1、電子商務(wù)教程第十章第十章 電子商務(wù)安全電子商務(wù)安全電子商務(wù)教程內(nèi)容 電子商務(wù)系統(tǒng)安全的概念 電子商務(wù)系統(tǒng)的安全需求 電子商務(wù)系統(tǒng)安全基礎(chǔ)理論與技術(shù) 電子商務(wù)系統(tǒng)安全應(yīng)用技術(shù)與安全協(xié)議2電子商務(wù)教程 電子商務(wù)系統(tǒng)的硬件安全 軟件安全 運(yùn)行安全 電子商務(wù)安全立法電子商務(wù)系統(tǒng)安全的概念3電子商務(wù)教程 信息的保密性 信息的完整性 信息的不可否認(rèn)性 交易者身份的真實(shí)性 系統(tǒng)的可靠性電子商務(wù)系統(tǒng)的安全需求4電子商務(wù)教程 加密技術(shù)-保證交易信息的機(jī)密性 單鑰、公鑰 認(rèn)證技術(shù)-保證交易信息的真實(shí)性和完整性 散列技術(shù) 身份認(rèn)證、數(shù)字簽名技術(shù) CA認(rèn)證 時(shí)間戳電子商務(wù)安全基礎(chǔ)理論與技術(shù)5電子商務(wù)教程#includ

2、e 6加密和解密的概念 將明文轉(zhuǎn)換為密文的過程或相反 例-凱撒密碼學(xué) ABCDEF.CDEFGH.， How do you do?-jqyfqaqwfq 組成 算法：將明文轉(zhuǎn)換為密文的數(shù)學(xué)方法，公開、可數(shù) 密鑰：算法中的參數(shù)，具有確定bit長度的數(shù)字單元 密鑰越長越難破譯電子商務(wù)教程#include 7單鑰/對(duì)稱密鑰 原 信 息 加密算法 Hi: How are you XX XX 密 文 Internet 發(fā) 送 端 XX XX 解密算法 Hi: How are you 密 文 原 信 息 接 收 端 對(duì) 稱 密 鑰 加 密 解 密 過 程 K1 K1 電子商務(wù)教程 加解密用同一個(gè)密鑰 加解

3、密效率高 在網(wǎng)絡(luò)上存在的問題 雙方如何傳遞這把密鑰 如果企業(yè)有N個(gè)交易伙伴，“看好”N個(gè)密鑰單鑰/對(duì)稱密鑰8電子商務(wù)教程 1976,W.Diffie M. Hellman 1978, MIT的三位數(shù)學(xué)家 R.L.Rivest、 A.Shamir和 L. Adliman提出了RSA體制PKI/非對(duì)稱/雙鑰9電子商務(wù)教程10PKI/非對(duì)稱/雙鑰 特點(diǎn) 一對(duì)密鑰是同時(shí)產(chǎn)生 加密密鑰與解密密鑰不同，加密用一個(gè)，解密用另一個(gè) 一個(gè)公開-公鑰，一個(gè)保密-私鑰 非對(duì)稱性：由公鑰推導(dǎo)出私鑰計(jì)算上不可行 優(yōu)點(diǎn) 適合密鑰分發(fā) 用途廣泛：數(shù)字簽名、鑒別等 缺點(diǎn) 計(jì)算量大，不適合信息量大、速度要求快的加密電子商務(wù)教程

4、11PKI/非對(duì)稱/雙鑰加密示意圖原 信 息加 密 Hi: Howare you XXXX密 文Internet發(fā) 送 端 XXXX解 密 Hi: Howare you密 文原 信 息接 收 端 非 對(duì) 稱 密 鑰 /PKI加 密 解 密 過 程接收者公鑰接收者私 鑰電子商務(wù)教程12PKI/非對(duì)稱/雙鑰身份鑒別示意圖 原 信 息 Hi: How are you XX XX Internet 發(fā) 送 端 XX XX Hi: How are you 原 信 息 接 收 端 非 對(duì) 稱 密 鑰 /PKI 發(fā) 送 者 身 份 鑒 別 過 程 發(fā) 送 者 私鑰 發(fā) 送 者 公鑰 電子商務(wù)教程13PKI/

5、非對(duì)稱/雙鑰 若以公鑰作為加密密鑰，以私鑰作為解密密鑰，則可實(shí)現(xiàn)多個(gè)用戶發(fā)送的消息只能由一個(gè)用戶解讀，通常用于保密通信 若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實(shí)現(xiàn)由一個(gè)用戶加密的消息使多個(gè)用戶解讀，通常用于身份認(rèn)證電子商務(wù)教程14雙鑰加密和身份鑒別A端D（A公鑰）E（A私鑰）E（B公鑰）D（B 私鑰）保密認(rèn)證B端電子商務(wù)教程 內(nèi)容 確認(rèn)信息的來源 驗(yàn)證信息內(nèi)容的完整性確認(rèn)信息的時(shí)間信息認(rèn)證（Authentication）15 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)消息摘要、數(shù)消息摘要、數(shù)字簽名技術(shù)字簽名技術(shù)時(shí)間戳?xí)r間戳 技術(shù)技術(shù)電子商務(wù)教程16消息摘要/散列函數(shù)/單向轉(zhuǎn)

