電子商務交易安全-課件

電子商務交易安全電子商務交易安全1

主要內容4.1電子商務安全概述4.2電子商務安全技術4.3電子商務安全協議

主要內容4.1電子商務安全概述2學習要求了解電子商務安全的現狀、威脅，掌握電子商務安全的要素、體系；掌握數據加密技術的基本原理和相關知識，了解數字摘要、數字簽名、數字證書等相關知識；掌握防火墻技術的基本概念；掌握電子商務安全協議（包括SSL和SET）的基本概念，了解其他知識學習要求了解電子商務安全的現狀、威脅，掌握電子商務安全的要素34.1電子商務安全概述4.1.1電子商務安全現狀4.1.2電子商務安全威脅4.1.3電子商務安全要素4.1.4電子商務安全體系4.1電子商務安全概述4.1.1電子商務安全現狀44.1電子商務系統危險1．基于信息屬性的本源性脆弱2．基于系統復雜性的結構脆弱3．基于攻防不對稱的脆弱4．計算機網絡的脆弱性5.信息系統平臺的脆弱性6。芯片和數據庫的安全脆弱4.1電子商務系統危險1．基于信息屬性的本源性脆弱54.1.1電子商務安全現狀1．安全漏洞2．病毒危害3．黑客襲擊4．網絡仿冒4.1.1電子商務安全現狀1．安全漏洞61．安全漏洞安全漏洞是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。1．安全漏洞安全漏洞是指在硬件、軟件、協議的具體實現或系統安72．病毒危害計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有危害性、寄生性、傳染性、潛伏性和隱蔽性等特性。2．病毒危害計算機病毒是指編制或者在計算機程序中插入的破壞計83．黑客襲擊黑客是Hacker的音譯，原意是指有造詣的電腦程序設計者?，F在則專指那些利用自己掌握的電腦技術，偷閱、篡改或竊取他人機密數據資料，或利用網絡進行犯罪的人3．黑客襲擊黑客是Hacker的音譯，原意是指有造詣的電腦程94．網絡仿冒網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是不法分子使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼或其他有價值的個人信息，隨后利用騙得的帳號和密碼竊取受騙者金錢。4．網絡仿冒網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是104.1.2電子商務安全威脅1．賣方面臨的安全威脅2．買方面臨的安全威脅3．黑客攻擊電子商務系統的手段4.1.2電子商務安全威脅1．賣方面臨的安全威脅111．賣方面臨的安全威脅（1）系統中心安全性被破壞（2）競爭者的威脅（3）商業(yè)機密的安全（4）假冒的威脅（5）信用的威脅1．賣方面臨的安全威脅（1）系統中心安全性被破壞122．買方面臨的安全威脅（1）虛假訂單（2）付款后不能收到商品（3）機密性喪失（4）拒絕服務2．買方面臨的安全威脅（1）虛假訂單13在網絡的傳輸過程中信息被截獲電子商務面臨的安全威脅篡改傳輸的文件非法入侵假冒他人身份信息的泄露不承認或抵賴已經做過的交易濫用在網絡的傳輸過程中信息被截獲電子商務面臨的安全威脅篡改傳143．黑客攻擊電子商務系統的手段（1）中斷（攻擊系統的可用性）；（2）竊聽（攻擊系統的機密性）；（3）篡改（攻擊系統的完整性）；（4）偽造（攻擊系統的真實性）。3．黑客攻擊電子商務系統的手段（1）中斷（攻擊系統的可用性）154.1.3電子商務安全要素1．可靠性2．真實性3．機密性4．匿名性5．完整性6．有效性7．不可抵賴性4.1.3電子商務安全要素1．可靠性164.1.4電子商務安全體系1．通信安全2．交易安全3．電子商務安全體系的層次結構4.1.4電子商務安全體系1．通信安全17電子商務安全體系的層次結構電子商務安全體系的層次結構184.2電子商務安全技術4.2.1數據加密技術4.2.2數字摘要技術4.2.3數字簽名技術4.2.4數字證書4.2.5數字信封技術4.2.6數字時間戳技術4.2.7防火墻技術4.2電子商務安全技術4.2.1數據加密技術194.2.1數據加密技術1．加密的概念與基本方法2．現代加密技術4.2.1數據加密技術1．加密的概念與基本方法201．