密钥管理的目的是维持系统中各实体之问的密钥关系,以抗击各种可能的威胁,如: (1)密钥的泄露。
(2)密钥或公钥的确证性(Authenticity)的丧失,确证性包括共享或有关一个密钥的实体身份的知识或可证实性。
(3)密钥或公钥未经授权使用,如使用失效的密钥或违例使用密钥。 3.公证系统在密钥管理中的作用
密钥管理系统中常常靠可信赖三方参与的公证系统。公证系统是通信网中实施安全保密的一个重要工具,它不仅可以帮助实现密钥的分配和证实,而且可以作为证书机构、时戳代理、密钥托管代理和公证代理等。
不仅可以断定文件签署时间,而且还可保证文件本身的真实可靠性,使签字者不能否认其在特定时间对文件的签字。在发生纠纷时,可以根据系统提供信息进行仲裁。公证机构还可采用审计追踪技术,对密钥的注册、证书的制作、密钥更新、吊销进行记录审计等。 三、不可否认业务 1.不可否认的基本概念
在数字环境下,要求各种协议、业务(认证、签字、完整性等)和机构对消息或参与者提供不同程度的非否认性。为了保证电子商务系统的安全性,必须提供足够的非否定性,以保证第三方(仲裁者)最终能分辨出是非。
没有认证性和数据完整性就不可能实现不可否认性,但不可否认性还要保护事后能向 第三方出示原有的某实体参与了该通信活动、或某消息确定已递送给某实体的证明。 2.不可否认业务类型 (1)源的不可否认性。 (2)递送的不可否认性。
(3)提交的不可否认性。【多选】数据通信的不可否认业务包括:源的不可否认性、递送的不可否认性、保证的不可否认性和传递的不可否认性。 3.不可否认性的证据机制 (1)业务需求。 (2)证据生成。 (3)证据递送。 (4)证据证实。 (5)证据保存。 4.源的不可否认性机制 (1)源的数字签字。
(2)可信赖第三方的数字签字。
(3)可信赖第三方对消息的杂凑值进行签字。 (4)可信赖第三方的持证。 (5)线内可信赖第三方。 (6)组合。
5.递送的不可否认性机制
(1)收信人签字认可;。 (2)收信人利用持证认可。 (3)可信赖递送代理。 (4)逐级递送报告。 6.可信赖第三方的作用
可信赖第三方在实现不可否认业务中起重要作用,他的公正性、独立性、可靠性和为所有成员所接受是实现安全电子商务的保证。下面介绍有关的几个问题: (1)公钥证书。 (2)身份证实。 (3)时戳。 (4)证据保存。 (5)中介递送。 (6)解决纠纷。 (7)仲裁。 7.解决纠纷的步骤 (1)检索不可否认证据。 (2)向对方出示证据。
(3)向解决纠纷的仲裁人出示证据 (4)裁决。
第十章 电子商务的安全协议
一、SSl协议
1.SSL和S_HTTP的关系
SSL类似于S一HTTP的需求,但其背景和解决方法不同。S一HTTP本质上是问答式交易协议。而SSL是对会话的保护。SSL所提供的安全业务类似于S一HT—TP:有实体认证、完整性、保密性,还可通过数字签名提供不可否认性。 2.SSL协议的概念
SSL是由Netscape开发的协议,l995年发表,目前是3.0/3.1版。SSL可插入到Internet应用协议中,成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层,可用于保护正常运行于TCP上的任何应用协议,如HTTP,FTP,SMTP或Telnet的通信,最常见的是用SSL来保护HTTP的通信。 3.SSL提供保护的内容及特点SSL保证了Internet上浏览器服务务器会话中三大安全中心内容:机密性、完整性和认证性。
(1)SSL把客户机和服务器之间的所有通信都进行加密,保证了机密性。 (2)SSL提供完整性检验,可防止数据在通信过程中被改动。 (3)SSL提供认证性一使用数字证书——用以正确识别对方。 4.SSL协议的体系结构
SSL是由两层协议组成的。SSL协议体系结构如图所示。
HTTP-SSL握手协议ISSl。更改密码规格协议iSSl,警告协议 SSL记录协议 TCP IP
【单选】SSL握手协议包含四个主要步骤,其中第三个步骤是加密解密数据。 二、SET协议
1.使用SET协议的必要性
在1996年提出了具有重大实用价值和深远影响的两个标准协议——安全数据交换协议SET和安全电子支付协议SEPP。这些标准的推出,极大地促进了电子商务领域的发展。基于SET的电子商务系统的出现将从根本上发生改变,使整个电子商务网络化、信息化得.到一次巨大的飞跃。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。由于设计合理,SET协议是得到了IBM,Microsoft等许多大公司的支持,已成为事实上的工业标准。 2.SET协议
SET是一种以信用卡为基础的、在Internet上交易的付款协议,是授权业务信息传输的安全标准,它采用’RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用散列函数算法来鉴别信息的完整性。
【单选】推出SET的两个组织是Visa和MasterCard。 3.SET协议要达到的目标
SET安全协议要达到的目标主要有五个: (1)信息的安全传输。 (2)信息的相互隔离。 (3)多方认证的解决。 (4)交易的实时性。 (5)效仿EDI贸易形式。
【多选】SET要达到的主要目标有信息的安全传输、信息的相互隔离、多方认证的解决、交易的实时性和垫仿EDl贸易形式。 4.SET交易成员及其任务
