电子商务加密技术详细概述

第五次课：电子商务加密技术概述任课老师：魏燕办公室：综合楼427联系电话：（660746）上次课主要内容复习一、VPN1、VPN的概念2、VPN基本用途3、VPN三种类型4、VPN典型技术二、入侵检测系统1、入侵检测概念2、入侵检测系统的模型3、入侵检测系统的功能4、入侵检测系统的分类5、入侵检测技术6、入侵检测系统的部署7、入侵检测的局限性8、入侵检测技术发展方向网络安全技术——加密技术本次课主要内容密码学的起源与发展密码学基础知识基本概念密码体制及密码系统密码体制的分类加密技术在电子商务中的应用非密码的安全理论和技术一、密码学的起源和发展三个阶段：1949年之前密码学是一门艺术1949～1975年密码学成为科学1976年以后密码学的新方向——公钥密码学第1阶段－古典密码

密码学还不是科学,而是艺术出现一些密码算法和加密设备密码算法的基本手段出现，针对的是字符简单的密码分析手段出现主要特点：数据的安全基于算法的保密第1阶段：古典密码大约在4000年以前，在古埃及的尼罗河畔，一位擅长书写者在贵族的基碑上书写铭文时有意用加以变形的象形文字而不是普通的象形文字来写铭文，从而揭开了有文字记载的密码史。这篇颇具神秘感的碑文，已具备了密码的基本特征：把一种符号(明文)用另一种符号(密文)代替公元前5世纪，古斯巴达人使用了一种叫做“天书”的器械，这是人类历史上最早使用的密码器械。“天书”是一根用草纸条、皮条或羊皮纸条紧紧缠绕的木棍。密信自上而下写在羊皮纸条上。然后把羊皮纸条解开送出。把羊皮纸条重新缠在一根直径和原木棍相同的木棍上，这样字就一圈圈跳出来。第1阶段：古典密码公元前1世纪古罗马凯撒大帝时代曾使用过一种“代替式密码”，在这种密码中，每个字母都由其后的第三个字母（按字母顺序）所代替。这种代替式密码直到第二次大战时还被日本海军使用。公元前4世纪前后，希腊著名作家艾奈阿斯在其著作《城市防卫论》中就曾提到一种被称为“艾奈阿斯绳结”的密码。它的作法是从绳子的一端开始，每隔一段距离打一个绳结，而绳结之间距离不等，不同的距离表达不同的字母。第1阶段：古典密码练习题：使用凯撒密码在古代还出现过一种被称为“叠痕法”的密码，使用时先把信纸折叠几下（上下及左右），然后铺平信纸，将传递的信息按顺序一个个分开，写在折痕的交叉点上，每一个交叉点写一个字。然后再在空白位置上填上公开的普通信文，普通信文与秘密信文的文字通顺地连贯在一起。为了防止被敌人察觉，使用这种密码需要在编公开信文上下些功夫。如果在秘密信文上再用些暗语式密码，那么敌人就更难看出破绽了。宋曾公亮、丁度等编撰《武经总要》“字验”记载，北宋前期，在作战中曾用一首五言律诗的40个汉字，分别代表40种情况或要求，这种方式已具有了密码本体制的特点。第1阶段：古典密码暗号号。。简简单单地地说说，，暗暗号号就就是是通通过过用用物物件件的的状状态态或或人人的的行行为为来来传传达达事事先先约约定定的的信信息息．．如如窗窗台台上上的的花花瓶瓶、、手手中中拿拿着着的的报报纸纸、、口口中中昨昨着着的的曲曲子子，，可可分分别别代代表表““现现在在安安全全””、、““我我是是你你要要找找的的人人””、、““我我在在找找自自己己人人””等等明明确确的的信信息息．．隐语语。。暗暗号号是是把把信信息息变变换换为为物物件件或或动动作作，，隐隐语语则则是是把把信信息息变变换换成成与与此此信信息息完完全全无无关关的的(但有有意意义义的的)语言言．．据据说说，，1941年，，日日本本偷偷袭袭珍珍珠珠港港前前两两星星期期，，美美国国情情报报人人员员曾曾截截获获一一次次重重要要的的电电话话对对话话．．那那是是两两名名分分别别在在东东京京和和华华盛盛顿顿的的日日本本高高级级官官员员之之间间的的通通话话．．这这段段对对话话里里““小小孩孩出出生生””的的真真正正意意思思是是““发发动动战战争争””．．在华华盛盛顿顿的的日日本本人人：：是是不不是是真真的的有有个个小小孩孩要要出出生生了了?在东京的的日本人人：是的的．而且且看来马马上就要要出生了了．在华盛顿顿的日本本人：这这个小孩孩真的要要生了吗吗?是在哪个个方向呢呢?