《電子商務(wù)安全與支付》課件第3章-電子商務(wù)加密技術(shù)及應(yīng)用

第三章

電子商務(wù)加密技術(shù)及應(yīng)用《電子商務(wù)安全與支付》本章導(dǎo)入中軟賽博資源軟件技術(shù)有限公司（簡(jiǎn)稱賽博資源）隸屬于中國(guó)計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司（中軟總公司）?；谥熊浥c國(guó)外廠商的長(zhǎng)期合作，賽博資源已逐漸形成了國(guó)際外包業(yè)務(wù)作為主要業(yè)務(wù)的經(jīng)營(yíng)形式，并進(jìn)而向社會(huì)提供產(chǎn)品。目前主要涉及的技術(shù)方向包括：互聯(lián)網(wǎng)和電子商務(wù)軟件開(kāi)發(fā)及相關(guān)技術(shù)服務(wù)、系統(tǒng)軟件、工作流及網(wǎng)絡(luò)系統(tǒng)管理軟件，并在電子商務(wù)及相關(guān)領(lǐng)域具有一定的優(yōu)勢(shì)。中軟賽博開(kāi)發(fā)的電子商務(wù)應(yīng)用系統(tǒng)具有良好的安全管理機(jī)制。電子商務(wù)系統(tǒng)涉及與開(kāi)放網(wǎng)絡(luò)互聯(lián)，所以系統(tǒng)容易受到來(lái)自外界的攻擊，在系統(tǒng)的設(shè)計(jì)上中軟賽博充分注意到了這一點(diǎn)，主要采取以下安全措施。（1）系統(tǒng)采用了防火墻技術(shù)把網(wǎng)絡(luò)分成對(duì)外服務(wù)網(wǎng)段和對(duì)內(nèi)服務(wù)網(wǎng)段，并采用VPN技術(shù)在互聯(lián)網(wǎng)上實(shí)現(xiàn)了企業(yè)的虛擬私有網(wǎng)絡(luò)。（2）采用防火墻技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)，在適當(dāng)?shù)奈恢檬褂秒p網(wǎng)卡、多網(wǎng)卡服務(wù)器對(duì)內(nèi)外部進(jìn)行隔離，使來(lái)自外部的用戶根本就不能看到系統(tǒng)的業(yè)務(wù)數(shù)據(jù)庫(kù)。本章導(dǎo)入（3）所有對(duì)系統(tǒng)的合法使用皆是通過(guò)對(duì)應(yīng)用服務(wù)器的訪問(wèn)完成，這樣系統(tǒng)操作人員也不能直接“看”到數(shù)據(jù)庫(kù)，杜絕了內(nèi)部人員蓄意和無(wú)意的破壞，管理員在特殊的網(wǎng)段才能直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行存取。（4）所有的Web訪問(wèn)對(duì)關(guān)鍵信息采用SSL技術(shù)進(jìn)行加密，保證關(guān)鍵信息傳輸?shù)陌踩浴＃?）所有的操作均被日志記錄，系統(tǒng)可以通過(guò)某一個(gè)狀態(tài)的系統(tǒng)狀態(tài)備份和自那時(shí)起到現(xiàn)在的操作日志構(gòu)造系統(tǒng)當(dāng)前狀態(tài)。（6）在應(yīng)用系統(tǒng)的設(shè)計(jì)中，對(duì)模塊之間的依賴關(guān)系進(jìn)行深入分析，把整個(gè)系統(tǒng)構(gòu)造成為服務(wù)和被服務(wù)關(guān)系，這樣應(yīng)用系統(tǒng)就具有了層次，只有擁有數(shù)據(jù)庫(kù)維護(hù)權(quán)限的模塊才能操作數(shù)據(jù)庫(kù)，其他對(duì)數(shù)據(jù)庫(kù)的操作均是通過(guò)擁有數(shù)據(jù)庫(kù)維護(hù)權(quán)限的模塊提供的服務(wù)（作為應(yīng)用Server）來(lái)完成。本章導(dǎo)入本案例說(shuō)明，保障電子商務(wù)系統(tǒng)的安全，必須采取多種技術(shù)手段，構(gòu)成一個(gè)全方位、立體、多層次的安全體系：加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)、應(yīng)用系統(tǒng)技術(shù)安全技術(shù)、數(shù)字簽名技術(shù)都屬于安全體系中不可缺少的技術(shù)，本項(xiàng)目主要對(duì)以上技術(shù)進(jìn)行講解。目錄第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用CONTENTS第一節(jié)認(rèn)識(shí)加密技術(shù)掌握加密的概念、分類。了解加密技術(shù)的發(fā)展方向。熟悉密鑰管理知識(shí)目標(biāo)能夠使用加密軟件。能夠破解密碼。技能目標(biāo)第一節(jié)

