4第四章电子商务信息安全.ppt

第二章电子商务信息安全 4 1电子商务信息安全要素4 2电子商务信息安全技术4 3数字证书与认证中心4 4信息安全协议案例学习 学习目标通过本章的学习 理解电子商务的四个安全问题 掌握数字加密技术 数字信封技术 数字指纹技术 数字签名技术和数字证书技术以及信息安全协议 关键概念加密 数字证书 认证中心 4 1电子商务信息安全要素 1 信息传输的保密性信息的保密性是指信息在传输过程或存储过程中不被他人窃取 因此 信息需要加密以及在必要的节点上设置防火墙 2 信息的完整性信息的完整性是从信息传输和存储两个方面来看的 在存储时 要防止非法篡改和破坏网站上的信息 在传输过程中 接收端收到的信息与发送的信息完全一样 说明在传输过程中信息没有遭到破坏 3 信息的不可否认性信息的不可否认性是指信息的发送方不能否认已发送的信息 接收方不能否认已收到的信息 4 交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的 不是假冒的 网上交易的双方相隔很远 互不了解 要使交易成功 必须互相信任 确认对方是真实的 对商家要考虑客户不是骗子 对客户要考虑商店不是黑店 有信誉 4 2电子商务信息安全技术 4 2 1信息加密技术4 2 2数字摘要和数字签名 4 2 1信息加密技术 1 加密和解密加密是指将数据进行编码 使它成为一种不可理解的形式 这种不可理解的内容叫做密文 解密是加密的逆过程 即将密文还原成原来可理解的形式 加密和解密过程依靠两个元素 缺一不可 这就是算法和密钥 算法是加密或解密的一步一步的过程 在这个过程中需要一串数字 这个数字就是密钥 2 密码系统的构成 密码系统的工作过程是 发送方用加密密钥Ke和加密算法E 对明文M加密 得到的密文C E Ke M 然后传输密文C 接收方用解密密钥Kd 与加密密钥Ke成对 和解密算法D 对密文解密 得到原来的明文M D Kd C 4 2 2数字摘要和数字签名 1 数字摘要数字摘要也称安全Hash 散列 编码法 SHA 或MD5 采用单向Hash函数将需加密的明文 摘要 成一串128bit的密文 即数字指纹 FingerPrint 它有固定的长度 且不同的明文摘要成密文 其结果总是不同的 而同样的明文其摘要必定一致 数字摘要的应用使信息的完整性 不可修改性 得以保证 2 数字签名数字签名 digitalsignature 与书面文件签名有相同之处 可以保证以下两点 其一 信息是由签名者发送的 其二 信息自签发后到收到为止未曾作过任何修改 数字签名可用来防止电子信息因易被修改而有人伪造 或冒用他人名义发送信息 或发出 收到 信件后又加以否认等情况发生 它采用了双重加密的方法 即用SHA加密和RSA加密的方法来实现防伪造 防抵赖 数字签名的操作步骤如下 发送方用SHA编码加密产生128bit的数字摘要 发送方用自己的私人密钥 PrivateKey 对摘要加密 形成数字签名 将原文和加密的摘要同时传输给对方 接受方用授信方的公共密钥 PublicKey 对摘要解密 同时对收到的信息用SHA编码加密产生又一摘要 将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比 若二者一致 则说明传送过程中信息没有被破坏或篡改过 否则不然 3 数字时间戳数字时间戳服务是网上安全服务项目 由专门的机构提供 时间戳是一个经加密后形成的凭证文档 它包括三个部分 一是需加时间戳的文件的摘要 二是DTS收到文件的日期和时间 三是DTS的数字签名 时间戳产生的过程为 用户首先将需要加时间戳的文件用HASH编码加密形成摘要 然后将该摘要发送到DTS DTS在加入了收到文件摘要的日期和时间信息后 再对该文件加密 数字签名 然后送回用户 4 3数字证书与认证中心 4 3 1数字证书4 3 2认证中心4 3 3综合应用4 3 4数字证书的申请和使用操作 4 3 1数字证书 1 数字证书原理数字证书 digitalID 又称为数字凭证 数字标识 是一个经证书认证机构 CA 数字签名的包含用户身份信息以及公开密钥信息的电子文件 是用电子手段来证实一个用户的身份和对网络资源访问的权限 是各实体 消费者 商户 企业 银行等 在网上进行信息交流及商务活动的电子身份证 数字证书采用公开密码密钥体系 即利用一对互相匹配的密钥进行加密 解密 每个用户自己设定一把特定的仅为本人所知的私有密钥 用它进行解密和签名 同时设定一把公共密钥 公钥 并由本人公开 为一组用户所共享 用于加密和验证签名 2 数字证书的类型个人数字证书企业 服务器 数字证书软件 开发者 数字证书 4 3 2认证中心 1 基本概念认证中心 CA CertificationAuthority 就是承担网上安全电子交易认证服务 签发数字证书 并能确认用户身份的服务机构 2 认证中心的作用证书的颁发证书的更新证书的查询证书的作废证书的归档 3 认证分级体系CA证书是通过信任分级体系来验证的 每一种证书与签发它的单位相联系 沿着该信任树直到一个公认可信赖的组织 就可以确定证书的有效性 信任树 根 的公开密钥对所有CA软件来说都是已知的 因而可以按次序地检验每一个证书 4 3 3综合应用 数字摘要 数字签名 数字时间戳 数字证书 