第1阶段段：古典典密码传说，古古时候有有一对夫夫妻，男男的名叫叫李石匠匠，女的的叫张小小花。李李石匠靠靠手艺赚赚钱，张张小花在在家纺纱纱织布。。一年，，李石匠匠参加修修建石桥桥，因工工程紧张张，十一一个月也也没回家家一次。。张小花花独自在在家只有有纺车做做伴。一一天石匠匠工地回回来一个个工友路路过她家家，她托托这个工工友给丈丈夫带去去一封书书信。第1阶段段：古典典密码20世纪早期期密码机机计算机使使得基于于复杂计计算的密密码成为为可能相关技术术的发展展1949年Shannon的“TheCommunicationTheoryofSecretSystems””1967年DavidKahn的《TheCodebreakers》1971-1973年IBMWatson实验室的HorstFeistel等几篇技技术报告告主要特点点：数据的安安全基于于密钥而而不是算算法的保保密第2阶段1949~19751976年：Diffie&Hellman的“NewDirectionsinCryptography””提出了不不对称密密钥；1978年Rivest,Shamir&Adleman提出了了RSA公钥算算法90年代逐逐步出出现椭椭圆曲曲线等等其他他公钥钥算法法主要特特点：：公钥密密码使使得发发送端端和接接收端端无密密钥传传输的的保密密通信信成为为可能能第3阶段1976~1977年年DES正式成成为标标准80年年代出出现““过渡渡性””的““PostDES””算法,如IDEA,RCx,CAST等90年代对对称密密钥密密码进进一步步成熟熟Rijndael,RC6,MARS,Twofish,Serpent等出现2001年年Rijndael成为DES的替代者第3阶段1976~我国古代，，密码技术术也相当广泛的应应用。例如如：芦花丛中一一扁舟，俊杰黄昏独独自游，义士若能知知此理，反躬逃难可可无忧。就是一首藏藏头诗，它它隐含“卢俊义反反”的信息息。保密通信的的功罪100年前，1894年的中日甲甲午海战，，中国惨败败，其本质质是由于清清政府的腐腐败，但其其中一个重重要的具体体原因，是是日方在甲甲午战争前前就破译了了清政府使使用的密电电码。日方方破译的电电报多达一一百余则，，对清政府府的决策、、海军的行行踪等了如如指掌，因因而日方不不仅在海战战中取得了了胜利，还还迫使清政政府签订““马关条约约”，割让让辽东半岛岛、台湾及及澎湖列岛岛，赔偿军军费白银2亿两。保密通信的的功罪1917年1月，正当第第一次世界界大战进入入第三个年年头时，英英国海军破破译机关截截收到了德德国外长齐齐默尔曼签签发的一份份密报，经经过一个多多月的辛勤勤劳作，终终于在2月下旬完全全破开了那那份密报。。密报称，，德国将在在欧洲进行行无限制的的潜艇战，，意思是说说，中立国国家的船队队也在其打打击目标之之列，同时时指出，若若美国不再再保持中立立，就要求求墨西哥与与德国结盟盟，对美宣宣战。英国国外交部在在权衡了种种种利弊后后，到2月22日将此密报报交给了美美国政府，，德国政府府的阴谋激激怒了开战战以来一直直保持中立立并且在三三个月前还还声明继续续保持中立立的美国人人，五个星星期后美国国对德宣战战，出兵西西线，既避避免了在美美国本土燃燃起战火，，又加速了了协约国的的胜利。保密通信的的功罪1941年12月，日本取取得了突袭袭珍珠港、、摧毁美国国太平洋舰舰队主力的的重大胜利利，为了完完全控制太太平洋，并并设法诱出出在珍珠港港的美国舰舰队残部予予以彻底消消灭，日本本制定了于于1942年6月突然攻击击夏威夷前前哨中途岛岛的计划。。保密通信的的功罪当时日本海海军使用的的是日本最最高级的密密码体制——紫密，它的第二版版本JN25b自1940年12月1日启用后应应在1942年4月1日内第三版版本JN25c替换。但由由于舰船分分散在广阔阔的海域不不停地转移移，给分发发新的版本本增添许多多困难，因因此替换工工作延期到到5月1日，后因同同样的原因因再延期—个月，到6月1日启用新版版本。这就就使盟国破破译人员有有充分的时时间更透彻彻地破解JY25b。5月27日，山本的的作战命令令已基本上上被破译，，美国太平平洋舰队司司令尼米兹兹海军上将将发布作战战计划，将将3艘航空母舰舰部署在敌敌舰不可能能侦察到的的海域，战战斗打响时时也以突然然攻击的方方式打击日日军的突击击舰队。