电子商务第10章电子商务安全

1、电子商务教程第十章第十章 电子商务安全电子商务安全电子商务教程内容 电子商务系统安全的概念 电子商务系统的安全需求 电子商务系统安全基础理论与技术 电子商务系统安全应用技术与安全协议2电子商务教程 电子商务系统的硬件安全 软件安全 运行安全 电子商务安全立法电子商务系统安全的概念3电子商务教程 信息的保密性 信息的完整性 信息的不可否认性 交易者身份的真实性 系统的可靠性电子商务系统的安全需求4电子商务教程 加密技术-保证交易信息的机密性 单钥、公钥 认证技术-保证交易信息的真实性和完整性 散列技术 身份认证、数字签名技术 CA认证 时间戳电子商务安全基础理论与技术5电子商务教程#includ

2、e 6加密和解密的概念 将明文转换为密文的过程或相反 例-凯撒密码学 ABCDEF.CDEFGH.， How do you do?-jqyfqaqwfq 组成 算法：将明文转换为密文的数学方法，公开、可数 密钥：算法中的参数，具有确定bit长度的数字单元 密钥越长越难破译电子商务教程#include 7单钥/对称密钥 原 信 息 加密算法 Hi: How are you XX XX 密 文 Internet 发 送 端 XX XX 解密算法 Hi: How are you 密 文 原 信 息 接 收 端 对 称 密 钥 加 密 解 密 过 程 K1 K1 电子商务教程 加解密用同一个密钥 加解

3、密效率高 在网络上存在的问题 双方如何传递这把密钥 如果企业有N个交易伙伴，“看好”N个密钥单钥/对称密钥8电子商务教程 1976,W.Diffie M. Hellman 1978, MIT的三位数学家 R.L.Rivest、 A.Shamir和 L. Adliman提出了RSA体制PKI/非对称/双钥9电子商务教程10PKI/非对称/双钥 特点 一对密钥是同时产生 加密密钥与解密密钥不同，加密用一个，解密用另一个 一个公开-公钥，一个保密-私钥 非对称性：由公钥推导出私钥计算上不可行 优点 适合密钥分发 用途广泛：数字签名、鉴别等 缺点 计算量大，不适合信息量大、速度要求快的加密电子商务教程

4、11PKI/非对称/双钥加密示意图原 信 息加 密 Hi: Howare you XXXX密 文Internet发 送 端 XXXX解 密 Hi: Howare you密 文原 信 息接 收 端 非 对 称 密 钥 /PKI加 密 解 密 过 程接收者公钥接收者私 钥电子商务教程12PKI/非对称/双钥身份鉴别示意图 原 信 息 Hi: How are you XX XX Internet 发 送 端 XX XX Hi: How are you 原 信 息 接 收 端 非 对 称 密 钥 /PKI 发 送 者 身 份 鉴 别 过 程 发 送 者 私钥 发 送 者 公钥 电子商务教程13PKI/

5、非对称/双钥 若以公钥作为加密密钥，以私钥作为解密密钥，则可实现多个用户发送的消息只能由一个用户解读，通常用于保密通信 若以用户私钥作为加密密钥而以公钥作为解密密钥，则可实现由一个用户加密的消息使多个用户解读，通常用于身份认证电子商务教程14双钥加密和身份鉴别A端D（A公钥）E（A私钥）E（B公钥）D（B 私钥）保密认证B端电子商务教程 内容 确认信息的来源 验证信息内容的完整性确认信息的时间信息认证（Authentication）15 数字签名技术数字签名技术 身份认证技术身份认证技术消息摘要、数消息摘要、数字签名技术字签名技术时间戳时间戳 技术技术电子商务教程16消息摘要/散列函数/单向转

