《網(wǎng)上支付安全技術(shù)》

網(wǎng)上支付結(jié)算編輯ppt§11網(wǎng)上支付平安技術(shù)學(xué)習(xí)目標(biāo)：1.在線金融平安問(wèn)題2.平安技術(shù)3.CA平安控制及管理4.在線商務(wù)平安標(biāo)準(zhǔn)5.密碼學(xué)根底6.電子簽名技術(shù)7.“網(wǎng)證通〞個(gè)人數(shù)字證書(shū)簽發(fā)平安電子郵件編輯ppt案例：銀行卡信息泄漏2005年6月17日，萬(wàn)事達(dá)信用卡國(guó)際稱，由于cardSystems公司的網(wǎng)絡(luò)被突破，造成第三方支付處理器的入侵，只是萬(wàn)事達(dá)、維薩、運(yùn)通、Discover在內(nèi)的高達(dá)4000多萬(wàn)信用卡用戶的銀行資料面臨泄漏風(fēng)險(xiǎn)。cardSystems公司喪失客戶數(shù)據(jù)的主要原因是對(duì)信息平安缺乏足夠重視，違規(guī)保存信用卡用戶資料，同時(shí)未對(duì)這些數(shù)據(jù)進(jìn)行任何加密，只是黑客入侵后很順利得盜走了相關(guān)數(shù)據(jù)。通過(guò)認(rèn)真檢查這次銀行卡泄密事件，我們知道不僅信息技術(shù)出了問(wèn)題，而且管理制度和平安意識(shí)也出了問(wèn)題。編輯ppt電子商務(wù)的平安威脅電腦犯罪:50個(gè)國(guó)家有信息恐怖組織,計(jì)算機(jī)犯罪增長(zhǎng)率152%,銀行搶劫案件減少，英國(guó)網(wǎng)絡(luò)解密專家小組,美國(guó)第三方密鑰管理,………巨大損失:66萬(wàn)美元/每次計(jì)算機(jī)犯罪,26美元/每次搶劫，國(guó)防，銀行，證券

網(wǎng)絡(luò)戰(zhàn)爭(zhēng):中美網(wǎng)絡(luò)之戰(zhàn)編輯ppt來(lái)自國(guó)家互聯(lián)網(wǎng)應(yīng)急中心18日的報(bào)告顯示，5月10日至5月16日一周內(nèi)，中國(guó)境內(nèi)有81個(gè)政府網(wǎng)站被篡改，至5月17日12時(shí)，仍有29個(gè)被篡改的政府網(wǎng)站沒(méi)有恢復(fù)，其中包括4個(gè)省部級(jí)網(wǎng)站，分別位于安徽、江蘇、四川和西藏自治區(qū)。上周中國(guó)81個(gè)政府網(wǎng)站被黑4省部級(jí)仍未恢復(fù)編輯ppt11.1在線金融平安問(wèn)題眾所周知，電子商務(wù)是利用國(guó)際互聯(lián)網(wǎng)和系統(tǒng)內(nèi)、系統(tǒng)外網(wǎng)絡(luò)及相關(guān)技術(shù)完成商業(yè)的貿(mào)易交易業(yè)務(wù)。因此網(wǎng)絡(luò)的平安就成為貿(mào)易雙方非常關(guān)注的問(wèn)題。1.電子商務(wù)的平安要素電子商務(wù)平安問(wèn)題的核心和關(guān)鍵是電子交易的平安性。網(wǎng)上交易面臨著種種平安威脅，也因此提出了相應(yīng)的平安控制要求。1〕身份的可認(rèn)證性2〕信息的保密性3〕信息的完整性4〕不可抵賴性5〕不可偽造性編輯ppt2.在線支付要求一切電子商務(wù)支付手段的解決方案，都必須解決下面幾個(gè)關(guān)鍵問(wèn)題。1〕有效性電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式貿(mào)易信息的有效性那么是開(kāi)展電子商務(wù)的前提。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。2〕機(jī)密性電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境〔如Internet〕中的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。編輯ppt3〕完整性電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。要預(yù)防信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的喪失和重復(fù)，并保證信息傳送次序的統(tǒng)一。4〕可靠性在傳統(tǒng)的紙面貿(mào)易中，“白紙黑字〞。在無(wú)紙化的交易方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能，因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。編輯ppt11.2平安技術(shù)1.信息加密技術(shù)2.信息認(rèn)證技術(shù)3.通信加密技術(shù)4.其他平安控制技術(shù)5.病毒的防治及管理編輯ppt1.信息加密技術(shù)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行平安的商務(wù)活動(dòng)和通訊就像我們簽署一封信箋并把它密封在一個(gè)信封里發(fā)出去一樣。簽名保證了發(fā)信人身份的真實(shí)性，密封的信封保證了機(jī)密性。密碼系統(tǒng)通過(guò)使用和某一個(gè)算法相關(guān)的密鑰對(duì)信息加密來(lái)保證機(jī)密性?？梢援a(chǎn)生一些“混亂〞的消息發(fā)送給接收者，接收者使用原來(lái)加密用的密鑰可以獲得原來(lái)的信息內(nèi)容。雙方使用的密鑰必須保證機(jī)密性。在密碼應(yīng)用系統(tǒng)中，管理和保密這些密鑰是最中心的問(wèn)題，公鑰密碼系統(tǒng)解決了這個(gè)問(wèn)題。編輯ppt公鑰密碼系統(tǒng)使用一個(gè)密鑰對(duì)代替了原來(lái)使用的一個(gè)密鑰，這個(gè)密鑰對(duì)包括一個(gè)公鑰和一個(gè)私鑰。使用公鑰加密的信息只能使用相應(yīng)的私鑰才能解密。使用這套系統(tǒng)，公鑰可以在公共的目錄中發(fā)布，方便各方互相通訊。