)客戶端證書處理系統(tǒng)客戶端證書與瀏覽器有關(guān),證書申請(qǐng)人可以通過瀏覽器申請(qǐng)、下載證書,并且安裝在瀏覽器上使用。PKI是一套軟硬件系統(tǒng)和安全策略的集合,它提供了一整套的安全性措施,使用戶在不知道對(duì)方的情況下,以證書為基礎(chǔ),通過一系列的信任關(guān)系進(jìn)行通信和電子商務(wù)交易。下面是一個(gè)典型的PKI組成實(shí)例,包括PIK策略、軟硬件系統(tǒng)、證書機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、證書發(fā)布系統(tǒng)和PKI應(yīng)用等,PKI的組成框圖如圖4.4所示。4.1.2PKI基礎(chǔ)設(shè)施(5)客戶端證書處理系統(tǒng)4.1.2PKI基礎(chǔ)設(shè)施圖4-4PKI組成框圖4.1.2PKI基礎(chǔ)設(shè)施圖4-4PKI組成框圖4.1.2PKI基礎(chǔ)設(shè)施圖4-5PKI基礎(chǔ)組件的使用除了證書之外,PKI還包括其他組件,圖4.5表示了組件的使用的過程。4.1.2PKI基礎(chǔ)設(shè)施圖4-5PKI基礎(chǔ)組件的使用除了4.1.2PKI基礎(chǔ)設(shè)施2.PKI技術(shù)的信任服務(wù)及其意義PKI安全平臺(tái)提供智能化的信任與有效的授權(quán)服務(wù)。其中,信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”,即交易者的真實(shí)身份的確認(rèn)問題,PKI是在網(wǎng)絡(luò)上建立信任體系最行之有效的技術(shù);授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”,即交易者權(quán)限問題。虛擬的網(wǎng)絡(luò)是對(duì)現(xiàn)實(shí)世界的模擬,必須建立這樣一個(gè)適合網(wǎng)絡(luò)環(huán)境的有效授權(quán)體系,而通過PKI建立授權(quán)管理基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)上建立有效授權(quán)的最佳選擇。4.1.2PKI基礎(chǔ)設(shè)施2.PKI技術(shù)的信任服務(wù)及其意義4.1.2PKI基礎(chǔ)設(shè)施2.1PKI所提供的服務(wù)(1)認(rèn)證PKI通過證書進(jìn)行認(rèn)證,認(rèn)證時(shí)對(duì)方知道你就是你,但卻無法知道你為什么是你。在這里證書是一個(gè)可信的第三方證明,通過它,通信雙方可以安全地進(jìn)行互相認(rèn)證,而不用擔(dān)心對(duì)方是假冒的。(2)支持密鑰管理通過加密證書,通信雙方可以協(xié)商一個(gè)秘密,而這個(gè)秘密可以作為通信加密的密鑰。在需要通信時(shí),可以在認(rèn)證的基礎(chǔ)上協(xié)商一個(gè)密鑰。PKI能夠通過良好的密鑰恢復(fù)能力,提供可信的,可管理的密鑰恢復(fù)機(jī)制。PKI普及應(yīng)用能夠保證在全社會(huì)范圍內(nèi)提供全面的密鑰恢復(fù)與管理能力,保證網(wǎng)上活動(dòng)的健康有序發(fā)展。4.1.2PKI基礎(chǔ)設(shè)施2.1PKI所提供的服務(wù)4.1.2PKI基礎(chǔ)設(shè)施(3)完整性和不可否認(rèn)性完整性和不可否認(rèn)是PKI提供的最基本的服務(wù)。一般地,完整性也可以通過雙方協(xié)商一個(gè)秘密來,但一方有意抵賴時(shí),這種完整性就無法接受第三方的仲裁。