6、换 用算法、密钥作用一明文使之转换为一固定长度的数据，称为摘要 特点 不同的报文（消息）产生不同的摘要，相同的报文具有相同的摘要（指纹的唯一性）电子商务教程17消息摘要防篡改示意图 原 信 息 Hi: Howare you XXXX摘 要Internet发 送 端 XXXX Hi: Howare you摘 要原 信 息接 收 端 消 息 摘 要 过 程Hash函 数 作 用Hash 函 数 作 用摘 要Internet对 比 XXXX电子商务教程18数字签名（Digital signature ） 定义 代表签名者与所签电子文件之间关联性的数字代号 数字签名的作用 告诉收件人该文件确实由签名者

7、发出 并且签了名的文件没有篡改过 基本原理：基于PKI体制，发送者用自己的私钥签名，接收者用发送者的公钥查验电子商务教程19数字签名（数字签名（Digital signature ）电子商务教程20数字签名 如何证明公钥/私钥的确为某人拥有，而不是他人冒用此密钥对 解决方法 数字证书与认证中心（CA）电子商务教程21数字证书与CA 数字证书 概念 网络上的证明文件，证明一把公钥的持有者就是证书上所记载的使用者 作用与使用 证实证书持有者的身份，当发送者把证书通过网络传递给接收者，并用自己的私钥加密传递的信息时，接收者用证书里的公钥证实发送者的身份 认证中心CA 证书管理机构 签发、取消、更新数

8、字证书 与上级、下级CA合作签发证书电子商务教程22个人证书式样电子商务教程23数字证书与CA 数字证书格式及内容依各种标准而有差异（X.509） 证书持有者姓名、公钥、有效期、CA名称、证书的序列号、CA的数字签名（对前几项生成摘要，用基于私钥的算法加密）、签名算法 数字证书存放处 硬盘、软盘 证书颁发公司网站的数据库中 数字证书种类 个人数字证书 企业服务器证书（站点证书） 颁发单位证书（CA证书）电子商务教程24数字证书与CA 特点 公开性 可出示给任何人 有效性 证书没有过期 密钥没有修改 证书必须不在CA发行的无效证书清单中电子商务教程25电子商务教程26上级证书的可靠性电子商务教程

9、27根证书电子商务教程 CA特点 中介机构 类似于公正机构和护照签发机构 受到广泛的信赖，具有良好的信誉 得到严格的保护、监视，具有很高的安全机制 是加密、签名、验证能够实施的关键数字证书与CA28电子商务教程29数字时间戳 用来证明报文的收发时间 过程 用户首先将需要加时间戳的文件用Hash函数加密形成摘要； 将摘要发送到专门提供数字时间戳服务的权威机构； 该机构对原摘要加上时间后，进行数字签名，并发送给原用户或原用户希望发送的接收者电子商务教程30电子商务安全应用技术与安全协议 SSL（ secure socket layer） SET（secure electronic transact

10、ion） SMIME（安全多目的Internet邮件扩展协议）电子商务教程31SSL 由Netscape提出 安全性能 通过PKI客户端认证服务器身份 通过“握手”阶段产生的单钥加密交互信息 使用HASH函数保证交互信息的完整性 客户端可不需要证书、服务器端需要证书电子商务教程32SET 安全电子交易SET信用卡支付 1996年2月，VISA和MasterCard提出，许多公司参加SET协议，成为标准 SET主要目标 订单和信用卡信息在Internet上安全传输 订单信息和信用卡信息隔离 持卡人和商家相互认证身份 SET中的角色持卡人、 发卡行、卖方、银行、支付网关电子商务教程SETSET持卡人1遵循SET协议的订单及信用卡号6 确认商 家支付网关2 审核5 确认银行3 审核4 批准认证中心认证认证认证发卡行电子商务教程34SMIME 具有邮件保密和签名的功能 应用级安全协议注：编码是被加密的报文和密钥按某种方式的连接随机加随机加密密钥密密钥收信人公钥收信人公钥待加密邮件待加密邮件Application/X.pkcs7-Mime报文报文以收信人公钥对随以收信人公钥对随机加密密钥加密机加密密钥加密加密加