6月4日，日军4艘巨型航空空母舰在一一日之内相相继被炸沉沉．从此日日本海军由由进攻转为为防御，最最终走向失失败。保密通信信的功罪罪1943年春天天，山本本五十六六为了控控制不断断恶化的的残局，，亲自前前住所罗罗门群岛岛基地巡巡视，以以鼓舞士士气。在在视察前前五天，，1943年4月13日，日日军第八八舰队司司令将山山本行将将视察的的行程、、时间表表，用JN25体制加加密后播播发给有有关基地地，以作作好迎接接的准备备，尽管管该体制制的所用用版本在在4月1日刚换换过，但但美国破破译人员员根据过过去的经经验，迅迅速地破破译了这这份密报报，美军军决定在在空中打打掉山本本的座机机，使日日军失去去一位战战略家，，沉重地地打击日日军士气气。经过过精心组组织，周周密安排排，终于于使山本本五十六六在飞往往视察地地途中，，被美军军飞机击击落，葬葬身于丛丛林深处处。二、密码码学基础础知识加密的基基本思想想：通过变换换信息的的表示形形式来伪伪装需要要保护的的敏感信信息，使使非授权权者不能能了解被被保护信信息的内内容。二、密码码学基础础知识二、密码码学基础础知识基本概念念：明文P：指欲加加密的原原始信息息密文C：指明文文经过某某种加密密算法作作用后的的消息算法A：加密算算法E、解密算法D密钥K：在加密和解解密过程中使使用的参数二、密码学基基础知识一般保密通信信模型的加密密和解密的过过程：1、信源源在发发送明明文P前，用用加密密算法法E和加密密密钥钥Ke将明文文P变换为为密文文C，用公公式表表示为为：C=Eke（P）2、然后后将密密文通通过不不安全全信道道（公公开信信道））传送送给信信宿3、信宿宿收到到密文文C后，用用解密密算法法D和解密密密钥钥Kd将密文文C还原为为明文文P，用公公式表表示为为：P=Dkd（C）=Dkd（Eke（P））密码体体制及及密码码系统统从保密密通信信系统统模型型可以以得出出密码码体制制的概概念：：它是由由所有有可能能的明明文P，密文文C和密钥钥K以及加加密算算法E、解密密算法法D组成成，，记记为为一一个个五五元元组组（（P，C，K，E，D），，描描述述了了一一个个密密码码系系统统所所采采用用的的基基本本工工作作方方式式和和编编制制原原理理。。密钥钥和和算算法法是是密密码码体体制制中中两两个个最最基基本本的的要要素素。。密码码系系统统由一一个个密密码码体体制制、、一一个个信信源源、、一一个个信信宿宿、、还还有有一一个个攻攻击击者者或或破破译译者者构构成成。。一个个好好的的密密码码体体制制应应该该具具备备的的特特征征：：1、、破破译译密密文文极极其其困困难难；；2、、密密钥钥长长度度的的选选择择在在各各种种环环境境下下都都能能够够易易于于实实现现密密码码体体制制的的使使用用，，在在有有效效防防止止破破译译的的前前提提下下，，密密钥钥长长度度应应尽尽量量小小；；3、加密、、解密的操操作易于实实现；4、错码率率及错码的的扩展程度度低；5、加密后后原始明文文的长度不不受影响。。一个好的密密码系统应应满足以下下一些原则则：1、Kerckhoffs原原则：要求求系统的安安全性完全全依赖于密密钥的保密密，而不依依赖于算法法的保密2、易操作作原则3、不可破破原则4、整体安安全原则5、与计算算机、通信信系统匹配配原则密码体制的的分类：一般分为：：古典密码现代密码古典密码按照执行的的操作方式式不同可分分为两大类类：代替密码置换密码古典密码代替密码(substitutioncipher)：就是明文中中的每一个个字符被替替换成密文文中的另一一个字符。。接收者对对密文做反反向替换就就可以恢复复出明文。。置换密码(permutationcipher)：又称换位密密码(transpositioncipher)，明文的字字母保持相相同，但顺顺序被打乱乱了。现代密码根据密钥的的使用数量量和编制原原理：对称密钥密密码体制非对称密钥钥密码体制制非密码的安安全理论和和技术对称密钥密密码体制通信双方所所使用的加加密密钥和和解密密钥钥是相同的的，或者是是可以相互互推导的。。