PKI提供的完整性是可以通過第三方仲裁的,并且這種可以由第三方進(jìn)行仲裁的完整性是通信雙方都不可否認(rèn)的。例如,A發(fā)送一個(gè)合約給B,B可以要求A進(jìn)行數(shù)字簽名,簽名后的合約不僅B可以驗(yàn)證其完整性,其他人也可以驗(yàn)證該合約確實(shí)是A簽發(fā)的。而所有的人,包括B,都沒有模仿A簽署這個(gè)合約的能力。“不可否認(rèn)”就是通過這樣的PKI數(shù)字簽名機(jī)制來提供服務(wù)的。當(dāng)法律許可時(shí),該“不可否認(rèn)性”可以作為法律依據(jù)。正確使用時(shí),PKI的安全性應(yīng)該高于目前使用的紙面圖章系統(tǒng)。4.1.2PKI基礎(chǔ)設(shè)施(3)完整性和不可否認(rèn)性4.1.2PKI基礎(chǔ)設(shè)施2.2PKI技術(shù)的作用與意義(1)PKI可以構(gòu)建一個(gè)可管、可控、安全的Internet在傳統(tǒng)的Internet中,為了解決安全接入的問題,人們采取了“口令字”等措施,但很容易被猜破,難以對(duì)抗有組織的集團(tuán)性攻擊。近年來,伴隨寬帶Internet技術(shù)和大規(guī)模集成電路技術(shù)的飛速發(fā)展,公鑰加密技術(shù)有了其用武之地,加密、解密的開銷已不再是其應(yīng)用的障礙。因此,國(guó)際電信聯(lián)盟(ITU)、國(guó)際標(biāo)準(zhǔn)化組織(ISO)、國(guó)際電工委員會(huì)(IEC)、Internet任務(wù)工作組(IETF)等密切合作,制定了一系列的有關(guān)PKI的技術(shù)標(biāo)準(zhǔn),通過認(rèn)證機(jī)制,建立證書服務(wù)系統(tǒng),通過證書綁定每個(gè)網(wǎng)絡(luò)褓的公鑰,使網(wǎng)絡(luò)的每個(gè)實(shí)體均可識(shí)別,從而有效地解決了網(wǎng)絡(luò)上“你是誰”的問題,把寬帶Internet在一定的安全域內(nèi)變成了一個(gè)可控、可管、安全的網(wǎng)絡(luò)。4.1.2PKI基礎(chǔ)設(shè)施2.2PKI技術(shù)的作用與意義4.1.2PKI基礎(chǔ)設(shè)施(2)PKI可以在Internet中構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系PKI通過對(duì)數(shù)字證書進(jìn)行擴(kuò)展,在公鑰證書的基礎(chǔ)上,給特定的網(wǎng)絡(luò)實(shí)體簽發(fā)屬性證書,用以表征褓的角色和屬性的權(quán)力(3)PKI可以建設(shè)一個(gè)普適性好、安全性高的統(tǒng)一平臺(tái)PKI遵循一套完整的國(guó)際技術(shù)標(biāo)準(zhǔn),可以對(duì)物理層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行系統(tǒng)的安全結(jié)構(gòu)設(shè)計(jì),構(gòu)建統(tǒng)一的安全域。4.1.2PKI基礎(chǔ)設(shè)施(2)PKI可以在Internet4.1.2PKI基礎(chǔ)設(shè)施3.PKI標(biāo)準(zhǔn)為滿足電子商務(wù)交易的可交互性,要求PKI遵循一定的標(biāo)準(zhǔn)。PKI的標(biāo)準(zhǔn)化是其發(fā)展的前提和基礎(chǔ),只有符合一定的標(biāo)準(zhǔn),才能保證不同的PKI產(chǎn)品之間的正常交互。