4電子商務(wù)安全技術(shù)縮減B版本-課件

誠信聲明本課件中大量采用網(wǎng)絡(luò)及其他渠道搜集的相關(guān)文字信息和圖片信息,這些信息因數(shù)量巨大,無法一一列明出處,本人在此鄭重聲明:如有不妥,請(qǐng)與本人聯(lián)系,聯(lián)系方式:.StoneBiao,E-CommercePage112/10/20207:10PM4電子商務(wù)安全技術(shù)4.1電子商務(wù)安全需求概述4.2常見網(wǎng)絡(luò)安全技術(shù)(防火墻/VPN）4.3加密技術(shù)和認(rèn)證技術(shù)（數(shù)字證書）4.4電子商務(wù)安全協(xié)議（SSL和SET)StoneBiao,E-CommercePage212/10/20207:10PM精品資料你怎么稱呼老師？如果老師最后沒有總結(jié)一節(jié)課的重點(diǎn)的難點(diǎn)，你是否會(huì)認(rèn)為老師的教學(xué)方法需要改進(jìn)？你所經(jīng)歷的課堂，是講座式還是討論式？教師的教鞭“不怕太陽曬，也不怕那風(fēng)雨狂，只怕先生罵我笨，沒有學(xué)問無顏見爹娘……”“太陽當(dāng)空照，花兒對(duì)我笑，小鳥說早早早……”[本章教學(xué)目的、要求]了解電子商務(wù)安全要求；了解防火墻等網(wǎng)絡(luò)安全技術(shù)；理解加密技術(shù)和認(rèn)證技術(shù)在電子商務(wù)中的應(yīng)用；理解SSL與SET工作原理。StoneBiao,E-CommercePage312/10/20207:10PM引言：電子安全在電子商務(wù)中重要性B身份證AliSeyalBaowlrrA身份證計(jì)算機(jī)、信息處理、網(wǎng)絡(luò)技術(shù)使得偽造、假冒、移花接木易如翻掌.StoneBiao,E-CommercePage412/10/20207:10PM您是否擔(dān)心過以下情況——網(wǎng)絡(luò)監(jiān)聽？站點(diǎn)服務(wù)器正常連接網(wǎng)絡(luò)監(jiān)聽者屏幕輸入用戶名：abcde密碼：12345屏幕顯示用戶名：abcde密碼：12345信息被截獲安全StoneBiao,E-CommercePage512/10/20207:10PM您是否擔(dān)心過以下情況——假冒站點(diǎn)？服務(wù)器A網(wǎng)址瀏覽者與服務(wù)器A連接，訪問站點(diǎn)服務(wù)器B假冒當(dāng)假冒服務(wù)器出現(xiàn)時(shí)安全當(dāng)瀏覽者輸入時(shí)，實(shí)際訪問的是服務(wù)器B，這樣他的私人信息就可能被B非法獲取StoneBiao,E-CommercePage612/10/20207:10PM您是否擔(dān)心過以下情況——不安全Email？人物甲人物乙Email偷盜者郵件在傳送過程中被截取偷盜者篡改郵件后以甲的身份重新發(fā)送如果偷盜者截取Email后不發(fā)給乙，怎么辦？如果偷盜者直接假冒甲的身份給乙發(fā)了假郵件，怎么辦？乙收到該Email甲給乙發(fā)出Email安全StoneBiao,E-CommercePage712/10/20207:10PM您是否擔(dān)心過以下情況——抵賴？甲給乙發(fā)送了一封Email甲否認(rèn)發(fā)送過甲通過商家的網(wǎng)站購買了某些商品，并通過網(wǎng)絡(luò)支付了所需的貨款商家否認(rèn)收到過來自甲的購貨款安全StoneBiao,E-CommercePage812/10/20207:10PM種種潛在的欺詐機(jī)會(huì)信息在網(wǎng)絡(luò)的傳輸過程中被截獲傳輸?shù)奈募赡鼙淮鄹膫卧祀娮余]件假冒他人身份不承認(rèn)網(wǎng)絡(luò)上已經(jīng)做過的事，抵賴開放的互聯(lián)網(wǎng)存在計(jì)算機(jī)工具+高額價(jià)值的網(wǎng)上交易+開放的互聯(lián)網(wǎng)+不道德的人們=無限的欺詐機(jī)會(huì)StoneBiao,E-CommercePage912/10/20207:10PM