(1)持卡人——消费者:持信用卡购买商品的人,包括个人消费者和团体消费者,按照网上商店的表单填写,通过由发卡银行发行的信用卡进行付费。
(2)网上商店:在网上的符合SET规格的电子商店,提供商品或服务,它必须是具备相应电子货币使用的条件,从事商业交易的公司组织。
(3)收单银行:通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据,向发卡银行验证无误后,取得信用卡付款授权以供商店清算。
(4)发卡银行——电子货币发行公司或兼有电子货币发行的银行;发行信用卡给持卡人的银行机构。在交易过程前,发卡银行负责查验持卡人的数据,如果查验有效,整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。
(5)认证中心cA——可信赖、公正的组织:接受持卡人、商店、银行以及支付网关的数字认证申请,并管理数字证书的相关事宜,如制订核发准则、发行和注销数字证书等。负责对交易双方的身份确认,对厂商的信誉度和消费者的支付手段和支付能力进行认证。
(6)支付网关——付款转接站:接收由商店端送来的付款信息,并转换到银行网络进行处理的组织。5.SET软件组件的功用SET系统的运作是通过四个软件组件来完成的,包括电子钱包、商店服务器、支付网关和认证中心软件,这四个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中,相互运作来完成整个SET交易服务。 6.SET认证中心的结构
lRCA一BrandCAl1备信用书公司的认证单位l GCA一Geo一politica】CA 【各信(非必须的)手认证单q
GCA一CardHoiderCA|办理持卡数字证书cAl 【认证中心i
MCA—MerchantcAIII'CA—PayentCA办理商店数字证书cAl协理支付睡关数字证书c^认证中心ll认证中心
7.SET协议的安全技术
目前SET的主要安全保障来自以下三个方面: (1)将所有消息文本用双钥密码体制加密。
(2)将上述密钥的公钥和私钥的字长增加到5128~20488。
(3)采用联机动态的授权(Authority)和认证检查(Certificate),以确保交易过程的安全可靠。 上述三个安全保障措施的技术基础如下: (1)通过加密方式确保信息机密性。 (2)通过数字化签名确保数据的完整性。
(3)通过数字化签名和商家认证确保交易各方身份的真实性。 (4)通过特殊的协议和消息形式确保动态交互式系统的可操作性。 8.电子钱包的概念
电子钱包ElectronicWallet(或称E—Wallet),是安装在客户端(消息者)计算机上,并符合SET规格的软件,电子钱包处理客户端的所有SET信息。 【简答】简述电子钱包的功能。
(1)与商店端的SET软件沟通,以激活SET交易。 (2)向商店端查询有关付款与订货的相关信息。 (3)接受来自商店端的相关信息。
(4)向认证中心要求申请数字证书,并下载数字证书的申请表。 (5)从认证中心下载持卡人的数字证书。 (6)与认证中心沟通,查询数字证书目前的状态。 9.电子钱包的运作方式
SET交易中电子钱包的运行过程:假设客户A到一家采用SET交易的网站B上购物,在选取想要的商品,单击“付款”键后,商店端8接收到信息,立即通知A的浏览器让电子钱包“醒过来”,以激活SET
交易服务来与商店服务器沟通,一步一步地完成付款流程。最后再通知持卡人“交易完成”或“交易失败”。三、SSL和SET协议比较表SSL和SET的比较 比较对象 SET SSL
使用目的和场合
主要用于信用卡交易,传送电子现金 主要用于购买信息的交流:传送电子商贸信息 安全性
要求很高:整个交易过程中(持卡人到商家端、商家到支付网关、到银行网络)都要保护 要求很低:因为保护范围只是持卡人到商家一端的信息交换 必须具有认证资格对象
安全需求高,因为所有参与者与SET交易的成员(持卡人、商家、支付网关等)都必须先申请数字证书来识别身份
通常只是商家一端的服务器;而客户端认证是可选的 实施时所需的设置费用
较高:持卡人必须先申请数字证书,然后在计算机上安装符合SET规格的电子钱包软件 较低:不需要另外安装软件 当前使用情况(比率)
由于SET的设置成本较SSl。高许多和引入国内的时间短,目前普及率较低 目前SSL的普及率较高
第十一章 国内CA认证中心及CFCA金融认证服务相关业务规则
一、中国金融认证中心(CFCA) 1.中国金融认证中心
中国金融认证中心(ChinaFinancialCertificationAuthority,CFCA),是由中国人民银行牵头,联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级权威金融认证机构,是国内惟一一家能够全面支持电子商务安全支付业务的
第三方网上专业信任服务机构。
【填空】中国金融认证中心的英文简写为CFCA,它是由中国人民银行牵头,联合多家商业银行共同建立的国家级权威金融认证机构。 2.CFCA体系结构
CFCA认证系统采用国际领先的PKI技术,总体为三层CA结构, 第一层为根CA;
第二层为政策CA,可向不同行业、领域扩展信用范围;
2018年自考电子商务安全导论复习精讲要点