DES(DataEncryptionStandard)是目前为止止最成功和和使用最广广泛的对称称密码方案案。DES是一种采用用分组方式的单钥密码码算法。它它的基本思思想是：首首先将明文文(原文)分成相同长长度的比特特块，然后分别别对每个比比特块加密密产生一串串密文块。。解密时，，对每一个个密文块进进行解密得得到相应的的明文比特特块，最后后将所有收收到的明文文比特块合合并起来即即得到明文文。DES的基本设计计思想是通通过循环和迭代代，将简单的的基本运算算(左移、右移移等)和变换(选择函数、、置换函数数)构成数据流流的非线性性变换(加密变换或或解密变换换)。简单地说，，DES算法是加密密的两个基基本技术——混乱和扩散散的组合。。非对称密钥钥密码体制制加密和解密密使用不同同的密钥，，并且加密密密钥和解解密密钥不不能互相推推导。比较流行两两类公钥密密码体制：：一类是基于于大素数因因式分解问问题的RSA算法；一类是基于于离散对数数问题的算算法：例如如椭圆曲线线公钥密码码。三、加密技技术在电子子商务中的的应用（一）数字字签名所谓数字签签名，就是只有信信息发送者者才能产生生的别人无无法伪造的的一段数字字串，这段段数字串同同时也是对对发送者发发送信息真真实性的一一个证明。。在书面文件件上签名其其实有两个个作用：一一是因为自自己的签名名难以否认认，从而确确定了文件件已签署这这一事实；；二是因为为签名不易易仿冒，从从而确定了了文件是真真实的这一一事实。因此，数字字签名就是是用来防止止电子信息息因容易被被修改而有有人造假、、或冒用他他人名义发发送信息、、或发出（（收到）信信件后又加加以否认等等情况的发发生。数字签名、、数字时间间戳和数字字证书数字签名的的重要问题题是：公钥钥和相应的的私钥有着着特殊的关关系：一把把密钥加密密的内容只只能由另一一把密钥来来解密；通通过一家可可信赖的认认证中心（（CA）颁发及管管理数字证证书，私钥钥与你的身身份密切相相关。数字签名是是涉及签名名信息和签签名人私钥钥的计算结结果。首先先，签名人人的软件对对发送信息息进行散列列函数运算算后，生成成信息摘要要（messagedigest）——这段信息所所特有的长长度固定的的信息表示示。然后，，软件使用用签名人的的私钥对摘摘要进行解解密，将结结果连同信信息和签名名人的数字字证书一同同传送给预预定的接受受者。而接接受者的软软件会对收收到的信息息生成信息息摘要（使使用同样的的散列函数数），并使使用签名人人的公钥对对签名人生生成的摘要要进行解密密。接受者者的软件也也可以加以以配置，验验证签名人人证书的真真伪，确保保证书是由由可信赖的的CA颁发，而且且没有被CA吊销。如果果两个摘要要一样，就就表明接受受者成功核核实了数字字签名。图3.3数字签名的的验证及文文件的传送送过程在网络传输输中，发送送方和接收收方的加密密、解密处处理过程分分8个步骤：（1）将要发送送的信息原原文用HASH函数编码，，产生一段段固定长度度的数字摘摘要；（2）用发送方方的私钥对对摘要加密密，形成数数字签名，，并附在要要发送的信信息原文后后面；（3）产生一个个通信密钥钥，用它对对带有数字字签名的信信息原文进进行加密后后传送到接接收方；（4）用接收方方的公钥对对自己的通通信密钥进进行加密后后，传到接接收方；（5）收到发送送方加密后后的通信密密钥后，用用接收方的的私钥对其其进行解密密得到通信信密钥；（6）用发送方方的通信密密钥对收到到的签名原原文解密，，得到数字字签名和信信息原文；；（7）用发送方的的公钥对数字字签名进行解解密，得到摘摘要；（8）将收到的原原文用HASH函数编码，产产生另一个摘摘要，比较前前后两个摘要要。（二）数字时时间戳在电子交易中中，同样需要要对交易文件件的日期和时时间信息采取取安全措施，，数字时间戳（（DTS）就是为电子文文件发表的时时间提供安全全保护和证明明的。数字时时间戳是网上上安全服务项项目，由专门门的机构提供供。数字时间戳是是一个经加密密后形成的凭凭证文档，它它包括三个部分：1、需要加时间间戳的文件的的摘要2、DTS机构收到文件件的日期和时时间3、DTA机构的数字签签名数字时间戳的的产生过程是这样的：用用户首先将需需要加时间戳戳的文件用HASH编码加密形成成摘要，然后后将这个摘要要发送到DTS机构，DTS机构在加入了了收到文件摘摘要的日期和和时间信息后后，再对这个个文件加密（（数字签名）），然后送回回给用户。