電子商務第10章電子商務安全

1、電子商務教程第十章第十章 電子商務安全電子商務安全電子商務教程內(nèi)容 電子商務系統(tǒng)安全的概念 電子商務系統(tǒng)的安全需求 電子商務系統(tǒng)安全基礎理論與技術 電子商務系統(tǒng)安全應用技術與安全協(xié)議2電子商務教程 電子商務系統(tǒng)的硬件安全 軟件安全 運行安全 電子商務安全立法電子商務系統(tǒng)安全的概念3電子商務教程 信息的保密性 信息的完整性 信息的不可否認性 交易者身份的真實性 系統(tǒng)的可靠性電子商務系統(tǒng)的安全需求4電子商務教程 加密技術-保證交易信息的機密性 單鑰、公鑰 認證技術-保證交易信息的真實性和完整性 散列技術 身份認證、數(shù)字簽名技術 CA認證 時間戳電子商務安全基礎理論與技術5電子商務教程#includ

2、e 6加密和解密的概念 將明文轉(zhuǎn)換為密文的過程或相反 例-凱撒密碼學 ABCDEF.CDEFGH.， How do you do?-jqyfqaqwfq 組成 算法：將明文轉(zhuǎn)換為密文的數(shù)學方法，公開、可數(shù) 密鑰：算法中的參數(shù)，具有確定bit長度的數(shù)字單元 密鑰越長越難破譯電子商務教程#include 7單鑰/對稱密鑰 原 信 息 加密算法 Hi: How are you XX XX 密 文 Internet 發(fā) 送 端 XX XX 解密算法 Hi: How are you 密 文 原 信 息 接 收 端 對 稱 密 鑰 加 密 解 密 過 程 K1 K1 電子商務教程 加解密用同一個密鑰 加解

3、密效率高 在網(wǎng)絡上存在的問題 雙方如何傳遞這把密鑰 如果企業(yè)有N個交易伙伴，“看好”N個密鑰單鑰/對稱密鑰8電子商務教程 1976,W.Diffie M. Hellman 1978, MIT的三位數(shù)學家 R.L.Rivest、 A.Shamir和 L. Adliman提出了RSA體制PKI/非對稱/雙鑰9電子商務教程10PKI/非對稱/雙鑰 特點 一對密鑰是同時產(chǎn)生 加密密鑰與解密密鑰不同，加密用一個，解密用另一個 一個公開-公鑰，一個保密-私鑰 非對稱性：由公鑰推導出私鑰計算上不可行 優(yōu)點 適合密鑰分發(fā) 用途廣泛：數(shù)字簽名、鑒別等 缺點 計算量大，不適合信息量大、速度要求快的加密電子商務教程

4、11PKI/非對稱/雙鑰加密示意圖原 信 息加 密 Hi: Howare you XXXX密 文Internet發(fā) 送 端 XXXX解 密 Hi: Howare you密 文原 信 息接 收 端 非 對 稱 密 鑰 /PKI加 密 解 密 過 程接收者公鑰接收者私 鑰電子商務教程12PKI/非對稱/雙鑰身份鑒別示意圖 原 信 息 Hi: How are you XX XX Internet 發(fā) 送 端 XX XX Hi: How are you 原 信 息 接 收 端 非 對 稱 密 鑰 /PKI 發(fā) 送 者 身 份 鑒 別 過 程 發(fā) 送 者 私鑰 發(fā) 送 者 公鑰 電子商務教程13PKI/

5、非對稱/雙鑰 若以公鑰作為加密密鑰，以私鑰作為解密密鑰，則可實現(xiàn)多個用戶發(fā)送的消息只能由一個用戶解讀，通常用于保密通信 若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現(xiàn)由一個用戶加密的消息使多個用戶解讀，通常用于身份認證電子商務教程14雙鑰加密和身份鑒別A端D（A公鑰）E（A私鑰）E（B公鑰）D（B 私鑰）保密認證B端電子商務教程 內(nèi)容 確認信息的來源 驗證信息內(nèi)容的完整性確認信息的時間信息認證（Authentication）15 數(shù)字簽名技術數(shù)字簽名技術 身份認證技術身份認證技術消息摘要、數(shù)消息摘要、數(shù)字簽名技術字簽名技術時間戳時間戳 技術技術電子商務教程16消息摘要/散列函數(shù)/單向轉(zhuǎn)