除了加密，公鑰和私鑰還可以用來(lái)產(chǎn)生一個(gè)“數(shù)字簽名〞，附加在信息的后面對(duì)信息和信息的發(fā)送者進(jìn)行認(rèn)證。要實(shí)現(xiàn)這種保密且方便的環(huán)境，需要一套公鑰根底設(shè)施PublicKeyInfrastructure〔PKI〕。編輯ppt從廣義上講，所有提供公鑰加密和數(shù)字簽名效勞的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū)，可以為用戶建立起一個(gè)平安的網(wǎng)絡(luò)運(yùn)行環(huán)境，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性，數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過(guò)程中不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個(gè)有效的PKI系統(tǒng)必須是平安的和透明的，用戶在獲得加密和數(shù)字簽名效勞時(shí)，不需要詳細(xì)地了解PKI是怎樣管理證書(shū)和密鑰的。編輯ppt一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下局部：〔1〕公鑰密碼證書(shū)管理?！?〕黑名單的發(fā)布和管理。〔3〕密鑰的備份和恢復(fù)?！?〕自動(dòng)更新密鑰。〔5〕自動(dòng)管理歷史密鑰?！?〕支持交叉認(rèn)證。編輯ppt2.信息認(rèn)證技術(shù)1〕數(shù)字簽名數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。哈?！睭ash〕摘要是用一種符合特殊要求的散列函數(shù)所得的數(shù)據(jù)，典型的散列算法為美國(guó)國(guó)家平安局開(kāi)發(fā)的單向散列算法之一〔SHA－1〕，該算法產(chǎn)生長(zhǎng)度為160比特的散列值，Hash函數(shù)散列算法保證對(duì)于不同的數(shù)據(jù)產(chǎn)生相同的散列值的概率極小。信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過(guò)與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對(duì)照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性.編輯ppt這類(lèi)函數(shù)的特殊要求是：〔1〕接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度限制?！?〕對(duì)任何輸入報(bào)文數(shù)據(jù)生成固定長(zhǎng)度的摘要〔“數(shù)字指紋〞〕輸出?！?〕由報(bào)文能方便地算出摘要?！?〕難以對(duì)指定的摘要生成一個(gè)報(bào)文，由該報(bào)文可以得出指定的摘要?！?〕難以使兩個(gè)不同的報(bào)文具有相同的摘要。編輯ppt數(shù)字信封的功能類(lèi)似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封那么采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了私鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱密碼加密信息，再利用接收方的公鑰加密對(duì)稱密碼，被公鑰加密后的對(duì)稱密碼被稱為數(shù)字信封。在傳遞信息時(shí)，信息接收方如要解密信息，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱密碼，才能利用對(duì)稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性.編輯ppt2〕數(shù)字證書(shū)及應(yīng)用數(shù)字證書(shū)是各類(lèi)實(shí)體〔持卡人／個(gè)人、商戶／企業(yè)、網(wǎng)關(guān)／銀行等〕在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易的各方都需驗(yàn)證對(duì)方證書(shū)的有效性，從而解決相互間的信任問(wèn)題?！?〕數(shù)字證書(shū)數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。簡(jiǎn)單地說(shuō)，數(shù)字證書(shū)是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書(shū)信息的真實(shí)性。證書(shū)格式及證書(shū)內(nèi)容遵循X.509標(biāo)準(zhǔn)?！?〕證書(shū)用途從證書(shū)的用途來(lái)看，數(shù)字證書(shū)可分為簽名證書(shū)和加密證書(shū)。簽名證書(shū)主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書(shū)主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。編輯ppt〔3〕證書(shū)的傳送假設(shè)現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性，需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過(guò)程如下：①甲準(zhǔn)備好要傳送的數(shù)字信息〔明文〕。②甲對(duì)數(shù)字信息進(jìn)行哈希〔Hash〕運(yùn)算，得到一個(gè)信息摘要。③甲用自己的私鑰〔SK〕對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。