电子商务应用技术.ppt

第三章 第三章3 1数据加密技术 3 1数据加密技术一 加密起源罗马凯撒大帝加密 二 什么是数据加密1 定义在计算机通信中 采用加密技术奖信息隐蔽起来 再讲隐蔽后的信息传输出去 使信息在传输过程中即使被窃取或截获 窃取者也不能了解信息的内容 从而保证信息传输的安全 2 加密系统的组成明文 需要加密的内容密文 加密后不可理解的内容密钥 由数字 字母组成 用它来实现对密文的加密或对密文的解密 相同的明文用不同的密钥加密得到不同的密文 密钥分为加密密钥和解密密钥 密钥的长度是指密钥的位数 加密算法其实就是一种数字函数 用来完成加密和解密运算 例子 明文 abcdefghIjklmno密码 DEFGHIJKLMNOPQR明文为 good密文为 Jrrg算法相同 密钥不同得出的密文也不相同 3 数据加密 解密过程 4 密技术子在电子商务中的作用1 防止用户的数据被读取 避免敏感信息泄露 满足信息保密性的需求2 防止数据被更改 满足信息完整性的需求 三 数据加密的分类 1 对称加密技术对信息的加密和解密都使用相同的密钥 即信息的发送方和接收方用一个密钥去加密和解密数据 对称加密技术的最大优势是加 解密速度快 适合于对大数据量进行加密 但密钥管理困难 最有代表性的是DES算法 例子 明文 a b c d w x y z密文 D E F G Z A B C 即相差4个字符 若明文为student则对应的密文为VWXGHQW 此时密钥为4 由于英文字母中各字母出现的频度早已有人进行过统计 所以根据字母频度表可以很容易对这种代替密码进行破译 2 非对称加密技术 公钥加密技术 传统的对称密钥密码体制 特点是加密密钥等于解密密钥 ke kd 但无法解决密钥分发问题 这是传统密钥密码体制的缺陷 公开密钥密码体制的特点是加密密钥不等于解密密钥 ke kd 并且在计算上不能由加密密钥推出解密密钥 所以将加密密钥公开不会危害解密的安全 也就不需要一条额外的保密通道来传送密钥了 用户的加密密钥与解密密钥不再相同 而且从加密密钥求解密密钥是非常困难的 现在公钥密码体系用的最多是RSA算法 它是以三位发明者 Rivest Shamir Adleman 姓名的第一个字母组合而成的 LenAdleman RonRivest AdiShamir RSA算法的优点是 易于实现 使用灵活 密钥较少 在网络中容易实现密钥管理 便于进行数字签名 从而保证数据的不可抵赖性 缺点是要取得较好的加密效果和强度 必须使用较长的密钥 从而加重系统的负担和减慢系统的吞吐速度 这使得非对称密钥技术不适合对数据量较大的报文进行加密 3 2数据加密技术的运用 一PKI体系1 传统商务和电子商务的身份认证方法身份认证是指电子商务过程中确认交易双方身份的过程 2 PKI技术PKI含义为 公钥基础设施 PKI技术是利用公钥理论和技术 建立的提供信息安全服务的基础设施 PKI基础设施采用证书管理公钥 通过第三方的可信任机构 认证中心 把用户的公钥和用户的其他标志信息捆绑在一起 在因特网上验证用户的身份 二 数字信封技术 数字信封技术首先使用对称密钥加密技术对要发送的数据信息进行加密 然后 利用公开密钥加密算法对对称密钥加密技术中使用的密钥进行加密 数字信封技术是结合了秘密密钥加密技术和公开密钥加密技术优点的一种加密技术 它克服了秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题 使用两个层次的加密来获得公开密钥技术的灵活性和秘密密钥技术的高效性 三 数字摘要技术 数字摘要技术就是单向HASH函数技术 也称作数字指纹 数字摘要技术就是利用单向散列 Hash 函数把任意长度的明文输入映射为固定长度 如128bit 的密文输出 这个固定长度的密文输出就叫做消息摘要 Hash算法的三个特性 1 能处理任意大小的信息 并生成固定长度的消息摘要 