由于該技術(shù)的前衛(wèi)性和先進(jìn)性,使這項(xiàng)技術(shù)至今沒有非常固定的標(biāo)準(zhǔn),目前出現(xiàn)的并且已經(jīng)投入使用的有以下幾個(gè):(1)X.209(1988)ASN.1基本編碼規(guī)則的規(guī)范(2)X.500(1993)信息技術(shù)之開放系統(tǒng)互聯(lián):概念、模型及服務(wù)簡(jiǎn)述(3)X.509(1993)信息技術(shù)之開放系統(tǒng)互聯(lián):鑒別框架(4)PKCS系列標(biāo)準(zhǔn)(5)OCSP在線證書狀態(tài)協(xié)議4.1.2PKI基礎(chǔ)設(shè)施3.PKI標(biāo)準(zhǔn)4.1.2PKI基礎(chǔ)設(shè)施(6)LDAP輕量級(jí)目錄訪問協(xié)議4.PKI的應(yīng)用(1)虛擬專用網(wǎng)絡(luò)(VPN)通常,企業(yè)在架構(gòu)VPN時(shí)會(huì)利用防火墻和訪問控制技術(shù)來提高VPN的安全性。這只解決了很少一部分問題,而一個(gè)現(xiàn)代VPN所需要的安全保障,如認(rèn)證、機(jī)密、完整、不可否認(rèn)以及易用性都需要采用更完善的安全技術(shù)。就技術(shù)而言,除了基于防火墻的VPN之外,還可以有其他的結(jié)構(gòu)方式,如基于黑盒的VPN、基于路由器的VPN、基于遠(yuǎn)程訪問的VPN或者基于軟件的VPN?,F(xiàn)實(shí)構(gòu)造VPN往往并不局限于一種單一的結(jié)構(gòu),而是趨向于采用混合結(jié)構(gòu)方式,以達(dá)到最適合具體環(huán)境、最理想的效果。在實(shí)現(xiàn)上,VPN的基本思想是采用秘密通信通道,用加密的方法來實(shí)現(xiàn)。具體協(xié)議一般有PPTP、L2TP和IPSec3種。4.1.2PKI基礎(chǔ)設(shè)施(6)LDAP輕量級(jí)目錄訪問協(xié)議4.1.2PKI基礎(chǔ)設(shè)施(2)安全電子郵件作為Internet上最有效的應(yīng)用,電子郵件憑借其易用、低成本和高效率,已經(jīng)成為現(xiàn)代商業(yè)中的一種標(biāo)準(zhǔn)信息交換工具。隨著Internet的持續(xù)增長(zhǎng),商業(yè)機(jī)構(gòu)或政府機(jī)構(gòu)都開始用的電子郵件交換一些秘密的或有商業(yè)價(jià)值的信息,這就引發(fā)了一些安全方面的問題。如:消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉;沒有辦法可以確定一封電子郵件是否真的來自某人,也就是說,發(fā)信者的身份可能被人偽造。4.1.2PKI基礎(chǔ)設(shè)施(2)安全電子郵件4.1.2PKI基礎(chǔ)設(shè)施(3)Web安全瀏覽Web頁(yè)面或許是人們最常用的訪問Internet的方式。一般的瀏覽也許并不會(huì)讓人產(chǎn)生不妥的感覺,可是當(dāng)您在填寫表單數(shù)據(jù)時(shí),您有沒有意識(shí)到您的私人敏感信息可能被一些居心叵測(cè)的人截獲,而如果您或您的公司要通過Web進(jìn)行一些商業(yè)交易,您又如何保證交易的安全呢?4.1.2PKI基礎(chǔ)設(shè)施(3)Web安全4.1.3國(guó)家PKI戰(zhàn)略日前我國(guó)PKI戰(zhàn)略主要集中在中國(guó)PKI論壇的建設(shè)和完善上?;趪?guó)際和國(guó)內(nèi)PKI發(fā)展的進(jìn)程,為在維護(hù)國(guó)家利益的前提下促進(jìn)國(guó)際與地區(qū)間的合作,促進(jìn)超越地域和經(jīng)濟(jì)貿(mào)易領(lǐng)域的電子商務(wù)的應(yīng)用推廣,建設(shè)中國(guó)

