电子商务的安全技术(五)----CA-金融CA-金融概要

1、电子商务的安全技术-数字证书与CA认证主讲：何鑫生邮箱：hxshhy电话：教学目标教学目标:1.2.3.4.了解数字证书的有关基本概念掌握用数字证书进行文件加密和解密掌握用数字签名和验证了解数字时间戳的概念及应用教学内容1 .数字证书及其作用2 .数字证书的工作原理数字证书的加密和解密过程数字签名和验证过程3 .数字时间戳的原理与应用课程引入1:电子商务安全隐患1 .信息的截获或窃取2 .信息的篡改3 .信息的伪造或假冒4 .交易的抵赖课程引入2：对称密码体制TransmittedciphertextPlaintext output1 ken pt ion alKoritliin(revers

2、e of cncnptionalgorithm)Alice信息传输密码传输Bobrransmitted ciphertext信息传输课程引入3：非对称密码体制回一圜n .PlaintextDecryption algorithm(reverse of encryptionMleHirithnHBob/什么是数字证书?1.定义：数字证书就是网络通讯中标志通讯各 方身份信息的一系列数据，其作用类似于现 实生活中的身份证。2.3.数字证书的颁发机构：数字认证中心CA证书的基本构成：包含一个公开密钥、名称以及证书授权中心的数字签名。 密钥的有效时间，发证机关（证书授权中心）的名 称，该证书的序列号等信

3、息。 4 5证书的格式：遵循ITUT X. 509国际标准。一个标准的X. 509数字证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X. 500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它 的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X. 500格式；证书所有人的公开密钥；证书发行者对证书的签名。一一1 4常现详细信息j证书路径证书信息=这4证书的目的如卜二所有发布策略所有应用程序策略旗发给：CA365 Test Root Certificate旗发者：CA3

4、65 Test Root Certificate有效起始日期2001-5-12到2031-5-5I颁发者说明6)1JI 确定6、数字证书的查看:IE工具Internet选项内容一证书二、为什么要使用数字证书?由于I nternet网电子商务系统技术使在网上购物的 顾客能够极其方便轻松地获得商家和企业的信息， 但同时也增加了对某些敏感或有价值的数据被滥用 的风险。（隐私安全）买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和 企业等交易各方都具有绝对的信心。（信息安全）电子商务系统必须保证具有十分可靠的安全保密技术，必须保证网络安全的大要素:即信息传输的保密

5、性数据交换的完整性发送信息的不可否认性交易者身份的确定性。 4发送方对于自己的信息不能抵赖。数字证书的作用：通过运用对称和非 对称密码体制等密码技术建立起一套 严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的 身份；三、数字认证原理1 .数字证书采用公钥体制，即利用一对 互相匹配的密钥进行加密、解密。2 .私钥：每个用户自己设定一把特定的 仅为本人所知的私有密钥（），用它 进行解密和签名;3 .公钥：一把由本人可以公开公共密钥, 为一组用户所共享，用于加密和验证 签名。）（一）加密与解密当发送一份保密文件时，发送

6、方使用接 收方的公钥对数据加密，而接收方则使 用自己的私钥解密。发送方A接收方B加密与解密的传输过程公开婆对文件进行加密传输的实际过程包括四（1）发送方生成一个会话密钥（对称密钥）并用 接收方的公开密钥对会话密钥进行加密，然 后通过网络传输到接收方；（2）发送方对需要传输的文件用会话密钥进行加 密，然后通过网络把加宓后的文件传输到接 收方；（3）接收方用自己的私有密钥进行解密后得到会 话密钥；（4）接收方用会话密钥对文件进行解密得到文件 的明文形式。y加密过程（图示）（二）数字签名与验证1.传统签名：书面文件上签名是确认文件的一种手段，其作用有两点： 第一，因为自己的签名难以否认，从而确 认了

7、文件已签署这一事实；第二，因为签名不易仿冒，从而确定了文 件是真的这一事实。V)任何修改。、数字签名数字签名与书面文件签名有相同之处,采用数字签名，也能确认以下两点:第一，信息是由签名者发送的； 第二，信息自签发后到收到为止未曾作过3、数字签名与验证过程当发送一份签名文件时，发送方使用自 己的私钥签名，而接收方则使用发送方 的公钥验证签名。发送方A接收方BI 74、数字签名和验证的文件传输过程（D发送方首先用哈希函数从原文得到数字签名，然后采用公开密钥体系用发达方的私 有密钥对数字签名进行加密，并把加密后 的数字签名附加在要发送的原文后面;（2）发送一方选择一个秘密密钥对文件进行加 密,并把加

8、密后的文件通过网络传输到接收 方；（3）发送方用接收方的公开密钥对密秘密钥进 行加密,并通过网络把加密后的秘密密钥传 输到接收方；（4）接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文；（5）接收方用秘密密钥对文件进行解密，得到 经过加密的数字签名；（6）接收方用发送方的公开密钥对数字签名进 行解密，得到数字签名的明文；（7）接收方用得到的明文和哈希函数重新计算 数字签名，并与解密后的数字签名进行对比。 如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。数字签名与验证传输过程（图示）(三)数字时间戳技术电子商务的发展过程中，数字签名技术也有技术所发展。的另一种的应用。在电

9、子商务交易文件中,时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防 止文件被伪造和篡改的关键性内容。数字时间戳服务(DTS： digital time stamp service)是网上电子商务安全服务 理目之一，能提供电子文件的日期和时间信 息的安全保护，由专门的机构提供。如果在 签名时加上一个时间标记，即是有数字时间戳（digital time stamp)的数字签3.时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分:需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；DTS的数字签名。4、时间戳产生的过程首先，用户将需要加时间戳的文件用Hash编 码加密形成摘要然后，将该摘要发送到DTS, DTS在加入了收 到文件摘要的日期和