数字证书安全性研究电子商务安全实验报告浙江财经大学.docx

数字证书安全性研究电子商务安全实验报告浙江财经大学.docx

《数字证书安全性研究电子商务安全实验报告浙江财经大学.docx》由会员分享，可在线阅读，更多相关《数字证书安全性研究电子商务安全实验报告浙江财经大学.docx（12页珍藏版）》请在冰豆网上搜索。

数字证书安全性研究电子商务安全实验报告浙江财经大学

电子商务安全期末报告

题目：

数字证书安全性研究

项目类型报告类

实训日期

指导教师

学院

专业名称电子商务

组长

组员

2015年5月

一、数字证书的含义以及特点

（一）数字证书的含义

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。

数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，它是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。

（二）数字证书的特点

1.信息的保密性

交易中的商务信息均有保密的要求。

如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。

因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。

要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。

因此能方便而可靠地确认对方身份是交易的前提。

对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。

对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。

银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。

3.不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。

否则必然会损害一方的利益。

例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。

因此电子交易通信过程的各个环节都必须是不可否认的。

4.不可修改性

交易的文件是不可被修改的，如上例所举的订购黄金。

供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。

因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

（三）数字证书的结构与主要信息有那些？

X.509证书的结构是用ASN1（AbstractSyntaxNotationOne）进行描述数据结构，并使用ASN1语法进行编码。

版本号：

标识证书的版本（版本1、版本2或是版本3）。

序列号：

标识证书的唯一整数，由证书颁发者分配的本证书的唯一标识符。

签名：

用于签证书的算法标识，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。

例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。

颁发者：

证书颁发者的可识别名（DN）。

有效期：

证书有效期的时间段。

本字段由”NotBefore”和”NotAfter”两项组成，它们分别由UTC时间或一般的时间表示（在RFC2459中有详细的时间表示规则）。

主体：

证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名。

主体公钥信息：

主体的公钥（以及算法标识符）。

颁发者唯一标识符：

标识符—证书颁发者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

主体唯一标识符：

证书拥有者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

（四）目前的数字证书有哪些格式

cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码（也就是.pem）p7b一般是证书链，里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。

在Security编程中，有几种典型的密码交换信息文件格式:

　　DER-encodedcertificate:

.cer,.crt

　　PEM-encodedmessage:

.pem

　　PKCS#12PersonalInformationExchange:

.pfx,.p12

　　PKCS#10CertificationRequest:

.p10

　　PKCS#7certrequestresponse:

.p7r

　　PKCS#7binarymessage:

.p7b

　　.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。

　　.pem跟crt/cer的区别是它以Ascii来表示。

　　pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式

　　p10是证书请求

　　p7r是CA对证书请求的回复，只用于导入

　　p7b以树状展示证书链（certificatechain），同时也支持单个证书，不含私钥。

（五）数字证书颁发的过程

二、以网上银行的数字证书为例

（一）网上银行存在的安全问题

近几年，国内商业银行在网上银行项目发展上有很大的进步，国家也在大力倡导网上银行数字证书的应用，以保障网上银行的安全。

但是网上银行仍然存在一些安全问题，例如假造银行通知、网上“钓鱼”、病毒程序、短信诈骗等。

黑客们利用这些手段，直接窃取用户的账号和密码。

去年的所谓“网银大盗”事件，就是一帮黑客将托洛依木马程序置于某银行网银，窃取了近800万客户的账号及密码，给广大网银用户造成了很大的经济损失。

我们知道，目前我国的网上银行主要有两种形式：

一种是“大众版”网上银行，另一种是“专业版”网上银行。

“大众版”网上银行即指简单的“用户名+口令”的登陆方式。

许多网络银行在开通时，为了迅速抢占更多的客户资源，往往过分宣传网银的便利性而推荐采用“用户名+口令”的简单的“大众版”的形式，这种简单的“大众版”网上银行其实存在很多不安全因素，比如客户误登假银行网站；卡号和密码丢失；个人电脑中木马病毒等情况，这些都可能导致他人盗取用户的帐户名和密码从而造成经济上的损失。

