電子商務(wù)安全技術(shù)縮減B版本

1、誠信聲明本課件中大量采用網(wǎng)絡(luò)及其他渠道搜集的相關(guān)文字信息和圖片信息,這些信息因數(shù)量巨大,無法一一列明出處,本人在此鄭重聲明:這些相關(guān)資料的版權(quán)歸原作者所有,本文引用僅僅用于教學(xué)目的。如有不妥,請與本人聯(lián)系,聯(lián)系方式: .在此對相關(guān)資料的作者所付出的辛勤勞動(dòng)表示衷心的感謝，并對作者表示誠摯敬意！整理ppt4 電子商務(wù)安全技術(shù) 4.1 電子商務(wù)安全需求概述4.2 常見網(wǎng)絡(luò)安全技術(shù)(防火墻/VPN）4.3 加密技術(shù)和認(rèn)證技術(shù)（數(shù)字證書）4.4 電子商務(wù)安全協(xié)議（SSL和SET)整理ppt本章教學(xué)目的、要求了解電子商務(wù)安全要求；了解防火墻等網(wǎng)絡(luò)安全技術(shù)；理解加密技術(shù)和認(rèn)證技術(shù)在電子商務(wù)中的應(yīng)用；理解S

2、SL與SET工作原理。 整理ppt引言：電子安全在電子商務(wù)中重要性B身份證AliSeyalBaowlrrA身份證計(jì)算機(jī)、信息處理、網(wǎng)絡(luò)技術(shù)使得偽造、假冒、移花接木易如翻掌.整理ppt您是否擔(dān)心過以下情況網(wǎng)絡(luò)監(jiān)聽？站點(diǎn)服務(wù)器正常連接網(wǎng)絡(luò)監(jiān)聽者屏幕輸入用戶名：abcde密碼：12345屏幕顯示用戶名：abcde密碼：12345信息被截獲安全整理ppt您是否擔(dān)心過以下情況假冒站點(diǎn)？服務(wù)器A網(wǎng)址 瀏覽者與服務(wù)器A連接，訪問站點(diǎn)服務(wù)器B假冒當(dāng)假冒服務(wù)器出現(xiàn)時(shí)安全當(dāng)瀏覽者輸入時(shí)，實(shí)際訪問的是服務(wù)器B，這樣他的私人信息就可能被B非法獲取整理ppt您是否擔(dān)心過以下情況不安全Email？人物甲人物乙Email偷

3、盜者郵件在傳送過程中被截取偷盜者篡改郵件后以甲的身份重新發(fā)送如果偷盜者截取Email后不發(fā)給乙，怎么辦？如果偷盜者直接假冒甲的身份給乙發(fā)了假郵件，怎么辦？乙收到該Email甲給乙發(fā)出Email安全整理ppt您是否擔(dān)心過以下情況抵賴？甲給乙發(fā)送了一封Email甲否認(rèn)發(fā)送過甲通過商家的網(wǎng)站購買了某些商品，并通過網(wǎng)絡(luò)支付了所需的貨款商家否認(rèn)收到過來自甲的購貨款安全整理ppt種種潛在的欺詐機(jī)會(huì)信息在網(wǎng)絡(luò)的傳輸過程中被截獲傳輸?shù)奈募赡鼙淮鄹膫卧祀娮余]件假冒他人身份不承認(rèn)網(wǎng)絡(luò)上已經(jīng)做過的事， 抵賴開放的互聯(lián)網(wǎng)存在計(jì)算機(jī)工具 + 高額價(jià)值的網(wǎng)上交易 + 開放的互聯(lián)網(wǎng) + 不道德的人們=無限的欺詐機(jī)會(huì)整理p

4、pt 目前電子商務(wù)中存在的安全問題系統(tǒng)被惡意入侵，數(shù)據(jù)庫的資料被竊取或破壞信息在傳輸過程中被泄漏信息在傳輸?shù)倪^程中被篡改難以確認(rèn)對方的身份信息發(fā)送方的抵賴.整理ppt4. 1 電子商務(wù)安全需求概述4.1.1 電子商務(wù)的安全威脅4.1.2 電子商務(wù)的安全需求4.1.3 電子商務(wù)的安全解決方案整理ppt4.1.1電子商務(wù)的安全威脅電子商務(wù)為銷售者和消費(fèi)者建立交易關(guān)系。電子商務(wù)應(yīng)對所有網(wǎng)絡(luò)用戶都是開放的，且應(yīng)方便、可靠和安全。電子商務(wù)的安全將是實(shí)現(xiàn)電子商務(wù)的基石。整理ppt現(xiàn)代電子商務(wù)是建立在Internet上的，而Internet是一個(gè)公用網(wǎng)絡(luò)，是不安全的，又是不可信的。事實(shí)上，作為電子商務(wù)基礎(chǔ)的