书书面文件的时时间是由签署署人自己写上上的，而数字字时间戳则不不然，它是以以DTS机构收到文件件的时间为依依据,由认证单位DTS机构加上去的的。（三）数字证证书针对信息的安安全性、完整整性、正确性性和不可否认认性等问题，，目前国际上上先进的方法法是采用信息息加密技术、、数字签名技技术。具体实实现的办法是是使用数字证书，通过数字证证书，把证书书持有者的公公开密钥（PublicKey）与用户的身身份信息紧密密安全地结合合起来，以实实现身份确认认和不可否认认性。签发数字证书书的机构即数字证书认证证中心（CertificationAuthority，CA），数字证书书认证中心为为用户签发数数字证书，为为用户身份确确认提供各种种相应的服务务。针对数字证书书的内部格式式是由CCITTX.509国际标准所规规定的，它必必须包含以下下几方面的信信息内容：◆证书的版版本号；◆◆签名名算法；◆数字证书书的序列号；；◆◆颁发数字字证书的单位位；◆证书拥有有者的姓名；；◆◆颁发数字字证书单位的的数字签名；；◆证书拥有有者的公开密密钥；◆公公开密钥的有有效期。（三）数字证证书参与电子商务务的每一个人人都需持有不不同类型的数数字证书。数数字证书的类型有：（1）客户证书（2）商家证书（3）网关证书（4）CA系统证书四、非密码的的安全理论和和技术（一）生物特特征识别的概概念生物特征识别别是一种典型型的模式识别别，生物特征识别别技术是指通过计算算机技术利用用人的生理特特征或行为特特征进行身份份鉴定，它以以生物技术为为基础，以信信息技术为手手段，将本世世纪生物和信信息这两大热热门技术融为为一体。目前利用生理理特征进行生生物识别的方法主要有：指纹识别、、虹膜识别、、掌纹识别和和面像识别等等，其中，虹膜和指纹识识别被公认为为是最可靠的的两种生物识识别。利用行为特征进行识别的主主要有声音、、笔迹和击键键识别等。除了这些比较较成熟的识别别技术之外，，还有许多新兴的技技术，如耳形识别别、气味识别别、血管识别别、步态识别别、DNA识别或基因识识别等。生物特征识别别系统对生物物特征进行取取样，提取其其惟一的特征征并且转化成成数字代码，，并进一步将将这些代码组组成特征模板板，人们同识识别系统交互互进行身份认认证时，识别别系统获取其其特征并与数数据库中的特特征模板进行行比对，以确确定是否匹配配，从而决定定接受或拒绝绝该人。四、非密码的的安全理论和和技术生物统计特征征识别技术的的性能对比较成熟的生物物识别技术简简介（一）指纹识识别技术指纹识别技术术主要涉及四四个功能：读读取指纹图像像、提取特征征数据、保存存特征数据和和特征数据的的比对。1、指纹识别的的原理和方法法自动指纹识别别技术的发展展得益于现代代电子集成制制造技术和快快速而可靠的的算法研究。。指纹识别流程程如图所示：：输出2、取得指纹图图像取像设备分成成两类：光学学、硅晶体传传感器和其他他。输出图3-7光学取像设备备光学取像设备备有最悠久的的历史，可以以追溯到20世纪70年代。依据的的是光的全反反射射原原理理(FTIR)。较成成熟熟的的生生物物识识别别技技术术简简介介输出出三、、较较成成熟熟的的生生物物识识别别技技术术简简介介2、取取得得指指纹纹图图像像3、图图像像增增强强有很很多多图图像像增增强强的的方方法法。。大大多多数数是是通通过过过过滤滤图图像像与与脊脊局局部部方方向向相相匹匹配配。。输出较成熟的的生物识识别技术术简介4、利用指指纹识别别技术的的应用系系统分类类应用系统统利用指指纹识别别技术可可以分为两类类，即验证证和辨识识.验证就是通过过把一个个现场采采集到的的指纹与与一个己己经登记记的指纹纹进行一一对一的的比对（（one-to-onematching），来确确认身份份的过程程。辨识则是把现现场采集集到的指指纹同指指纹数据据厍中的的指纹逐逐一对比比，从中中找出与与现场指指纹相匹匹配的指指纹。验证和辨辨识在比比对算法法和系统统设计上上各具技技术特点点。（二）虹虹膜识别别虹膜特征征识别解