电子商务安全期末报告题目：数字证书安全性研究项目类型报告类实训日期指导教师学院专业名称电子商务组长组员2015年5月一、数字证书的含义以及特点（一）数字证书的含义数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。

数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，它是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。

（二）数字证书的特点1.信息的保密性交易中的商务信息均有保密的要求。

如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。

因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的确定性网上交易的双方很可能素昧平生，相隔千里。

要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。

因此能方便而可靠地确认对方身份是交易的前提。

对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。

对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。

银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。

3.不可否认性由于商情的千变万化，交易一旦达成是不能被否认的。

否则必然会损害一方的利益。

例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。

因此电子交易通信过程的各个环节都必须是不可否认的。

4.不可修改性交易的文件是不可被修改的，如上例所举的订购黄金。

供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。

因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

（三）数字证书的结构与主要信息有那些？X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构，并使用ASN1语法进行编码。

版本号：标识证书的版本（版本1、版本2或是版本3）。

序列号：标识证书的唯一整数，由证书颁发者分配的本证书的唯一标识符。

签名：用于签证书的算法标识，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。

例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。

颁发者：证书颁发者的可识别名（DN）。

有效期：证书有效期的时间段。

本字段由”Not Before”和”Not After”两项组成，它们分别由UTC时间或一般的时间表示（在RFC2459中有详细的时间表示规则）。

主体：证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名。

主体公钥信息：主体的公钥（以及算法标识符）。

颁发者唯一标识符：标识符—证书颁发者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

主体唯一标识符：证书拥有者的唯一标识符，仅在版本2和版本3中有要求，属于可选项。

（四）目前的数字证书有哪些格式cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem) p7b 一般是证书链，里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。

在Security编程中，有几种典型的密码交换信息文件格式:DER-encoded certificate: .cer, .crtPEM-encoded message: .pemPKCS#12 Personal Information Exchange: .pfx, .p12PKCS#10 Certification Request: .p10PKCS#7 cert request response: .p7rPKCS#7 binary message: .p7b.cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。

.pem跟crt/cer的区别是它以Ascii来表示。

pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式p10是证书请求p7r是CA对证书请求的回复，只用于导入p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥。

（五）数字证书颁发的过程二、以网上银行的数字证书为例（一）网上银行存在的安全问题近几年，国内商业银行在网上银行项目发展上有很大的进步，国家也在大力倡导网上银行数字证书的应用，以保障网上银行的安全。

但是网上银行仍然存在一些安全问题，例如假造银行通知、网上“钓鱼”、病毒程序、短信诈骗等。

黑客们利用这些手段，直接窃取用户的账号和密码。

去年的所谓“网银大盗”事件，就是一帮黑客将托洛依木马程序置于某银行网银，窃取了近800万客户的账号及密码，给广大网银用户造成了很大的经济损失。

我们知道，目前我国的网上银行主要有两种形式：一种是“大众版”网上银行，另一种是“专业版”网上银行。

“大众版”网上银行即指简单的“用户名+口令”的登陆方式。

许多网络银行在开通时，为了迅速抢占更多的客户资源，往往过分宣传网银的便利性而推荐采用“用户名+口令”的简单的“大众版”的形式，这种简单的“大众版”网上银行其实存在很多不安全因素，比如客户误登假银行网站；卡号和密码丢失；个人电脑中木马病毒等情况，这些都可能导致他人盗取用户的帐户名和密码从而造成经济上的损失。

实际上目前发生的大部分用户网上银行资金被盗案件正是由于用户使用简单的“大众版”网上银行方式使帐户名和密码被盗造成的。

“专业版”的利用数字证书登陆网上银行的方式是非常安全的，用户如果正确使用数字证书，就可以保证其帐户的安全。

迄今为止，尚未发现一例数字证书机制被攻破的事例。

但是如果用户不能很好的保存数字证书，使数字证书被他人窃取，则很可能导致用户帐户资金被盗的情况发生，比如用户将数字证书存放在硬盘上，这样就有可能被盗，存在风险。

如果用户将数字证书保存在从银行发放的USBKEY中，这样密钥可以不出卡，安全级别最高，可以很好的保证帐户和资金的安全。

（二）正确使用数字证书，保障网上银行的安全虽然数字证书可以有效的保证网上交易的安全，国家也在大力倡导数字证书的应用，到目前为止，全国网银数字证书的发放量仅仅为80万张左右，比起4000万的网银用户数，实在太少了。