5、Internet最初的設(shè)計(jì)目標(biāo)是互操作性和開放，網(wǎng)絡(luò)的安全性并未得到足夠的重視，其安全性的問題便不斷被發(fā)現(xiàn)。整理ppt因此，在電子商務(wù)系統(tǒng)中無論是商品的銷售者還是消費(fèi)者都面臨許多安全威脅，主要的威脅綜合如下：整理ppt1、對銷售者的威脅（1）中央系統(tǒng)安全性被破壞；（2）競爭者檢索商品遞送狀況；（3）客戶資料被競爭者獲悉；（4）被他人假冒而損害公司的信譽(yù)；（5）消費(fèi)者提交訂單后不付款；（6）虛假訂單；整理ppt2、對消費(fèi)者的威脅（1）虛假訂單；（2）付款后不能收到商品；（3）機(jī)密性喪失；（4）拒絕服務(wù)。整理ppt4.1.2 電子商務(wù)的安全需求1、銷售者對電子商務(wù)的需求2、消費(fèi)者對電子商務(wù)的需求3

6、、電子商務(wù)的安全要求整理ppt1、銷售者對電子商務(wù)的需求（1）能鑒別消費(fèi)者身份的真實(shí)性和得到消費(fèi)者對商品或服務(wù)付款的能力；（2）知識(shí)產(chǎn)權(quán)保護(hù)；（3）有效的爭議解決機(jī)制。整理ppt2、消費(fèi)者對電子商務(wù)的需求（1）能對銷售者的自身出發(fā)進(jìn)行鑒別；（2）能保證消費(fèi)者的機(jī)密信息和個(gè)人隱私不被泄露給非授權(quán)的人；（3）有效的爭議解決機(jī)制。整理ppt3、電子商務(wù)的安全要求（1）真實(shí)性要求；（2）機(jī)密性要求；（3）完整性要求；（4）可用性要求；（5）不可否認(rèn)要求；（6）可控性。整理ppt4、電子商務(wù)系統(tǒng)所需的安全服務(wù)為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，

7、主要的安全服務(wù)包括：整理ppt（1）鑒別服務(wù)對人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個(gè)特定的身份時(shí)，鑒別服務(wù)將提供一種方法來驗(yàn)證其聲明的正確性。整理ppt（2）訪問控制服務(wù)訪問控制服務(wù)通過授權(quán)來對使用資源的方式進(jìn)行控制，防止非授權(quán)使用或控制資源。它有助于達(dá)到機(jī)密性、完整性、可控性和建立責(zé)任機(jī)制。整理ppt（3）機(jī)密性服務(wù)機(jī)密性服務(wù)的目標(biāo)是為電子商務(wù)參與者的信息在存儲(chǔ)、處理、傳輸過程中提供機(jī)密性保證，防止信息被泄露給非授權(quán)的人或?qū)嶓w。整理ppt（4）不可否認(rèn)服務(wù)不可否認(rèn)服務(wù)針對的是來自合法用戶的威脅。否認(rèn)是指電子商務(wù)活動(dòng)者否認(rèn)其所進(jìn)行的操作。不可否認(rèn)服務(wù)就

8、是為交易的雙方提供不可否認(rèn)的證據(jù)來為解決因否認(rèn)而產(chǎn)生的爭議提供支持。它實(shí)際上建立了交易雙方的責(zé)任機(jī)制。整理ppt4.1.3 電子商務(wù)的安全解決方案安全需求 解決方案 采用技術(shù)防止數(shù)據(jù)被泄漏或篡改(機(jī)密性、完整性)加密數(shù)據(jù)以防非法讀取或篡改 對稱加密、非對稱加密、信息摘要 （MD）防止冒名發(fā)送數(shù)據(jù)或發(fā)送數(shù)據(jù)后抵賴(真實(shí)性、有效性、不可抵賴性)對信息的發(fā)送者進(jìn)行身份驗(yàn)證數(shù)字簽名、數(shù)字時(shí)間戳、認(rèn)證技術(shù)防止未經(jīng)授權(quán)擅自的訪問網(wǎng)絡(luò)(可靠性，嚴(yán)密性)對訪問網(wǎng)絡(luò)或服務(wù)器某些流量進(jìn)行過濾和保護(hù)防病毒、防火墻 網(wǎng)絡(luò)對特定對象開放專用網(wǎng)絡(luò)保證操作系統(tǒng)、應(yīng)用軟件的安全用戶注冊、用戶權(quán)限用戶名、密碼保證數(shù)據(jù)庫安全訪問

