利用PKI和证书服务的优化方法

【任务描述】

（1）安装PKI与证书服务及配置PKI与证书服务。

（2）客户端利用数字证书签名加密邮件。

【任务分析】

了解PKI与证书服务的工作原理，熟悉掌握安装PKI与证书服务及配置PKI与证书服务的方法，具体的知识点如图5-15所示。

图5-15　任务2的具体知识点

【知识准备】

1.什么是PKI

PKI（Public Key Infrastructure）即公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

一个典型的PKI系统包括PKI策略、软/硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用，如图5-16所示。

图5-16　PK I系统的组成

在安全层次中，PKI属于应用安全的层次，如图5-17所示。

图5-17　PK I属于应用安全的层次

PKI的基础技术包括数据加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、E-mail、身份证号等）捆绑在一起，在Internet上验证用户的身份，PKI体系结构把非对称密码和对称密码结合起来，在Internet上实现密钥的自动管理，保证网上数据的机密性和完整性。

2.PKI的各种格式标准

PKI标准可以分为第一代PKI标准和第二代PKI标准。第一代PKI标准主要包括美国RSA公司的公钥加密标准（Public Key Cryptography Standards，PKCS）系列、国际电信联盟的ITU-TX.509、IETF组织的公钥基础设施X.509（Public Key Infrastructure X.509，PKIX）标准系列、无线应用协议（Wireless Application Protocol，WAP）论坛的无线公钥基础设施（Wireless Public Key Infrastructure，WPKI）标准等。第二代PKI标准是在2001年，由微软、VeriSign和WebMethods三家公司发布的XML密钥管理规范（XML Key Management Specification，XKMS）。

1）X.509格式标准

X.509是国际电信联盟-电信（ITU-T）部分标准和国际标准化组织（ISO）的证书格式标准。它定义了公钥证书结构的基本标准，是最流行的PKI格式标准。

2）PKIX格式标准

PKIX是IETF组织的公钥基础设施工作组为互联网上使用的公钥证书定义的一系列标准。由于X.509标准的巨大灵活性使互操作难以实现，PKIX希望通过限制允许的选项来提高PKI系统间的互操作性。

3）PKCS格式标准

PKCS是由RSA实验室与其他安全系统开发商为促进公钥密码的发展而制订的一系列标准。PKCS提供了基本的数据格式定义和算法定义，它们实际是今天所有PKI实现的基础。

3.PKI的典型应用

1）通过PKI获得交易对方的证书和相关信息

PKI的证书是由一个可信的权威机构——认证中心颁发的。用户产生了自己的密钥对后，将公钥及部分个人身份信息传送给一家认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。然后，认证中心将发给用户一个数字证书。数字证书内描述的信息发生变动时，可以申请更新。更新意味着原有数字证书的终止，此外，到期的数字证书也应终止。

2）PKI服务的实现

（1）PKI认证服务的实现。PKI认证服务是使用数字签名来确认身份。其基本过程是向待认证实体出示一项随机质询数据。实体必须用自己的私钥对质询数据签名或者加密。如果质询者能用实体证书中的公钥验证签名或者解密数据，那么实体就被认证了。

PKI向实体提供全面的认证服务必须满足两个要求：第一是实体甲必须能够准确无误地得到其希望通信的实体乙的公钥，这是证书的基本目的；第二是在甲没有乙的证书的情况下，甲必须可以从公共的资料库中查询。通过这种方式，两个陌生人能够建立安全通信。

（2）PKI保密服务的实现。PKI保密服务采用了类似于完整性服务的机制：交易的甲方首先生成一个对称密钥（使用密钥协商协议），使用对称密钥加密数据（使用对称分组密码），然后将加密后的数据发送给对方。

（3）PKI不可否认服务的实现。PKI不可否认服务为当事双方间发生的相互作用提供不可否认的事实。ISO标准为不可否认服务定义了一组详尽的角色以及不可否认服务的类型，包括源不可否认、交付不可否认、提交不可否认和传输不可否认。

PKI不可否认服务的实现主要依赖于时间戳，不可否认服务需要安全时间戳来证明某个特别事件发生在某个特定时间或某个数据在特定日期已经存在。另外，不可否认服务还需要与数据认证服务连接，以“打包”成适合于存储的数据结构。这些服务必须与PKI的核心服务有机结合。

【任务实施】

1.创建PK I与证书服务器

搭建工作组环境下的CA

使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全，证书服务器可提供服务器证书。工作组环境下CA的搭建，即创建PKI与证书服务器和站点。

（1）为CA服务器配置静态IP地址，如192.168.1.11，子网掩码为255.255.255.0。

（2）安装IIS服务（注：支持Web注册需先安装IIS服务，然后再安装证书服务）。选择系统的“控制面板”→“添加或删除程序”选项；单击“添加/删除Windows组件”按钮，打开“Windows组件向导”界面；选择“应用程序服务器”→“详细信息”选项；勾选“应用程序服务器的自组件”→“Internet信息服务（IIS）”及“启用网络COM＋访问”选项，单击“确定”→“下一步”→“完成”按钮，至此IIS服务安装成功。