6、換 用算法、密鑰作用一明文使之轉(zhuǎn)換為一固定長度的數(shù)據(jù)，稱為摘要 特點 不同的報文（消息）產(chǎn)生不同的摘要，相同的報文具有相同的摘要（指紋的唯一性）電子商務教程17消息摘要防篡改示意圖 原 信 息 Hi: Howare you XXXX摘 要Internet發(fā) 送 端 XXXX Hi: Howare you摘 要原 信 息接 收 端 消 息 摘 要 過 程Hash函 數(shù) 作 用Hash 函 數(shù) 作 用摘 要Internet對 比 XXXX電子商務教程18數(shù)字簽名（Digital signature ） 定義 代表簽名者與所簽電子文件之間關聯(lián)性的數(shù)字代號 數(shù)字簽名的作用 告訴收件人該文件確實由簽名者

7、發(fā)出 并且簽了名的文件沒有篡改過 基本原理：基于PKI體制，發(fā)送者用自己的私鑰簽名，接收者用發(fā)送者的公鑰查驗電子商務教程19數(shù)字簽名（數(shù)字簽名（Digital signature ）電子商務教程20數(shù)字簽名 如何證明公鑰/私鑰的確為某人擁有，而不是他人冒用此密鑰對 解決方法 數(shù)字證書與認證中心（CA）電子商務教程21數(shù)字證書與CA 數(shù)字證書 概念 網(wǎng)絡上的證明文件，證明一把公鑰的持有者就是證書上所記載的使用者 作用與使用 證實證書持有者的身份，當發(fā)送者把證書通過網(wǎng)絡傳遞給接收者，并用自己的私鑰加密傳遞的信息時，接收者用證書里的公鑰證實發(fā)送者的身份 認證中心CA 證書管理機構(gòu) 簽發(fā)、取消、更新數(shù)

8、字證書 與上級、下級CA合作簽發(fā)證書電子商務教程22個人證書式樣電子商務教程23數(shù)字證書與CA 數(shù)字證書格式及內(nèi)容依各種標準而有差異（X.509） 證書持有者姓名、公鑰、有效期、CA名稱、證書的序列號、CA的數(shù)字簽名（對前幾項生成摘要，用基于私鑰的算法加密）、簽名算法 數(shù)字證書存放處 硬盤、軟盤 證書頒發(fā)公司網(wǎng)站的數(shù)據(jù)庫中 數(shù)字證書種類 個人數(shù)字證書 企業(yè)服務器證書（站點證書） 頒發(fā)單位證書（CA證書）電子商務教程24數(shù)字證書與CA 特點 公開性 可出示給任何人 有效性 證書沒有過期 密鑰沒有修改 證書必須不在CA發(fā)行的無效證書清單中電子商務教程25電子商務教程26上級證書的可靠性電子商務教程

9、27根證書電子商務教程 CA特點 中介機構(gòu) 類似于公正機構(gòu)和護照簽發(fā)機構(gòu) 受到廣泛的信賴，具有良好的信譽 得到嚴格的保護、監(jiān)視，具有很高的安全機制 是加密、簽名、驗證能夠?qū)嵤┑年P鍵數(shù)字證書與CA28電子商務教程29數(shù)字時間戳 用來證明報文的收發(fā)時間 過程 用戶首先將需要加時間戳的文件用Hash函數(shù)加密形成摘要； 將摘要發(fā)送到專門提供數(shù)字時間戳服務的權(quán)威機構(gòu)； 該機構(gòu)對原摘要加上時間后，進行數(shù)字簽名，并發(fā)送給原用戶或原用戶希望發(fā)送的接收者電子商務教程30電子商務安全應用技術與安全協(xié)議 SSL（ secure socket layer） SET（secure electronic transact

10、ion） SMIME（安全多目的Internet郵件擴展協(xié)議）電子商務教程31SSL 由Netscape提出 安全性能 通過PKI客戶端認證服務器身份 通過“握手”階段產(chǎn)生的單鑰加密交互信息 使用HASH函數(shù)保證交互信息的完整性 客戶端可不需要證書、服務器端需要證書電子商務教程32SET 安全電子交易SET信用卡支付 1996年2月，VISA和MasterCard提出，許多公司參加SET協(xié)議，成為標準 SET主要目標 訂單和信用卡信息在Internet上安全傳輸 訂單信息和信用卡信息隔離 持卡人和商家相互認證身份 SET中的角色持卡人、 發(fā)卡行、賣方、銀行、支付網(wǎng)關電子商務教程SETSET持卡人1遵循SET協(xié)議的訂單及信用卡號6 確認商 家支付網(wǎng)關2 審核5 確認銀行3 審核4 批準認證中心認證認證認證發(fā)卡行電子商務教程34SMIME 具有郵件保密和簽名的功能 應用級安全協(xié)議注：編碼是被加密的報文和密鑰按某種方式的連接隨機加隨機加密密鑰密密鑰收信人公鑰收信人公鑰待加密郵件待加密郵件Application/X.pkcs7-Mime報文報文以收信人公鑰對隨以收信人公鑰對隨機加密密鑰加密機加密密鑰加密加密加