9、控制、數(shù)據(jù)備份與管理DBMS1.常見電子商務(wù)安全解決方案及采用的技術(shù)整理ppt 2.電子商務(wù)安全基礎(chǔ)架構(gòu)（技術(shù)構(gòu)成） 電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)支付系統(tǒng) 安全應(yīng)用協(xié)議SET、SSL、S/HTTP、S/MIME 安全認(rèn)證技術(shù)數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系（PKI） 加密技術(shù)非對稱密鑰加密、對稱密鑰加密、DES、RSA 網(wǎng)絡(luò)安全安全策略、防火墻、虛擬專用網(wǎng)、網(wǎng)絡(luò)安全檢測、安全工具包整理ppt4. 2 常見網(wǎng)絡(luò)安全技術(shù)4.2.1 防火墻技術(shù)4.2.2 VPN技術(shù)整理ppt4.2.1 防火墻技術(shù)Windows 防火墻整理ppt 1、防火墻含義一種計(jì)算機(jī)硬件和軟件的結(jié)合，使互聯(lián)網(wǎng)（Internet

10、）與內(nèi)部網(wǎng)（Intranet）之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。整理pptWindows 防火墻的啟用整理ppt2、防火墻的功能、過濾不安全的用戶和非法用戶、控制對特殊站點(diǎn)的訪問、作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)整理ppt3、防火墻策略“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”包過濾只過濾端口號(hào)和IP信息，具體傳輸內(nèi)容無法處理應(yīng)用層過濾功能更強(qiáng)大，可進(jìn)行傳輸內(nèi)容過濾安全與性能的結(jié)合考慮整理ppt包過濾和應(yīng)用層過濾整理ppt4、防火墻的局限性、防火墻無法防范內(nèi)部用戶的攻擊、防火墻無法防范不通過它的連接、限制了有用的網(wǎng)絡(luò)訪問、防火墻

11、很難防范病毒安全與性能防火墻與殺毒軟件整理ppt4.2.2 VPN技術(shù)虛擬專用網(wǎng)絡(luò)(Virtual Private Network)整理ppt為什么要采用VPN ?用戶遠(yuǎn)程訪問網(wǎng)絡(luò)的安全性主要包括兩個(gè)方面：一是不允許非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)，如通過用身份識(shí)別ID和密碼驗(yàn)證用戶，或采用RADIUS等安全協(xié)議驗(yàn)證用戶等；二是保證授權(quán)用戶安全連接、訪問內(nèi)部網(wǎng)絡(luò)，即遠(yuǎn)程用戶連接內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源的信道是安全的，防止別有用心的人的竊聽、對信息的截獲和篡改等操作。 整理ppt1.虛擬專用網(wǎng)絡(luò)VPN的定義 虛擬專用網(wǎng)絡(luò)（VPN）是遠(yuǎn)程客戶機(jī)使用基于 TCP/IP協(xié)議的專門的隧道協(xié)議（如PPTP、L2T

12、P），通過虛擬專用網(wǎng)絡(luò)服務(wù)器的虛擬端口，穿越其他網(wǎng)絡(luò)（如Internet），實(shí)現(xiàn)一種邏輯上的直接連接。整理ppt在公共網(wǎng)絡(luò)上組建的VPN可以使企業(yè)現(xiàn)有的VAN （Value-Added NetWork,增值網(wǎng)）一樣提供安全性、可靠性和可管理性等.整理ppt2.虛擬專用網(wǎng)(VPN)的結(jié)構(gòu)Windows 2000 VPN ServerInternet AdapterIntranet AdapterCorporateIntranetVPN Remote Access ClientInternetTunnel整理ppt3.虛擬專用網(wǎng)(VPN)的工作原理VPN 服務(wù)器Internet 適配器Intran

