unit3-3數(shù)字摘要與數(shù)字簽名技術(shù)

1、數(shù)字證書(shū)就是標(biāo)志網(wǎng)絡(luò)用戶(hù)身份信息數(shù)字證書(shū)就是標(biāo)志網(wǎng)絡(luò)用戶(hù)身份信息的一系列數(shù)據(jù)，用于證明某一主體的身份的一系列數(shù)據(jù)，用于證明某一主體的身份以及其公鑰的合法性的一種權(quán)威性的以及其公鑰的合法性的一種權(quán)威性的電子電子文檔文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即，由權(quán)威公正的第三方機(jī)構(gòu)，即CACA中中心簽發(fā)。心簽發(fā)。數(shù)字證書(shū)的概念數(shù)字證書(shū)的概念4.3.4 4.3.4 數(shù)字摘要數(shù)字摘要 數(shù)字摘要是用來(lái)保證信息完整性的一項(xiàng)技術(shù)。它是一種單向加密算法。2002年圖靈獎(jiǎng)得主-RSA和MD5的創(chuàng)始人所謂數(shù)字摘要，是指通過(guò)所謂數(shù)字摘要，是指通過(guò)單向單向HashHash函數(shù)函數(shù)將整個(gè)原文信息將整個(gè)原文信息“摘要摘要”成一串固

2、定長(zhǎng)度成一串固定長(zhǎng)度的摘要信息串，是一項(xiàng)用來(lái)保證信息完整的摘要信息串，是一項(xiàng)用來(lái)保證信息完整性的技術(shù)。性的技術(shù)。不同的原文所產(chǎn)生的數(shù)字摘要是不相同不同的原文所產(chǎn)生的數(shù)字摘要是不相同的，相同的原文其摘要必定一致，并且由的，相同的原文其摘要必定一致，并且由摘要不能反推出原文。摘要不能反推出原文。接收方比較兩個(gè)摘要，若兩者相同則表接收方比較兩個(gè)摘要，若兩者相同則表明原文在傳輸中沒(méi)有被篡改。明原文在傳輸中沒(méi)有被篡改。不能從摘要經(jīng)過(guò)逆運(yùn)算得出原文。不能從摘要經(jīng)過(guò)逆運(yùn)算得出原文。 4.3.5 4.3.5 數(shù)字簽名數(shù)字簽名1 1、數(shù)字簽名的概念、數(shù)字簽名的概念 也叫電子簽名，是指數(shù)據(jù)電文中以電子形式所也叫電

3、子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)其中內(nèi)容的數(shù)據(jù)。 數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰加密技術(shù)的另一類(lèi)應(yīng)用。它把加密技術(shù)的另一類(lèi)應(yīng)用。它把公鑰加密技術(shù)和數(shù)公鑰加密技術(shù)和數(shù)字摘要結(jié)合字摘要結(jié)合起來(lái)，形成了實(shí)用的數(shù)字簽名技術(shù)。起來(lái)，形成了實(shí)用的數(shù)字簽名技術(shù)。 2 2、作用、作用: : 確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用。確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用。 能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。 完

4、善的數(shù)字簽名技術(shù)技術(shù)具備簽字方不能抵賴(lài)、完善的數(shù)字簽名技術(shù)技術(shù)具備簽字方不能抵賴(lài)、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰ΑＫ瞬荒軅卧?、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰Α?中華人民共和國(guó)電子簽名法中華人民共和國(guó)電子簽名法的實(shí)施，使數(shù)字的實(shí)施，使數(shù)字簽名與傳統(tǒng)手工簽名或印章具有相同的法律效力。簽名與傳統(tǒng)手工簽名或印章具有相同的法律效力。以聯(lián)想集團(tuán)為例：以聯(lián)想集團(tuán)為例： 在未采用電子簽名之前，一份合同的生效需要通過(guò)在未采用電子簽名之前，一份合同的生效需要通過(guò)接收傳真、確認(rèn)、蓋章、回函（傳真或快遞），總耗時(shí)接收傳真、確認(rèn)、蓋章、回函（傳真或快遞），總耗時(shí)大概在兩周左右。大概在兩周左右。 在采用了