④甲隨機(jī)產(chǎn)生一個(gè)加密密鑰〔DES密鑰〕，并用此密鑰對(duì)要發(fā)送的信息進(jìn)行加密，形成密文。下接編輯ppt⑤甲用乙的公鑰〔PK〕對(duì)剛剛隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。⑥乙收到甲傳送過(guò)來(lái)的密文和加過(guò)密的DES密鑰，先用自己的私鑰〔SK〕對(duì)加密的DES密鑰進(jìn)行解密，得到DES密鑰。⑦乙然后用DES密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄〔即DES密鑰作廢〕。⑧乙用甲的公鑰〔PK〕對(duì)甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。⑨乙用相同的Hash算法對(duì)收到的明文再進(jìn)行一次Hash運(yùn)算，得到一個(gè)新的信息摘要。⑩乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說(shuō)明收到的信息沒(méi)有被修改正。編輯ppt3.通信加密技術(shù)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)向整個(gè)經(jīng)濟(jì)社會(huì)各層次延伸，整個(gè)社會(huì)表現(xiàn)了對(duì)Internet、Intranet、Extranet等的更大的依賴性。隨著企業(yè)間信息交互的不斷增加，任何一種網(wǎng)絡(luò)應(yīng)用和增值效勞的使用程度將取決于所使用網(wǎng)絡(luò)的信息平安有無(wú)保障，網(wǎng)絡(luò)平安已成為現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的最大障礙，也是急需解決的難題之一。編輯ppt1〕平安套接層協(xié)議SSL由于Web上有時(shí)要傳輸重要或敏感的數(shù)據(jù)，因此Netscape公司在推出Web瀏覽器首版的同時(shí)，提出了平安套接層協(xié)議SSL〔SecureSocketLayer〕，該協(xié)議是在Internet根底上提供的一種保證私密性的平安協(xié)議。開(kāi)放性網(wǎng)絡(luò)模型有七層協(xié)議，而平安套接層協(xié)議SSL那么是基于開(kāi)放性網(wǎng)絡(luò)環(huán)境OSI中第5層〔會(huì)話層〕上的協(xié)議，提供三種效勞：客戶與效勞器之間互相確認(rèn)；消息傳送的可靠性；消息的完整性。SSL協(xié)議就像給Web加了多把平安鎖。SSL采用公開(kāi)密鑰技術(shù)。其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性，可在效勞器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持。編輯ppt2〕SSL的特點(diǎn)SSL協(xié)議是在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web效勞器之間的平安連接技術(shù)。它被視為Internet上Web瀏覽器和效勞器的標(biāo)準(zhǔn)平安性措施。這種信號(hào)交換導(dǎo)致客戶和效勞器同意將使用的平安性級(jí)別，并履行連接的任何身份驗(yàn)證要求。它通過(guò)數(shù)字簽名和數(shù)字證書(shū)可實(shí)現(xiàn)瀏覽器和Web效勞器雙方的身份驗(yàn)證，雙方就可以用保密密鑰進(jìn)行平安的會(huì)話了。這種簡(jiǎn)單加密模式的特點(diǎn)是：〔1〕局部或全部信息加密。〔2〕采用對(duì)稱的和非對(duì)稱的加密技術(shù)?！?〕通過(guò)數(shù)字證書(shū)驗(yàn)證身份。〔4〕采用防止偽造的數(shù)字簽名。編輯pptSSL協(xié)議提供的“通道平安性〞有以下三個(gè)特性：首先是它的私密性，因?yàn)樵谖帐謪f(xié)議中一個(gè)簡(jiǎn)單的握手確定密鑰之后定義了會(huì)話密鑰，所有的消息都被加密。其次是它確實(shí)認(rèn)性，因?yàn)楸M管會(huì)話的客戶端認(rèn)證是可選可不選的，但是效勞器端始終是被認(rèn)證的。最后是它的可靠性，因?yàn)閭魉偷南ㄏ⑼暾詸z查，也即使用了MAC，保證了傳送的可靠性。SSL協(xié)議實(shí)現(xiàn)簡(jiǎn)單，并且獨(dú)立于應(yīng)用層協(xié)議，因此，在電子交易中被用來(lái)平安傳送信用卡號(hào)碼。編輯ppt4.其他平安控制技術(shù)1〕網(wǎng)絡(luò)平安控制網(wǎng)絡(luò)平安是一個(gè)關(guān)系國(guó)家平安和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題。這個(gè)問(wèn)題正隨著全球信息化步伐的加快而變得越來(lái)越重要。網(wǎng)絡(luò)平安是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的疏忽或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)效勞不中斷。編輯ppt網(wǎng)絡(luò)平安從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息平安。從廣義來(lái)說(shuō)，但凡涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)平安的研究領(lǐng)域。網(wǎng)絡(luò)平安的具體含義會(huì)隨著“角度〞的變化而變化。比方：用戶〔個(gè)人、企業(yè)等〕的角度；網(wǎng)絡(luò)運(yùn)行和管理者角度；平安保密部門(mén)的角度；社會(huì)教育和意識(shí)形態(tài)角度。編輯ppt具體說(shuō)來(lái)，網(wǎng)絡(luò)平安涉及到以下幾個(gè)問(wèn)題。