13、et 適配器公司內(nèi)部網(wǎng)絡(luò)VPN 遠(yuǎn)程訪問客戶機(jī)Internet隧道 整理ppt 4. VPN數(shù)據(jù)傳輸協(xié)議ClientServerPPTP基于IP的互聯(lián)網(wǎng)絡(luò)沒有報(bào)頭壓縮沒有隧道身份驗(yàn)證采用PPP加密L2TP基于多種廣域網(wǎng)絡(luò)連接介質(zhì)如幀中繼,IP,X.25.報(bào)頭壓縮隧道身份驗(yàn)證使用IPSec 加密InternetPPTP or L2TP整理pptVPN的安全協(xié)議(一)PPTPPoint to Point Tunnel Protocal(點(diǎn)對點(diǎn)隧道協(xié)議) 通過Internet的數(shù)據(jù)通信，需要對數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個(gè)功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。整理pptL

14、2TPLayer2 Tunneling Protocol(第二層隧道協(xié)議) PPTP和L2TP十分相似，因?yàn)長2TP有一部分就是采用PPTP協(xié)議，兩個(gè)協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP還支持信道認(rèn)證。VPN的安全協(xié)議(二)整理pptIPSECInternet Portocol Security(因特網(wǎng)協(xié)議安全) 它用于確保網(wǎng)絡(luò)層之間的安全通信。SOCKs SOCKs是一個(gè)網(wǎng)絡(luò)連接的代理協(xié)議，SOCKs能將連接請求進(jìn)行鑒別和授權(quán)，并建立代理連接和傳送數(shù)據(jù)。VPN的安全協(xié)議(二)整理ppt(1)降低費(fèi)用(2)增強(qiáng)的安全性 (3)網(wǎng)絡(luò)協(xié)議支持5. VPN所帶來的好處整理ppt4.3 加密

15、與認(rèn)證技術(shù)4.3.1 加密技術(shù)基礎(chǔ)4.3.2 認(rèn)證技術(shù)4.3.3 數(shù)字證書&CA整理ppt4.3.1加密技術(shù)基礎(chǔ)1.數(shù)據(jù)加密數(shù)據(jù)加密保護(hù)就是采取一定的技術(shù)和措施，對網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和通信介質(zhì)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使得加密后的數(shù)據(jù)不能被無關(guān)的用戶識(shí)別，提高數(shù)據(jù)的保密性。整理ppt 加解密示意圖加密是在不安全的信息渠道中實(shí)現(xiàn)安全傳輸?shù)闹匾椒ㄕ韕pt數(shù)據(jù)加密離不開密碼技術(shù)。密碼技術(shù)是對存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛芙粨Q的以防止第三者竊取信息的通信技術(shù)。密碼技術(shù)分為加密（Encryption）和解密（Decryption）兩部分。整理ppt加密：是把需要加密的報(bào)文（簡稱明文Plaintext）利用

16、密鑰按照某種算法進(jìn)行變化，產(chǎn)生密碼文件（簡稱密文Ciphertext）。解密：是利用密鑰把密文還原成明文的過程整理ppt密鑰：是一個(gè)數(shù)值，它加密算法一起生成特別的密文。密鑰本質(zhì)是一個(gè)非常大的數(shù)，其大小用位（bit）表示，顯然，密鑰越大，密文就越安全，被破譯的幾率就越小。整理ppt數(shù)據(jù)加密傳輸?shù)哪Ｐ屠妹艽a技術(shù)，在信源和通信信道之間對報(bào)文進(jìn)行加密，經(jīng)過信道傳輸，在信宿對接收的信息進(jìn)行解密，以實(shí)現(xiàn)網(wǎng)絡(luò)的保密通信。整理ppt發(fā)送端接收端明文信息X加密算法E密文信息Y密文信息YyyyyyyY解密算法D加密密鑰Ke解密密鑰Kd明文信息X信道整理ppt凱撒密碼法定義為： E(P) (P+K) mod 26

17、 C 其中 E 是加密函數(shù) P 是明文的字母 K 是右移量 C 是密文后字母 整理ppt加密算法有賴于數(shù)學(xué)，越先進(jìn)的算法所涉及的數(shù)學(xué)知識(shí)深?yuàn)W。當(dāng)代加密技術(shù)趨向于使用一套公開的算法及密鑰完成對明文的加密。其理由是，加密算法開發(fā)比較復(fù)雜，而公開的算法可使加密技術(shù)成為標(biāo)準(zhǔn)，也便于用硬件來實(shí)施，提高加密的速度。整理ppt2.對稱密鑰密碼體系對稱密鑰密碼體系(Symmetric Cryptography)又稱對稱密鑰技術(shù)。對稱鑰匙加密系統(tǒng)是加密和解密均采用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。 整理ppt對稱加密技術(shù)密鑰加密數(shù)據(jù)密鑰解密數(shù)據(jù)整理ppt對稱密鑰密碼體系的優(yōu)點(diǎn)是加