目前電子商務(wù)中存在的安全問題系統(tǒng)被惡意入侵，數(shù)據(jù)庫的資料被竊取或破壞信息在傳輸過程中被泄漏信息在傳輸?shù)倪^程中被篡改難以確認(rèn)對(duì)方的身份信息發(fā)送方的抵賴…...StoneBiao,E-CommercePage1012/10/20207:10PM4.1電子商務(wù)安全需求概述4.1.1電子商務(wù)的安全威脅4.1.2電子商務(wù)的安全需求4.1.3電子商務(wù)的安全解決方案StoneBiao,E-CommercePage1112/10/20207:10PM4.1.1電子商務(wù)的安全威脅電子商務(wù)為銷售者和消費(fèi)者建立交易關(guān)系。電子商務(wù)應(yīng)對(duì)所有網(wǎng)絡(luò)用戶都是開放的，且應(yīng)方便、可靠和安全。電子商務(wù)的安全將是實(shí)現(xiàn)電子商務(wù)的基石。StoneBiao,E-CommercePage1212/10/20207:10PM現(xiàn)代電子商務(wù)是建立在Internet上的，而Internet是一個(gè)公用網(wǎng)絡(luò)，是不安全的，又是不可信的。事實(shí)上，作為電子商務(wù)基礎(chǔ)的Internet最初的設(shè)計(jì)目標(biāo)是互操作性和開放，網(wǎng)絡(luò)的安全性并未得到足夠的重視，其安全性的問題便不斷被發(fā)現(xiàn)。StoneBiao,E-CommercePage1312/10/20207:10PM因此，在電子商務(wù)系統(tǒng)中無論是商品的銷售者還是消費(fèi)者都面臨許多安全威脅，主要的威脅綜合如下：StoneBiao,E-CommercePage1412/10/20207:10PM1、對(duì)銷售者的威脅（1）中央系統(tǒng)安全性被破壞；（2）競(jìng)爭(zhēng)者檢索商品遞送狀況；（3）客戶資料被競(jìng)爭(zhēng)者獲悉；（4）被他人假冒而損害公司的信譽(yù)；（5）消費(fèi)者提交訂單后不付款；（6）虛假訂單；StoneBiao,E-CommercePage1512/10/20207:10PM2、對(duì)消費(fèi)者的威脅（1）虛假訂單；（2）付款后不能收到商品；（3）機(jī)密性喪失；（4）拒絕服務(wù)。StoneBiao,E-CommercePage1612/10/20207:10PM4.1.2電子商務(wù)的安全需求1、銷售者對(duì)電子商務(wù)的需求2、消費(fèi)者對(duì)電子商務(wù)的需求3、電子商務(wù)的安全要求StoneBiao,E-CommercePage1712/10/20207:10PM1、銷售者對(duì)電子商務(wù)的需求（1）能鑒別消費(fèi)者身份的真實(shí)性和得到消費(fèi)者對(duì)商品或服務(wù)付款的能力；（2）知識(shí)產(chǎn)權(quán)保護(hù)；（3）有效的爭(zhēng)議解決機(jī)制。StoneBiao,E-CommercePage1812/10/20207:10PM2、消費(fèi)者對(duì)電子商務(wù)的需求（1）能對(duì)銷售者的自身出發(fā)進(jìn)行鑒別；（2）能保證消費(fèi)者的機(jī)密信息和個(gè)人隱私不被泄露給非授權(quán)的人；（3）有效的爭(zhēng)議解決機(jī)制。StoneBiao,E-CommercePage1912/10/20207:10PM3、電子商務(wù)的安全要求（1）真實(shí)性要求；（2）機(jī)密性要求；（3）完整性要求；（4）可用性要求；（5）不可否認(rèn)要求；（6）可控性。StoneBiao,E-CommercePage2012/10/20207:10PM4、電子商務(wù)系統(tǒng)所需的安全服務(wù)為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，主要的安全服務(wù)包括：StoneBiao,E-CommercePage2112/10/20207:10PM（1）鑒別服務(wù)對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個(gè)特定的身份時(shí)，鑒別服務(wù)將提供一種方法來驗(yàn)證其聲明的正確性。StoneBiao,E-CommercePage2212/10/20207:10PM（2）訪問控制服務(wù)訪問控制服務(wù)通過授權(quán)來對(duì)使用資源的方式進(jìn)行控制，防止非授權(quán)使用或控制資源。它有助于達(dá)到機(jī)密性、完整性、可控性和建立責(zé)任機(jī)制。StoneBiao,E-CommercePage2312/10/20207:10PM（3）機(jī)密性服務(wù)機(jī)密性服務(wù)的目標(biāo)是為電子商務(wù)參與者的信息在存儲(chǔ)、處理、傳輸過程中提供機(jī)密性保證，防止信息被泄露給非授權(quán)的人或?qū)嶓w。StoneBiao,E-CommercePage2412/10/20207:10PM（4）不可否認(rèn)服務(wù)不可否認(rèn)服務(wù)針對(duì)的是來自合法用戶的威脅。否認(rèn)是指電子商務(wù)活動(dòng)者否認(rèn)其所進(jìn)行的操作。不可否認(rèn)服務(wù)就是為交易的雙方提供不可否認(rèn)的證據(jù)來為解決因否認(rèn)而產(chǎn)生的爭(zhēng)議提供支持。它實(shí)際上建立了交易雙方的責(zé)任機(jī)制。StoneBiao,E-CommercePage2512/10/20207:10PM4.1.3電子商務(wù)的安全解決方案安全需求解決方案采用技術(shù)防止數(shù)據(jù)被泄漏或篡改(機(jī)密性、完整性)加密數(shù)據(jù)以防非法讀取或篡改對(duì)稱加密、非對(duì)稱加密、信息摘要（MD）防止冒名發(fā)送數(shù)據(jù)或發(fā)送數(shù)據(jù)后抵賴(真實(shí)性、有效性、不可抵賴性)對(duì)信息的發(fā)送者進(jìn)行身份驗(yàn)證數(shù)字簽名、數(shù)字時(shí)間戳、認(rèn)證技術(shù)防止未經(jīng)授權(quán)擅自的訪問網(wǎng)絡(luò)(可靠性，嚴(yán)密性)對(duì)訪問網(wǎng)絡(luò)或服務(wù)器某些流量進(jìn)行過濾和保護(hù)防病毒、防火墻網(wǎng)絡(luò)對(duì)特定對(duì)象開放專用網(wǎng)絡(luò)保證操作系統(tǒng)、應(yīng)用軟件的安全用戶注冊(cè)、用戶權(quán)限用戶名、密碼保證數(shù)據(jù)庫安全訪問控制、數(shù)據(jù)備份與管理DBMS1.常見電子商務(wù)安全解決方案及采用的技術(shù)StoneBiao,E-CommercePage2612/10/20207:10PM