〔1〕物理平安對(duì)于自然災(zāi)害〔如雷電、地震、火災(zāi)等〕、物理?yè)p壞〔如硬盤(pán)損壞、設(shè)備使用壽命到期等〕、設(shè)備故障〔如停電、電磁干擾等〕及其他意外事故，解決方案是采取防護(hù)措施，制定平安制度，進(jìn)行數(shù)據(jù)備份等。對(duì)于電磁泄漏、信息泄漏、干擾他人、受他人干擾、乘機(jī)而入〔如進(jìn)入平安進(jìn)程后半途離開(kāi)〕、痕跡泄露〔如口令密鑰等保管不善〕等，解決方案是進(jìn)行輻射防護(hù)，設(shè)置屏幕口令，隱藏銷(xiāo)毀等。對(duì)于操作失誤〔如刪除文件，格式化硬盤(pán)，撤除線路等〕和意外疏漏，解決方案是進(jìn)行狀態(tài)檢測(cè)，報(bào)警確認(rèn)，應(yīng)急恢復(fù)等。計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境平安的特點(diǎn)是：可控性強(qiáng)，損失也大。解決方案是加強(qiáng)機(jī)房管理，運(yùn)行管理，平安組織和人事管理。編輯ppt〔2〕平安控制微機(jī)操作系統(tǒng)的平安控制。如用戶開(kāi)機(jī)鍵入的口令〔某些微機(jī)主板有“萬(wàn)能口令〞〕，對(duì)文件的讀寫(xiě)存取的控制〔如Unix系統(tǒng)的文件屬性控制機(jī)制〕。主要用于保護(hù)存貯在硬盤(pán)上的信息和數(shù)據(jù)。網(wǎng)絡(luò)接口模塊的平安控制。在網(wǎng)絡(luò)環(huán)境下對(duì)來(lái)自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行平安控制。主要包括：身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。網(wǎng)絡(luò)互聯(lián)設(shè)備的平安控制。對(duì)整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行平安監(jiān)測(cè)和控制。主要通過(guò)網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。編輯ppt〔3〕平安效勞①對(duì)等實(shí)體認(rèn)證效勞。②訪問(wèn)控制效勞。③數(shù)據(jù)保密效勞。④數(shù)據(jù)完整性效勞。⑤數(shù)據(jù)源點(diǎn)認(rèn)證效勞。⑥禁止否認(rèn)效勞。編輯ppt〔4〕平安機(jī)制①加密機(jī)制。②數(shù)字簽名機(jī)制。③訪問(wèn)控制機(jī)制。④數(shù)據(jù)完整性機(jī)制。⑤認(rèn)證機(jī)制。⑥信息流填充機(jī)制。⑦路由控制機(jī)制。⑧公證機(jī)制。編輯ppt〔5〕網(wǎng)絡(luò)加密方式①鏈路加密方式。②節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密方式。③端對(duì)端加密方式。編輯ppt〔6〕TCP／IP協(xié)議的平安問(wèn)題①TCP／IP協(xié)議數(shù)據(jù)流采用明文傳輸。②源地址欺騙〔Sourceaddressspoofing〕或IP欺騙〔IPspoofing〕。③源路由選擇欺騙〔SourceRoutingspoofing〕。④路由選擇信息協(xié)議攻擊〔RIPAttacks〕。⑤鑒別攻擊〔AuthenticationAttacks〕。⑥TCP序列號(hào)欺騙〔TCPSequencenumberspoofing〕。⑦TCP序列號(hào)轟炸攻擊〔TCPSYNFloodingAttack〕，簡(jiǎn)稱SYN攻擊。⑧易欺騙性〔Easeofspoofing〕。編輯ppt2〕防火墻的應(yīng)用防火墻是平安策略的一個(gè)局部，Internet防火墻是這樣的系統(tǒng)〔或一組系統(tǒng)〕，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的平安性。防火墻系統(tǒng)決定了哪些內(nèi)部效勞可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些效勞，以及哪些外部效勞可以被內(nèi)部人員訪問(wèn)。要使一個(gè)防火墻有效，所有來(lái)自和去往Internet的信息都必須經(jīng)過(guò)防火墻，接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。編輯ppt防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)平安的設(shè)備的組合，而且Internet防火墻負(fù)責(zé)管理Internet和機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)〞來(lái)防止非法用戶，比方防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在平安脆弱性的效勞進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化平安管理，網(wǎng)絡(luò)的平安性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。編輯ppt在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的平安性，并產(chǎn)生報(bào)警?！沧⒁猓簩?duì)一個(gè)與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)受到攻擊？誰(shuí)在攻擊？〕網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最正確地方。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并根據(jù)機(jī)構(gòu)的核算模式提供部門(mén)級(jí)計(jì)費(fèi)。