电子商务应用技术.ppt

第三章 第三章3. 1数据加密技术 3.1 数据加密技术 一、加密起源 罗马凯撒大帝加密 二、什么是数据加密 1）定义 在计算机通信中，采用加密技术奖 信息隐蔽起来，再讲隐蔽后的信息传输出 去，使信息在传输过程中即使被窃取或截 获，窃取者也不能了解信息的内容，从而 保证信息传输的安全。 2）加密系统的组成 明文：需要加密的内容 密文：加密后不可理解的内容 密钥：由数字，字母组成，用它来实现对密 文的加密或对密文的解密。相同的明文用不同 的密钥加密得到不同的密文。密钥分为加密密 钥和解密密钥。密钥的长度是指密钥的位数。 加密算法其实就是一种数字函数，用来 完成加密和解密运算。 例子： 明文：a b c d e f g h I j k l m n o 密码：D E F G H I J K L M N O P Q R 明文为：good 密文为：Jrrg 算法相同，密钥不同得出的密文也不 相同 3、数据加密、解密过程 4、密技术子在电子商务中的作用 1）防止用户的数据被读取，避免敏感 信息泄露，满足信息保密性的需求 2）防止数据被更改，满足信息完整性 的需求 三、数据加密的分类 1）对称加密技术 对信息的加密和解密都使用相同的密钥 。即信息的发送方和接收方用一个密钥去加 密和解密数据。 对称加密技术的最大优势是加/解密速度 快，适合于对大数据量进行加密，但密钥管 理困难。 最有代表性的是DES算法 例子： 明文：a，b，c，d，w，x， y，z 密文：D，E，F，G，Z，A ，B，C （即相差4个字符） 若明文为student则对应的密文为 VWXGHQW（此时密钥为4）。 由于英文字母中各字母出现的频 度早已有人进行过统计，所以根据字母频 度表可以很容易对这种代替密码进行破译 。 2）非对称加密技术（公钥加密技术 ） 传统的对称密钥密码体制，特点是加密密钥 等于解密密钥（ke=kd），但无法解决密钥分发 问题，这是传统密钥密码体制的缺陷。 公开密钥密码体制的特点是加密密钥不 等于解密密钥（kekd），并且在计算上不能由 加密密钥推出解密密钥，所以将加密密钥公开 不会危害解密的安全，也就不需要一条额外的 保密通道来传送密钥了。 用户的加密密钥与解密密钥不再相同， 而且从加密密钥求解密密钥是非常困难的。 现在公钥密码体系用的最多是RSA算 法，它是以三位发明者（R Rivest、 S Shamir、A Adleman）姓名的第一个字母 组合而成的。 Len A A dlemanRon R R ivestAdi S S hamir RSA算法的优点是：易于实现，使用 灵活，密钥较少，在网络中容易实现密钥 管理，便于进行数字签名，从而保证数据 的不可抵赖性； 缺点是要取得较好的加密效果和强度 ，必须使用较长的密钥，从而加重系统的 负担和减慢系统的吞吐速度，这使得非对 称密钥技术不适合对数据量较大的报文进 行加密。 3.2数据加密技术的运用 一PKI体系 1、传统商务和电子商务的身份认证方 法 身份认证是指电子商务过程中确认交 易双方身份的过程。 传统商务电子商务 为了不让他人看到内容， 需要信封 数字信封 合同中内容不允许修改信息摘要 需要查看个人身份证或工 作证，单位的营业执 照 等以确认对方身份 数字证书 需要签上自己的名字数字签名 需要签上日期、时间时间戳 需要盖上印章或手印电子印章 2、PKI技术 PKI 含义为“公钥基础设施”，PKI技术 是利用公钥理论和技术，建立的提供信息 安全服务的基础设施，PKI基础设施采用 证书管理公钥，通过第三方的可信任机构 认证中心，把用户的公钥和用户的其他 标志信息捆绑在一起，在因特网上验证用 户的身份。 二、数字信封技术 数字信封技术首先使用对称密钥加密 技术 对要发送的数据信息进行加密，然后 ，利 用公开密钥加密算法对对称密钥加密 技术 中使用的密钥进行加密。 数字信封技术是结合了秘密密钥加密 技术和公开密钥加密技术优点的一种加密 技术，它克服了秘密密钥加密中秘密密钥 分发困难和公开密钥加密中加密时间长的 问题，使用两个层次的加密来获得公开密 钥技术的灵活性和秘密密钥技术的高效性 。 三、数字摘要技术 数字摘要技术就是单向HASH函数技术，也 称作数字指纹。