第三章 电子商务信息安全.ppt

第三章电子商务信息安全 电子商务信息安全要素 1 电子商务信息安全技术 2 数字证书与认证中心 3 信息安全协议 4 3 1电子商务信息安全要素 3 1 1信息的保密性信息的保密性是指信息在传输过程或存储过程中不被他人窃取 3 1电子商务信息安全要素 3 1 2信息的完整性信息的完整性是从信息传输和存储两个方面来看的 在存储时 要防止非法篡改和破坏网站上的信息 在传输过程中 接收端收到的信息与发送的信息完全一样 说明在传输过程中信息没有遭到破坏 3 1电子商务信息安全要素 3 1 3信息的不可否认性信息的不可否认性是指信息的发送方不能否认已发送的信息 接收方不能否认已收到的信息 3 1电子商务信息安全要素 3 1 4交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的 不是假冒的 3 2电子商务信息安全技术 3 2 1信息加密技术加密和解密加密是指将数据进行编码 使它成为一种不可理解的形式 这种不可理解的内容叫做密文 解密是加密的逆过程 即将密文还原成原来可理解的形式 加密和解密过程依靠两个元素 算法和密钥 算法是加密或解密的一步一步的过程 在这个过程中需要一串数字 这个数字就是密钥 3 2电子商务信息安全技术 3 2 1信息加密技术密码系统的构成 3 2电子商务信息安全技术 3 2 1信息加密技术密码系统的构成密码系统的工作过程是 发送方用加密密钥Ke和加密算法E 对明文M加密 得到的密文C 然后传输密文C 接收方用解密密钥Kd 与加密密钥Ke成对 和解密算法D 对密文解密 得到原来的明文M 3 2电子商务信息安全技术 3 2 1信息加密技术密码系统的构成密码系统使用的密码体制 按密钥的形式可以分为两类 通用密钥密码体制和公开密钥密密码体制 3 2电子商务信息安全技术 3 2 1信息加密技术通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的 即发送方和接收方使用同样的密钥 也称之为 传统密码体制 3 2电子商务信息安全技术 3 2 1信息加密技术公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同 只有解密密钥是保密的 称为私人密钥 privatekey 而加密密钥完全公开 称为公共密钥 publickey 该系统也称为 非对称密码体制 3 2电子商务信息安全技术 3 2 2数字摘要和数字签名数字摘要数字摘要 digitaldigest 也称安全Hash 散列 编码法 SHA SecureHashAlgorithm 或MD5 MD StandardsforMessageDigest 3 2电子商务信息安全技术 3 2 2数字摘要和数字签名数字摘要该编码法采用单向Hash函数将需加密的明文 摘要 成一串128bit的密文 这一串密文也称为数字指纹 它有固定的长度 且不同的明文摘要成密文 其结果总是不同的 而同样的明文其摘要必定一致 这样 这串摘要便可成为验证明文是否 真身 的 指纹 了 数字摘要的应用使信息的完整性 不可修改性 得以保证 3 2电子商务信息安全技术 3 2 2数字摘要和数字签名数字签名数字签名能确认以下两点 其一 信息是由签名者发送的 其二 信息自签发后到收到为止未曾作过任何修改 3 2电子商务信息安全技术 3 2 2数字摘要和数字签名数字签名 3 2电子商务信息安全技术 3 2 2数字摘要和数字签名数字签名 发送方用SHA编码加密产生128bit的数字摘要 发送方用自己的私人密钥 PrivateKey 对摘要加密 形成数字签名 将原文和加密的摘要同时传输给对方 接受方用授信方的公共密钥 PublicKey 对摘要解密 同时对收到的信息用SHA编码加密产生又一摘要 将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比 3 3数字证书与认证中心 3 3 1数字证书数字证书原理数字证书 digitalID 又称为数字凭证 数字标识 是一个经证书认证机构 CA 数字签名的包含用户身份信息以及公开密钥信息的电子文件 是用电子手段来证实一个用户的身份和对网络资源访问的权限 是各实体 消费者 商户 企业 银行等 在网上进行信息交流及商务活动的电子身份证 3 3数字证书与认证中心 3 3 1数字证书数字证书的类型个人数字证书企业 服务器 数字证书软件 开发者 数字证书 3 3数字证书与认证中心 3 3 2认证中心基本概念认证中心 CA CertificationAuthority 就是承担网上安全电子交易认证服务 签发数字证书 并能确认用户身份的服务机构 3 3数字证书与认证中心 3 3 2认证中心认证中心的作用证书的颁发证书的更新证书的查询证书的作废证书的归档 3 3数字证书与认证中心 3 3 2认证中心认证分级体系 3 3数字证书与认证中心 3 3 3数字证书的申请和使用目前 在上海市数字证书认证中心 用户可以申请数字证书 3 3数字证书与认证中心 3 3 3数字证书的申请和使用 3 4信息安全协议 3 4 1SSL安全协议SSL SecureSocketsLayer 的中译名叫安全套接层协议 是1994年底由Netscape研制并实现 SSL协议的最基本目标是进行服务器 客户机方式进行通讯的两个应用程序之间保证其通讯内容的保密性和数据的完整性 SSL协议层包括两个协议子层 SSL记录协议与SSL握手协议 3 4信息安全协议 3 4 1SSL安全协议SSL安全协议提供三个方面的保障 认证客户机和服务器的合法性 加密数据以隐藏被传送的数据 维护数据的完整性 3 4信息安全协议 3 4 2SET安全协议SET协议 即 安全电子交易 协议 是为了确保网上交易的安全可靠 由两个国际信用卡集团VISA和MasterCard联合发起制定的