（3）安装CA服务（即证书服务）。单击“添加/删除Windows组件”按钮，选择“证书服务”选项；单击“下一步”按钮，选择“独立根CA”选项；单击“下一步”按钮，在此CA的“公用名称”文本框中输入一个公用名称；单击“下一步”→“完成”按钮即可。

（4）打开mmc控制台添加“证书服务”。至此，CA服务成功启用，即CA搭建成功。

2.搭建邮件服务器

（1）在Windows Server 2003环境下，安装配置邮件服务器。

①选择“开始”→“管理工具”→“管理您的服务器”选项，打开“管理您的服务器”控制台；

②在控制台中可以看到服务器已经成为的角色，执行“添加或删除角色”命令，开始管理服务器的角色；

③当执行“添加或删除角色”命令时，就会运行配置服务器向导；

④在管理服务器的角色时，可以查看已经安装的服务和支持但没有安装的服务，此时的服务器还不是邮件服务器，选择“邮件服务器（POP3，SMTP）”选项，单击“下一步”按钮；

⑤配置“身份验证方法”及“电子邮件域名”，单击“下一步”按钮；

⑥安装邮件服务POP3和SMTP，最后单击“下一步”→“完成”按钮，安装成功。

（2）搭建邮件服务器。

①Windows Server 2003的邮件服务器的功能简单，单击“管理工具”→“POP3”按钮；

②执行“POP3服务”→“添加邮箱”命令，在弹出的对话框内输入邮箱名（用户名）及密码；

③常用的邮件客户端有Outlook（或Outlook Express）及Foxmail等，以Windows XP的Outlook Express为例：第一次运行Outlook Express时需要添加邮件账户、设置POP3及SMTP协议、设置登录邮箱的账户和密码；最好先创建用户再为用户添加电子邮箱。至此，搭建邮件服务器成功。

3.客户端利用数字证书签名加密邮件

（1）客户机A、B申请证书。打开客户端IE浏览器输入CA服务器的IP地址“http：//192.168.1.11/certsrv”（根据实际情况输入）；选择“电子邮件保护证书”选项，填写用户识别信息并提交。

（2）由证书颁发机构（证书服务器）颁发证书。

（3）客户机A、B下载证书，安装证书，交换证书。

查看挂起的证书申请的状态时选“电子邮件保护证书（2019年9月21日9：20：34）”选项，若显示为“证书已经颁发”，则执行“安装此证书”命令。

（4）客户机A用Outlook Express对发送邮件签名加密。

当账户选择数字证书时，在账户属性里设置数字证书；发送邮件时有两个按钮：签名和加密。客户机B用Outlook Express对接收邮件解密验证。因为加密邮件使用对方的公钥，因此，本机获取不了对方的数字证书信息，即获取不了对方的公钥时，会提示无法获取数字证书、不能加密等。在加密前，先互发签名的邮件，让双方获取对方的数字证书信息。如此，客户端对接收邮件解密验证。

实验结果分析：

成功搭建CA的结果如图5-18所示。

图5-18　成功搭建CA的结果

注意：在安装CA服务器选择自己想设置的CA类型时，如果自己的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA”和“企业从属CA”（在域中的成员可以通过MMC和Web方式申请证书）。要先安装IIS，再安装证书服务器，在IIS服务器中出现“默认的网站”→“certsrv”之后，可以用“浏览”功能看一下能不能用，如果能用，就打开网址“http：//localhost/certsrv/”。

实验五　电子商务安全协议

一、实验目的

了解网上银行业务；了解电子商务网上交易的流程与原理；了解电子商务网上支付需注意的安全问题；了解电子钱包、电子信用卡在网上支付中的功能及使用过程，并思考应如何做好网上支付的安全防范；通过使用SET电子钱包进行网上购物来加深对SET协议的理解。

二、实验内容

（1）了解银行网上业务，分别登录招商银行（www．cmbchina.com）、中国银行（www．boc.cn）、中国工商银行（www．icbc.com.cn）、中国建设银行（www．ccb.com）的网站，了解其开展的网上个人业务和企业业务，特别是招商银行的“一卡通”业务。

（2）了解网络银行如何解决网上支付的安全问题。

（3）登录淘宝网，了解支付宝，并上网查询目前主要的第三方支付平台有哪些、大的网上商城采用的网上支付方式有哪些。

（4）了解手机银行及其支付方式。

（5）了解SET协议与SSL协议产品的应用领域与解决方案。(www.xing528.com)