5、電子簽名之后，一份合同從提交到生效，在采用了電子簽名之后，一份合同從提交到生效，整個(gè)過(guò)程可在半天內(nèi)完成，極大地提高了商務(wù)運(yùn)作的效整個(gè)過(guò)程可在半天內(nèi)完成，極大地提高了商務(wù)運(yùn)作的效率。率。3.3.數(shù)字簽名和驗(yàn)證的過(guò)程數(shù)字簽名和驗(yàn)證的過(guò)程數(shù)字簽名使用的是數(shù)字簽名使用的是發(fā)送方的密鑰發(fā)送方的密鑰，是發(fā)送方，是發(fā)送方用自己的私鑰對(duì)摘要進(jìn)行加密，接收方用發(fā)用自己的私鑰對(duì)摘要進(jìn)行加密，接收方用發(fā)送方的公鑰對(duì)數(shù)字簽名解密。送方的公鑰對(duì)數(shù)字簽名解密。加密使用的是加密使用的是接收方的密鑰接收方的密鑰，是發(fā)送方用接，是發(fā)送方用接收方的公鑰加密，接收方用自己的私鑰解密。收方的公鑰加密，接收方用自己的私鑰解密。數(shù)字簽名

6、與加密的差別數(shù)字簽名與加密的差別4.3.6 4.3.6 數(shù)字時(shí)間戳（數(shù)字時(shí)間戳（DTSDTS）在書(shū)面合同文件中，日期和簽名均是十分重要的在書(shū)面合同文件中，日期和簽名均是十分重要的防止被偽造和篡改的關(guān)鍵性?xún)?nèi)容。防止被偽造和篡改的關(guān)鍵性?xún)?nèi)容。在電子交易中，時(shí)間和簽名同等重要。在電子交易中，時(shí)間和簽名同等重要。數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，是由是由DTSDTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，專(zhuān)門(mén)用于證明信息的發(fā)送時(shí)間。專(zhuān)門(mén)用于證明信息的發(fā)送時(shí)間。數(shù)字時(shí)間戳產(chǎn)生的過(guò)程數(shù)字時(shí)間戳產(chǎn)生的過(guò)程DTS機(jī)構(gòu)機(jī)構(gòu)用戶(hù)

7、用戶(hù) 需加時(shí)間戳的文件的數(shù)字摘要需加時(shí)間戳的文件的數(shù)字摘要 DTSDTS機(jī)構(gòu)收到文件摘要的日期和時(shí)間機(jī)構(gòu)收到文件摘要的日期和時(shí)間 DTSDTS機(jī)構(gòu)機(jī)構(gòu)的數(shù)字簽名的數(shù)字簽名數(shù)字時(shí)間戳包括三個(gè)部分：數(shù)字時(shí)間戳包括三個(gè)部分： 4.4 4.4 安全交易協(xié)議安全交易協(xié)議電子商務(wù)實(shí)施初期電子商務(wù)實(shí)施初期采用的安全措施采用的安全措施部分告知部分告知（partial order）。在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)，如信用卡帳號(hào)及交易金額等略去，然后再用電話(huà)告知以防泄密。另行確認(rèn)另行確認(rèn) (order confirmation)。在網(wǎng)上傳輸交易信息之后，再用電子郵件對(duì)交易進(jìn)行確認(rèn)，才認(rèn)為有效。在線(xiàn)服務(wù)在線(xiàn)服務(wù) (on

8、line service)。為了保證信息傳輸?shù)陌踩?，用企業(yè)提供的內(nèi)部網(wǎng)來(lái)提供聯(lián)機(jī)服務(wù)。4.4.1 4.4.1 安全套接層協(xié)議（安全套接層協(xié)議（SSL)SSL)nSSL (secure sockets layer)SSL (secure sockets layer)是由美國(guó)網(wǎng)景公是由美國(guó)網(wǎng)景公司（司（Netscape Netscape 公司）設(shè)計(jì)開(kāi)發(fā)的，利用公共密公司）設(shè)計(jì)開(kāi)發(fā)的，利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，已經(jīng)廣泛用于互聯(lián)網(wǎng)，成鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，已經(jīng)廣泛用于互聯(lián)網(wǎng)，成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。n其目的是通過(guò)建立其目的是通過(guò)建立安全通道安全通道來(lái)提高通信雙方應(yīng)來(lái)提高通信雙方應(yīng)用程序