防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。編輯ppt5.病毒的防治及管理1〕病毒病毒是一個(gè)程序，有時(shí)是有破壞性的，可自我復(fù)制，能以替換、插入等形式附著在操作系統(tǒng)或可執(zhí)行文件上，這些行為用戶毫無(wú)覺(jué)察。它還可通過(guò)網(wǎng)絡(luò)傳播，發(fā)作時(shí)有危害。一旦病毒發(fā)作，會(huì)發(fā)生機(jī)器不能正常啟動(dòng)，運(yùn)行速度降低，磁盤(pán)空間被占用，文件內(nèi)容和長(zhǎng)度被改變，經(jīng)?！八罊C(jī)〞，外部設(shè)備工作異常等情況。防范措施：〔1〕安裝防病毒軟件，定期對(duì)系統(tǒng)進(jìn)行查毒。〔2〕不要隨意從網(wǎng)上下載軟件，下載后要注意查毒。〔3〕不要翻開(kāi)不熟悉的郵件和附件。編輯ppt2〕利用特洛伊程序進(jìn)行的入侵特洛伊程序往往是在用戶不知道的情況下被引入到系統(tǒng)中的。它可隱藏于用戶的執(zhí)行進(jìn)程中，不容易被覺(jué)察，可為遠(yuǎn)程入侵者提供本地有用信息，嚴(yán)重的還可被遠(yuǎn)程控制，其危害性極大。防范措施：〔1〕任何特洛伊和后門(mén)程序一旦被入侵者利用都將會(huì)帶來(lái)平安危害，因此不要隨意從網(wǎng)上下載軟件，建議使用正版軟件。〔2〕經(jīng)常檢查自己的系統(tǒng)是否啟動(dòng)了不明的效勞，應(yīng)盡快刪除?！?〕對(duì)于Windows系統(tǒng)，應(yīng)注意比較注冊(cè)表的改變?！?〕使用平安工具進(jìn)行檢查。編輯ppt11.3CA平安控制及管理1.CA認(rèn)證機(jī)構(gòu)面臨的主要威脅2.CA認(rèn)證中心的平安防范機(jī)制編輯ppt1.CA認(rèn)證機(jī)構(gòu)面臨的主要威脅CA所提供的效勞是通過(guò)Internet實(shí)施的，面臨來(lái)自Internet的攻擊威脅。同時(shí)，由于其業(yè)務(wù)的特殊性和重要性，還面臨來(lái)自內(nèi)部的攻擊威脅。攻擊者的目標(biāo)是多方面的，其中以竊取CA核心機(jī)密〔如密鑰對(duì)〕為最嚴(yán)重的威脅。1〕系統(tǒng)穿透系統(tǒng)穿透系指攻擊者通過(guò)一定的手段對(duì)認(rèn)證性〔真實(shí)性Authenticity〕進(jìn)行攻擊，假冒合法用戶接入系統(tǒng)，從而到達(dá)篡改系統(tǒng)文件、竊取系統(tǒng)機(jī)密信息、非法使用系統(tǒng)資源等目的。攻擊者一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)〔如繞過(guò)檢測(cè)控制〕、收集情報(bào)〔如口令〕等方式實(shí)現(xiàn)。在CA系統(tǒng)中，口令登錄大都被電子令牌或數(shù)字證書(shū)登錄替代，所以系統(tǒng)穿透的風(fēng)險(xiǎn)較小。編輯ppt2〕違反授權(quán)原那么違反授權(quán)原那么系指攻擊者盜用一個(gè)合法用戶賬號(hào)，經(jīng)授權(quán)進(jìn)入系統(tǒng)后，在系統(tǒng)中進(jìn)行未經(jīng)授權(quán)的操作。一個(gè)攻擊者可以通過(guò)猜測(cè)口令等手段取得一個(gè)普通用戶賬號(hào)，以合法的身份接入系統(tǒng)，進(jìn)而可查找系統(tǒng)的薄弱環(huán)節(jié)，最后取得系統(tǒng)的最高控制權(quán)，從而嚴(yán)重危及系統(tǒng)的平安。這種攻擊主要發(fā)生在CA管理人員內(nèi)部，需要重點(diǎn)防范，嚴(yán)格控制不同管理員的權(quán)限。3〕植入病毒在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為以后攻擊提供方便條件，如向系統(tǒng)中注入病毒、蛀蟲(chóng)、特洛伊木馬、限門(mén)、邏輯炸彈等來(lái)破壞系統(tǒng)正常工作。從Internet下載的軟件和盜版軟件是病毒的主要來(lái)源，所以應(yīng)防止管理員使用CA系統(tǒng)中的工作站下載軟件和使用來(lái)歷不明的軟件。編輯ppt4〕通信監(jiān)視通信監(jiān)視是一種在通信過(guò)程中從信道進(jìn)行搭線竊聽(tīng)的攻擊方式。攻擊者通過(guò)搭線和電磁泄漏等手段截取通信信息，對(duì)信息、業(yè)務(wù)流量等數(shù)據(jù)進(jìn)行分析，獲取有用的情報(bào)，獲得機(jī)密信息。CA認(rèn)證中心的敏感信息在傳輸中都是經(jīng)過(guò)加密處理的，但在機(jī)房數(shù)據(jù)處理中，數(shù)據(jù)會(huì)以明文形式出現(xiàn)，所以CA機(jī)房是反通信監(jiān)視的重點(diǎn)部位。5〕中斷中斷系指對(duì)可用性進(jìn)行攻擊，破壞系統(tǒng)中的硬件、硬盤(pán)、線路、文件系統(tǒng)等，使系統(tǒng)癱瘓，不能正常工作，破壞信息和網(wǎng)絡(luò)資源。這類(lèi)攻擊一般采取暴力手段，破壞通信設(shè)施，甚至使用高能量的電磁脈沖發(fā)射設(shè)備摧毀系統(tǒng)的電子元器件。編輯ppt6〕拒絕效勞拒絕效勞的攻擊手段能夠阻塞被攻擊目標(biāo)合法接入信息、業(yè)務(wù)或其他資源，致使其正常效勞中斷，例如，一個(gè)業(yè)務(wù)出口被精心地籌劃進(jìn)行濫用而使其他用戶不能正常接入，又如Internet的一個(gè)地址被大量的垃圾信息阻塞等。7〕竊取或破解密鑰一個(gè)攻擊者假設(shè)竊取或破解了認(rèn)證中心的私人密鑰，就可以偽造數(shù)字證書(shū)，進(jìn)行詐騙活動(dòng)。編輯ppt8〕管理漏洞CA系統(tǒng)的平安性除了技術(shù)方面的因素外，管理也是一個(gè)非常重要的因素。管理方面存在的漏洞往往蘊(yùn)藏著極大的風(fēng)險(xiǎn)和隱患。