加密的概念與基本方法（1）加密的概念加密（Encryption）就是用基于數學算法的程序和加密的密鑰對信息進行編碼，生成別人難以理解的符號，以便只有接收者和發(fā)送者才能復原信息。1．加密的概念與基本方法（1）加密的概念21加密系統運作的示意圖加密系統運作的示意圖222．現代加密技術（1）對稱密鑰密碼體制（2）非對稱密鑰密碼體制2．現代加密技術（1）對稱密鑰密碼體制23（1）對稱密鑰密碼體制1）基本概念對稱密鑰密碼體制是加密和解密使用單一的相同密鑰的加密制度。對稱密碼體制的加密和解密過程使用同一算法。通信時發(fā)送方和接受方必須相互交換密鑰，當發(fā)送方需要發(fā)送信息給接受方時，發(fā)送方用自己的加密密鑰對明文進行加密，而接受方在接收到密文后，用發(fā)送方的密鑰進行解密得到明文。（1）對稱密鑰密碼體制1）基本概念24對稱密鑰密碼體制示意圖對稱密鑰密碼體制示意圖25（2）非對稱密鑰密碼體制1）非對稱密鑰密碼體制的基本概念2）RSA（2）非對稱密鑰密碼體制1）非對稱密鑰密碼體制的基本概念261）非對稱密鑰密碼體制的基本概念非對稱密鑰密碼體制與對稱密鑰密碼體制的最大不同點就是：加密密鑰和解密密鑰不同。在非對稱密鑰密碼體制中，需要將這兩個不同的密鑰區(qū)分為公開密鑰（PublicKey，PK）和私有密鑰（SecreteKey，SK）。1）非對稱密鑰密碼體制的基本概念非對稱密鑰密碼體制與對稱密鑰27非對稱密鑰密碼體制也稱作公鑰密碼體制、雙鑰密碼體制。顧名思義，公開密鑰就是該密鑰信息可以告訴他人，屬于公開性質的；私有密鑰是指屬于某個用戶或者實體獨自享有的信息，對他人來說該信息是保密的。PK與SK是成對出現的，換句話說，存在一個PK就必然有配對的SK；反過來類似，存在一個SK就存在對應的PK。公鑰密碼體制用其中一個密鑰進行加密，則另外一個密鑰就用于解密，比如PK用作加密時，SK就用于解密。非對稱密鑰密碼體制也稱作公鑰密碼體制、雙鑰密碼體制。顧名思義28公鑰和私鑰是不同的，公鑰可以公開地從接收方傳送到發(fā)送方。使用的時候，發(fā)送方用接收方的公鑰將信息加密，然后密文通過網絡傳送給接收方，接收方用自己的私鑰將其解密，除了私鑰擁有者以外，沒有任何人能將其解密。公鑰和私鑰是不同的，公鑰可以公開地從接收方傳送到發(fā)送方。使用29非對稱密鑰密碼機制示意圖非對稱密鑰密碼機制示意圖304.2.2數字摘要技術1．數據的完整性2．數字摘要原理3．報文摘要算法MD54．安全散列算法SHA-15．數字摘要技術在電子商務中的應用4.2.2數字摘要技術1．數據的完整性311．數據的完整性（1）什么是數據的完整性是指數據處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質或狀態(tài)”（2）數據完整性被破壞會帶來嚴重的后果（3）保證數據完整性的方法1．數據的完整性（1）什么是數據的完整性322．數字摘要原理數字摘要，也稱報文摘要（MessageDigest），是指根據報文推導出來的能反應報文特征、且具有固定長度的特定信息。2．數字摘要原理數字摘要，也稱報文摘要（MessageDi33數字摘要過程數字摘要過程344.2.3數字簽名技術1．數字簽名概述2．數字簽名原理4.2.3數字簽名技術1．數字簽名概述351．數字簽名概述電子簽名起到與手工簽名同等作用，目的是保證交易的安全性、真實性與不可抵賴性，電子簽名需要以電子技術的手段來保證。實現電子簽名的技術手段有很多種，當前，在實際中普遍使用的是數字簽名技術，數字簽名是目前電子商務中技術最成熟，應用最廣泛的一種電子簽名方法。1．數字簽名概述電子簽名起到與手工簽名同等作用，目的是保證交362．數字簽名原理數字簽名是指附加在數據單元上的一些數據，或是對數據單元所做的密碼變換，這種數據或變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人（如接收者）偽造。通俗點講，數字簽名是指信息的發(fā)送者通過某種簽名方法產生的別人無法偽造的一段“特殊報文”，該“特殊報文”就是簽名，表明信息是由聲稱的發(fā)送方所發(fā)送的，且具有惟一性，他人不可仿造。2．數字簽名原理數字簽名是指附加在數據單元上的一些數據，或是37（1）數字簽名功能1）接收方能夠確認報文的來源真實，即能夠驗證報文的確是由聲稱的發(fā)送方所發(fā)送的。