6、換 用算法、密鑰作用一明文使之轉(zhuǎn)換為一固定長度的數(shù)據(jù)，稱為摘要 特點(diǎn) 不同的報(bào)文（消息）產(chǎn)生不同的摘要，相同的報(bào)文具有相同的摘要（指紋的唯一性）電子商務(wù)教程17消息摘要防篡改示意圖 原 信 息 Hi: Howare you XXXX摘 要Internet發(fā) 送 端 XXXX Hi: Howare you摘 要原 信 息接 收 端 消 息 摘 要 過 程Hash函 數(shù) 作 用Hash 函 數(shù) 作 用摘 要Internet對(duì) 比 XXXX電子商務(wù)教程18數(shù)字簽名（Digital signature ） 定義 代表簽名者與所簽電子文件之間關(guān)聯(lián)性的數(shù)字代號(hào) 數(shù)字簽名的作用 告訴收件人該文件確實(shí)由簽名者

7、發(fā)出 并且簽了名的文件沒有篡改過 基本原理：基于PKI體制，發(fā)送者用自己的私鑰簽名，接收者用發(fā)送者的公鑰查驗(yàn)電子商務(wù)教程19數(shù)字簽名（數(shù)字簽名（Digital signature ）電子商務(wù)教程20數(shù)字簽名 如何證明公鑰/私鑰的確為某人擁有，而不是他人冒用此密鑰對(duì) 解決方法 數(shù)字證書與認(rèn)證中心（CA）電子商務(wù)教程21數(shù)字證書與CA 數(shù)字證書 概念 網(wǎng)絡(luò)上的證明文件，證明一把公鑰的持有者就是證書上所記載的使用者 作用與使用 證實(shí)證書持有者的身份，當(dāng)發(fā)送者把證書通過網(wǎng)絡(luò)傳遞給接收者，并用自己的私鑰加密傳遞的信息時(shí)，接收者用證書里的公鑰證實(shí)發(fā)送者的身份 認(rèn)證中心CA 證書管理機(jī)構(gòu) 簽發(fā)、取消、更新數(shù)

8、字證書 與上級(jí)、下級(jí)CA合作簽發(fā)證書電子商務(wù)教程22個(gè)人證書式樣電子商務(wù)教程23數(shù)字證書與CA 數(shù)字證書格式及內(nèi)容依各種標(biāo)準(zhǔn)而有差異（X.509） 證書持有者姓名、公鑰、有效期、CA名稱、證書的序列號(hào)、CA的數(shù)字簽名（對(duì)前幾項(xiàng)生成摘要，用基于私鑰的算法加密）、簽名算法 數(shù)字證書存放處 硬盤、軟盤 證書頒發(fā)公司網(wǎng)站的數(shù)據(jù)庫中 數(shù)字證書種類 個(gè)人數(shù)字證書 企業(yè)服務(wù)器證書（站點(diǎn)證書） 頒發(fā)單位證書（CA證書）電子商務(wù)教程24數(shù)字證書與CA 特點(diǎn) 公開性 可出示給任何人 有效性 證書沒有過期 密鑰沒有修改 證書必須不在CA發(fā)行的無效證書清單中電子商務(wù)教程25電子商務(wù)教程26上級(jí)證書的可靠性電子商務(wù)教程

9、27根證書電子商務(wù)教程 CA特點(diǎn) 中介機(jī)構(gòu) 類似于公正機(jī)構(gòu)和護(hù)照簽發(fā)機(jī)構(gòu) 受到廣泛的信賴，具有良好的信譽(yù) 得到嚴(yán)格的保護(hù)、監(jiān)視，具有很高的安全機(jī)制 是加密、簽名、驗(yàn)證能夠?qū)嵤┑年P(guān)鍵數(shù)字證書與CA28電子商務(wù)教程29數(shù)字時(shí)間戳 用來證明報(bào)文的收發(fā)時(shí)間 過程 用戶首先將需要加時(shí)間戳的文件用Hash函數(shù)加密形成摘要； 將摘要發(fā)送到專門提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu)； 該機(jī)構(gòu)對(duì)原摘要加上時(shí)間后，進(jìn)行數(shù)字簽名，并發(fā)送給原用戶或原用戶希望發(fā)送的接收者電子商務(wù)教程30電子商務(wù)安全應(yīng)用技術(shù)與安全協(xié)議 SSL（ secure socket layer） SET（secure electronic transact

10、ion） SMIME（安全多目的Internet郵件擴(kuò)展協(xié)議）電子商務(wù)教程31SSL 由Netscape提出 安全性能 通過PKI客戶端認(rèn)證服務(wù)器身份 通過“握手”階段產(chǎn)生的單鑰加密交互信息 使用HASH函數(shù)保證交互信息的完整性 客戶端可不需要證書、服務(wù)器端需要證書電子商務(wù)教程32SET 安全電子交易SET信用卡支付 1996年2月，VISA和MasterCard提出，許多公司參加SET協(xié)議，成為標(biāo)準(zhǔn) SET主要目標(biāo) 訂單和信用卡信息在Internet上安全傳輸 訂單信息和信用卡信息隔離 持卡人和商家相互認(rèn)證身份 SET中的角色持卡人、 發(fā)卡行、賣方、銀行、支付網(wǎng)關(guān)電子商務(wù)教程SETSET持卡人1遵循SET協(xié)議的訂單及信用卡號(hào)6 確認(rèn)商 家支付網(wǎng)關(guān)2 審核5 確認(rèn)銀行3 審核4 批準(zhǔn)認(rèn)證中心認(rèn)證認(rèn)證認(rèn)證發(fā)卡行電子商務(wù)教程34SMIME 具有郵件保密和簽名的功能 應(yīng)用級(jí)安全協(xié)議注：編碼是被加密的報(bào)文和密鑰按某種方式的連接隨機(jī)加隨機(jī)加密密鑰密密鑰收信人公鑰收信人公鑰待加密郵件待加密郵件Application/X.pkcs7-Mime報(bào)文報(bào)文以收信人公鑰對(duì)隨以收信人公鑰對(duì)隨機(jī)加密密鑰加密機(jī)加密密鑰加密加密加