例如，CA的簽名私鑰只由一個(gè)工作人員管理和控制，當(dāng)這名工作人員受到賄賂以后，就極有可能簽發(fā)內(nèi)容不實(shí)的數(shù)字證書(shū)。如果機(jī)密數(shù)據(jù)僅由一個(gè)工作人員管理和控制，那么這個(gè)人就有可能竊取和出賣(mài)這些資料，牟取非法利益，或者成心損毀。所以，CA認(rèn)證中心必須建立嚴(yán)密的管理制度。9〕數(shù)據(jù)損壞CA認(rèn)證中心的數(shù)據(jù)庫(kù)存儲(chǔ)了大量的數(shù)字證書(shū)、用戶注冊(cè)資料等數(shù)據(jù)，當(dāng)發(fā)生商務(wù)方面的糾紛時(shí)，這些數(shù)據(jù)將作為重要的舉證依據(jù)。如果這些數(shù)據(jù)被損壞，其后果相當(dāng)嚴(yán)重。編輯ppt2.CA認(rèn)證中心的平安防范機(jī)制1〕機(jī)房的平安CA機(jī)房是整個(gè)認(rèn)證系統(tǒng)的系統(tǒng)控制核心，必須設(shè)置獨(dú)立的專用機(jī)房。CA中心機(jī)房，應(yīng)配備先進(jìn)的門(mén)禁管理系統(tǒng)，防止非授權(quán)人員無(wú)意或有意進(jìn)入。對(duì)于敏感崗位的操作，必須進(jìn)行身份識(shí)別和采用多人控制的方式。2〕訪問(wèn)控制CA機(jī)房必須受到嚴(yán)格的、高等級(jí)的平安保護(hù)，至少應(yīng)該設(shè)置3層平安控制保護(hù)層，將機(jī)房分為不同的平安區(qū)域。進(jìn)入數(shù)據(jù)中心和管理控制臺(tái)的任何人員必須通過(guò)3層平安控制保護(hù)層的核準(zhǔn)。編輯ppt3〕實(shí)時(shí)監(jiān)控為防止非法入侵和暴力破壞，CA機(jī)房應(yīng)設(shè)立智能化門(mén)禁系統(tǒng)，配備實(shí)時(shí)監(jiān)控系統(tǒng)和平安時(shí)鐘，記錄開(kāi)／關(guān)門(mén)、每次授權(quán)進(jìn)出的活動(dòng)。4〕全面設(shè)防CA機(jī)房必須能夠屏蔽電磁波，防止信息經(jīng)由電磁輻射而引起秘密泄露。機(jī)房的電力和空調(diào)系統(tǒng)應(yīng)采用主、備兩個(gè)系統(tǒng)，當(dāng)主系統(tǒng)發(fā)生故障時(shí)，可以自動(dòng)啟動(dòng)備用系統(tǒng)。機(jī)房應(yīng)該配備自動(dòng)氣體消防系統(tǒng)，能夠在火災(zāi)發(fā)生之初進(jìn)行預(yù)警檢測(cè)和自動(dòng)滅火。編輯ppt5〕CA中心的密鑰平安數(shù)字證書(shū)的平安性和可靠性主要依靠CA認(rèn)證中心的數(shù)字簽名來(lái)保證，而CA的數(shù)字簽名是使用自身的私有密鑰運(yùn)算產(chǎn)生的。所以，CA中心的密鑰平安非常重要，一旦密鑰泄露，將引起整個(gè)信任體系的崩潰。為此，對(duì)于CA中心的密鑰平安措施，一般需要注意以下幾個(gè)方面?！?〕選擇模長(zhǎng)較長(zhǎng)的密鑰〔2〕使用專用硬件產(chǎn)生密鑰對(duì)〔3〕秘密分享的控制原那么〔4〕建立對(duì)密鑰進(jìn)行備份和恢復(fù)的機(jī)制編輯ppt6〕系統(tǒng)平安〔1〕系統(tǒng)備份為防止由于不可預(yù)料事件發(fā)生而導(dǎo)致系統(tǒng)不能正常運(yùn)行，防止CA效勞中斷，CA系統(tǒng)必須有備份系統(tǒng)。備份系統(tǒng)可以與主系統(tǒng)在同一個(gè)機(jī)房，但最好的方案是將備份系統(tǒng)放在異地?！?〕數(shù)據(jù)備份數(shù)據(jù)備份是非常重要的工作，CA應(yīng)該同時(shí)提供本地和異地備份，制訂可行的備份和災(zāi)難恢復(fù)方案?！?〕數(shù)據(jù)銷(xiāo)毀當(dāng)存檔的敏感數(shù)據(jù)或密鑰不再需要時(shí)，應(yīng)當(dāng)將這些數(shù)據(jù)進(jìn)行銷(xiāo)毀。寫(xiě)在紙張之上的，必須切碎或燒毀。如果保存在磁盤(pán)中，應(yīng)屢次重寫(xiě)覆蓋磁盤(pán)的存儲(chǔ)區(qū)域。所有銷(xiāo)毀工作必須做好記錄，以備審查。編輯ppt7〕病毒防范防止病毒入侵，主要是要做到以下兩點(diǎn)：〔1〕CA中心的軟件使用必須經(jīng)過(guò)嚴(yán)格的審核，所有的進(jìn)口軟件必須經(jīng)過(guò)相應(yīng)的控制程序后才能使用。〔2〕采用防病毒軟件，實(shí)時(shí)檢測(cè)病毒入侵。編輯ppt8〕管理控制在CA的業(yè)務(wù)系統(tǒng)中，必須進(jìn)行嚴(yán)格的管理控制，對(duì)來(lái)自外部和內(nèi)部的用戶操作進(jìn)行監(jiān)控。〔1〕使用電子令牌IC卡〔智能卡〕是目前使用廣泛的電子令牌，具有極高的保密性，而且方便攜帶?！?〕審計(jì)追蹤與入侵檢測(cè)在系統(tǒng)中，需要安裝入侵檢測(cè)工具，所有接入數(shù)據(jù)必須進(jìn)行審計(jì)，檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，對(duì)所有端系統(tǒng)用戶進(jìn)行嚴(yán)格平安管理。利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)應(yīng)能夠識(shí)別出任何非法操作，從而限制或終止訪問(wèn)?！?〕防火墻編輯ppt11.4在線商務(wù)平安標(biāo)準(zhǔn)1.在線支付標(biāo)準(zhǔn)1.1.PKI密鑰設(shè)施1.2.SSL平安協(xié)議1.3.SHTTP-secureHTTP及其他協(xié)議1.4.SET平安協(xié)議2.平安認(rèn)證標(biāo)準(zhǔn)2.1.認(rèn)證管理機(jī)制2.2.證書(shū)標(biāo)準(zhǔn)2.3.