2）發(fā)送方對自己發(fā)送的報文不能否認。3）驗證報文在傳輸過程中是否保持完整性。（1）數字簽名功能1）接收方能夠確認報文的來源真實，即能夠驗38（2）數字簽名系統構成數字簽名系統包括簽名算法、驗證算法、簽名方、驗證方和簽名關鍵值。簽名算法對應加密算法、驗證算法對應解密算法、簽名方與驗證方分別對應報文的發(fā)送方與接收方，簽名關鍵值是指能夠標志簽名具有惟一性的關鍵因素，對應密碼系統中的密鑰。（2）數字簽名系統構成數字簽名系統包括簽名算法、驗證算法、簽39（3）公鑰密碼體制實現數字簽名的原理公鑰密碼體制中存在兩個密鑰：公鑰和私鑰，其中私鑰是只為某個特定實體所擁有的，他人不可知，基于公鑰密碼體制的數字簽名技術利用私鑰的惟一特性。發(fā)送信息的簽名方首先利用私鑰對報文或者報文摘要進行加密，加密后得到的密文作為簽名，連同相應的報文一起發(fā)送給接收方。接收方利用發(fā)送方的公鑰對簽名解密，并將得到結果與發(fā)送的報文或者報文摘要做比較，以確認簽名的真實性。（3）公鑰密碼體制實現數字簽名的原理公鑰密碼體制中存在兩個密40數字簽名原理數字簽名原理414.2.4數字證書1．數字證書2．公鑰基礎設施、證書政策和證書機構4.2.4數字證書1．數字證書421．數字證書（1）數字證書概念（2）數字證書的類型（3）數字證書的內容（4）數字證書的有效性（5）數字證書的使用（6）數字證書的發(fā)行1．數字證書（1）數字證書概念43（1）數字證書概念數字證書是標志網絡用戶身份信息的一系列數據，用來在網絡通信中識別通信對象的身份。即要在Internet上解決“我是誰”的問題，就如同現實中每一個人都要擁有一張證明個人身份的身份證一樣，以表明自己的身份。（1）數字證書概念數字證書是標志網絡用戶身份信息的一系列數據44（2）數字證書的類型1）個人證書（客戶證書）2）服務器證書（站點證書）3）企業(yè)證書（2）數字證書的類型1）個人證書（客戶證書）45根證書根證書是CA認證中心給自己頒發(fā)的證書,是信任鏈的起始點。安裝根證書意味著對這個CA認證中心的信任

根證書根證書是CA認證中心給自己頒發(fā)的證書,是信任鏈的起始點46服務器證書服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止欺詐釣魚站點。全球知名的服務器證書品牌有Globlesign，Verisign，Thawte，Geotrust等。

最新的高端服務器證書SSL證書產品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera9.5等新一代高安全瀏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網站的瀏覽器地址欄會自動呈現綠色，從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的服務器證書服務器證書被安裝于服務器設備上，用來證明服務器的身47個人證書客戶端個人證書客戶端證書主要被用來進行身份驗證和電子簽名。安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種，指紋識別、第三鍵確認，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。個人證書客戶端個人證書48CA機構CA機構，又稱為證書授證（CertificateAuthority）中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環(huán)節(jié)。由此可見，建設證書授權（CA）中心，是開拓和規(guī)范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發(fā)并管理符合國內、國際安全電子交易協議標準的電子商務安全證書。CA機構CA機構，又稱為證書授證（CertificateA49第三講電子商務交易安全課件50第三講電子商務交易安全課件51第三講電子商務交易安全課件524.2.6數字時間戳技術數字時間戳產生的過程為：用戶首先將需要加數字時間戳的文件用Hash編碼加密形成消息摘要，然后將該摘要發(fā)送到DTS機構，該機構對收到的文件摘要加入日期和時間信息后，再對該文件加密（數字簽名），然后送回用戶。