项目三CA认证与电子商务安全

【能力目标】能选择不同的CA中心申请并下载数字证书。能熟练进行数字证书的导出、导入、查询、备份、删除操作。使用OutlookExpress或Winwebmail软件配置邮件的数字证书。能收发数字签名和加密的电子邮件。【知识目标】掌握数据加密、数字摘要、数字证书等概念。了解CA的特征和主要职能。了解数字证书的功能及应用分类。掌握电子邮件应用数字证书的流程。【素质目标】养成正确的设备使用习惯。培养认真细心的工作态度。培养较强的互联网法律与道德意识。培养良好的团队协作意识。【体验】数字证书的申请与管理甲乙两家企业之间欲进行电子商务活动，若你是其中某家企业的业务员，为了保障电子商务活动的安全，企业要求你熟练掌握当今电子商务中用来建立安全通道的重要工具——数字证书的运用，你首先要掌握数字证书的申请、安装、导出、导入操作。【体验步骤】学生分成两人一组，分别扮演甲乙两家企业的业务员，共同商定向某家认证中心申请证书。如天威诚信的试用证书。同时由于两家要进行网上通信，为了能达到数字签名和加密的目标，应商定申请邮件证书或具有安全邮件功能的企业证书。一、申请“安全电子邮件证书”在申请数字证书前，先选择确定一个合适的电子邮箱，该要求邮箱支持客户端邮件收发功能。1、登录北京天威诚信电子商务服务有限公司网站、）如下图所示2、点击“服务与支持”选择“证书试用”。3、在“证书试用”中选择“”邮件证书“试用，并点击链接进入。4、选择“申请用户证书”。5、填入各项信息。6、输入用户口令：这个唯一的验证口令保护您的证书，避免没有被授权的操作，它不能与其他人共享。谨记不要丢失！在证书下载和注销时需要它。7、选择接受协议并点击“确定”。8、核对邮件地址，正确的话点击“确定”。9、点击“是”安装根证书。10、提示证书申请、下载成功。二、查看所下载的个人证书及根证书信息1、打开IE浏览器，并点击“工具”“Internet选项”。2、继续点击“内容”“证书”。3、单击“个人”选项卡。4、选择相应证书，点击“查看”，了解证书相关信息。5、然后点击“受信任的根目录颁发机构”，滚动查找“intruschinaCNRootca-1”根证书，点击“查看”了解相关信息。三、证书导出及保存提示：为防数字证书丢失，或在多机上安装使用，数字证书必须带私钥导出并保存到安全地点。1、打开IE浏览器，并点击“工具”“Internet选项”。2、点击“内容”“证书”“个人”，“导出”。3、选择“是，导出私钥”。4、点击“下一步”。5、键入密码（此密码用于安装导入时身份验证，必须牢记）。6、确定导出的数字证书存放地点及文件名。7、点击“完成”，完成数字证书导出及保存，保存地点必须安全可靠，以备下次使用。8、重复上述步骤将根证书导出并保存到安全地点。四、证书导入及安装1、如果在某一台计算机中没有安装自己的个人数字证书，则应进行导入安装操作。进入证书查找界面，单击“导入”按钮，出现“证书导入向导”。2、单击“下一步”按钮＞＞单击“浏览”按钮确定带私钥证书保存的路径，找到证书文件打开。3、单击“下一步”按钮＞＞键入保护私钥的密码。4、单击“下一步”按钮＞＞选择证书存储区域。5、单击“下一步”按钮＞＞提示成功地完成证书导入向导，单击“完成”按钮＞＞提示证书导入成功，按“确定”按钮。证书成功导入。【任务一】电子商务交易安全在电子商务广泛应用的同时，安全性越来越受到人们的关注。统计表明，人们对网络交易特别是网络支付的安全顾虑，已经成为阻碍电子商务发展的重要因素。客户、商家、银行等诸多电子商务参与者都会担心自己的利益能否得到真正的保障，只有保证的电子商务的安全交易，才能吸引更多人投身于电子商务，使电子商务更有序快速的发展。本任务要求学生了解国内主要的认证中心，并选择其中一个认证中心为自己申请安装“个人安全电子邮件试用证书”。完成本任务，需要学生掌握数字证书、数据加密、数字签名等相关知识点。【知识点】一、电子商务安全隐患的主要表现1．信息截获和窃取。2．信息篡改。3．信息假冒。4．交易抵赖。二、电子商务交易安全要求一个安全的电子商务交易系统，必须满足如下几个条件。1．信息的保密性2．信息的完整性3．信息的有效性4．信息的不可否认性5．交易者身份的真实性三、数据加密技术数据加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。将一个信息（或称明文）经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文，加密系统结构如图1所示。数据加密技术分为两类，即对称加密和非对称加密。（1）对称加密（私钥加密）。（2）非对称加密(公钥加密)。四、数字签名技术“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种数据安全技术。常见的包括：数字摘要、数字签名和数字时间戳等。1）数字摘要（digitaldigest）也称为安全Hash(散列)编码法（SecureHashAlgorithm,SHA）或MD5，由RonRivest所设计。2）数字签名并非用“手写签名”类型的图形标志，它采用了双重加密的方法，即用SHA加密和RSA加密的方法来实现防伪造、防抵赖。