18、密、解密速度很快(高效)，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰。DES密碼體制最有名的密碼算法 ；第一個(gè)被公開的現(xiàn)代密碼 由IBM于1971年至1972年研制成功整理pptDES密碼體制DES密碼體制分組長度：64比特密鑰長度：56比特目前DES已被視為不安全，普遍使用的是變種triple DES，即對64比特分組加密三次，每次用不同的密鑰，密鑰長度總共168比特。整理ppt3. 非對稱密鑰密碼體系非對稱密鑰密碼體系(Asymmetric Cryptography)也稱公開密鑰技術(shù)。在該體制中，加密密鑰（又稱公開密鑰）PK是對外公開的，加密算法E和解密算法D也是公開的，但解密密鑰（又稱秘密

19、密鑰）SK是保密的。雖然SK是由PK決定的，但卻不能根據(jù)PK計(jì)算出SK。整理ppt私鑰公鑰公開密鑰加密技術(shù)加密數(shù)據(jù)解密數(shù)據(jù)整理ppt非對稱密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，使用靈活，密鑰較少。弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度，必須使用較長的密鑰。整理ppt公開密鑰算法具有以下特點(diǎn)： 用加密密鑰PK對明文X加密后，再用解密密鑰SK解密即得明文，即DSK(EPK(X)=X；加密密鑰不能用來解密，即DPK(EPK(X)X；在計(jì)算機(jī)上可以容易地產(chǎn)生成對的PK和SK，但從已知的PK不可能推導(dǎo)出SK。整理ppt 對稱 公開密鑰加解密速度數(shù)據(jù)量大時(shí)的適用性密鑰分發(fā)容易性密鑰管理方便性 對稱與公開密鑰技術(shù)比較整理

20、ppt對公鑰密碼算法的誤解公開密鑰算法比對稱密鑰密碼算法更安全？任何一種算法都依賴于密鑰長度、破譯密碼的工作量，從抗分析角度，沒有一方更優(yōu)越公開密鑰算法使對稱密鑰成為過時(shí)了的技術(shù)？公開密鑰很慢，只能用在密鑰管理和數(shù)字簽名，對稱密鑰密碼算法將長期存在使用公開密鑰加密，密鑰分配變得非常簡單？事實(shí)上的密鑰分配既不簡單，也不有效整理pptRSA算法的安全性1999年8月，荷蘭國家數(shù)學(xué)與計(jì)算機(jī)科學(xué)研究所家們的一組科學(xué)家成功分解了512bit的整數(shù)，大約300臺(tái)高速工作站與PC機(jī)并行運(yùn)行，整個(gè)工作花了7個(gè)月。現(xiàn)有的RSA密碼體制支持的密鑰長度有512、1024、2048、4096等。整理ppt目前的加密解

21、密技術(shù)已經(jīng)可以保證電子商務(wù)的安全集成現(xiàn)有應(yīng)用最有效的安全技術(shù)建立身份認(rèn)證過程的權(quán)威性框架為交易的參與方提供安全保障保證用戶不會(huì)因?yàn)榧用芎兔荑€管理比較復(fù)雜而影響使用。用戶不必做大的更動(dòng)。整理ppt4.3.2 認(rèn)證技術(shù) 數(shù)字信封技術(shù) 數(shù)字簽名技術(shù) 數(shù)據(jù)加密解密與身份認(rèn)證流程整理ppt 數(shù)字信封技術(shù)對稱密鑰 加密傳遞的信息公開密鑰 加密“對稱密鑰” 或稱數(shù)字信封 =數(shù)字信封技術(shù)公鑰密鑰整理ppt信息發(fā)送的基本原理整理ppt接收方取得信息的過程整理ppt綜合考慮公開密鑰和對稱密鑰的優(yōu)缺點(diǎn)可以保證傳輸速率和同時(shí)保證加密安全整理ppt 數(shù)字簽名技術(shù)整理ppt數(shù)字簽名：采用數(shù)學(xué)函數(shù)對信息進(jìn)行摘要處理， 得到