2.電子商務(wù)安全基礎(chǔ)架構(gòu)（技術(shù)構(gòu)成）

電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)支付系統(tǒng)安全應(yīng)用協(xié)議

SET、SSL、S/HTTP、S/MIME???安全認(rèn)證技術(shù)

數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系（PKI）???加密技術(shù)

非對(duì)稱密鑰加密、對(duì)稱密鑰加密、DES、RSA???網(wǎng)絡(luò)安全

安全策略、防火墻、虛擬專用網(wǎng)、網(wǎng)絡(luò)安全檢測(cè)、安全工具包StoneBiao,E-CommercePage2712/10/20207:10PM4.2常見網(wǎng)絡(luò)安全技術(shù)4.2.1防火墻技術(shù)4.2.2VPN技術(shù)StoneBiao,E-CommercePage2812/10/20207:10PM4.2.1防火墻技術(shù)Windows防火墻StoneBiao,E-CommercePage2912/10/20207:10PM1、防火墻含義一種計(jì)算機(jī)硬件和軟件的結(jié)合，使互聯(lián)網(wǎng)（Internet）與內(nèi)部網(wǎng)（Intranet）之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。StoneBiao,E-CommercePage3012/10/20207:10PMWindows防火墻的啟用StoneBiao,E-CommercePage3112/10/20207:10PM2、防火墻的功能⑴、過濾不安全的用戶和非法用戶⑵、控制對(duì)特殊站點(diǎn)的訪問⑶、作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)StoneBiao,E-CommercePage3212/10/20207:10PM3、防火墻策略“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”包過濾只過濾端口號(hào)和IP信息，具體傳輸內(nèi)容無法處理應(yīng)用層過濾功能更強(qiáng)大，可進(jìn)行傳輸內(nèi)容過濾安全與性能的結(jié)合考慮StoneBiao,E-CommercePage3312/10/20207:10PM包過濾和應(yīng)用層過濾StoneBiao,E-CommercePage3412/10/20207:10PM4、防火墻的局限性①、防火墻無法防范內(nèi)部用戶的攻擊②、防火墻無法防范不通過它的連接③、限制了有用的網(wǎng)絡(luò)訪問④、防火墻很難防范病毒安全與性能防火墻與殺毒軟件StoneBiao,E-CommercePage3512/10/20207:10PM4.2.2VPN技術(shù)虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)StoneBiao,E-CommercePage3612/10/20207:10PM為什么要采用VPN?用戶遠(yuǎn)程訪問網(wǎng)絡(luò)的安全性主要包括兩個(gè)方面：一是不允許非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)，如通過用身份識(shí)別ID和密碼驗(yàn)證用戶，或采用RADIUS等安全協(xié)議驗(yàn)證用戶等；二是保證授權(quán)用戶安全連接、訪問內(nèi)部網(wǎng)絡(luò)，即遠(yuǎn)程用戶連接內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源的信道是安全的，防止別有用心的人的竊聽、對(duì)信息的截獲和篡改等操作。

StoneBiao,E-CommercePage3712/10/20207:10PM1.虛擬專用網(wǎng)絡(luò)VPN的定義

虛擬專用網(wǎng)絡(luò)（VPN）是遠(yuǎn)程客戶機(jī)使用基于TCP/IP協(xié)議的專門的隧道協(xié)議（如PPTP、L2TP），通過虛擬專用網(wǎng)絡(luò)服務(wù)器的虛擬端口，穿越其他網(wǎng)絡(luò)（如Internet），實(shí)現(xiàn)一種邏輯上的直接連接。StoneBiao,E-CommercePage3812/10/20207:10PM在公共網(wǎng)絡(luò)上組建的VPN可以使企業(yè)現(xiàn)有的VAN（Value-AddedNetWork,增值網(wǎng)）一樣提供安全性、可靠性和可管理性等.StoneBiao,E-CommercePage3912/10/20207:10PM2.虛擬專用網(wǎng)(VPN)的結(jié)構(gòu)Windows2000VPNServerInternetAdapterIntranetAdapterCorporate