4.2.6數字時間戳技術數字時間戳產生的過程為：用戶首先534.2.7防火墻技術1．防火墻的基本概念2．防火墻的類型3．幾種典型的防火墻的實現方式4.2.7防火墻技術1．防火墻的基本概念541．防火墻的基本概念防火墻是位于兩個（或多個）網絡間，實施網絡之間訪問控制的一組組件集合。圖4-14防火墻基本結構示意圖1．防火墻的基本概念防火墻是位于兩個（或多個）網絡間，實施網554.3電子商務安全協議4.3.1SSL協議4.3.2SET協議4.3.3其他協議4.3電子商務安全協議4.3.1SSL協議564.3.1SSL協議1．SSL概述SSL協議（SecureSocketsLayer）安全套接層協議是網景公司于1994年10月為其產品NetscapeNavigator而設計的數據傳輸安全標準。主要是在因特網環(huán)境下為交易雙方在交易的過程中提供最基本的點對點通信安全協議，以避免交易信息在通信的過程中被攔截、竊取、偽造及破壞。4.3.1SSL協議1．SSL概述57SSL協議的出現，基本解決了Web通信協議的安全問題，很快引起了大家的關注。1996年，Netscape公司發(fā)布了SSL3.0，它比SSL2.0更加成熟穩(wěn)定。SSL協議的出現，基本解決了Web通信協議的安全問題，很快引58第三講電子商務交易安全課件594.3.2SET協議1．SET支付系統的組成2．SET的安全措施3．SET與SSL協議的比較4．SET和SSL協議在我國網上銀行的應用4.3.2SET協議1．SET支付系統的組成60SET（SecureE1ectronicTransaction，安全電子交易協議）是美國VISA和MasterCard兩大信用卡組織等聯合于1997午5月31日推出的用于電子商務的行業(yè)規(guī)范，其實質是一種應用在因特網上以信用卡為基礎的電子付款系統規(guī)范，目的是為了保證網絡交易的安全。SET妥善地解決了信用卡在電子商務交易中的交易協議、信息保密、資料完整以及身份認證等問題。SET（SecureE1ectronicTransact611．SET支付系統的組成SET支付系統主要由持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（IssuingBank）、收單行（AcquiringBank）、支付網關（PaymentGateway）、認證中心（CertificateAuthority）等六個部分組成。

1．SET支付系統的組成SET支付系統主要由持卡人（Card62SET安全協議的工作原理SET安全協議的工作原理632．SET的安全措施（1）通過加密保證信息的機密性。（2）應用數字簽名技術進行鑒別（3）使用X.509v3數字證書來提供信任2．SET的安全措施（1）通過加密保證信息的機密性。643．SET與SSL協議的比較SSL協議的優(yōu)點是實現簡單，獨立于應用層協議，大部分內置于瀏覽器和Web服務器中，在電子交易中應用便利。但它的缺點是一個面向鏈接的協議，只能提供交易中客戶與服務器間的雙方認證，不能實現多方的電子交易。而SET協議的最大優(yōu)點是在保留對客戶信用卡認證的前提下增加了對商家身份的認證，安全性進一步提高。但其缺點是實現起來比較復雜，交易過程也比較耗費時間。3．SET與SSL協議的比較SSL協議的優(yōu)點是實現簡單，獨立65SET和SSL協議在我國網上銀行的應用中國銀行招商銀行SET和SSL協議在我國網上銀行的應用中國銀行664.3.3其他協議1．安全超文本傳輸協議2．S／MIME協議3．IPSec技術4．安全交易技術協議4.3.3其他協議1．安全超文本傳輸協議67電子商務交易安全電子商務交易安全68

主要內容4.1電子商務安全概述4.2電子商務安全技術4.3電子商務安全協議