9、間交換數(shù)據(jù)的安全性，從而實(shí)現(xiàn)瀏覽器用程序間交換數(shù)據(jù)的安全性，從而實(shí)現(xiàn)瀏覽器和服務(wù)器之間的安全通信。和服務(wù)器之間的安全通信。1 1、SSLSSL提供的基本服務(wù)功能提供的基本服務(wù)功能v信息保密。使用使用公共密鑰公共密鑰和和對(duì)稱(chēng)密鑰對(duì)稱(chēng)密鑰技術(shù)實(shí)現(xiàn)信技術(shù)實(shí)現(xiàn)信息保密?？蛻?hù)機(jī)和服務(wù)器之間的所有業(yè)務(wù)都息保密?？蛻?hù)機(jī)和服務(wù)器之間的所有業(yè)務(wù)都使用在使用在SSLSSL握手過(guò)程中建立的密鑰和算法握手過(guò)程中建立的密鑰和算法進(jìn)行加密，防止進(jìn)行加密，防止非法竊聽(tīng)，以保證信息的保密性。非法竊聽(tīng)，以保證信息的保密性。v信息完整性。SSLSSL利用機(jī)密共享和數(shù)字摘要技術(shù)利用機(jī)密共享和數(shù)字摘要技術(shù)提供信息完整性服務(wù)。提供信息

10、完整性服務(wù)。v相互認(rèn)證?？蛻?hù)機(jī)和服務(wù)器認(rèn)證，確信數(shù)據(jù)能發(fā)客戶(hù)機(jī)和服務(wù)器認(rèn)證，確信數(shù)據(jù)能發(fā)往正確的服務(wù)器和客戶(hù)機(jī)。往正確的服務(wù)器和客戶(hù)機(jī)。2. SSL2. SSL協(xié)議通信過(guò)程協(xié)議通信過(guò)程n 接通階段：客戶(hù)機(jī)呼叫服務(wù)器，服務(wù)器接通階段：客戶(hù)機(jī)呼叫服務(wù)器，服務(wù)器回應(yīng)客戶(hù)?；貞?yīng)客戶(hù)。n 認(rèn)證階段：認(rèn)證階段：服務(wù)器向客戶(hù)機(jī)發(fā)送服務(wù)器服務(wù)器向客戶(hù)機(jī)發(fā)送服務(wù)器證書(shū)和公鑰證書(shū)和公鑰；如果服務(wù)器需要雙方認(rèn)證，還如果服務(wù)器需要雙方認(rèn)證，還要向?qū)Ψ教岢稣J(rèn)證請(qǐng)求；要向?qū)Ψ教岢稣J(rèn)證請(qǐng)求；客戶(hù)機(jī)用服務(wù)器公客戶(hù)機(jī)用服務(wù)器公鑰加密向服務(wù)器發(fā)送自己的公鑰，并根據(jù)服鑰加密向服務(wù)器發(fā)送自己的公鑰，并根據(jù)服務(wù)器是否需要認(rèn)證客戶(hù)身份，

11、向服務(wù)器發(fā)送務(wù)器是否需要認(rèn)證客戶(hù)身份，向服務(wù)器發(fā)送客戶(hù)端證書(shū)?？蛻?hù)端證書(shū)。n確立會(huì)話(huà)密鑰階段：客戶(hù)和服務(wù)器之間確立會(huì)話(huà)密鑰階段：客戶(hù)和服務(wù)器之間協(xié)議確立會(huì)話(huà)密鑰。協(xié)議確立會(huì)話(huà)密鑰。n會(huì)話(huà)階段：客戶(hù)機(jī)與服務(wù)器使用會(huì)話(huà)密會(huì)話(huà)階段：客戶(hù)機(jī)與服務(wù)器使用會(huì)話(huà)密鑰加密交換會(huì)話(huà)信息。鑰加密交換會(huì)話(huà)信息。n結(jié)束階段：客戶(hù)機(jī)與服務(wù)器交換結(jié)束信結(jié)束階段：客戶(hù)機(jī)與服務(wù)器交換結(jié)束信息，通信結(jié)束。息，通信結(jié)束。n凡 是 支 持凡 是 支 持 S S LS S L 協(xié) 議 的 網(wǎng) 頁(yè) ， 都 會(huì) 以協(xié) 議 的 網(wǎng) 頁(yè) ， 都 會(huì) 以https:/https:/作為作為URLURL的開(kāi)頭。客戶(hù)在與服務(wù)的開(kāi)頭。客戶(hù)在與服務(wù)器