PKI體系,國(guó)家發(fā)展和改革委員會(huì)于2001年2月批準(zhǔn)成立中國(guó)PKI論壇籌備工作組。2001年6月,中國(guó)政府代表參加了首屆“亞洲

PKI論壇”大會(huì),會(huì)議通過了《亞洲

PKI論壇憲章》和《亞洲

PKI論壇組織代表聯(lián)合聲明》。2001年8月,中國(guó)政府代表簽署了《亞洲PKI論壇憲章》,成為亞洲PKI論壇成員,以中國(guó)PKI論壇名義任亞洲PKI論壇副主席。4.1.3國(guó)家PKI戰(zhàn)略日前我國(guó)PKI戰(zhàn)略主要集中在中國(guó)P4.2數(shù)字證書與認(rèn)證技術(shù)4.2.1數(shù)字證書4.2.2身份認(rèn)證4.2.3訪問控制

4.2數(shù)字證書與認(rèn)證技術(shù)4.2.1數(shù)字證書4.2數(shù)字證書與認(rèn)證技術(shù)由于電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性,保密性等,防范交易及支付過程中的欺詐行為,必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份,并且在網(wǎng)上能夠有效無誤的被進(jìn)行認(rèn)證。數(shù)字證書和相關(guān)認(rèn)證技術(shù)就能比較好的解決該問題,這一節(jié)我們將就此進(jìn)行學(xué)習(xí)和探討。4.2數(shù)字證書與認(rèn)證技術(shù)由于電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的4.2.1數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。證書就是一份文檔,記錄了用戶的公開密鑰和其他身份信息。數(shù)字證書是由

CA認(rèn)證中心頒發(fā)的、包含了公開密鑰持有者信息以及公開密鑰的文件,證書上還有

CA認(rèn)證中心的數(shù)字簽名。證書的格式遵循ITUX.509v3協(xié)議。就像駕駛執(zhí)照能將照片、姓名、出生日期進(jìn)行有公證效果的關(guān)聯(lián)一樣,一個(gè)用戶的數(shù)字證書就是一個(gè)有公證效果的將公開密鑰與所有者的身份信息相聯(lián)系的“數(shù)字身份證”。在網(wǎng)上的電子交易中,如果雙方出示了各自的數(shù)字證書并用它來進(jìn)行交易操作,那么雙方都可不必為對(duì)方的身份擔(dān)心。數(shù)字證書可用于與電子商務(wù)相關(guān)的各個(gè)領(lǐng)域。4.2.1數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和4.2.1數(shù)字證書1.數(shù)字證書的類型數(shù)字證書從使用對(duì)象角度來說主要有以下七種類型:(1)個(gè)人身份證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含個(gè)人身份信息和個(gè)人的公鑰,用于標(biāo)識(shí)證書持有人的個(gè)人身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key中,用于個(gè)人在網(wǎng)上進(jìn)行合同簽訂、定單、錄入審核、操作權(quán)限、支付信息等活動(dòng)中標(biāo)明身份。(2)企業(yè)或機(jī)構(gòu)身份證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含企業(yè)信息和企業(yè)的公鑰,用于標(biāo)識(shí)證書持有企業(yè)的身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key或

IC卡中,可以用于企業(yè)在電子商務(wù)方面的對(duì)外活動(dòng),如合同簽訂、網(wǎng)上證券交易、交易支付信息等方面。4.2.1數(shù)字證書1.數(shù)字證書的類型4.2.1數(shù)字證書(3)支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書是證書簽發(fā)中心針對(duì)支付網(wǎng)關(guān)簽發(fā)的數(shù)字證書,是支付網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)加解密的主要工具,用于數(shù)字簽名和信息加密。支付網(wǎng)關(guān)證書僅用于支付網(wǎng)關(guān)提供的服務(wù)(Internet上各種安全協(xié)議與銀行現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)格式的轉(zhuǎn)換)。(4)服務(wù)器證書符合

X.509標(biāo)準(zhǔn)的數(shù)字安全證書,證書中包含服務(wù)器信息和服務(wù)器的公鑰,在網(wǎng)絡(luò)通訊中用于標(biāo)識(shí)和驗(yàn)證服務(wù)器的身份。數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于

E-key中。服務(wù)器軟件利用證書機(jī)制保證與其他服務(wù)器或客戶端通信時(shí)雙方身份的真實(shí)性、安全性、可信任度等。4.2.1數(shù)字證書(3)支付網(wǎng)關(guān)證書4.2.1數(shù)字證書(5)企業(yè)或機(jī)構(gòu)代碼簽名證書代碼簽名證書是