主要內容4.1電子商務安全概述69學習要求了解電子商務安全的現狀、威脅，掌握電子商務安全的要素、體系；掌握數據加密技術的基本原理和相關知識，了解數字摘要、數字簽名、數字證書等相關知識；掌握防火墻技術的基本概念；掌握電子商務安全協議（包括SSL和SET）的基本概念，了解其他知識學習要求了解電子商務安全的現狀、威脅，掌握電子商務安全的要素704.1電子商務安全概述4.1.1電子商務安全現狀4.1.2電子商務安全威脅4.1.3電子商務安全要素4.1.4電子商務安全體系4.1電子商務安全概述4.1.1電子商務安全現狀714.1電子商務系統危險1．基于信息屬性的本源性脆弱2．基于系統復雜性的結構脆弱3．基于攻防不對稱的脆弱4．計算機網絡的脆弱性5.信息系統平臺的脆弱性6。芯片和數據庫的安全脆弱4.1電子商務系統危險1．基于信息屬性的本源性脆弱724.1.1電子商務安全現狀1．安全漏洞2．病毒危害3．黑客襲擊4．網絡仿冒4.1.1電子商務安全現狀1．安全漏洞731．安全漏洞安全漏洞是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。1．安全漏洞安全漏洞是指在硬件、軟件、協議的具體實現或系統安742．病毒危害計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有危害性、寄生性、傳染性、潛伏性和隱蔽性等特性。2．病毒危害計算機病毒是指編制或者在計算機程序中插入的破壞計753．黑客襲擊黑客是Hacker的音譯，原意是指有造詣的電腦程序設計者?，F在則專指那些利用自己掌握的電腦技術，偷閱、篡改或竊取他人機密數據資料，或利用網絡進行犯罪的人3．黑客襲擊黑客是Hacker的音譯，原意是指有造詣的電腦程764．網絡仿冒網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是不法分子使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼或其他有價值的個人信息，隨后利用騙得的帳號和密碼竊取受騙者金錢。4．網絡仿冒網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是774.1.2電子商務安全威脅1．賣方面臨的安全威脅2．買方面臨的安全威脅3．黑客攻擊電子商務系統的手段4.1.2電子商務安全威脅1．賣方面臨的安全威脅781．賣方面臨的安全威脅（1）系統中心安全性被破壞（2）競爭者的威脅（3）商業(yè)機密的安全（4）假冒的威脅（5）信用的威脅1．賣方面臨的安全威脅（1）系統中心安全性被破壞792．買方面臨的安全威脅（1）虛假訂單（2）付款后不能收到商品（3）機密性喪失（4）拒絕服務2．買方面臨的安全威脅（1）虛假訂單80在網絡的傳輸過程中信息被截獲電子商務面臨的安全威脅篡改傳輸的文件非法入侵假冒他人身份信息的泄露不承認或抵賴已經做過的交易濫用在網絡的傳輸過程中信息被截獲電子商務面臨的安全威脅篡改傳813．黑客攻擊電子商務系統的手段（1）中斷（攻擊系統的可用性）；（2）竊聽（攻擊系統的機密性）；（3）篡改（攻擊系統的完整性）；（4）偽造（攻擊系統的真實性）。3．黑客攻擊電子商務系統的手段（1）中斷（攻擊系統的可用性）824.1.3電子商務安全要素1．可靠性2．真實性3．機密性4．匿名性5．完整性6．有效性7．不可抵賴性4.1.3電子商務安全要素1．可靠性834.1.4電子商務安全體系1．通信安全2．交易安全3．電子商務安全體系的層次結構4.1.4電子商務安全體系1．通信安全84電子商務安全體系的層次結構電子商務安全體系的層次結構854.2電子商務安全技術4.2.1數據加密技術4.2.2數字摘要技術4.2.3數字簽名技術4.2.4數字證書4.2.5數字信封技術4.2.6數字時間戳技術4.2.7防火墻技術4.2電子商務安全技術4.2.1數據加密技術864.2.1數據加密技術1．加密的概念與基本方法2．現代加密技術4.2.1數據加密技術1．加密的概念與基本方法871．加密的概念與基本方法（1）加密的概念加密（Encryption）就是用基于數學算法的程序和加密的密鑰對信息進行編碼，生成別人難以理解的符號，以便只有接收者和發(fā)送者才能復原信息。1．加密的概念與基本方法（1）加密的概念88加密系統運作的示意圖加密系統運作的示意圖892．現代加密技術（1）對稱密鑰密碼體制（2）非對稱密鑰密碼體制2．現代加密技術（1）對稱密鑰密碼體制90（1）對稱密鑰密碼體制1）基本概念對稱密鑰密碼體制是加密和解密使用單一的相同密鑰的加密制度。