12、進(jìn)行器進(jìn)行SSLSSL會(huì)話(huà)中，如果使用的是微軟的會(huì)話(huà)中，如果使用的是微軟的IEIE瀏覽器，可以在右下方狀態(tài)欄中看到一瀏覽器，可以在右下方狀態(tài)欄中看到一只金黃色的鎖形安全標(biāo)志，用鼠標(biāo)雙擊該只金黃色的鎖形安全標(biāo)志，用鼠標(biāo)雙擊該標(biāo)志，就會(huì)彈出服務(wù)器證書(shū)信息。標(biāo)志，就會(huì)彈出服務(wù)器證書(shū)信息。n當(dāng)客戶(hù)機(jī)連接該端口時(shí)，首先初始化握手協(xié)議，當(dāng)客戶(hù)機(jī)連接該端口時(shí)，首先初始化握手協(xié)議，建立一個(gè)建立一個(gè)SSLSSL對(duì)話(huà)時(shí)段。握手結(jié)束后，將對(duì)通信對(duì)話(huà)時(shí)段。握手結(jié)束后，將對(duì)通信加密，并檢查信息完整性，直到這個(gè)對(duì)話(huà)時(shí)段結(jié)加密，并檢查信息完整性，直到這個(gè)對(duì)話(huà)時(shí)段結(jié)束為止。束為止。n每個(gè)每個(gè)SSLSSL對(duì)話(huà)時(shí)段只發(fā)生一次握手

13、。而對(duì)話(huà)時(shí)段只發(fā)生一次握手。而HTTPHTTP的每的每一次連接都要執(zhí)行一次握手。一次連接都要執(zhí)行一次握手。SSLSSL與與HTTPHTTP連接的不同之處連接的不同之處SSLSSL協(xié)議的電子交易過(guò)程協(xié)議的電子交易過(guò)程當(dāng)用于銀行卡網(wǎng)上支付流程時(shí)的缺點(diǎn)當(dāng)用于銀行卡網(wǎng)上支付流程時(shí)的缺點(diǎn) 首先，客戶(hù)的銀行資料信息先送到商家，首先，客戶(hù)的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶(hù)銀行資料的安全性就讓商家閱讀，這樣，客戶(hù)銀行資料的安全性就得不到保證。得不到保證。 其次，其次，SSLSSL協(xié)議雖然提供了資料傳遞過(guò)程的協(xié)議雖然提供了資料傳遞過(guò)程的安全通道，但安全通道，但SSLSSL協(xié)議安全方面有協(xié)議安全方面

14、有缺少數(shù)字簽名缺少數(shù)字簽名功能、沒(méi)有授權(quán)和存取控制、多方互相認(rèn)證困功能、沒(méi)有授權(quán)和存取控制、多方互相認(rèn)證困難、不能抗抵賴(lài)、用戶(hù)身份可能被冒充等弱點(diǎn)難、不能抗抵賴(lài)、用戶(hù)身份可能被冒充等弱點(diǎn)。 1 1、SETSET協(xié)議的概念協(xié)議的概念 SET SET （Secure Electronic Transaction)Secure Electronic Transaction)是由是由VISAVISA和和MasterCardMasterCard兩大信用卡公司發(fā)起，兩大信用卡公司發(fā)起，會(huì)同會(huì)同IBMIBM、MicrosoftMicrosoft等信息產(chǎn)業(yè)巨頭于等信息產(chǎn)業(yè)巨頭于19971997年年6 6月正式

15、制定發(fā)布的用于互聯(lián)網(wǎng)事務(wù)處理的月正式制定發(fā)布的用于互聯(lián)網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)。一種標(biāo)準(zhǔn)。 目前已經(jīng)被廣為看好而目前已經(jīng)被廣為看好而可能成為未來(lái)國(guó)可能成為未來(lái)國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn)。際通用的網(wǎng)上支付標(biāo)準(zhǔn)。.2 安全電子交易協(xié)議（安全電子交易協(xié)議（SETSET）2.SET2.SET協(xié)議的規(guī)范及功能協(xié)議的規(guī)范及功能nSETSET協(xié)議是一種支付協(xié)議，只是在持卡人向商家協(xié)議是一種支付協(xié)議，只是在持卡人向商家發(fā)送支付請(qǐng)求、商家向支付網(wǎng)關(guān)發(fā)送授權(quán)或獲發(fā)送支付請(qǐng)求、商家向支付網(wǎng)關(guān)發(fā)送授權(quán)或獲取請(qǐng)求取請(qǐng)求以及支付網(wǎng)關(guān)向商家發(fā)送授權(quán)或獲取回以及支付網(wǎng)關(guān)向商家發(fā)送授權(quán)或獲取回應(yīng)、商家向持卡人發(fā)送支付回