22、的摘要用個(gè)人簽名私鑰加密。個(gè)人簽名私鑰只有本人知道。數(shù)字簽名向接收方保證：信息來自真實(shí)的發(fā)送方， 收到的有數(shù)字簽名的信息沒有別人被篡改過。整理ppt安全的數(shù)字簽名整理ppt數(shù)字簽名過程將待發(fā)送信息原文做摘要有時(shí)稱為摘要或數(shù)字指紋用簽名私鑰對摘要進(jìn)行加密（簽名）被加密的摘要稱為簽名塊簽名塊附在信息原文后面一起發(fā)送整理ppt驗(yàn)證數(shù)字簽名收到簽名數(shù)據(jù)包對信息部分進(jìn)行摘要對簽名部分用發(fā)送方公鑰解密得到摘要比較兩個(gè)摘要是否相同相同則數(shù)字簽名有效整理ppt完整性驗(yàn)證原理 單向摘要函數(shù)信息原文的數(shù)字化摘要不能根據(jù)摘要推出原文計(jì)算速度很快長度為128-160Bits摘要驗(yàn)證對接收到的信息 重做摘要 - 摘要2

23、 比較摘要2與摘要1Hashing摘要函數(shù)機(jī)摘要函數(shù)機(jī)摘要1算法: MD2, MD4, MD5, SHA-1 低成本，任何大小的信息都可以處理信息比較摘要1信息信息摘要2摘要2摘要1整理ppt 發(fā)送方不可抵賴的證據(jù)數(shù)字簽名使接收方可以得到保證： 文件確實(shí)來自聲稱的發(fā)送方。 鑒于簽名私鑰只有發(fā)送方自己保存，他人無法做一樣的數(shù)字簽名,因此他不能否認(rèn)他參與了交易。整理ppt 數(shù)據(jù)加密解密與身份認(rèn)證流程用戶B數(shù)字證書用戶A數(shù)字證書加密數(shù)字信封數(shù)字簽名數(shù)字簽名解密密文明文明文加密Hash加密密文A用戶用戶A的私有簽名密鑰數(shù)字簽名對稱密鑰+密文加密解密用戶A數(shù)字證書數(shù)字簽名明文信息摘要信息摘要比較Hash

24、+用戶A的公開簽名密鑰用戶B的私有密鑰B用戶用戶B的公開簽名密鑰對稱密鑰對稱密鑰+對稱密鑰信息摘要數(shù)字信封數(shù)字信封整理ppt1. 數(shù)據(jù)加密解密、身份認(rèn)證流程A用戶先用Hash算法對發(fā)送發(fā)信息（即“明文”）進(jìn)行運(yùn)算，形成“信息摘要”，并用自己的私人密鑰對其加密，從而形成數(shù)字簽名。A用戶再把數(shù)字簽名及自己的數(shù)字證書附在明文后面。A用戶隨機(jī)產(chǎn)生的對稱密鑰（DES密鑰）對明文進(jìn)行加密，形成密文。為了安全把A用戶隨機(jī)產(chǎn)生的對稱密鑰送達(dá)B用戶，A用戶用B用戶的公開密鑰對其進(jìn)行加密，形成了數(shù)字信封。這樣A用戶最后把密文和數(shù)字信封一起發(fā)送給B用戶。整理ppt2. 數(shù)據(jù)加密解密、身份認(rèn)證流程（續(xù)）B用戶收到A用

25、戶的傳來的密文與數(shù)字信封后，先用自己的私有密鑰對數(shù)字信封進(jìn)行解密，從而獲得A用戶的DES密鑰，再用該密鑰對密文進(jìn)行解密，繼而得到明文、A用戶的數(shù)字簽名及用戶的數(shù)字證書。為了確?！懊魑摹钡耐暾?，B用戶把明文用Hash算法對明文進(jìn)行運(yùn)算，形成“信息摘要”。同時(shí)B用戶把A用戶的數(shù)字簽名用A用戶的公開密鑰進(jìn)行解密，從而形成另一“信息摘要1”。B用戶把“信息摘要”與“信息摘要1”進(jìn)行比較，若一致，說明收到的“明文”沒有被修改過。整理ppt4.3.3 數(shù)字證書&CA 數(shù)字證書 認(rèn)證中心CA整理ppt 數(shù)字證書 1.什么是數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Inte