對稱密碼體制的加密和解密過程使用同一算法。通信時發(fā)送方和接受方必須相互交換密鑰，當發(fā)送方需要發(fā)送信息給接受方時，發(fā)送方用自己的加密密鑰對明文進行加密，而接受方在接收到密文后，用發(fā)送方的密鑰進行解密得到明文。（1）對稱密鑰密碼體制1）基本概念91對稱密鑰密碼體制示意圖對稱密鑰密碼體制示意圖92（2）非對稱密鑰密碼體制1）非對稱密鑰密碼體制的基本概念2）RSA（2）非對稱密鑰密碼體制1）非對稱密鑰密碼體制的基本概念931）非對稱密鑰密碼體制的基本概念非對稱密鑰密碼體制與對稱密鑰密碼體制的最大不同點就是：加密密鑰和解密密鑰不同。在非對稱密鑰密碼體制中，需要將這兩個不同的密鑰區(qū)分為公開密鑰（PublicKey，PK）和私有密鑰（SecreteKey，SK）。1）非對稱密鑰密碼體制的基本概念非對稱密鑰密碼體制與對稱密鑰94非對稱密鑰密碼體制也稱作公鑰密碼體制、雙鑰密碼體制。顧名思義，公開密鑰就是該密鑰信息可以告訴他人，屬于公開性質的；私有密鑰是指屬于某個用戶或者實體獨自享有的信息，對他人來說該信息是保密的。PK與SK是成對出現的，換句話說，存在一個PK就必然有配對的SK；反過來類似，存在一個SK就存在對應的PK。公鑰密碼體制用其中一個密鑰進行加密，則另外一個密鑰就用于解密，比如PK用作加密時，SK就用于解密。非對稱密鑰密碼體制也稱作公鑰密碼體制、雙鑰密碼體制。顧名思義95公鑰和私鑰是不同的，公鑰可以公開地從接收方傳送到發(fā)送方。使用的時候，發(fā)送方用接收方的公鑰將信息加密，然后密文通過網絡傳送給接收方，接收方用自己的私鑰將其解密，除了私鑰擁有者以外，沒有任何人能將其解密。公鑰和私鑰是不同的，公鑰可以公開地從接收方傳送到發(fā)送方。使用96非對稱密鑰密碼機制示意圖非對稱密鑰密碼機制示意圖974.2.2數字摘要技術1．數據的完整性2．數字摘要原理3．報文摘要算法MD54．安全散列算法SHA-15．數字摘要技術在電子商務中的應用4.2.2數字摘要技術1．數據的完整性981．數據的完整性（1）什么是數據的完整性是指數據處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質或狀態(tài)”（2）數據完整性被破壞會帶來嚴重的后果（3）保證數據完整性的方法1．數據的完整性（1）什么是數據的完整性992．數字摘要原理數字摘要，也稱報文摘要（MessageDigest），是指根據報文推導出來的能反應報文特征、且具有固定長度的特定信息。2．數字摘要原理數字摘要，也稱報文摘要（MessageDi100數字摘要過程數字摘要過程1014.2.3數字簽名技術1．數字簽名概述2．數字簽名原理4.2.3數字簽名技術1．數字簽名概述1021．數字簽名概述電子簽名起到與手工簽名同等作用，目的是保證交易的安全性、真實性與不可抵賴性，電子簽名需要以電子技術的手段來保證。實現電子簽名的技術手段有很多種，當前，在實際中普遍使用的是數字簽名技術，數字簽名是目前電子商務中技術最成熟，應用最廣泛的一種電子簽名方法。1．數字簽名概述電子簽名起到與手工簽名同等作用，目的是保證交1032．數字簽名原理數字簽名是指附加在數據單元上的一些數據，或是對數據單元所做的密碼變換，這種數據或變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人（如接收者）偽造。通俗點講，數字簽名是指信息的發(fā)送者通過某種簽名方法產生的別人無法偽造的一段“特殊報文”，該“特殊報文”就是簽名，表明信息是由聲稱的發(fā)送方所發(fā)送的，且具有惟一性，他人不可仿造。2．數字簽名原理數字簽名是指附加在數據單元上的一些數據，或是104（1）數字簽名功能1）接收方能夠確認報文的來源真實，即能夠驗證報文的確是由聲稱的發(fā)送方所發(fā)送的。2）發(fā)送方對自己發(fā)送的報文不能否認。3）驗證報文在傳輸過程中是否保持完整性。（1）數字簽名功能1）接收方能夠確認報文的來源真實，即能夠驗105（2）數字簽名系統構成數字簽名系統包括簽名算法、驗證算法、簽名方、驗證方和簽名關鍵值。簽名算法對應加密算法、驗證算法對應解密算法、簽名方與驗證方分別對應報文的發(fā)送方與接收方，簽名關鍵值是指能夠標志簽名具有惟一性的關鍵因素，對應密碼系統中的密鑰。