实际上目前发生的大部分用户网上银行资金被盗案件正是由于用户使用简单的“大众版”网上银行方式使帐户名和密码被盗造成的。

“专业版”的利用数字证书登陆网上银行的方式是非常安全的，用户如果正确使用数字证书，就可以保证其帐户的安全。

迄今为止，尚未发现一例数字证书机制被攻破的事例。

但是如果用户不能很好的保存数字证书，使数字证书被他人窃取，则很可能导致用户帐户资金被盗的情况发生，比如用户将数字证书存放在硬盘上，这样就有可能被盗，存在风险。

如果用户将数字证书保存在从银行发放的USBKEY中，这样密钥可以不出卡，安全级别最高，可以很好的保证帐户和资金的安全。

（二）正确使用数字证书，保障网上银行的安全

虽然数字证书可以有效的保证网上交易的安全，国家也在大力倡导数字证书的应用，到目前为止，全国网银数字证书的发放量仅仅为80万张左右，比起4000万的网银用户数，实在太少了。

目前制约网银数字证书的发放主要有如下几个因素：

首先是目前多数人对数字证书不太了解，不知道它在保障网上交易安全上能给我们带来的好处，从而没有尝试这一新生事物；其次，比起“用户名+口令”的“大众版”网上银行，数字证书的使用还很烦琐，要通过“进入网银界面、输入用户名和密码、插入数字证书、询问是否需要签字”等几个步骤，然后，用户要等待十几秒甚至更长的时间，才能完成，这对于已经习惯于使用“用户名+口令”简单方式的用户来说，实在是很罗嗦，也太慢，普通老百姓很难适应它。

因此对于仍然使用“用户名+口令”的“大众版”网上银行的用户来说，要保证网上交易的安全，最主要的是要养成良好的网上银行使用习惯。

具体来说，普通用户在使用网上银行时要注意以下几个方面：

1.妥善保管卡号和密码

个人要妥善保管卡号和密码，防止将银行卡卡号和密码泄漏，尽量不要用生日和个人其他重要信息设置密码，以防密码被修改。

另外，用户在使用网上银行时，请选择安全的、固定的地点上网，不要在公用的计算机上使用网上银行，以防密码被盗。

2.直接输入银行网址

使用网上银行时，请直接在地址栏输入该银行的正确网址或从收藏栏中调出以前收藏的该银行的网址，尽量避免通过搜索的形式登录银行网站，因为这样可能会误登“钓鱼网站”。

3.做好个人电脑的安全措施

为电脑安装防火墙程序，防止个人账户信息遭到黑客窃取。

为电脑安装防病毒软件，并经常升级。

及时更新相关软件，下载补丁程序，防止他人利用软件漏洞进入计算机窃取资料。

对于陌生的电子邮件不要打开，直接删除，防止电子邮件欺诈等等。

4.定期查看交易明细，如有异常，及时和银行沟通

对网上银行办理的各项业务做好记录，定期查看交易明细，如发现异常交易或账务差错，应及时与银行联系。

另外，银行网站如有重大变故，银行一般会提前公告用户。

用户遇到非正常提示，应立即与银行确认。

万一发现资料被盗，应立即修改相关交易密码或办理银行卡挂失。

普通的用户如果能养成上述良好的网上银行使用习惯，基本上也能保障网上银行的安全，但随着网络上病毒和黑客的泛滥，要更好的保障网上银行的安全，建议大家还是使用数字证书网上银行。

对于使用数字证书网上银行的用户来说，用户在向银行申请开通网上银行时，银行会给用户一个数字证书，数字证书应由用户、银行以外的权威的第三方安全认证机构（CA）发放。

目前国内主要的数字证书是由中国金融认证中心（CFCA）发放的。

据了解，CFCA是金融行业唯一的第三方安全认证机构，当前，除中行和招行外，国内其余全国性商业银行都在使用他们提供的数字证书。

数字证书可以存放在计算机的硬盘、随身软盘、U盘或银行发放的USBKEY中。

对于存放在计算机的硬盘、随身软盘或U盘中的数字证书其实并不安全，病毒或黑客可以通过复制，从而从这些存储器中盗取用户的数字证书，并冒充用户进行网上交易，造成用户资金的损失。