認(rèn)識(shí)加密技術(shù)加密技術(shù)是對(duì)信息進(jìn)行重新編碼，隱藏信息內(nèi)容，使非法用戶無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。加密技術(shù)提供了信息加密保護(hù)的基本方法，通過(guò)不同的加密機(jī)制和加密算法實(shí)現(xiàn)對(duì)信息的保密和防止信息偽造。為了滿足電子商務(wù)活動(dòng)對(duì)機(jī)密性、完整性、身份確認(rèn)性和不可抵賴性的要求，必須對(duì)電子商務(wù)活動(dòng)進(jìn)行安全控制，通常電子商務(wù)安全控制是由一系列的安全技術(shù)來(lái)保證的。作為保障電子商務(wù)信息安全的技術(shù)基礎(chǔ)，加密技術(shù)在解決電子商務(wù)交易數(shù)據(jù)安全問(wèn)題上，發(fā)揮著極其重要的作用。在電子商務(wù)交易安全保密防護(hù)措施中，加密技術(shù)被用于信息加密、信息認(rèn)證、身份認(rèn)證和密鑰管理，是保證電子商務(wù)交易信息安全的重要手段。一.加密技術(shù)的概念第一節(jié)

認(rèn)識(shí)加密技術(shù)密碼學(xué)主要由兩部分組成:密碼編碼學(xué)和密碼分析學(xué)。密碼編碼的任務(wù)是構(gòu)造安全性能高的密碼算法，實(shí)施對(duì)消息的加密與認(rèn)證;密碼分析的任務(wù)是破譯密碼或偽造認(rèn)證碼，對(duì)竊取機(jī)密信息或進(jìn)行詐騙破壞活動(dòng)的行為進(jìn)行分析，如信息加密和解密過(guò)程分析。密碼編碼和密碼分析技術(shù)兩者相輔相成，對(duì)立統(tǒng)一、相互促進(jìn)發(fā)展。一個(gè)密碼系統(tǒng)，通常簡(jiǎn)稱為密碼體制，它由五個(gè)部分組成，如圖所示。二.加密技術(shù)基礎(chǔ)第一節(jié)

認(rèn)識(shí)加密技術(shù)(1)明文空間P（Plaintext），全體明文的集合。(2)密文空間C（Ciphertext），全體密文的集合。(3)密鑰K（Key），全體密鑰的集合。其中每一個(gè)密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即K=(Ke,Kd)。(4)加密算法E（Encrypt），一組由P到C的加密變換。對(duì)于每一個(gè)具體的K,由E便確定出一個(gè)具體的加密函數(shù),把P加密成密文C,C=(P,Ke)。(5)解密算法D（Decrypt），一組由C到P的解密變換，對(duì)于每一個(gè)確定的Kd.由D便確定出一個(gè)具體的解密函數(shù)。一旦確定密鑰K=(Ke,Kd)，則C=E(P,Ke)；P=D(C,Kd)=D(E(P,Ke)，Kd)成立。二.加密技術(shù)基礎(chǔ)第一節(jié)