（2）數字簽名系統構成數字簽名系統包括簽名算法、驗證算法、簽106（3）公鑰密碼體制實現數字簽名的原理公鑰密碼體制中存在兩個密鑰：公鑰和私鑰，其中私鑰是只為某個特定實體所擁有的，他人不可知，基于公鑰密碼體制的數字簽名技術利用私鑰的惟一特性。發(fā)送信息的簽名方首先利用私鑰對報文或者報文摘要進行加密，加密后得到的密文作為簽名，連同相應的報文一起發(fā)送給接收方。接收方利用發(fā)送方的公鑰對簽名解密，并將得到結果與發(fā)送的報文或者報文摘要做比較，以確認簽名的真實性。（3）公鑰密碼體制實現數字簽名的原理公鑰密碼體制中存在兩個密107數字簽名原理數字簽名原理1084.2.4數字證書1．數字證書2．公鑰基礎設施、證書政策和證書機構4.2.4數字證書1．數字證書1091．數字證書（1）數字證書概念（2）數字證書的類型（3）數字證書的內容（4）數字證書的有效性（5）數字證書的使用（6）數字證書的發(fā)行1．數字證書（1）數字證書概念110（1）數字證書概念數字證書是標志網絡用戶身份信息的一系列數據，用來在網絡通信中識別通信對象的身份。即要在Internet上解決“我是誰”的問題，就如同現實中每一個人都要擁有一張證明個人身份的身份證一樣，以表明自己的身份。（1）數字證書概念數字證書是標志網絡用戶身份信息的一系列數據111（2）數字證書的類型1）個人證書（客戶證書）2）服務器證書（站點證書）3）企業(yè)證書（2）數字證書的類型1）個人證書（客戶證書）112根證書根證書是CA認證中心給自己頒發(fā)的證書,是信任鏈的起始點。安裝根證書意味著對這個CA認證中心的信任

根證書根證書是CA認證中心給自己頒發(fā)的證書,是信任鏈的起始點113服務器證書服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止欺詐釣魚站點。全球知名的服務器證書品牌有Globlesign，Verisign，Thawte，Geotrust等。

最新的高端服務器證書SSL證書產品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera9.5等新一代高安全瀏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網站的瀏覽器地址欄會自動呈現綠色，從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的服務器證書服務器證書被安裝于服務器設備上，用來證明服務器的身114個人證書客戶端個人證書客戶端證書主要被用來進行身份驗證和電子簽名。安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種，指紋識別、第三鍵確認，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。個人證書客戶端個人證書115CA機構CA機構，又稱為證書授證（CertificateAuthority）中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環(huán)節(jié)。由此可見，建設證書授權（CA）中心，是開拓和規(guī)范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發(fā)并管理符合國內、國際安全電子交易協議標準的電子商務安全證書。CA機構CA機構，又稱為證書授證（CertificateA116第三講電子商務交易安全課件117第三講電子商務交易安全課件118第三講電子商務交易安全課件1194.2.6數字時間戳技術數字時間戳產生的過程為：用戶首先將需要加數字時間戳的文件用Hash編碼加密形成消息摘要，然后將該摘要發(fā)送到DTS機構，該機構對收到的文件摘要加入日期和時間信息后，再對該文件加密（數字簽名），然后送回用戶。4.2.6數字時間戳技術數字時間戳產生的過程為：用戶首先1204.2.7防火墻技術1．防火墻的基本概念2．防火墻的類型3．幾種典型的防火墻的實現方式4.2.7防火墻技術1．防火墻的基本概念1211．防火墻的基本概念防火墻是位于兩個（或多個）網絡間