3）数字时间戳（DigitalTimestampService,DTS）服务是网上安全服务项目，由专门的机构提供。数字时间戳服务能提供电子文件发表时间的安全保护，主要是防止交易文件被伪造和篡改。数字摘要的使用过程①对原文使用Hash算法得到信息摘要；②将信息摘要与原文一起发送；③接收方将收到的原文应用单向Hash函数产生一个新的信息摘要；④将新的信息摘要与发送方发来的信息摘要进行比较，若两者相同则表明原文在传输中没有被修改，否则就说明原文被修改过。数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。数字签名和验证的具体步骤如下：⑴报文的发送方从原文中生成一个数字摘要，再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。⑵发送方将数字签名作为附件与原文一起发送给接收方。⑶接收方用发送方的公钥对已收到的加密数字摘要进行解密；⑷接收方对收到的原文用Hash算法得到接收方的数字摘要；⑸将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。数字签名与加密过程密钥对使用差别数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；公开密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司发送密文，但只有该公司才能解密，其他人不能解密；数字时间戳产生的过程①用户首先将需要时间戳的文件用Hash算法加密得到数字摘要；②然后将数字摘要发送到专门提供数字时间戳服务的DTS机构；③DTS机构在原数字摘要上加上收到文件摘要的时间信息，用Hash算法加密得到新的数字摘要；④DTS机构用自己的私钥对新的数字摘要进行加密，产生数字时间戳发还给用户；⑤用户可以将收到的数字时间戳发送给自己的商业伙伴以证明信息的发送时间。（三部分组成：1、需加时间戳的文件摘要；2、DTS收到文件的日期和时间；3、DTS的数字签名。）五、数字证书的概念与内容数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个由权威机构-----CA机构，又称为证书授权(CertificateAuthority)中心发行的，人们可以在交往中用它来识别对方的身份。一个标准的X.509数字证书包含以下一些内容：1。证书的版本信息；2.证书的序列号，每个证书都有一个唯一的证书序列号；3.证书所使用的签名算法；4.证书的发行机构名称，命名规则一般采用X.500格式；5.证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；6.证书所有人的名称，命名规则一般采用X.500格式；7.证书所有人的公开密钥；8.证书发行者对证书的签名六、数字证书的特征与CA中心职能1.信息的保密性。2.交易者身份的确定性。3.不可否认性。4.不可修改性。（二）数字证书的类型数字证书的类型有很多，如有个人证书和机构证书；电子邮件数字证书、时间戳数字证书等。具体详细信息可以查阅：。数字证书认证中心（CertficateAuthority,CA）就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。认证中心主要有以下几种功能：(1)证书的颁发(2)证书的更新(3)证书的查询(4)证书的作废(5)证书的归档（三）国内主要认证中心北京数字证书认证中心：深圳市电子商务认证中心：广东省电子商务认证中心：海南省电子商务认证中心：湖北省电子商务认证中心：上海电子商务安全证书管理中心：中国数字认证网：山西省电子商务安全认证中心：中国金融认证中心：天津电子商务运作中心：天威诚信CA认证中心：【教学活动1】1、通过搜索国内认证机构网站，了解其功能、作用及所提供的业务。2、两人一组，商定在除“天威诚信”以外的其他认证中心为自己申请“个人安全电子邮件试用证书”。【活动实施】1、浏览“中国协卡认证体系”主站点——上海市电子商务安全证书管理中心有限公司。网址：2、浏览“网证通电子认证体系”主网站——广东省电子商务认证中心。网址：3、浏览山西省电子商务安全认证中心有限公司网站。网址：4、浏览海南省电子商务认证中心网站。网址：5、浏览重庆数字证书认证中心网站。网址：6、登录商定的电子商务认证中心网站，根据提示申请数字证书。7、将数字证书安装入计算机中。8、查看证书的有效性。9、将证书带私钥导出保存到安全地点。10、删除前面所安装的数字证书。11、将导出保存的证书导入到计算机中，并查看属性是否正常。【任务二】数字证书配置与使用在前一任务所申请的数字证书的基础上，甲乙双方企业的业务员分别要收发采用数字签名和加密措施的电子邮件，这就要求安装数字证书。因此，若本机上没有安装，应将上个任务中的数字证书导入到本机中，同时收发安全电子邮件应在邮件客户端进行，所以要对邮件客户端进行设置，最常用的是OUTLOOKEXPRESS。在完成