26、rnet上驗(yàn)證您身份的方式。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含擁有者信息以及公開密鑰的文件。整理ppt數(shù)字證書解決了公鑰發(fā)放問題，公鑰匙擁有者身份的表征，對方可以據(jù)此驗(yàn)證擁有者的身份CA中心對含有公鑰的證書進(jìn)行數(shù)字簽名，使證書無法偽造。證書的格式遵循ITU X.509國際標(biāo)準(zhǔn)。整理ppt數(shù)字證書與護(hù)照、身份證的共同點(diǎn)由可信任的權(quán)威機(jī)構(gòu)頒發(fā)表明個(gè)人的身份有效期結(jié)束后需重新申領(lǐng)被社會(huì)承認(rèn)和接受整理ppt讀更改證書用戶的權(quán)利證書規(guī)定用戶個(gè)人的權(quán)利： 可讀， 不可更改整理ppt2.數(shù)字證書原理數(shù)字證書利用一對互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)

27、行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。整理ppt3. 數(shù)字證書的作用 在使用數(shù)字證書的過程中應(yīng)用公開密鑰加密技術(shù)，建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，它能夠保證： 信息除發(fā)送方和接受方外不被其他人竊?。恍畔⒃趥鬏斶^程中不被篡改；接收方能夠通過數(shù)字證書來確認(rèn)發(fā)送方的身份；發(fā)送方對于自己發(fā)送的信息不能抵賴。整理ppt4.一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容證書的版本信息；證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式

28、；證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；證書所有人的名稱，命名規(guī)則一般采用X.500格式；證書所有人的公開密鑰；證書發(fā)行者對證書的數(shù)字簽名。整理ppt5.證書類型(按應(yīng)用分)個(gè)人（或客戶端）證書：該類證書證明客戶的公鑰和身份。在某些場合，如建立SSL連接或交易服務(wù)時(shí)， 服務(wù)器可能需要客戶端的證書 服務(wù)器（或站點(diǎn)）證書：該類證書證明服務(wù)器的身份和公鑰。在與客戶端建立SSL連接的場合，服務(wù)器將它的證書發(fā)給客戶 。安全電子郵件證書：該類證書用于證明電子郵件使用者的身份和公鑰 CA證書： 證書認(rèn)證中心簽名密鑰的證書。軟件代碼證書：對軟件進(jìn)行簽名整理ppt

29、6.數(shù)字證書的存儲(chǔ)介質(zhì)CA 數(shù)據(jù)庫給每一位用戶登記一個(gè)唯一的證書電子標(biāo)識(shí)電子標(biāo)識(shí)以保護(hù)格式存儲(chǔ)通過使用用戶口令進(jìn)行合法操作或采用 PCMCIA令牌卡，高安全級別磁盤介質(zhì)存儲(chǔ)A先生IC卡介質(zhì)存儲(chǔ)USB接口棒整理ppt7.數(shù)字證書的保管數(shù)字證書是持有人身份的表征。任何由該數(shù)字證書簽發(fā)的文件視為證書持有人發(fā)生的行為。妥善保管數(shù)字證書的介質(zhì)。（IC、軟盤、硬盤）發(fā)現(xiàn)證書被竊后，立即掛失。整理ppt 認(rèn)證中心(CA)1.什么是認(rèn)證中心CA（Certification Authority）認(rèn)證中心是進(jìn)行網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的工作就是受理數(shù)字證書的申請、簽

30、發(fā)數(shù)字證書以及對數(shù)字證書進(jìn)行管理。在電子商務(wù)交易中，需要有這樣具有權(quán)威性和公正性的第三方來完成認(rèn)證工作，使電子商務(wù)交易能夠正常進(jìn)行。例子：廣東省電子商務(wù)認(rèn)證中心整理ppt2.PKI(公鑰基礎(chǔ)設(shè)施)PKI（Public Key Infrastructure：公鑰基礎(chǔ)設(shè)施）：是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI技術(shù)是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù).PKI利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問題。整理ppt2. 基于PKI體系的CA認(rèn)證中心CA（Certificati

31、on Authority）中心在電子商務(wù)中的作用基于PKI體系的CA認(rèn)證是解決網(wǎng)上身份認(rèn)證和交易的安全問題。CA是PKI體系中的認(rèn)證機(jī)構(gòu)。一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。CA中心是公正、中立、權(quán)威的第三方機(jī)構(gòu)CA是電子商務(wù)的安全基礎(chǔ)設(shè)施CA基本模塊整理ppt3. CA中心與數(shù)字證書CA是被信任的第三方，其中心任務(wù)是頒發(fā)數(shù)字證書;負(fù)責(zé)驗(yàn)證發(fā)證對象的物理身份和密鑰所有權(quán);CA是一個(gè)權(quán)威性的機(jī)構(gòu)；CA保證數(shù)字身份證的唯一性和非篡改性;每個(gè)用戶可獲得CA中心的公開密鑰（CA根證書），驗(yàn)證任何一張數(shù)字證書的數(shù)字簽名，從而確定證書是否是CA中心簽發(fā)。整理ppt數(shù)字證