为了更好的保证网上银行的安全，我们建议用户使用USBKEY来保存数字证书，USBKEY是一个类似于U盘的的存储设备，里面存储了用户个人的认证信息，即数字证书。

由于USBKEY中存储的信息具有不可复制性，因此，用户只要保存好USBKEY，就能保证网上银行的安全。

这意味着，就算被别人知道了用户的卡号和密码，没有数字证书确认，任何网上交易都不可能成功，当然别人也就不可能通过网上银行盗用用户卡里的钱。

因此，我们建议各位用户在申请开通网上银行时，最好选用由USBKEY保存数字证书，这样，只要用户保存好数字证书，就可以保证网上银行的安全

三、数字证书的相关操作

（一）安装数字证书

鼠标双击刚下载的证书，出现“证书”对话框，展开对话框左侧的证书列表（见下图）：

我们下载的根证书包含两个证书。

分别双击“SHECA”和“UCAROOT”证书，在出现的“证书”对话框中选择“安装证书”，然后使用默认设置进行安装即可。

其中“UCAROOT”为根证书，“SHECA”为中级颁发机构的证书。

安装后请到IE的证书中查找到相应证书的安装位置和证书的相关信息。

（二）查看数字证书

1.证书在电脑中的安装位置：

IE游览器属性的内容选项卡“证书栏目”中。

见如下图：

2.已经安装的证书类别和证书查询：

点击上图中的“证书”按钮或者“发行商”按钮，即可打开证书对话框，见下图：

从上图可以看出IE把证书归为个人、其他人、中级证书办法机构、受信任的根证书颁发机构、受信任的发行者、未受信任的发行者6个证书存储容器，用以分类存储数字证书。

（3）证书结构认识。

在上图中任意选择一证书后双击，在打开的如下图的证书信息窗口中查看证书的信息，包括证书的详细信息和安装路径：

（三）导出数字证书

证书的导出。

由于因计算机故障等因素，需要重新安装系统，系统安装后原先系统中的信息就不存在了。

因此安装前要进行证书的导出和保存，否则又要重新申请等，比较麻烦和费钱。

导出证书的步骤如下：

打开IE游览器属性，在证书中找到需要导出的证书“UCAROOT”，然后选择界面中的“导出”按钮，根据向导进行导出。

导出的证书名称为“UCAROOT”，导出到桌面上。

同样导出名为“SHECA”的证书到桌面上。

导出后可将证书存储到磁盘或者U盘等存储器中，以备后用。

（四）安装数字证书

证书的删除：

对于已经过期的则可以通过证书界面的删除按钮进行。

（五）如何检测数字证书？

1．如何检验假证书？

公共密钥基础设施在设计时考虑了多个安全功能，这些功能让终端实体来决定自己的信任。

这个系统中，如果证书被感染，证书颁发机构（CA）发布的数字证书会被撤销，或证书颁发机构可能被吊销发放证书的资格。

CA证书被捆绑在Web浏览器来支持新的SSL协议。

虽然这种做法将系统设置为在默认情况下信任CA，最大的问题是任何CA都可以发布任何名称的证书。

企业可以在安装软件之前，检查已签名软件的证书吊销情况，从而检测出看似真实的证书是否为假证书。

企业还可以检查通过HTTP下载的每个文件，看看文件是否由已吊销证书签名，然而可以阻止下载。

另外，企业可以检查本地系统的每个文件以确定文件是否由已吊销证书签名，如果发现由已吊销证书签名的文件，应该调查该文件所在系统。

2．如何识别数字证书的攻击？

银行早期推出的数字证书是一种虚拟的数字证书，由用户下载并安装在IE浏览器中，这种软证书虽具备了PKI（公开密钥体系）加密的特性，但不强制用户设置证书使用口令，其他人登录同一台电脑就能直接使用，软证书的私钥可以导出，从而给木马程序以可乘之机，很多新的病毒木马可以偷走证书文件，这样一来用户账户信息就得不到有效的保障。