IntranetVPNRemoteAccessClientInternetTunnelStoneBiao,E-CommercePage4012/10/20207:10PM3.虛擬專用網(wǎng)(VPN)的工作原理VPN服務(wù)器Internet適配器Intranet適配器公司內(nèi)部網(wǎng)絡(luò)VPN遠(yuǎn)程訪問客戶機(jī)Internet隧道

StoneBiao,E-CommercePage4112/10/20207:10PM4.VPN數(shù)據(jù)傳輸協(xié)議ClientServerPPTP基于IP的互聯(lián)網(wǎng)絡(luò)沒有報(bào)頭壓縮沒有隧道身份驗(yàn)證采用PPP加密L2TP基于多種廣域網(wǎng)絡(luò)連接介質(zhì)如幀中繼,IP,X.25.報(bào)頭壓縮隧道身份驗(yàn)證使用IPSec加密InternetPPTPorL2TPStoneBiao,E-CommercePage4212/10/20207:10PMVPN的安全協(xié)議(一)PPTP－PointtoPointTunnelProtocal(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)通過Internet的數(shù)據(jù)通信，需要對(duì)數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個(gè)功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。StoneBiao,E-CommercePage4312/10/20207:10PML2TP－Layer2TunnelingProtocol(第二層隧道協(xié)議)PPTP和L2TP十分相似，因?yàn)長2TP有一部分就是采用PPTP協(xié)議，兩個(gè)協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP還支持信道認(rèn)證。VPN的安全協(xié)議(二)StoneBiao,E-CommercePage4412/10/20207:10PMIPSEC—InternetPortocolSecurity(因特網(wǎng)協(xié)議安全)它用于確保網(wǎng)絡(luò)層之間的安全通信。SOCKsSOCKs是一個(gè)網(wǎng)絡(luò)連接的代理協(xié)議，SOCKs能將連接請(qǐng)求進(jìn)行鑒別和授權(quán)，并建立代理連接和傳送數(shù)據(jù)。VPN的安全協(xié)議(二)StoneBiao,E-CommercePage4512/10/20207:10PM(1)降低費(fèi)用(2)增強(qiáng)的安全性(3)網(wǎng)絡(luò)協(xié)議支持5.VPN所帶來的好處StoneBiao,E-CommercePage4612/10/20207:10PM4.3加密與認(rèn)證技術(shù)4.3.1加密技術(shù)基礎(chǔ)4.3.2認(rèn)證技術(shù)4.3.3數(shù)字證書& CAStoneBiao,E-CommercePage4712/10/20207:10PM4.3.1加密技術(shù)基礎(chǔ)1.數(shù)據(jù)加密數(shù)據(jù)加密保護(hù)就是采取一定的技術(shù)和措施，對(duì)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和通信介質(zhì)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使得加密后的數(shù)據(jù)不能被無關(guān)的用戶識(shí)別，提高數(shù)據(jù)的保密性。StoneBiao,E-CommercePage4812/10/20207:10PM加解密示意圖加密是在不安全的信息渠道中實(shí)現(xiàn)安全傳輸?shù)闹匾椒⊿toneBiao,E-CommercePage4912/10/20207:10PM數(shù)據(jù)加密離不開密碼技術(shù)。密碼技術(shù)是對(duì)存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛芙粨Q的以防止第三者竊取信息的通信技術(shù)。密碼技術(shù)分為加密（Encryption）和解密（Decryption）兩部分。StoneBiao,E-CommercePage5012/10/20207:10PM加密：是把需要加密的報(bào)文（簡(jiǎn)稱明文Plaintext）利用密鑰按照某種算法進(jìn)行變化，產(chǎn)生密碼文件（簡(jiǎn)稱密文Ciphertext）。解密：是利用密鑰把密文還原成明文的過程StoneBiao,E-CommercePage5112/10/20207:10PM密鑰：是一個(gè)數(shù)值，它加密算法一起生成特別的密文。密鑰本質(zhì)是一個(gè)非常大的數(shù)，其大小用位（bit）表示，顯然，密鑰越大，密文就越安全，被破譯的幾率就越小。StoneBiao,E-CommercePage5212/10/20207:10PM數(shù)據(jù)加密傳輸?shù)哪Ｐ屠妹艽a技術(shù)，在信源和通信信道之間對(duì)報(bào)文進(jìn)行加密，經(jīng)過信道傳輸，在信宿對(duì)接收的信息進(jìn)行解密，以實(shí)現(xiàn)網(wǎng)絡(luò)的保密通信。StoneBiao,E-CommercePage5312/10/20207:10PM發(fā)送端接收端明文信息X加密算法E密文信息Y密文信息YyyyyyyY解密算法D加密密鑰Ke解密密鑰Kd明文信息X信道StoneBiao,E-CommercePage5412/10/20207:10PM凱撒密碼法定義為：E(P)＝(P+K)mod26＝C其中

