電子商務(wù)概論第四章電子商務(wù)安全技術(shù)

第四章電子商務(wù)平安技術(shù) 本章介紹電子商務(wù)系統(tǒng)平安的概念、根本要求、常用的平安技術(shù)以及主要的平安標(biāo)準(zhǔn)內(nèi)容提要4.1電子商務(wù)的平安概念4.2加密學(xué)根底4.3電子商務(wù)平安協(xié)議技術(shù)4.4電子商務(wù)的平安框架4.1電子商務(wù)的平安概念電子商務(wù)的平安威脅電子商務(wù)的平安需求電子商務(wù)平安技術(shù)電子商務(wù)的平安威脅電腦犯罪:50個(gè)國(guó)家有信息恐怖組織,計(jì)算機(jī)犯罪增長(zhǎng)率152%,銀行搶劫案件減少，英國(guó)網(wǎng)絡(luò)解密專家小組,美國(guó)第三方密鑰管理,………巨大損失:46萬(wàn)美元/每次計(jì)算機(jī)犯罪,24美元/每次搶劫，國(guó)防，銀行，證券

網(wǎng)絡(luò)戰(zhàn)爭(zhēng):美國(guó)網(wǎng)絡(luò)戰(zhàn)電子商務(wù)的平安威脅系統(tǒng)破壞信息竊取信息竄改非法侵入非法冒用信息抵賴電子商務(wù)的平安需求計(jì)算機(jī)系統(tǒng)平安網(wǎng)絡(luò)系統(tǒng)平安信息平安電子商務(wù)交易平安電子商務(wù)平安技術(shù)加密技術(shù)〔Encryption)報(bào)文摘要(MessageDigest)數(shù)字簽名(DigitalSignature)平安協(xié)議(SecureProtocol)認(rèn)證技術(shù)(AuthenticationCertificate)防火墻(Firewall)4.2密碼學(xué)根底密碼與密碼學(xué)密碼系統(tǒng)及分類密碼算法數(shù)字簽名密碼與密碼學(xué)密碼〔Cryptogram)密碼學(xué)〔Cryptography)密碼系統(tǒng)〔Cryptosystem)密碼分析〔Cryptanalysis)密碼系統(tǒng)加密系統(tǒng)解密系統(tǒng)密碼分析明文(M)加密密鑰(K1)解密密鑰(K2)密文(C)明文(M)明文(M)加密系統(tǒng)的分類對(duì)稱式加密系統(tǒng)〔K1=K2)也稱為私鑰〔PrivateKey)系統(tǒng)非對(duì)稱式加密系統(tǒng)〔K1<>K2)也稱為公鑰〔PublicKey)系統(tǒng)混合加密系統(tǒng)，即采用公鑰對(duì)私鑰進(jìn)行加密，用私鑰對(duì)信息進(jìn)行加密。加密算法古典密碼算法數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES)RSA公鑰密碼系統(tǒng)古典密碼算法移位加密算法〔愷撒密碼〕詞組密鑰密碼分組密鑰密碼移位加密算法〔愷撒密碼〕對(duì)于任意密鑰k將明文的每個(gè)字母循環(huán)后移k位得到密文，例如：設(shè)k=3明文：securemessage密文：vhfxuhphvvdjh詞組密鑰密碼密鑰為２６字母的詞組，置換規(guī)那么為：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：osvqnshsoofas分組加密算法設(shè)k為n位二進(jìn)制數(shù)，將明文長(zhǎng)度為n的分組進(jìn)行加密，加密過(guò)程為：encryptm1…mnk1…knc1…cn數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES)

