电子商务信息安全要素与技术

第三章

电子商务信息安全

电子商务信息安全要素

1电子商务信息安全技术

2数字证书与认证中心

3信息安全协议

43.1电子商务信息安全要素

3.1.1 信息的保密性

信息的保密性是指信息在传输过程或存储过程中不被他人窃取。3.1电子商务信息安全要素

3.1.2 信息的完整性

信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。3.1电子商务信息安全要素

3.1.3 信息的不可否认性

信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。3.1电子商务信息安全要素

3.1.4 交易者身份的真实性

交易者身份的真实性是指交易双方确实是存在的，不是假冒的。3.2电子商务信息安全技术

3.2.1 信息加密技术

加密和解密加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式。加密和解密过程依靠两个元素：算法和密钥。算法是加密或解密的一步一步的过程，在这个过程中需要一串数字，这个数字就是密钥。3.2电子商务信息安全技术

3.2.1 信息加密技术

密码系统的构成3.2电子商务信息安全技术

3.2.1 信息加密技术

密码系统的构成密码系统的工作过程是，发送方用加密密钥Ke和加密算法E，对明文M加密，得到的密文C，然后传输密文C。接收方用解密密钥Kd（与加密密钥Ke成对）和解密算法D，对密文解密，得到原来的明文M。3.2电子商务信息安全技术

3.2.1 信息加密技术

密码系统的构成密码系统使用的密码体制，按密钥的形式可以分为两类：通用密钥密码体制和公开密钥密密码体制。3.2电子商务信息安全技术

3.2.1 信息加密技术

通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样的密钥，也称之为“传统密码体制”。3.2电子商务信息息安全技术信息加密技术术公开密钥密码码体制公开密钥密码码体制的加密密密钥Ke与解密密钥Kd不同，只有解解密密钥是保保密的，称为为私人密钥（（privatekey），而加密密密钥完全公开开，称为公共共密钥（publickey）。该系统也也称为“非对对称密码体制制”。3.2电子商务信息息安全技术数字摘要和数数字签名数字摘要数字摘要（digitaldigest）也称安全Hash（散列）编码码法（SHA，SecureHashAlgorithm）或MD5（MD：StandardsforMessageDigest）。3.2电子商务信息息安全技术数字摘要和数数字签名数字摘要该编码法采用用单向Hash函数将需加密密的明文“摘摘要”成一串串128bit的密文，这一一串密文也称称为数字指纹纹，它有固定定的长度，且且不同的明文文摘要成密文文，其结果总总是不同的，，而同样的明明文其摘要必必定一致。这这样，这串摘摘要便可成为为验证明文是是否“真身””的“指纹””了。数字摘摘要的应用使使信息的完整整性（不可修修改性）得以以保证。3.2电子商务信息息安全技术数字摘要和数数字签名数字签名数字签名能确确认以下两点点：其一，信息是是由签名者发发送的；其二，信息自自签发后到收收到为止未曾曾作过任何修改。3.2电子商务信息息安全技术数字摘摘要和和数字字签名名数字签签名3.2电子商商务信信息安安全技技术数字摘摘要和和数字字签名名数字签签名①发送方方用SHA编码加加密产产生128bit的数字字摘要要；②发送方方用自自己的的私人人密钥钥（PrivateKey）对摘摘要加加密，，形成成数字字签名名；③将原文文和加加密的的摘要要同时时传输输给对对方；；④接受方方用授授信方方的公公共密密钥（（PublicKey）对摘摘要解解密，，同时时对收收到的的信息息用SHA编码加加密产产生又又一摘摘要；；⑤将解密密后的的摘要要和收收到的的信息息在受受信方方重新新加密密产生生的摘摘要互互相对对比。。3.3数字证证书与与认证证中心心数字证证书数字证证书原原理数字证证书（（digitalID）又称为为数字字凭证证，数数字标标识，，是一一个经经证书书认证证机构构（CA）数字字签名名的包包含用用户身身份信信息以以及公公开密密钥信信息的的电子子文件件，是是用电电子手手段来来证实实一个个用户户的身身份和和对网网络资资源访访问的的权限限，是是各实实体（（消费费者、、商户户/企业、、银行行等））在网网上进进行信信息交交流及及商务务活动动的电电子身身份证证。3.3数字证证书与与认证证中心心数字证证书数字证证书的的类型型个人数字字证书企业（服服务器））数字证证书软件（开开发者））数字证证书3.3数字证书书与认证证中心认证中心心基本概念念认证中心心(CA，CertificationAuthority)就是承担担网上安安全电子子交易认认证服务务、签发发数字证证书、并并能确认认用户身身份的服服务机构构。3.3数字证书书与认证证中心认证中心心认证中心心的作用用证书的颁颁发证书的更更新证书的查查询证书的作作废证书的归归档3.3数字证书书与认证证中心认证中心心认证分级级体系3.3数字证书书与认证证中心数字证书书的申请请和使用用目前，在在上海市市数字证证书认证证中心，，用户可以申请请数字证证书。3.3数字证书书与认证证中心数字证书书的申请请和使用用3.4信息安全全协议SSL安全协议议SSL（SecureSocketsLayer）的中译名名叫安全全套接层层协议，，是1994年底由Netscape研制并实实现。SSL协议的最最基本目目标是进进行服务务器/客户机方方式进行行通讯的的两个应应用程序序之间保保证其通通讯内容容的保密密性和数数据的完完整性。SSL协议层包包括两个个协议子子层：SSL记录协议议与SSL握手协议议。3.4信息安全全协议SSL安全协议议SSL安全协议议提供三三个方面面的保障障：认证客户户机和服服务器的的合法性性。加密数据据以隐藏藏被传送送的数据据。维护数据据的完整整性。3.4信息安全全协议安全协议议SET协议，即即“安全全电子交交易”协协议，是是为了确确保网上上交易的的安全可可靠，由由两个国国际信用用卡集团团VISA和MasterCard联合发起起制定的的。3.4信息安全全协议SET安全协议议SET安全协议议提供五五个方