E是加密函數(shù)P是明文的字母K是右移量C是密文后字母StoneBiao,E-CommercePage5512/10/20207:10PM加密算法有賴于數(shù)學(xué)，越先進(jìn)的算法所涉及的數(shù)學(xué)知識(shí)深?yuàn)W。當(dāng)代加密技術(shù)趨向于使用一套公開的算法及密鑰完成對(duì)明文的加密。其理由是，加密算法開發(fā)比較復(fù)雜，而公開的算法可使加密技術(shù)成為標(biāo)準(zhǔn)，也便于用硬件來實(shí)施，提高加密的速度。StoneBiao,E-CommercePage5612/10/20207:10PM2.對(duì)稱密鑰密碼體系對(duì)稱密鑰密碼體系(SymmetricCryptography)又稱對(duì)稱密鑰技術(shù)。對(duì)稱鑰匙加密系統(tǒng)是加密和解密均采用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。StoneBiao,E-CommercePage5712/10/20207:10PM對(duì)稱加密技術(shù)

密鑰加密數(shù)據(jù)密鑰解密數(shù)據(jù)StoneBiao,E-CommercePage5812/10/20207:10PM對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快(高效)，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰。DES密碼體制最有名的密碼算法；第一個(gè)被公開的現(xiàn)代密碼由IBM于1971年至1972年研制成功StoneBiao,E-CommercePage5912/10/20207:10PMDES密碼體制DES密碼體制分組長度：64比特密鑰長度：56比特目前DES已被視為不安全，普遍使用的是變種tripleDES，即對(duì)64比特分組加密三次，每次用不同的密鑰，密鑰長度總共168比特。StoneBiao,E-CommercePage6012/10/20207:10PM3.非對(duì)稱密鑰密碼體系非對(duì)稱密鑰密碼體系(AsymmetricCryptography)也稱公開密鑰技術(shù)。在該體制中，加密密鑰（又稱公開密鑰）PK是對(duì)外公開的，加密算法E和解密算法D也是公開的，但解密密鑰（又稱秘密密鑰）SK是保密的。雖然SK是由PK決定的，但卻不能根據(jù)PK計(jì)算出SK。StoneBiao,E-CommercePage6112/10/20207:10PM私鑰公鑰公開密鑰加密技術(shù)加密數(shù)據(jù)解密數(shù)據(jù)StoneBiao,E-CommercePage6212/10/20207:10PM非對(duì)稱密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，使用靈活，密鑰較少。弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度，必須使用較長的密鑰。StoneBiao,E-CommercePage6312/10/20207:10PM公開密鑰算法具有以下特點(diǎn)：用加密密鑰PK對(duì)明文X加密后，再用解密密鑰SK解密即得明文，即DSK(EPK(X))=X；加密密鑰不能用來解密，即DPK(EPK(X)≠X；在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK，但從已知的PK不可能推導(dǎo)出SK。StoneBiao,E-CommercePage6412/10/20207:10PM

對(duì)稱

公開密鑰加解密速度 數(shù)據(jù)量大時(shí)的適用性密鑰分發(fā)容易性 密鑰管理方便性

對(duì)稱與公開密鑰技術(shù)比較StoneBiao,E-CommercePage6512/10/20207:10PM對(duì)公鑰密碼算法的誤解公開密鑰算法比對(duì)稱密鑰密碼算法更安全？任何一種算法都依賴于密鑰長度、破譯密碼的工作量，從抗分析角度，沒有一方更優(yōu)越公開密鑰算法使對(duì)稱密鑰成為過時(shí)了的技術(shù)？公開密鑰很慢，只能用在密鑰管理和數(shù)字簽名，對(duì)稱密鑰密碼算法將長期存在使用公開密鑰加密，密鑰分配變得非常簡(jiǎn)單？事實(shí)上的密鑰分配既不簡(jiǎn)單，也不有效StoneBiao,E-CommercePage6612/10/20207:10PMRSA算法的安全性1999年8月，荷蘭國家數(shù)學(xué)與計(jì)算機(jī)科學(xué)研究所家們的一組科學(xué)家成功分解了512bit的整數(shù)，大約300臺(tái)高速工作站與PC機(jī)并行運(yùn)行，整個(gè)工作花了7個(gè)月。現(xiàn)有的RSA密碼體制支持的密鑰長度有512、1024、2048、4096等。StoneBiao,E-CommercePage6712/10/20207:10PM目前的加密解密技術(shù)

已經(jīng)可以保證電子商務(wù)的安全

集成現(xiàn)有應(yīng)用最有效的安全技術(shù)建立身份認(rèn)證過程的權(quán)威性框架為交易的參與方提供安全保障保證用戶不會(huì)因?yàn)榧用芎兔荑€管理比較復(fù)雜而影響使用。用戶不必做大的更動(dòng)。StoneBiao,E-CommercePage6812/10/20207:10PM4.3.2認(rèn)證技術(shù)數(shù)字信封技術(shù)數(shù)字簽名技術(shù)數(shù)據(jù)加密解密與身份認(rèn)證流程StoneBiao,E-CommercePage6912/10/20207:10PM數(shù)字信封技術(shù)對(duì)稱密鑰