认证中心以及信息加密 是安全电子交易常用的6种技术 各种技术常常结合在一起使用 从而构成安全电子交易的体系 信息加密和数字签名的综合处理流程说明如下 1 处理的前提条件 由A用户往B用户发送信息 认证中心CA的公共密钥 A公司和B公司均已掌握 2 A用户获取B用户的公共密钥 A用户从认证中心接收到B用户的数字证书 其中包括 B用户的公共密钥和认证中心的数字签名 A用户使用Hash函数对数字证书作出摘要 数字证书中使用的数字签名同样使用的是Hash函数 A用户用认证中心的公共密钥 对数字证书解密得到摘要 对这个摘要与 中计算出的摘要是否 致进行比较 A用户如果认为上述比较的结果是一致的 则可确认数字证书上的B用户的公共密钥是合法的 3 A用户作出数字签名 A用户用SHA加密方法作出信息文的摘要 此时使用被指定的Hash函数 A用户使用自己的私人密钥对摘要加密 得到的就是A用户的数字签名 4 A用户信息的加密A用户使用某个任意的通用密钥以DES方式对信息的明文加密 得到密文 5 A用户通用密钥的加密 A用户将使用的通用密钥 用B用户的公共密钥以RSA方式加密 A用户把数字签名 密文 以及在 加密的通用密钥发送给B用户 6 B用户获取A用户的公共密钥 B用户从认证中心接收到A用户的数字证书 其中包括 A用户的公共密钥和认证中心的数字签名 B用户使用Hash函数由数字证书作出摘要 数字证书中的数字签名同样使用的是Hash函数 B用户用认证中心的公共密钥 对数字证书解密得到摘要 对这个摘要与 中计算出的摘要是否一致进行比较 B用户如果认为上述比较的结果是一致的 则可确认数字凭证上的A用户的公共密钥是合法的 7 B用户通用密钥的解密B用户用自己的私人密钥以RSA方式对加密的通用密钥解密 8 B用户信息的解密B用户用在 解密的通用密钥 以DES方式对信息的密文解密 得到明文 9 确认数字签名 B用户作出信息文的明文的摘要 此处使用指定的Hash函数 B用户用A用户的公共密钥将数字签名解密 得到摘要 比较在 和 计算出的摘要是不是同样的字符串 如果二者一致 则A用户发送过来的信息是正确的 若不一致 则有两种可能 一是A用户的私人密钥不正确 与公共密钥不配对 二是可能在什么地方信息文被篡改过 4 3 4数字证书的申请和使用操作 略 4 4信息安全协议 4 4 1SSL安全协议4 4 2SET安全协议 4 4 1SSL安全协议 SSL SecureSocketsLayer 的中译名叫安全套接层协议 是1994年底由Netscape研制并实现 除了Netscape外 其他参与SSL协议制定的重要厂商还包括IBM Microsoft及Spyglass 它们都将SSL加入到它们的客户端和服务器的应用方面 SSL协议的最基本目标是进行服务器 客户端方式进行通讯的两个应用程序之间保证其通讯内容的保密性和数据的完整性 SSL协议层包括两个协议子层 SSL记录协议与SSL握手协议 SSL安全协议提供的保障可以归纳为以下三个方面 第一 认证客户和服务器的合法性 第二 加密数据以隐藏被传送的数据 第三 维护数据的完整性 4 4 2SET安全协议 为了确保网上交易的安全可靠 两个国际信用卡集团VISA和MasterCard联合发起了 安全电子交易 SecureElectronicTransaction SET 协议的制定 测试和实施 并于1997年5月发布正式的1 0版本标准 SET安全协议提供的保障可以归纳为以下五个方面 1 保证信息在Internet上安全传输 防止数据被黑客或被内部人员窍取 2 保证电子商务参与者信息的相互隔离 客户的支付信息经过加密或打包后通过商家到达银行 但商家不能看到客户的帐号和密码 银行也不能获得客户的订购信息 3 解决多方认证问题 不仅要对客户的信用卡认证 而且要对在线商店 支付网关 银行进行认证 认证由公正的第三方机构 认证中心完成 4 保证网上交易的实时性 使所有的支付过程都是在线的 5 要求软件遵循相同协议和消息格式 促使不同厂家开发的软件具有兼容性和互操作功能 并且可以运行在不同的硬件和操作系统平台上 SET与SSL相比主要有以下四个方面的优点 SET对商家提供了保护自己的手段 使商家免受欺诈的困扰 使商家的运营成本降低 对消费者而言 SET保证了商家的合法性 并且用户的信用卡号不会被窃取 SET替消费者保守了更多的秘密使其在线购物更加轻松 SET帮助银行和发卡机构以及各种信用卡组织它们将业务扩展到Internet这个广阔的空间中 从而使得信用卡网上支付具有更低的欺骗概率 这使得它比其他支付方式具有更大的竞争力 SET对于参与交易的各方定义了互操作接口 一个系统可以由不同厂商的产品构筑 提供这些功能的前提是 SET要求在银行网络 商家服务器 顾客的PC上安装相应的软件 另外 SET还要求必须向各方发放证书 这也成为阻碍之一 所有这些使得使用SET要比使用SSL昂贵得多 案例学习 互联网 事件 1988年11月2日 罗伯特 莫瑞斯在自己的计算机上 用远程命令将自己编写的蠕虫 Worm 程序送进互联网 莫瑞斯的蠕虫一夜之间攻击了互联网上约6200台VAX系列小型机和Sun工作站 300多个大学 议院和研究中心都发布了关于蠕虫攻击的报告 DCA的一位发言人宣称 蠕虫不仅攻击了Arpanet系统 而