DES是由IBM公司研制的，1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局批準(zhǔn)為作為非機(jī)密機(jī)構(gòu)的加密標(biāo)準(zhǔn)。DES是采用傳統(tǒng)換位與置換的加密方法的分組密碼系統(tǒng)，算法如下：m=m1m2…m64k=k1k2…k64DES(m)=IP-1T16T15…T2T1IP(m)數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES)Ti變換LiRifLi+1Ri+1+kiLi+1=RiRi+1=Li⊕f(Ri,Ki)RSA公鑰密碼系統(tǒng)R.Rivest、A.Shamir、L.Adleman，1977RSADataSecurityInc.,RSALab.1982RSA公司和RSA實(shí)驗(yàn)室在公開(kāi)密鑰密碼系統(tǒng)的研究和商業(yè)應(yīng)用推廣方面有舉足輕重的地位。RSA密碼系統(tǒng)的算法取質(zhì)數(shù)p，q〔保密〕計(jì)算n=p*q〔公開(kāi)〕計(jì)算z=〔p-1〕*〔q-1)〔保密〕選取e與z互質(zhì),e稱為“公開(kāi)指數(shù)〞對(duì)于e，算出d滿足e*d=1modzd稱為“秘密指數(shù)〞(n,e)為“公開(kāi)密鑰〞 (n,d)為“秘密密鑰〞設(shè) m<n加密算法 c=E(m)=me(mod(n))解密算法 m=D(c)=cd(mod(n))RSA算法示意實(shí)例設(shè)p=43,q=59,n=pq=2537 z=(p-1)*(q-1)=42*58=2436, 取e=13 解方程de=1(mod2436)得d=937假設(shè)有明文：publickeyencryptions將明文分塊：publickeyencryptions數(shù)字化：15200111080210042404 13021724151908141418加密得：00951648141012991365 13792333213217511289RSA密碼系統(tǒng)的實(shí)現(xiàn)加密系統(tǒng)解密系統(tǒng)明文(M)乙方公鑰乙方密鑰密文(C)明文(M)甲方乙方RSA算法的平安性：n該多大？最簡(jiǎn)單的考慮是加厚我們的“盾〞，即n取得更大。RSA實(shí)驗(yàn)室認(rèn)為，512比特的n已不平安，在1998年后應(yīng)停止使用。RSA實(shí)驗(yàn)室建議個(gè)人應(yīng)用需用768比特的n,公司要用1024比特的n，極其重要的場(chǎng)合應(yīng)該用2048比特的n。RSA實(shí)驗(yàn)室還認(rèn)為，768比特的n可望到2004年保持平安。數(shù)字簽名保證信息的完整性保證信息來(lái)源的可靠性保證信息的不可否認(rèn)性用公鑰系統(tǒng)實(shí)現(xiàn)數(shù)字簽名簽名系統(tǒng)驗(yàn)證系統(tǒng)明文(M)甲方密鑰甲方公鑰密文(C)明文(M)甲方乙方報(bào)文摘要(MessageDigest)算法報(bào)文摘要算法，即生成數(shù)字指紋的方法在數(shù)字簽名中有重要作用。報(bào)文摘要算法是一類特殊的散列函數(shù)〔hash函數(shù)〕，要求：接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度的限制；對(duì)任何輸入報(bào)文數(shù)據(jù)生成固定長(zhǎng)度數(shù)字指紋輸出；由報(bào)文能方便地算出摘要；難以對(duì)指定的摘要生成一個(gè)報(bào)文,由該報(bào)文可以得出指定的摘要；難以生成兩個(gè)不同的報(bào)文具有相同的摘要。報(bào)文摘要算法的適用性和單向性單向散列函數(shù)〔Hash〕h=H(M)，M為一任意長(zhǎng)度的消息，h為返回的固定長(zhǎng)度的散列值，其特點(diǎn)如下：給定M，很容易計(jì)算h；給定h，計(jì)算M不可能或很難；給定M，要找到另一消息M’，使得 H〔M’〕＝H〔M〕很難HushMihi-1hi報(bào)文摘要(MessageDigest)算法MD5從八十年代末到九十年代，Rivest開(kāi)發(fā)了好幾種RSA公司專有的報(bào)文摘要算法，包括MD、MD2、MD5等。MD5生成的“數(shù)字指紋〞長(zhǎng)128bits。1994年有一個(gè)研究報(bào)告稱，可以花費(fèi)$10,000,000去制造一臺(tái)專門(mén)機(jī)器，針對(duì)MD5搜索兩個(gè)不同的報(bào)文具有相同的摘要，即“碰撞〞，平均用24天才能找到一個(gè)碰撞。