加密傳遞的信息公開密鑰

加密“對(duì)稱密鑰”或稱數(shù)字信封==數(shù)字信封技術(shù)公鑰密鑰StoneBiao,E-CommercePage7012/10/20207:10PM信息發(fā)送的基本原理StoneBiao,E-CommercePage7112/10/20207:10PM接收方取得信息的過程StoneBiao,E-CommercePage7212/10/20207:10PM綜合考慮公開密鑰和對(duì)稱密鑰的優(yōu)缺點(diǎn)可以保證傳輸速率和同時(shí)保證加密安全StoneBiao,E-CommercePage7312/10/20207:10PM數(shù)字簽名技術(shù)StoneBiao,E-CommercePage7412/10/20207:10PM數(shù)字簽名：采用數(shù)學(xué)函數(shù)對(duì)信息進(jìn)行摘要處理，得到的摘要用個(gè)人簽名私鑰加密。個(gè)人簽名私鑰只有本人知道。數(shù)字簽名向接收方保證：信息來自真實(shí)的發(fā)送方，收到的有數(shù)字簽名的信息沒有別人被篡改過。StoneBiao,E-CommercePage7512/10/20207:10PM安全的數(shù)字簽名StoneBiao,E-CommercePage7612/10/20207:10PM數(shù)字簽名過程將待發(fā)送信息原文做摘要有時(shí)稱為摘要或數(shù)字指紋用簽名私鑰對(duì)摘要進(jìn)行加密（簽名）被加密的摘要稱為簽名塊簽名塊附在信息原文后面一起發(fā)送StoneBiao,E-CommercePage7712/10/20207:10PM驗(yàn)證數(shù)字簽名收到簽名數(shù)據(jù)包對(duì)信息部分進(jìn)行摘要對(duì)簽名部分用發(fā)送方公鑰解密得到摘要比較兩個(gè)摘要是否相同 相同則數(shù)字簽名有效StoneBiao,E-CommercePage7812/10/20207:10PM完整性驗(yàn)證原理單向摘要函數(shù)信息原文的數(shù)字化摘要不能根據(jù)摘要推出原文計(jì)算速度很快長度為128--160Bits摘要驗(yàn)證對(duì)接收到的信息重做摘要->摘要2比較摘要2與摘要1Hashing摘要函數(shù)機(jī)摘要函數(shù)機(jī)摘要1算法:MD2,MD4,MD5,SHA-1低成本，任何大小的信息都可以處理信息比較摘要1信息信息摘要2摘要2摘要1StoneBiao,E-CommercePage7912/10/20207:10PM發(fā)送方不可抵賴的證據(jù)數(shù)字簽名使接收方可以得到保證：文件確實(shí)來自聲稱的發(fā)送方。鑒于簽名私鑰只有發(fā)送方自己保存，他人無法做一樣的數(shù)字簽名,因此他不能否認(rèn)他參與了交易。StoneBiao,E-CommercePage8012/10/20207:10PM數(shù)據(jù)加密解密與身份認(rèn)證流程用戶B數(shù)字證書用戶A數(shù)字證書加密數(shù)字信封數(shù)字簽名數(shù)字簽名解密密文明文明文加密Hash加密密文A用戶用戶A的私有簽名密鑰數(shù)字簽名對(duì)稱密鑰++密文加密解密用戶A數(shù)字證書數(shù)字簽名明文信息摘要信息摘要比較Hash++用戶A的公開簽名密鑰用戶B的私有密鑰B用戶用戶B的公開簽名密鑰對(duì)稱密鑰對(duì)稱密鑰+對(duì)稱密鑰信息摘要數(shù)字信封數(shù)字信封StoneBiao,E-CommercePage8112/10/20207:10PM1.數(shù)據(jù)加密解密、身份認(rèn)證流程A用戶先用Hash算法對(duì)發(fā)送發(fā)信息（即“明文”）進(jìn)行運(yùn)算，形成“信息摘要”，并用自己的私人密鑰對(duì)其加密，從而形成數(shù)字簽名。A用戶再把數(shù)字簽名及自己的數(shù)字證書附在明文后面。A用戶隨機(jī)產(chǎn)生的對(duì)稱密鑰（DES密鑰）對(duì)明文進(jìn)行加密，形成密文。為了安全把A用戶隨機(jī)產(chǎn)生的對(duì)稱密鑰送達(dá)B用戶，A用戶用B用戶的公開密鑰對(duì)其進(jìn)行加密，形成了數(shù)字信封。這樣A用戶最后把密文和數(shù)字信封一起發(fā)送給B用戶。StoneBiao,E-CommercePage8212/10/20207:10PM2.數(shù)據(jù)加密解密、身份認(rèn)證流程（續(xù)）B用戶收到A用戶的傳來的密文與數(shù)字信封后，先用自己的私有密鑰對(duì)數(shù)字信封進(jìn)行解密，從而獲得A用戶的DES密鑰，再用該密鑰對(duì)密文進(jìn)行解密，繼而得到明文、A用戶的數(shù)字簽名及用戶的數(shù)字證書。為了確?！懊魑摹钡耐暾?，B用戶把明文用Hash算法對(duì)明文進(jìn)行運(yùn)算，形成“信息摘要”。同時(shí)B用戶把A用戶的數(shù)字簽名用A用戶的公開密鑰進(jìn)行解密，從而形成另一“信息摘要1”。B用戶把“信息摘要”與“信息摘要1”進(jìn)行比較，若一致，說明收到的“明文”沒有被修改過。StoneBiao,E-CommercePage8312/10/20207:10PM4.3.3數(shù)字證書&CA數(shù)字證書認(rèn)證中心CAStoneBiao,E-CommercePage8412/10/20207:10PM數(shù)字證書1.什么是數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含擁有者信息以及公開密鑰的文件。StoneBiao,E-CommercePage8512/10/20207:10PM數(shù)字證書解決了公鑰發(fā)放問題，公鑰匙擁有者身份的表征，對(duì)方可以據(jù)此驗(yàn)證擁有者的身份CA中心對(duì)含有公鑰的證書進(jìn)行數(shù)字簽名，使證書無法偽造。證書的格式遵循ITUX.509國際標(biāo)準(zhǔn)。StoneBiao,E-CommercePage8612/10/20207:10PM數(shù)字證書與護(hù)照、身份證的共同點(diǎn)由可信任的權(quán)威機(jī)構(gòu)頒發(fā)表明個(gè)人的身份有效期結(jié)束后需重新申領(lǐng)被社會(huì)承認(rèn)和接受StoneBiao,E-CommercePage8712/10/20207:10PM讀更改證書用戶的權(quán)利證書規(guī)定用戶個(gè)人的權(quán)利：可讀，不可更改StoneBiao,E-CommercePage8812/10/20207:10PM2.數(shù)字證書原理數(shù)字證書利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。StoneBiao,E-CommercePage8912/10/20207:10PM3.數(shù)字證書的作用