認(rèn)識(shí)加密技術(shù)（一）對(duì)稱加密技術(shù)對(duì)稱加密體制中，加密密鑰和解密密鑰是相同的，或者加密密鑰和解密密鑰雖然不同，但可以從其中一個(gè)推導(dǎo)出另一個(gè)。如果進(jìn)行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過(guò)對(duì)稱加密方法加密機(jī)密信息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，來(lái)保證報(bào)文的機(jī)密性和完整性。消息傳遞過(guò)程如圖所示，這種體系的加密算法運(yùn)算速度快，所以在處理大量數(shù)據(jù)的時(shí)候被廣泛使用，其關(guān)鍵是保證密鑰的安全。三.加密技術(shù)的分類第一節(jié)

認(rèn)識(shí)加密技術(shù)（1）DES采用傳統(tǒng)的換位和置換的方法進(jìn)行加密。（2）AES（AdvancedEncryptionStandard）比DES的安全性要高很多，它的密鑰長(zhǎng)度分為128bit.192bit和256bit三種級(jí)別，他們分別被稱為AES-128、AES-192和AES-256。（3）IDEA（InternationalDataEncryptionAlgorithm）是瑞士蘇黎世開(kāi)發(fā)的一種算法，它于1990年正式公布并在以后得到增強(qiáng)。三.加密技術(shù)的分類第一節(jié)

認(rèn)識(shí)加密技術(shù)（二）非對(duì)稱加密技術(shù)（1）RSA算法取自于它的創(chuàng)始人的名字:Rivest,Shamir,Adelman，該算法于1978年最早提出，至今仍沒(méi)有發(fā)現(xiàn)嚴(yán)重的安全漏洞。

三.加密技術(shù)的分類第一節(jié)

認(rèn)識(shí)加密技術(shù)（二）非對(duì)稱加密技術(shù)（2）橢圓曲線密碼算法ECC(EllipticCurveCryptography)。ECC是安全性更高、算法實(shí)現(xiàn)性能更好的一種公鑰系統(tǒng)，也是目前專家普遍看好的一種算法。ECC與RSA、DSA相比有以下優(yōu)點(diǎn):①安全性更高。加密算法的安全性能一般通過(guò)該算法的抗攻擊強(qiáng)度來(lái)反映。

②計(jì)算量小，處理速度快。

③存儲(chǔ)空間占用小。ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多，意味著它所占的存儲(chǔ)空間要小得多。

④帶寬要求低。當(dāng)對(duì)長(zhǎng)消息進(jìn)行加解密時(shí)，三類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時(shí)，ECC對(duì)帶寬要求卻低得多。三.加密技術(shù)的分類第一節(jié)

認(rèn)識(shí)加密技術(shù)（二）非對(duì)稱加密技術(shù)（3）Diffie-Hellman公鑰算法。它是一個(gè)普遍應(yīng)用在密鑰交換中的公開(kāi)密鑰算法。（4）單向哈希算法。它是一種與基于密鑰(對(duì)稱密鑰或公鑰)的加密不同的數(shù)據(jù)轉(zhuǎn)換類型。三.加密技術(shù)的分類目錄第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用CONTENTS第一節(jié)認(rèn)識(shí)加密技術(shù)1.熟悉加密技術(shù)在電子商務(wù)方面的應(yīng)用。2.了解加密技術(shù)在VPN及其他方面的應(yīng)用。知識(shí)目標(biāo)實(shí)現(xiàn)并驗(yàn)證古典密碼技術(shù)。技能目標(biāo)第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用1.

對(duì)稱加密和非對(duì)稱加密相結(jié)合。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用發(fā)送方甲方向接收方乙方傳送信息的加密過(guò)程描述如下:對(duì)于甲方：（1）生成明文；（2）用密鑰生成算法產(chǎn)生特定長(zhǎng)度的對(duì)稱密鑰；（3）使用對(duì)稱密鑰加密算法DES和該對(duì)稱密鑰對(duì)明文進(jìn)行加密，形成密文；（4）用乙方的公開(kāi)密鑰結(jié)合RSA算法加密對(duì)稱密鑰；（5）把加密后的對(duì)稱密鑰和密文一起發(fā)送給乙方。對(duì)于乙方：（1）用乙方的秘密密鑰解密收到的已加密的密鑰，得到未加密的對(duì)稱密鑰;（2）用(1)中得到的對(duì)稱密鑰解密密文，得到明文。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用2.消息摘要