目前制约网银数字证书的发放主要有如下几个因素：首先是目前多数人对数字证书不太了解，不知道它在保障网上交易安全上能给我们带来的好处，从而没有尝试这一新生事物；其次，比起“用户名+口令”的“大众版”网上银行，数字证书的使用还很烦琐，要通过“进入网银界面、输入用户名和密码、插入数字证书、询问是否需要签字”等几个步骤，然后，用户要等待十几秒甚至更长的时间，才能完成，这对于已经习惯于使用“用户名+口令”简单方式的用户来说，实在是很罗嗦，也太慢，普通老百姓很难适应它。

因此对于仍然使用“用户名+口令”的“大众版”网上银行的用户来说，要保证网上交易的安全，最主要的是要养成良好的网上银行使用习惯。

具体来说，普通用户在使用网上银行时要注意以下几个方面：1.妥善保管卡号和密码个人要妥善保管卡号和密码，防止将银行卡卡号和密码泄漏，尽量不要用生日和个人其他重要信息设置密码，以防密码被修改。

另外，用户在使用网上银行时，请选择安全的、固定的地点上网，不要在公用的计算机上使用网上银行，以防密码被盗。

2.直接输入银行网址使用网上银行时，请直接在地址栏输入该银行的正确网址或从收藏栏中调出以前收藏的该银行的网址，尽量避免通过搜索的形式登录银行网站，因为这样可能会误登“钓鱼网站”。

3.做好个人电脑的安全措施为电脑安装防火墙程序，防止个人账户信息遭到黑客窃取。

为电脑安装防病毒软件，并经常升级。

及时更新相关软件，下载补丁程序，防止他人利用软件漏洞进入计算机窃取资料。

对于陌生的电子邮件不要打开，直接删除，防止电子邮件欺诈等等。

4.定期查看交易明细，如有异常，及时和银行沟通对网上银行办理的各项业务做好记录，定期查看交易明细，如发现异常交易或账务差错，应及时与银行联系。

另外，银行网站如有重大变故，银行一般会提前公告用户。

用户遇到非正常提示，应立即与银行确认。

万一发现资料被盗，应立即修改相关交易密码或办理银行卡挂失。

普通的用户如果能养成上述良好的网上银行使用习惯，基本上也能保障网上银行的安全，但随着网络上病毒和黑客的泛滥，要更好的保障网上银行的安全，建议大家还是使用数字证书网上银行。

对于使用数字证书网上银行的用户来说，用户在向银行申请开通网上银行时，银行会给用户一个数字证书，数字证书应由用户、银行以外的权威的第三方安全认证机构（CA）发放。

目前国内主要的数字证书是由中国金融认证中心(CFCA)发放的。

据了解，CFCA是金融行业唯一的第三方安全认证机构，当前，除中行和招行外，国内其余全国性商业银行都在使用他们提供的数字证书。

数字证书可以存放在计算机的硬盘、随身软盘、U盘或银行发放的USBKEY中。

对于存放在计算机的硬盘、随身软盘或U盘中的数字证书其实并不安全，病毒或黑客可以通过复制，从而从这些存储器中盗取用户的数字证书，并冒充用户进行网上交易，造成用户资金的损失。

为了更好的保证网上银行的安全，我们建议用户使用USBKEY来保存数字证书，USBKEY 是一个类似于U盘的的存储设备，里面存储了用户个人的认证信息，即数字证书。

由于USBKEY中存储的信息具有不可复制性，因此，用户只要保存好USBKEY，就能保证网上银行的安全。

这意味着，就算被别人知道了用户的卡号和密码，没有数字证书确认，任何网上交易都不可能成功，当然别人也就不可能通过网上银行盗用用户卡里的钱。

因此，我们建议各位用户在申请开通网上银行时，最好选用由USBKEY保存数字证书，这样，只要用户保存好数字证书，就可以保证网上银行的安全三、数字证书的相关操作（一）安装数字证书鼠标双击刚下载的证书，出现“证书”对话框，展开对话框左侧的证书列表（见下图）：我们下载的根证书包含两个证书。

分别双击“SHECA”和“UCA ROOT”证书，在出现的“证书”对话框中选择“安装证书”，然后使用默认设置进行安装即可。