在使用數(shù)字證書的過程中應(yīng)用公開密鑰加密技術(shù)，建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，它能夠保證：信息除發(fā)送方和接受方外不被其他人竊?。恍畔⒃趥鬏斶^程中不被篡改；接收方能夠通過數(shù)字證書來確認(rèn)發(fā)送方的身份；發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。StoneBiao,E-CommercePage9012/10/20207:10PM4.一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容證書的版本信息；證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；證書所有人的名稱，命名規(guī)則一般采用X.500格式；證書所有人的公開密鑰；證書發(fā)行者對(duì)證書的數(shù)字簽名。StoneBiao,E-CommercePage9112/10/20207:10PM5.證書類型(按應(yīng)用分)個(gè)人（或客戶端）證書：該類證書證明客戶的公鑰和身份。在某些場(chǎng)合，如建立SSL連接或交易服務(wù)時(shí)，服務(wù)器可能需要客戶端的證書服務(wù)器（或站點(diǎn)）證書：該類證書證明服務(wù)器的身份和公鑰。在與客戶端建立SSL連接的場(chǎng)合，服務(wù)器將它的證書發(fā)給客戶。安全電子郵件證書：該類證書用于證明電子郵件使用者的身份和公鑰CA證書：證書認(rèn)證中心簽名密鑰的證書。軟件代碼證書：對(duì)軟件進(jìn)行簽名StoneBiao,E-CommercePage9212/10/20207:10PM6.數(shù)字證書的存儲(chǔ)介質(zhì)CA數(shù)據(jù)庫給每一位用戶登記一個(gè)唯一的證書電子標(biāo)識(shí)電子標(biāo)識(shí)以保護(hù)格式存儲(chǔ)通過使用用戶口令進(jìn)行合法操作或采用

PCMCIA令牌卡，高安全級(jí)別磁盤介質(zhì)存儲(chǔ)A先生IC卡介質(zhì)存儲(chǔ)USB接口棒StoneBiao,E-CommercePage9312/10/20207:10PM7.數(shù)字證書的保管數(shù)字證書是持有人身份的表征。任何由該數(shù)字證書簽發(fā)的文件視為證書持有人發(fā)生的行為。妥善保管數(shù)字證書的介質(zhì)。（IC、軟盤、硬盤）發(fā)現(xiàn)證書被竊后，立即掛失。StoneBiao,E-CommercePage9412/10/20207:10PM認(rèn)證中心(CA)1.什么是認(rèn)證中心CA（CertificationAuthority）認(rèn)證中心是進(jìn)行網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的工作就是受理數(shù)字證書的申請(qǐng)、簽發(fā)數(shù)字證書以及對(duì)數(shù)字證書進(jìn)行管理。在電子商務(wù)交易中，需要有這樣具有權(quán)威性和公正性的第三方來完成認(rèn)證工作，使電子商務(wù)交易能夠正常進(jìn)行。例子：廣東省電子商務(wù)認(rèn)證中心StoneBiao,E-CommercePage9512/10/20207:10PM2.PKI(公鑰基礎(chǔ)設(shè)施)PKI（PublicKeyInfrastructure：公鑰基礎(chǔ)設(shè)施）：是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI技術(shù)是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù).PKI利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問題。StoneBiao,E-CommercePage9612/10/20207:10PM2.基于PKI體系的CA認(rèn)證中心CA（CertificationAuthority）中心在電子商務(wù)中的作用基于PKI體系的CA認(rèn)證是解決網(wǎng)上身份認(rèn)證和交易的安全問題。CA是PKI體系中的認(rèn)證機(jī)構(gòu)。一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。CA中心是公正、中立、權(quán)威的第三方機(jī)構(gòu)CA是電子商務(wù)的安全基礎(chǔ)設(shè)施CA基本模塊StoneBiao,E-CommercePage9712/10/20207:10PM3.CA中心與數(shù)字證書CA是被信任的第三方，其中心任務(wù)是頒發(fā)數(shù)字證書;負(fù)責(zé)驗(yàn)證發(fā)證對(duì)象的物理身份和密鑰所有權(quán);CA是一個(gè)權(quán)威性的機(jī)構(gòu)；CA保證數(shù)字身份證的唯一性和非篡改性;每個(gè)用戶可獲得CA中心的公開密鑰（CA根證書），驗(yàn)證任何一張數(shù)字證書的數(shù)字簽名，從而確定證書是否是CA中心簽發(fā)。StoneBiao,E-CommercePage9812/10/20207:10PM數(shù)字證書的基本目的：