CA中心簽發(fā)給軟件提供商的數(shù)字證書,包含軟件提供商的身份信息、公鑰及

CA的簽名。軟件提供商使用代碼簽名證書對(duì)軟件進(jìn)行簽名后放到

Internet上,當(dāng)用戶在

Internet上下載該軟件時(shí),將會(huì)得到提示,從而可以確信:軟件的來源;軟件自簽名后到下載前,沒有遭到修改或破壞。代碼簽名證書可以對(duì)32-bit.exe、.cab、.ocx、.class等程序和文件進(jìn)行簽名。(6)安全電子郵件證書符合X.509標(biāo)準(zhǔn)的數(shù)字安全證書,通過

IE或

Netscape申請(qǐng),用IE申請(qǐng)的證書存儲(chǔ)于WINDOWS的注冊(cè)表中,用

NETSCAPE申請(qǐng)的存儲(chǔ)于個(gè)人用戶目錄下的文件中。用于安全電子郵件或向需要客戶驗(yàn)證的

WEB服務(wù)器(https服務(wù))表明身份。4.2.1數(shù)字證書(5)企業(yè)或機(jī)構(gòu)代碼簽名證書4.2.1數(shù)字證書(7)個(gè)人代碼簽名證書個(gè)人代碼簽名證書是

CA中心簽發(fā)給軟件提供人的數(shù)字證書,包含軟件提供個(gè)人的身份信息、公鑰及CA的簽名。軟件提供人使用代碼簽名證書對(duì)軟件進(jìn)行簽名后放到

Internet上,當(dāng)用戶在

Internet上下載該軟件時(shí),將會(huì)得到提示,從而可以確信:軟件的來源;軟件自簽名后到下載前,沒有遭到修改或破壞。代碼簽名證書可以對(duì)

32-bit.exe、.cab、.ocx、.class等程序和文件進(jìn)行簽名。4.2.1數(shù)字證書(7)個(gè)人代碼簽名證書4.2.1數(shù)字證書2.數(shù)字證書的原理數(shù)字證書基于公鑰技術(shù)。在公開密鑰系統(tǒng)中,為每個(gè)用戶生成一對(duì)相關(guān)的密鑰:一個(gè)公開密鑰和一個(gè)私有密鑰。公開密鑰用于對(duì)機(jī)密信息的加密,通過非保密方式向他人公開;私有密鑰用于對(duì)加密信息的解密,由用戶自己安全存放。這樣貿(mào)易雙方進(jìn)行信息交換的基本過程是:發(fā)送方通過網(wǎng)絡(luò)或其他公開途徑得到接收方的公鑰,然后使用該密鑰對(duì)信息加密后發(fā)送給接收方;接收方用自己的私鑰對(duì)收到的信息進(jìn)行解密,得到信息明文。在這里,只有接收方(而不是其他第三方)才能成功地解密該信息,因?yàn)橹挥薪邮辗綋碛信c之相對(duì)應(yīng)的私有密鑰,從而保證了信息的機(jī)密性。如果發(fā)送方在發(fā)送信息時(shí)附上自己的數(shù)字簽名(數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)),則接收方通過驗(yàn)證數(shù)字簽名可以保證信息的完整性和不可抵賴性。4.2.1數(shù)字證書2.數(shù)字證書的原理4.2.1數(shù)字證書3.數(shù)字證書的內(nèi)容數(shù)字證書中一般包含證書持有者的名稱、公開密鑰、認(rèn)證中心的數(shù)字簽名,此外還包括密鑰的有效時(shí)間、認(rèn)證中心的名稱以及該證書的序列號(hào)等信息。交易伙伴可以利用數(shù)字證書來交換彼此的公開密鑰。國(guó)際電信聯(lián)盟(ITU)在其制訂的

X.509標(biāo)準(zhǔn)(信息技術(shù)——開放系統(tǒng)互聯(lián)——目錄:鑒別框架)中,對(duì)數(shù)字證書進(jìn)行了詳細(xì)的定義。一個(gè)標(biāo)準(zhǔn)的

X.509數(shù)字證書包含如下主要內(nèi)容:(1)證書的版本信息。(2)證書的序列號(hào)。每個(gè)證書都有一個(gè)惟一的證書序列號(hào)。(3)證書所

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論