16、應(yīng)時(shí)才起作用。應(yīng)、商家向持卡人發(fā)送支付回應(yīng)時(shí)才起作用。SETSET為電子商務(wù)提供的功能為電子商務(wù)提供的功能n信息保密性。信息保密性。n數(shù)據(jù)的完整性。數(shù)據(jù)的完整性。n提供交易者的身份認(rèn)證和擔(dān)保。提供交易者的身份認(rèn)證和擔(dān)保。n互操作性。硬件及操作系統(tǒng)的兼容?；ゲ僮餍浴Ｓ布安僮飨到y(tǒng)的兼容。3.SET3.SET協(xié)議所涉及的角色協(xié)議所涉及的角色n持卡人。持卡人。n網(wǎng)上商店。網(wǎng)上商店。n發(fā)卡銀行。發(fā)卡銀行。n收單銀行。收單銀行。n支付網(wǎng)關(guān)。支付網(wǎng)關(guān)。nCACA認(rèn)證中心。認(rèn)證中心。n使用使用SETSET的網(wǎng)上購(gòu)物流程：的網(wǎng)上購(gòu)物流程：n客戶(hù)通過(guò)網(wǎng)絡(luò)瀏覽器瀏覽在線(xiàn)商家的商品目錄?？蛻?hù)通過(guò)網(wǎng)絡(luò)瀏覽器瀏覽在線(xiàn)商

17、家的商品目錄。n選擇要購(gòu)買(mǎi)的商品；選擇要購(gòu)買(mǎi)的商品； n填寫(xiě)訂單，包括欲購(gòu)商品名稱(chēng)、規(guī)格、數(shù)量、填寫(xiě)訂單，包括欲購(gòu)商品名稱(chēng)、規(guī)格、數(shù)量、交貨時(shí)間及地點(diǎn)等信息。訂單通過(guò)因特網(wǎng)發(fā)送給交貨時(shí)間及地點(diǎn)等信息。訂單通過(guò)因特網(wǎng)發(fā)送給商家，商家進(jìn)行應(yīng)答，并告知以上訂單貨物單價(jià)、商家，商家進(jìn)行應(yīng)答，并告知以上訂單貨物單價(jià)、應(yīng)付款數(shù)額和交貨方式；應(yīng)付款數(shù)額和交貨方式；n消費(fèi)者選擇付款方式，消費(fèi)者選擇付款方式，此時(shí)此時(shí)SETSET開(kāi)始介入開(kāi)始介入；3.3.應(yīng)用應(yīng)用SETSET的購(gòu)物流程的購(gòu)物流程n消費(fèi)者發(fā)送給商家一個(gè)完整的訂單及其要求付款的指令。在在SETSET中，訂單和付款指令由消費(fèi)者進(jìn)中，訂單和付款指令由消費(fèi)

18、者進(jìn)行數(shù)字簽名；同時(shí)利用雙重身份簽名技術(shù)，保證行數(shù)字簽名；同時(shí)利用雙重身份簽名技術(shù)，保證商家看不到消費(fèi)者的賬號(hào)信息。商家看不到消費(fèi)者的賬號(hào)信息。n在線(xiàn)商家接受訂單后，向客戶(hù)開(kāi)戶(hù)銀行請(qǐng)求支付，此信息通過(guò)支付網(wǎng)關(guān)送達(dá)收單銀行，并進(jìn)一步提交發(fā)卡銀行確認(rèn)。確認(rèn)批準(zhǔn)后，發(fā)卡銀行返回確認(rèn)信息，經(jīng)收單銀行通過(guò)支付網(wǎng)關(guān)發(fā)給在線(xiàn)商家；n在線(xiàn)商家發(fā)送訂單確認(rèn)信息給客戶(hù)，客戶(hù)端記錄交易日志，以備日后查考；n在線(xiàn)商家發(fā)送商品或提供服務(wù)，并通知收單銀行將貨款從客戶(hù)賬號(hào)轉(zhuǎn)移到商家賬號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。4.SET4.SET標(biāo)準(zhǔn)的應(yīng)用與局限性標(biāo)準(zhǔn)的應(yīng)用與局限性SET 1.0SET 1.0版自版自19971997年推出以來(lái)推廣應(yīng)用較慢，沒(méi)年推出以來(lái)推廣應(yīng)用較慢，沒(méi)有達(dá)到預(yù)期的效果。原因包括：有達(dá)到預(yù)期的效果。原因包括：1 1、SET 1.0SE