2 具有不可预见性 3 具有不可逆性 哈希 Hash 密码学中哈希的几个基本要求输入可为任意长度输出定长函数单向足够小的冲突可能性 Hash 我们的五年计划是 B U 9374392l qHUHW 四 数字证书 1 证书论证中心CACA是采用PKI非对称加密基础架构技术 专门提供网络身份认证服务 负责签发和管理数字证书 且具有权威和公正性的第三方信任机构 他的作用就像现实中颁发证件的公司 如营业执照办理机构 1 CA功能 1 生成和保管符合安全认证协议要求的公共和私有密钥 数字证书及其数字签名 2 对数字证书和数字签名进行验证 3 对数字证书进行管理 重点是证书的撤销管理 同时实施自动管理 4 建立应用接口 特别是支付接口 2 认证中心介绍 2 数字证书 数字ID 数字证书由认证中心 CA 发放 实际上是一个经授权的证书中心签发的计算机文件 该文件包含证书拥有者的信息和公开密钥 在交易支付过程中 参与各方必须利用认证中心签发的数字证书来证明各自的身份 数字证书是用来惟一确认安全电子商务交易双方身份的工具数字证书包含内容 证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的单位颁发数字证书的单位的数字签名 数字证书安全等级 一级证书 用于支付网关证书 行业证书等 二级证书 商家证书 服务器证书等 三级证书 个人证书 四级证书 测试证书或安全级别要求不高的个人用户证书 2 CA的树型验证结构 数字证书 证书的目的 身份信息 公钥由认证中心 CertificateAuthority 发布 拥有者公钥 认证中心标识 Subject 老李 NotBefore 10 18 99NotAfter 10 18 04 Signed Cg6 78 dx SerialNumber 29483756 Subject sPublickey 公钥 SecureEmailClientAuthentication 扩展域 拥有者身份信息 有效期限 Issuer INETCA1 认证中心 CA 的数字证书 证书发布ID号 2 数字证书的内容 数字证书的内部格式遵循X 509标准 X 509是由国际电信联盟 ITU T 制定的数字证书标准 根据这项标准 证书包括申请证书个人的信息和发行证书机构的信息 l证书拥有者的姓名 证书所有人的名称 命名规则一般采用X 500格式 l证书的版本信息 用来与X 509标准的将来版本兼容 l证书的序列号 每个证书都有一个唯一的证书序列号 l证书所使用的签名算法 l颁发者 即证书的发行机构名称 命名规则一般采用X 500格式 l证书的有效期限 现在通用的证书一般采用UTC时间格式 它的计时范围为1950 2049 l证书主题名称 l证书所有人的公开密钥 包括公钥算法 公钥的位字符串表示 只适用于RSA加密体制 l包含额外信息的特别扩展 l证书发行者对证书的签名 标准的X 509数字证书包含内容 3 数字证书的有效性 数字证书才有效条件 证书没有过期 密钥没有修改 用户仍然有权使用这个密钥 证书不在无效证书清单中 1 个人数字证书2 单位证书3 服务器证书4 代码签名证书 数字证书按照使用对象划分 4 数字证书的类型 个人证书 客户证书 个人身份证书个人身份证书是用来表明和验证个人在网络上身份的证书 它确保了网上交易的操作的安全性和可靠性 个人身份证书可以存储在软盘或IC卡中 个人安全电子邮件证书个人安全电子邮件证书可以确保邮件的真实性和保密性 单位证书 单位 客户端 数字证书主要用于单位安全电子事务处理 具体应用如 安全电子邮件传送 网上公文传送 网上签约 网上招标投标 网上办公系统等 服务器证书 服务器证书 站点证书 服务器证书主要用于网站交易服务器的身份识别 使得连接到服务器的用户确信服务器的真实身份 目的是保证客户和服务器之间交易 支付时确保双方身份的真实性 安全性 