32、書的基本目的：將個(gè)人的姓名與公鑰綁定CA實(shí)現(xiàn)了現(xiàn)實(shí)生活中的身份認(rèn)證過程證書有CA的數(shù)字簽名CA是發(fā)放證書的權(quán)威機(jī)構(gòu) 摘要函數(shù)機(jī) 簽名數(shù)字證書用戶按CA規(guī)定登記個(gè)人信息， CA核實(shí)后， 將用戶信息和公鑰送到證書制作處。CA私鑰 附在證書 后面數(shù)字證書用戶姓名用戶公鑰證書有效期發(fā)證機(jī)構(gòu)用戶其他信息 證書摘要摘要1摘要1證書制作領(lǐng)證過程姓名用戶公鑰證書有效期發(fā)證機(jī)構(gòu)名稱及地址用戶其它信 息3. CA中心與數(shù)字證書(續(xù))整理ppt 多信任域 的信任機(jī)制樹形結(jié)構(gòu)- 建立自下向上的信任鏈， 下級CA信任上級CA， 下級CA靠上級CA頒發(fā)證書并認(rèn)證邦聯(lián)結(jié)構(gòu) - 多極CA互相交叉信任根 CA二級 CA樹性結(jié)構(gòu)

33、CA邦聯(lián)結(jié)構(gòu)CACA二級 CA二級 CACACACACACACACACACACACACACA4. CA的層次結(jié)構(gòu)整理ppt4.4 電子商務(wù)安全協(xié)議（SSL和SET)4.4.1 安全套接層協(xié)議（SSL） 4.4.2 安全電子交易協(xié)議（SET）整理ppt4.4.1 安全套接層協(xié)議（SSL）SSL(Secure Socket Layer)協(xié)議的產(chǎn)生背景HTTP協(xié)議缺少安全保障SSL提供數(shù)據(jù)加密、數(shù)據(jù)完整性和認(rèn)證機(jī)制SSL協(xié)議的發(fā)展歷程1994年，Netscape開發(fā)了SSL協(xié)議，專門用于保護(hù)Web通訊，SSL1.0，不成熟SSL2.0，基本上解決了Web通訊的安全問題SSL3.0，1996年發(fā)布，增

34、加了一些算法，修改了一些缺陷整理pptSSL協(xié)議的設(shè)計(jì)目標(biāo)SSL協(xié)議被設(shè)計(jì)用來使用TCP提供一個(gè)可靠的端到端安全服務(wù)為兩個(gè)通訊個(gè)體之間提供保密性和完整性SSL協(xié)議的使用使用SSL協(xié)議的瀏覽器：Netscape的Navigator微軟的Internet Explorer整理pptInternet Explorer中的SSL設(shè)置整理pptSSL的體系結(jié)構(gòu)協(xié)議分為兩層底層：SSL記錄協(xié)議上層：SSL握手協(xié)議、SSL密碼變化協(xié)議、SSL警告協(xié)議整理pptSSL提供的服務(wù)身份認(rèn)證用數(shù)字證書實(shí)現(xiàn)的服務(wù)器認(rèn)證（防止冒名頂替） 保密性加密傳輸信息（防止竊聽） 數(shù)據(jù)完整性保證數(shù)據(jù)信息完整性（防止對數(shù)據(jù)的損壞） 整理pptSSL工作流程整理pptSSL工作流程SSL協(xié)議采用數(shù)字證書進(jìn)行雙端實(shí)體認(rèn)證,用非對稱加密算法進(jìn)行密鑰協(xié)商,用對稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過計(jì)算數(shù)字摘要來驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改和偽造,從而為敏感數(shù)據(jù)在Internet上的傳輸提供了一種安全保障手段。整理pptOpen SSL（補(bǔ)充）OpenSSL 是一個(gè)開放源代碼的SSL協(xié)議的產(chǎn)品實(shí)現(xiàn)，它采用C語言作為開發(fā)語言，具備了跨系統(tǒng)的性能。調(diào)用OpenSSL 的函數(shù)就可以實(shí)現(xiàn)一個(gè)SSL加密的安全數(shù)據(jù)傳輸通道，從而保護(hù)客戶端和服務(wù)器之間數(shù)據(jù)的安全。整理ppt4.4.2 安全電子交易協(xié)議（SET