將個(gè)人的姓名與公鑰綁定CA實(shí)現(xiàn)了現(xiàn)實(shí)生活中的身份認(rèn)證過程證書有CA的數(shù)字簽名CA是發(fā)放證書的權(quán)威機(jī)構(gòu)

摘要函數(shù)機(jī)簽名數(shù)字證書用戶按CA規(guī)定登記個(gè)人信息，CA核實(shí)后，將用戶信息和公鑰送到證書制作處。。。CA私鑰附在證書后面數(shù)字證書用戶姓名

用戶公鑰證書有效期發(fā)證機(jī)構(gòu)用戶其他信息

證書摘要摘要1摘要1證書制作領(lǐng)證過程姓名用戶公鑰證書有效期發(fā)證機(jī)構(gòu)名稱及地址用戶其它信息3.CA中心與數(shù)字證書(續(xù))StoneBiao,E-CommercePage9912/10/20207:10PM

多信任域的信任機(jī)制樹形結(jié)構(gòu)--

建立自下向上的信任鏈，下級(jí)CA信任上級(jí)CA，下級(jí)CA靠上級(jí)CA頒發(fā)證書并認(rèn)證邦聯(lián)結(jié)構(gòu)--

多極CA互相交叉信任根CA二級(jí)CA樹性結(jié)構(gòu)CA邦聯(lián)結(jié)構(gòu)CACA二級(jí)CA二級(jí)CACACACACACACACACACACACACACA4.CA的層次結(jié)構(gòu)StoneBiao,E-CommercePage10012/10/20207:10PM4.4電子商務(wù)安全協(xié)議（SSL和SET)4.4.1安全套接層協(xié)議（SSL）

4.4.2安全電子交易協(xié)議（SET）StoneBiao,E-CommercePage10112/10/20207:10PM4.4.1安全套接層協(xié)議（SSL）SSL(SecureSocketLayer)協(xié)議的產(chǎn)生背景HTTP協(xié)議缺少安全保障SSL提供數(shù)據(jù)加密、數(shù)據(jù)完整性和認(rèn)證機(jī)制SSL協(xié)議的發(fā)展歷程1994年，Netscape開發(fā)了SSL協(xié)議，專門用于保護(hù)Web通訊，SSL1.0，不成熟SSL2.0，基本上解決了Web通訊的安全問題SSL3.0，1996年發(fā)布，增加了一些算法，修改了一些缺陷StoneBiao,E-CommercePage10212/10/20207:10PMSSL協(xié)議的設(shè)計(jì)目標(biāo)SSL協(xié)議被設(shè)計(jì)用來使用TCP提供一個(gè)可靠的端到端安全服務(wù)為兩個(gè)通訊個(gè)體之間提供保密性和完整性SSL協(xié)議的使用使用SSL協(xié)議的瀏覽器：Netscape的Navigator微軟的InternetExplorerStoneBiao,E-CommercePage10312/10/20207:10PMInternetExplorer中的SSL設(shè)置StoneBiao,E-CommercePage10412/10/20207:10PMSSL的體系結(jié)構(gòu)協(xié)議分為兩層底層：SSL記錄協(xié)議上層：SSL握手協(xié)議、SSL密碼變化協(xié)議、SSL警告協(xié)議StoneBiao,E-CommercePage10512/10/20207:10PMSSL提供的服務(wù)身份認(rèn)證用數(shù)字證書實(shí)現(xiàn)的服務(wù)器認(rèn)證（防止冒名頂替）

保密性加密傳輸信息（防止竊聽）

數(shù)據(jù)完整性保證數(shù)據(jù)信息完整性（防止對(duì)數(shù)據(jù)的損壞）

StoneBiao,E-CommercePage10612/10/20207:10PMSSL工作流程StoneBiao,E-CommercePage10712/10/20207:10PMSSL工作流程SSL協(xié)議采用數(shù)字證書進(jìn)行雙端實(shí)體認(rèn)證,用非對(duì)稱加密算法進(jìn)行密鑰協(xié)商,用對(duì)稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過計(jì)算數(shù)字摘要來驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改和偽造,從而為敏感數(shù)據(jù)在Internet上的傳輸提供了一種安全保障手段。StoneBiao,E-CommercePage10812/10/20207:10