電子出版物查詢標(biāo)準(zhǔn)編輯ppt電子支付是資金在Internet上的傳輸，主要方式有企業(yè)對(duì)企業(yè)〔BTOB〕、企業(yè)對(duì)個(gè)人〔BTOC〕等方式。電子支付涉及到的標(biāo)準(zhǔn)有：PKI標(biāo)準(zhǔn)：公共密鑰體系〔PublicKeyInfrastructure〕SSL標(biāo)準(zhǔn)：平安套接層協(xié)議〔SecureSocketsLayer〕SET標(biāo)準(zhǔn)：平安電子交易標(biāo)準(zhǔn)〔SecureElectronicTransactions，簡(jiǎn)稱SET〕X5.95標(biāo)準(zhǔn)：賬戶數(shù)字簽名工業(yè)標(biāo)準(zhǔn)〔AccountAuthorityDigitalSignatures，orAADS〕，提供了標(biāo)準(zhǔn)化信用卡處理和賬戶管理方法。X.509標(biāo)準(zhǔn)：在線商務(wù)證書(shū)發(fā)放標(biāo)準(zhǔn)〔ISO/IEC/ITUX.509，基于PKI，簡(jiǎn)稱PKIX〕X.500標(biāo)準(zhǔn)：電子出版目錄查詢標(biāo)準(zhǔn)〔目錄效勞協(xié)議LDAP〔X.500協(xié)議〕〕編輯ppt1.在線支付標(biāo)準(zhǔn)1.1.PKI密鑰設(shè)施隨著Internet在線商務(wù)和網(wǎng)上銀行業(yè)務(wù)的快速開(kāi)展，利用信息平安技術(shù)來(lái)保障在開(kāi)放的網(wǎng)絡(luò)環(huán)境中傳輸敏感信息的問(wèn)題越來(lái)越受到人們的廣泛重視。尤其近幾年來(lái)，由于PKI技術(shù)框架的提出以及眾多商家的熱心參與，更加快了商務(wù)電子化以及銀行業(yè)務(wù)網(wǎng)絡(luò)化的建設(shè)步伐。編輯ppt1〕PKI的概念PKI〔PublicKeyInfrastructure，公開(kāi)密鑰根底設(shè)施〕，是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書(shū)管理，是新的平安技術(shù)和平安標(biāo)準(zhǔn)。PKI技術(shù)的主要目的，就是為更好地管理在Internet網(wǎng)絡(luò)中廣泛使用的密鑰和數(shù)字證書(shū)。也就是說(shuō)，利用PKI技術(shù)來(lái)管理在開(kāi)放網(wǎng)絡(luò)環(huán)境中使用的公開(kāi)密鑰和數(shù)字證書(shū)，對(duì)一個(gè)公司或企業(yè)來(lái)說(shuō)，可以建立一個(gè)相對(duì)平安和值得信賴的網(wǎng)絡(luò)環(huán)境。編輯pptPKI技術(shù)中最主要的平安技術(shù)包括兩個(gè)方面：公鑰加密技術(shù)、數(shù)字簽名技術(shù)。公鑰加密技術(shù)可以提供信息的保密性和訪問(wèn)控制的有效手段，它保證了利用公鑰加密后的數(shù)據(jù)，如果沒(méi)有提供相應(yīng)的私鑰來(lái)解密的話，竊密者即使獲得密文也難以知曉其中的內(nèi)容。而數(shù)字簽名技術(shù)那么為我們提供了在網(wǎng)絡(luò)通信之前相互認(rèn)證的有效方法、在通信過(guò)程中保證信息完整性的可靠手段以及在通信結(jié)束之后防止雙方相互抵賴的有效機(jī)制。而這些功能和手段的獲得，就要通過(guò)PKI的密鑰管理技術(shù)來(lái)實(shí)現(xiàn)。編輯ppt建立一個(gè)有實(shí)際使用價(jià)值的PKI網(wǎng)絡(luò)平安環(huán)境，必須滿足以下幾個(gè)根本條件：〔1〕能夠簽發(fā)基于公鑰密碼體制的數(shù)字證書(shū)。〔2〕具有數(shù)字證書(shū)的存取環(huán)境和途徑?！?〕能夠進(jìn)行證書(shū)作廢處理。〔4〕實(shí)現(xiàn)密鑰備份和恢復(fù)。〔5〕支持不可否認(rèn)的數(shù)字簽名。〔6〕公開(kāi)密鑰對(duì)和數(shù)字證書(shū)的自動(dòng)更新?！?〕公開(kāi)密鑰對(duì)的歸檔管理?！?〕支持?jǐn)?shù)字證書(shū)的交叉認(rèn)證等。編輯ppt2〕PKI的組成PKI必須具有認(rèn)證機(jī)關(guān)〔CA〕、證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢處理系統(tǒng)、客戶端證書(shū)處理系統(tǒng)等根本成分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來(lái)構(gòu)建?！?〕認(rèn)證機(jī)關(guān)〔CA〕CA是證書(shū)的簽發(fā)機(jī)構(gòu)。構(gòu)建密碼效勞系統(tǒng)的核心內(nèi)容是如何實(shí)現(xiàn)密鑰管理，公鑰體制涉及到一對(duì)密鑰，即私鑰和公鑰，私鑰只由持有者秘密掌握，無(wú)須在網(wǎng)上傳送，而公鑰是公開(kāi)的，需要在網(wǎng)上傳送，故公鑰體制的密鑰管理主要是公鑰的管理問(wèn)題，目前較好的解決方案是引進(jìn)證書(shū)〔certificate〕機(jī)制。編輯ppt〔2〕證書(shū)庫(kù)證書(shū)庫(kù)是證書(shū)的集中存放地，它與網(wǎng)上“白頁(yè)〞類(lèi)似，是網(wǎng)上的一種公共信息庫(kù)，用戶可以從此處獲得其他用戶的證書(shū)和公鑰。構(gòu)造證書(shū)庫(kù)的最正確方法是采用支持LDAP協(xié)議的目錄系統(tǒng)，用戶或相關(guān)的應(yīng)用通過(guò)LDAP來(lái)訪問(wèn)證書(shū)庫(kù)。系統(tǒng)必須確保證書(shū)庫(kù)的完整性，防止偽造、篡改證書(shū)。編輯ppt〔3〕密鑰備份及恢復(fù)系統(tǒng)PKI要求應(yīng)用系統(tǒng)提供密鑰備份與恢復(fù)功能。