四、数字证书与令牌认证比较分析

（一）适用范围方面

1.数字证书

用户、系统之间认证，支持双方认证，用户、系统都能够验证对方的身份；用户、用户之间认证，基于可信的数字证书，用户可以认证相互之间的身份；系统、系统之间认证，网络应用系统之间可以采用数字证书进行系统之间的认证；支持数据保密，可以采用数字证书对传输数据进行加密保护；支持基于数字证书的交易签名，符合电子签名法要求，可作为有效法律证据。

2.令牌认证

系统对用户进行认证；适用于主机、设备、网站等认证登录用户的身份。

（二）可靠性方面

数字证书认证包括两个过程，证书发放和证书登录，证书发放过程通过CA系统完成，证书登录过程主要通过业务系统完成。

在CA系统瘫痪时，业务系统仍然可以继续采用数字证书进行登录。

此时最大的问题是无法为新的用户签发证书，不能及时吊销现有的证书。

相对于业务系统不能登录而言，这些问题并不算太严重2.令牌认证

令牌认证过程包括两个部分：

客户端产生动态口令和后台验证该动态口令。

后台对动态口令验证是通过独立的系统完成的，该系统服务暂停时，将导致整个业务系统不能登录

（三）易用性方面

1.数字证书

首次使用存在一定难度，习惯后难度降低。

主要包括设备驱动软件安装，接受新的登录方式等。

在硬件证书丢失后，可以签发临时的软件证书应急使用。

2.令牌认证

简单易用，登录失败率低。

令牌遗失后，需要获取新的令牌，没有灵活的临时方案。

（四）标准化程度

1.数字证书

技术成熟，国家标准、国际标准、行业标准完备，软硬件技术一致性很高，具有很高的兼容性，大部分软、硬件可以通用。

2.令牌认证

所采用的技术成熟，具有行业标准，对动态口令产生算法提供指导。

各厂家的软、硬件技术差异较大，部分厂家技术保密，各厂家之间软硬件集成难度较大，应用中一般采用特定某一厂家的产品。

（五）管理和维护难度

1.数字证书

在管理、维护方面的功能较丰富，方便运营维护的使用。

客户端需要安装PKI/CA相关的软、硬件，对最终用户的技术支持会稍多些。

2.令牌认证

设备丢失后，恢复麻烦，需要一定的时间。

数字证书认证由第三方CA认证中心颁发证书，可保证公钥的正确性，采用非对称算法，算法强度高；目前来说应该是最安全、稳定的认证方式，一定程度还具有一定的抗抵赖性；但是采用此种认证方式的客户端需要安装驱动程序，管理、部署和维护复杂；在许多特殊场景下无法使用，终端容易受到黑客攻击。

令牌认证核心在于算法，其使用相对比较灵活，无需记忆密码，采用双因素认证机制可起到双保险的作用，简单易行；是身份认证机制新的发展方向，它提供了比传统静态口令更高的安全性，是适应当前信息安全发展特点的一项重要的身份认证技术，在政府办公、银行业、证券业、大型企业等有着良好的应用前景。

小组成员分工比例：

张景阳50%，薛蓉50%

期望的成绩：

良好

原因：

1.小组成员都很认真的对数字证书的相关方面进行了探究，除了灵活应用课堂上所学的知识之外，也有将自己的看法写入到报告中，很认真的完成这次的报告；

2.报告的内容都是小组成员查找相关刊物和搜索得出的结论，相对科学，也花费了大量的时间，很认真的对待这次报告；

3.相比较其他小组有代码和作品，我们可能在这方面有所劣势，所以距离优秀还有一定距离