可信任性等 代码签名证书 又称代码数字证书 代表软件开发者的身份 用于对其开发的软件进行数字签名 证明软件的合法性 软件数字证书使用前 软件数字证书使用前 软件数字证书使用后 五 数字签名 数字签名的含义也称为电子签名 是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 数字签名建立在公钥加密体制基础上 是公钥加密技术的另一类应用 它把公钥加密技术和数字摘要结合起来 形成了实用的数字签名技术 数字签名 Internet 老李 小王 老李和小王使用不同的密钥 老李使用小王的公钥对签名进行核实 小王使用私钥对消息进行签名 私钥 核实 签名 对消息签名 我们亟需定购100套Windows2000 dkso Sc xZ02f bQaur 我们亟需定购100套Windows2000 我们亟需定购100套Windows2000 2 作用 确认当事人的身份 起到了签名或盖章的作用 能够鉴别信息自签发后到收到为止是否被篡改 完善的数字签名技术具备签字方不能抵赖 他人不能伪造 在公证人面前能够验证真伪的能力 用于电子商务安全服务中的源鉴别 完整性服务 不可否认性服务 2 数字签名和验证的过程 数字签名和验证的具体步骤如下 报文的发送方从原文中生成一个数字摘要 再用发送方的私钥对这个数字摘要进行加密来形成发送方的数字签名 发送方将数字签名作为附件与原文一起发送给接收方 接收方用发送方的公钥对已收到的加密数字摘要进行解密 接收方对收到的原文用Hash算法得到接收方的数字摘要 将解密后的发送方数字摘要与接收方数字摘要进行对比 进行判断 数字签名解决了电子商务信息的完整性鉴别和不可否认性 抵赖性 问题 课后思考题 数字签名与加密过程在密钥对使用方面有什么差别 作业邮箱 wansoff 数字签名使用的是发送方的密钥对 是发送方用自己的私钥对摘要进行加密 接收方用发送方的公钥对数字签名解密 是一对多的关系 表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性 密钥加密解密过程使用的是接收方的密钥对 是发送方用接收方的公钥加密 接收方用自己的私钥解密 是多对一的关系 表明任何拥有该公司公钥的人都可以向该公司发送密文 但只有该公司才能解密 其他人不能解密 数字签名与加密过程密钥对使用差别 数字签名与手书签名的区别在于 手书签名是模拟的 且因人而异 数字签名是0和1的数字串 因消息而异 2 数字签名作用 1 因为自己的签名难以否认 从而确定了文件已签署这一事实 2 因为签名不能仿冒 从而确定了文件是真实的这一事实 利用数字签名可以实现以下功能 1 接收方能够证实发送方的真实身份 2 发送方事后不能否认所发送过的信息 3 接收方或非法者不能伪造 篡改信息 六 数字时间戳 在书面合同文件中 日期和签名均是十分重要的防止被伪造和篡改的关键性内容 在电子交易中 时间和签名同等重要 数字时间戳技术是数字签名技术一种变种的应用 是由DTS服务机构提供的电子商务安全服务项目 专门用于证明信息的发送时间 时间戳 time stamp 是一个经加密后形成的凭证文档 它包括三个部分 需加时间戳的文件的摘要 digest DTS收到文件的日期和时间 DTS的数字签名 时间戳产生的过程首先 用户将需要加时间戳的文件用Hash编码加密形成摘要然后 将该摘要发送到DTS DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密 数字签名 然后送回用户 书面签署文件的时间是由签署人自己写上的 而数字时间戳则不然 它是由认证单位DTS来加的 以DTS收到文件的时间为依据 用户首先将需要时间戳的文件用Hash算法加密得到数字摘要 然后将数字摘要发送到专门提供数字时间戳服务的DTS机构 DTS机构在原数字摘要上加上收到文件摘要的时间信息 用