三、实验软件

Windows操作系统、IE浏览器、个人网上银行专业版等。

四、实验步骤

1.了解银行网上业务

登录招商银行（www．cmbchina.com）、中国银行（www．boc.cn）、中国工商银行（www．icbc.com.cn）、中国建设银（www．ccb.com）行的网站，了解其开展的网上个人业务和企业业务。

（1）通过列表方式，从账务查询、网上支付、转账汇款、自助缴费、信用卡等方面，比较并分析各银行网上个人业务的特点。

（2）通过列表方式，从存贷款、投资理财、票据、贸易融资、外汇理财、资金划转、资金管理等方面分析各银行网上企业业务的特点。

2.浏览各大网络银行的网上支付功能开通的演示

亲自体验，叙述个人网络银行支付模式的流程，并将重要步骤的截图贴在实验报告上。

1）办理招商银行“一卡通”业务

到当地招商银行办理“一卡通”业务，并存入一定金额的存款，体验招商银行网络银行业务。

2）支付卡申请

首先打开招商银行的网站（http：//www．cmbchina.com）。选择大众版登录。

选择开户行所在地并确认，进入登录页面。

在登录页面中输入卡号、查询密码以及系统随机生成的附加码，登录账户。因为是第一次登录，所以需要申请支付卡，选择“支付卡申请”选项，进入“责任条款说明”页面。在新页面种选择接受责任条款，单击“确定”按钮进入申请页面。

在页面中按要求输入各项内容，单击“申请”按钮系统就产生网上支付卡卡号，以后就可以用它进行网上支付。

3）网络银行业务

先进入登录页面。在登录页面输入卡号、查询密码以及系统产生的随机附加码，进入账户。

在个人账户下，可以进行的业务操作包括基本账户信息显示、当天账务查询、历史账务查询、财务分析、定活互转、卡折互转、支付卡转账、银证转账、支付卡号查询、密码修改、挂失等，它显示于屏幕的左方。在此只演示支付卡转账业务。因为有了支付卡号以后，必须向支付卡里“圈钱”，支付卡在线支付的前提条件是卡里有足额的电子货币。选择“支付卡转账”选项，进入转账页面。

这时页面显示两种转账业务：一种是从“一卡通”往支付卡转账；另一种是从支付卡往“一卡通”转账。选择业务类型，并按要求输入相应的选项，单击“转账”按钮即可完成相应的操作。当支付卡里有了一定的电子货币之后，就可以用来在线消费了。

课后练习题（五）

课后习题五答案

一、填空题

1.SSL协议又称为________。在SSL协议中，采用了________和________两种方法进行加密。

2.SET支付系统主要由_______、_______、_______、_______、________、_______6个部分组成。

3.PKI的基础技术包括________、________、________、________、________。

4.SET定义了一个完备的电子支付流程，由________、________、________、________、________5个步骤组成。

二、选择题

1.SSL协议包含的主要子协议是记录协议和（　　）。

A.AH协议和ESP协议

B.AH协议和握手协议

C.警告协议和ESP协议

D.警告协议和握手协议

2.以下关于SSL协议的叙述中，错误的是（　　）。

A.是一种应用层安全协议（介于传输层与应用层之间）

B.为TCP/IP连接提供数据加密

C.为TCP/IP连接提供服务器认证

D.提供数据安全机制

3.SSL协议和SET协议存在的明显差异主要表现在（　　）方面。

A.认证要求

B.部署与应用

C.购物过程风险责任归属

D.技术应用

4.以下关于SET协议特点的描述中，错误的是（　　）。

A.SET协议已经成为目前公认的最成熟的应用层电子支付安全协议

B.SET协议采用数字信封技术保护交易中数据交换的秘密性

C.SET协议通过信用卡实现对消费者、商家的身份认证

D.SET协议通过数字签名保证系统内部交换信息在传输过程中不被篡改与伪造

5.SET协议运行的目标主要有（　　）。

A.保证信息在互联网上安全传输

B.保证电子商务参与者的相互了解

C.提供商品或服务

D.通过支付网关处理消费者和商家之间的交易付款问题

6.SET标准的安全程度很高，它结合了数据加密标准（DES）、RSA算法、SSL协议和安全超文本传输协议（S-HTTP），采用信息摘要技术保证了信息的（　　）。

A.完整性

B.交易双方的身份认证

C.不可否认性

D.真实性

7.SET协议涉及的对象不包括（　　）。

A.消费者

B.在线商店

C.收单银行

D.物流中心

E.认证中心

8.以下关于SET协议的叙述，正确的是（　　）。

A.SET协议是基于传输层的协议

B.SET协议使用RSA算法保证数据的完整性

C.SET协议允许商家看到消费者的账户和密码信息

D.SET协议简单，使用成本较低

三、简答题

1.简述PKI的定义和作用。

2.简要写出SSL协议和SET协议内容，及其在电子商务安全的应用场合。

【注释】

[1]关于SSL协议的组成的更多内容见【任务实施】中的“2.了解SSL协议的组成”。