網(wǎng)絡(luò)交易過(guò)程中，交易雙方在傳送消息時(shí)，不僅要對(duì)數(shù)據(jù)進(jìn)行加密，而且還要知道數(shù)據(jù)在傳輸過(guò)程中是否被改變，也就是要保證數(shù)據(jù)的完整性和有效性。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用對(duì)消息摘要有以下幾個(gè)要求:第一，生成消息摘要的算法必須是一個(gè)公開(kāi)的算法，數(shù)據(jù)交換的雙方可以用同一算法對(duì)原始明文經(jīng)計(jì)算而生成的消息摘要進(jìn)行驗(yàn)證。第二，算法必須是一個(gè)單向算法，就是只能通過(guò)此算法從原始明文計(jì)算出消息摘要，而不能通過(guò)消息摘要得到原始明文。第三，消息摘要同明文是一一對(duì)應(yīng)的，不同的明文加密成不同的密文，相同的明文其摘要必然一樣。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用3.數(shù)字信封：是為了解決傳送更換密鑰問(wèn)題而產(chǎn)生的技術(shù)，它結(jié)合了對(duì)稱加密和非對(duì)稱加密技術(shù)的各自優(yōu)點(diǎn)。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用4.數(shù)字簽名：就是為了保證電子商務(wù)過(guò)程中交易信息的完整性和真實(shí)性，并在交易雙方發(fā)生分歧時(shí)作為仲裁的依據(jù)，防止抵賴的發(fā)生。

數(shù)字簽名具有如下特征:

（1）簽名不可假冒，不能非法改動(dòng)被簽的內(nèi)容；（2）簽名可驗(yàn)證，任何人都可驗(yàn)證簽名的有效性；（3）簽名不可抵賴，不能否認(rèn)所作的簽名。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用5.數(shù)字證書(shū)：是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限，是一個(gè)經(jīng)證書(shū)授權(quán)中心CA(CertificateAuthority)數(shù)字簽名的、包含證書(shū)申請(qǐng)者個(gè)個(gè)人消息及其公開(kāi)密鑰的文件。

第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用一．加密技術(shù)在電子商務(wù)中的應(yīng)用6.數(shù)字時(shí)間戳：是數(shù)字簽名技術(shù)的一種變種應(yīng)用。第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用二.電子商務(wù)安全加密技術(shù)新趨勢(shì)

1.混沌密碼：混沌密碼學(xué)是一種新的密碼加密算法，是混沌理論的一個(gè)重要的應(yīng)用領(lǐng)域。2.量子密碼：由于計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，大量的信息需要通過(guò)網(wǎng)絡(luò)傳輸，這給目前常用的加密技術(shù)帶來(lái)了新的挑戰(zhàn)，量子計(jì)算機(jī)可以輕易地破譯以往認(rèn)為非常難以破譯的加密，所以發(fā)展新的加密技術(shù)就顯得格外重要，量子加密就是在這樣的背景下應(yīng)運(yùn)而生的。3.基于生物信息的身份認(rèn)證：基于生物特征的身份認(rèn)證技術(shù)是利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。

第二節(jié)電子商務(wù)加密技術(shù)綜合應(yīng)用二.電子商務(wù)安全加密技術(shù)新趨勢(shì)

與傳統(tǒng)身份驗(yàn)證方法相比，基于生物特征的身份認(rèn)證技術(shù)具有以下優(yōu)點(diǎn)：（1）不易遺忘或丟失。（2）防偽性能好，不易偽造和被盜。（3）“隨身攜帶”，隨時(shí)隨地可以使用。本章總結(jié)在網(wǎng)絡(luò)安全日益受到關(guān)注的今天，加密技術(shù)在各方面的應(yīng)用也越來(lái)越突出和主要，在各方面都表現(xiàn)出舉足輕重的作用，本章介紹了加密技術(shù)的概念、分類等知識(shí)，從電子商務(wù)安全認(rèn)證方面介