数字摘要技术就是利用单向散 列（Hash）函数把任意长度的明文输入映射为 固定长度（如128 bit）的密文输出，这个固定 长度的密文输出就叫做消息摘要。 Hash算法的三个特性： 1.能处理任意大小的信息，并生成固定长度 的消息摘要。 2.具有不可预见性。 3.具有不可逆性。 哈希（哈希（Hash)Hash) 密码学中哈希的几个基本要求密码学中哈希的几个基本要求 输入可为任意长度输入可为任意长度 输出定长输出定长 函数单向函数单向 足够小的冲突可能性足够小的冲突可能性 HashHash “ “我们的五年计划是我们的五年计划是” “B*U9374392l;qHUHW”“B*U9374392l;qHUHW” 四、数字证书 1、证书论证中心CA CA是采用PKI非对称加密基础架构技术，专门提 供网络身份认证服务，负责签发和管理数字证书，且具 有权威和公正性的第三方信任机构，他的作用就像现实 中颁发证件的公司，如营业执照办理机构。 1）CA功能 （1）生成和保管符合安全认证协议要求的公共和 私有密钥、数字证书及其数字签名。 （2）对数字证书和数字签名进行验证 （3）对数字证书进行管理，重点是证书的撤销管 理，同时实施自动管理 （4）建立应用接口，特别是支付接口。 2）认证中心介绍 2、数字证书（数字ID） 数字证书由认证中心（CA）发放，实际上是一个经授权的证 书中心签发的计算机文件，该文件包含证书拥有者的信息和公开密 钥。 在交易支付过程中，参与各方必须利用认证中心签发的数字 证书来证明各自的身份。 数字证书是用来惟一确认安全电子商务交易双方身份的工具 数字证书包含内容： 证书的版本号 数字证书的序列号 证书拥有者的姓名 证书拥有者的公开密钥 公开密钥的有效期 签名算法 颁发数字证书的单位 颁发数字证书的单位的数字签名 数字证书安全等级： 一级证书：用于支付网关证书、行业证 书等。 二级证书：商家证书、服务器证书等。 三级证书：个人证书。 四级证书：测试证书或安全级别要求不 高的个人用户证书。 2.CA的树型验证结构 数字证书数字证书 n n 证书的目的，身份信息，公钥证书的目的，身份信息，公钥 由认证中心由认证中心( (C Certificate ertificate A Authority)uthority)发布发布 拥有者公钥拥有者公钥 认证中心标识认证中心标识 Subject: 老李 Not Before: 10/18/99 Not After: 10/18/04 Signed: Cg6数字 签名是 0和1的数字串，因消息而异。 2、数字签名作用： （1）因为自己的签名难以否认，从而 确定了文件已签署这一事实； （2）因为签名不能仿冒，从而确定了 文件是真实的这一事实。 利用数字签名可以实现以下功能： （1）接收方能够证实发送方的真实身 份。 （2）发送方事后不能否认所发送过的 信息。 （3）接收方或非法者不能伪造、篡改 信息。 六、数字时间戳 在书面合同文件中，日期和签名均是 十分重要的防止被伪造和篡改的关键性内 容。 在电子交易中，时间和签名同等重要 。数字时间戳技术是数字签名技术一种变 种的应用，是由DTS服务机构提供的电子 商务安全服务项目，专门用于证明信息的 发送时间。 时间戳（time-stamp）是一个经加密 后形成的凭证文档，它包括三个部分： 需加时间戳的文件的摘要（digest）； DTS收到文件的日期和时间； DTS的数字签名。 、时间戳产生的过程 首先，用户将需要加时间戳的文件用Hash 编码加密形成摘要 然后，将该摘要发送到DTS，DTS在加入了 收到文件摘要的日期和时间信息后再对该文件 加密（数字签名），然后送回用户。 书面签署文件的时间是由签 署人自己写上的，而数字时间戳则不然，它是 由认证单位DTS来加的，以DTS收到文件的时 间为依据。 用户首先将需要时间戳的文件用Hash算 法加密得到数字摘要； 然后将数字摘要发送到专门提供数字时 间戳服务的DTS机构； DTS机构在原数字摘要上加上收到文件 摘要的时间信息，用Hash算法加密得到新 的数字摘要； DTS机构用自己的私钥对新的数字摘要 进行加密，产生数字时间戳发还给用户； 用户可以将收到的数字时间戳发送