至今，MD5仍被認(rèn)為是一個(gè)平安的報(bào)文摘要算法。MD5的計(jì)算實(shí)例MD5("12345")=827ccb0eea8a706c4c34a16891f84e7bMD5("abcde")=ab56b4d92b40713acc5af89985d4b786MD5("")=d41d8cd98f00b204e9800998ecf8427eMD5("")=7215ee9c7d9dc229d2921a40e899ec5fMD5("")=1545e945d5c3e7d9fa642d0a57fc8432報(bào)文摘要數(shù)字簽名系統(tǒng)摘要簽名簽名驗(yàn)證摘要驗(yàn)證報(bào)文報(bào)文+摘要報(bào)文+簽名摘要4.3電子商務(wù)平安協(xié)議技術(shù)Internet平安協(xié)議認(rèn)證技術(shù)防火墻技術(shù)計(jì)算機(jī)系統(tǒng)平安Internet的平安協(xié)議平安Internet協(xié)議結(jié)構(gòu)〔SecureSocketLayer)SSL平安Internet協(xié)議結(jié)構(gòu)鏈路層平安協(xié)議網(wǎng)絡(luò)層平安協(xié)議傳輸層平安協(xié)議應(yīng)用層平安協(xié)議LinkEncryptionIPSECSSLSHTTP，PEMSSL協(xié)議1.ClientsendsClentHellomessage2.ServeracknowledgeswithServerHellomessage3.Serversendsitscertificate4.ServerrequestsClient‘scertificate5.Clientsendsitscertificate6.ClientsendsClentKeyExchangemessage7.ClientsendsCertificateVerifymessage8.BothsendChangeCipherSpecmessages9.BothsendFinishedmessageClientServer認(rèn)證技術(shù)帳號(hào)與口令認(rèn)證地址認(rèn)證加密認(rèn)證集中認(rèn)證認(rèn)證中介帳號(hào)與口令認(rèn)證喂！我是張三，我的密碼是zspswdInternet地址認(rèn)證喂！我的IP地址是Internet地址授權(quán)表...加密認(rèn)證產(chǎn)生一隨機(jī)數(shù)RR將R簽名得XX對(duì)簽名進(jìn)行校驗(yàn)SYAB產(chǎn)生一隨機(jī)數(shù)S將S簽名得Y對(duì)簽名進(jìn)行校驗(yàn)集中認(rèn)證效勞器A效勞器B效勞器C認(rèn)證效勞器用戶登錄認(rèn)證用戶口令及權(quán)限管理鑰匙分發(fā)中心(KDC)KDCHostAHostBHostCHostDKaKbKcKdKabKbcKcdKad認(rèn)證中心與數(shù)字證書(shū)公開(kāi)鑰匙持有證書(shū)序號(hào):1238038持有者:張三公共鑰匙:34567546565發(fā)證機(jī)關(guān)簽名:543563546公開(kāi)鑰匙持有證書(shū)序號(hào):12380567持有者:李四公共鑰匙:64576475675發(fā)證機(jī)關(guān)簽名:546547876Internet認(rèn)證中心(CA)公鑰認(rèn)證系統(tǒng)的根底設(shè)施〔PKI)RootCABrandCABrandCAPersonalCASiteCAMerchantCASoftwareCA防火墻技術(shù)什么是防火墻〔Firewall)防火墻的實(shí)現(xiàn)機(jī)制什么是防火墻〔Firewall)InternetInternetLANLANFirewall防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)屏蔽主機(jī)屏蔽子網(wǎng)雙重宿主主機(jī)網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口應(yīng)用程序轉(zhuǎn)