當(dāng)用戶的密鑰訪問(wèn)口令忘記時(shí)，或存儲(chǔ)用戶密鑰的設(shè)備損壞時(shí)，可以利用此功能恢復(fù)原來(lái)的密鑰對(duì)，從而使原來(lái)加密的信息可以正確解密。但并不是用戶的所有密鑰都需要備份，也并不是任何機(jī)構(gòu)都可以備份密鑰。可以備份的密鑰是用于加密／解密的密鑰對(duì)，而用于簽名／校驗(yàn)的密鑰對(duì)那么不可備份，否那么將無(wú)法保證用戶簽名信息的不可否認(rèn)性。用于簽名／校驗(yàn)的密鑰對(duì)在損壞或泄露后，必須重新產(chǎn)生。另外，可以備份密鑰的應(yīng)該是可信的第三方機(jī)構(gòu)，如CA、專用的備份效勞器等。編輯ppt〔4〕證書(shū)作廢處理系統(tǒng)〔X.509Version3、CRLVersion2〕證書(shū)作廢處理系統(tǒng)是PKI的一個(gè)重要組件。例如，A公司的職員a辭職離開(kāi)公司，這就需要終止a證書(shū)的生命期。為實(shí)現(xiàn)這一點(diǎn)，PKI必須提供作廢證書(shū)的一系列機(jī)制。作廢證書(shū)有如下三種策略：①作廢一個(gè)或多個(gè)主體的證書(shū)。②作廢由某一對(duì)密鑰簽發(fā)的所有證書(shū)。③作廢由某CA簽發(fā)的所有證書(shū)。CA在作廢處理證書(shū)時(shí)通過(guò)將證書(shū)列入作廢證書(shū)表〔CRL〕來(lái)完成。經(jīng)過(guò)CA作廢的證書(shū)不再值得信賴。編輯ppt3〕PKI相關(guān)的國(guó)際標(biāo)準(zhǔn)與PKI相關(guān)的國(guó)際標(biāo)準(zhǔn)可以分為兩類(lèi)，其中一類(lèi)專門(mén)定義PKI，另一類(lèi)那么依賴于PKI?！?〕定義PKI的標(biāo)準(zhǔn)在PKI技術(shù)框架中，許多方面都經(jīng)過(guò)嚴(yán)格的定義，如用戶的注冊(cè)流程、數(shù)字證書(shū)的格式、證書(shū)作廢表〔CRL〕的格式、證書(shū)的申請(qǐng)格式以及數(shù)字簽名格式等。〔2〕依賴于PKI的標(biāo)準(zhǔn)目前世界上已經(jīng)出現(xiàn)了許多依賴于PKI的平安標(biāo)準(zhǔn)，如平安的套接層協(xié)議〔SSL〕、傳輸層平安協(xié)議〔TLS〕、平安的多用途互連網(wǎng)郵件擴(kuò)展協(xié)議〔S／MIME〕、IP平安協(xié)議〔IPSEC〕等。編輯ppt4〕PKI的開(kāi)展PKI技術(shù)框架的主要目的在于建立并維護(hù)一個(gè)可信的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，所利用的平安技術(shù)主要是現(xiàn)代密碼學(xué)中的數(shù)據(jù)加密和數(shù)字簽名，并通過(guò)嚴(yán)格的密鑰管理和數(shù)字證書(shū)管理功能來(lái)實(shí)現(xiàn)。任何一個(gè)PKI應(yīng)用系統(tǒng)都應(yīng)該具有功能綜合化、密鑰管理自動(dòng)化、使用透明化的特征，否那么都將難以具有實(shí)際的使用價(jià)值。如果說(shuō)傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用如平安電子郵件、基于SSL的WEB效勞器訪問(wèn)已經(jīng)讓PKI技術(shù)初露鋒芒的話，那么即將到來(lái)的在線商務(wù)、網(wǎng)上銀行效勞等新興業(yè)務(wù)必將推動(dòng)PKI進(jìn)入一個(gè)全新的開(kāi)展時(shí)代。編輯ppt案例：平安協(xié)議的作用馬小跳同學(xué)在當(dāng)當(dāng)網(wǎng)購(gòu)置一本?電子商務(wù)?，選擇好圖書(shū)并下了訂單后，網(wǎng)站會(huì)用自己證書(shū)副本作為給顧客的答復(fù)，馬小跳同學(xué)證實(shí)買(mǎi)主的身份后，用對(duì)稱密鑰加密訂單，并用賣(mài)主的公鑰加密這把對(duì)稱密鑰，賣(mài)主用自己的私鑰解密對(duì)稱密鑰，然后解密訂單，它將結(jié)算信息連同訂單副本轉(zhuǎn)發(fā)給銀行。如何確保馬小跳同學(xué)付款資料的隱秘星及完整性？對(duì)持卡人、特約商店、收單銀行怎么認(rèn)證，如何保證電子交易的平安？不同廠商開(kāi)發(fā)的應(yīng)用程序，不同的銀行卡在現(xiàn)存各種標(biāo)準(zhǔn)下應(yīng)構(gòu)建什么協(xié)議，允許在任何軟硬件平臺(tái)上執(zhí)行，是標(biāo)準(zhǔn)到達(dá)相容性和接受性目標(biāo)？電子支付平安協(xié)議可以解決上述問(wèn)題。編輯ppt電子商務(wù)實(shí)施初期

采用的平安措施局部告知〔partialorder〕。在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)，如信用卡帳號(hào)及交易金額等略去，然后再用告知，以防泄密。另行確認(rèn)(orderconfirmation)。在網(wǎng)上傳輸交易信息之后，再用電子郵件對(duì)交易進(jìn)行確認(rèn)，才認(rèn)為有效。在線效勞(onlineservice)。為了保證信息傳輸?shù)钠桨?，用企業(yè)提供的內(nèi)部網(wǎng)來(lái)提供聯(lián)機(jī)效勞。編輯ppt1.2.SSL平安協(xié)議Internet在商業(yè)上的爆炸性的增長(zhǎng)和開(kāi)展意味著越來(lái)越多的信息在傳送過(guò)程中需要保密或不被修改。Internet是一個(gè)公共的網(wǎng)絡(luò)，有許多措施可用來(lái)保護(hù)數(shù)據(jù)，但這不能滿足現(xiàn)代數(shù)據(jù)傳送的要求。因此，需要開(kāi)展一個(gè)可進(jìn)行可靠連接的協(xié)議來(lái)覆蓋基于IP的網(wǎng)絡(luò)。在數(shù)據(jù)傳送中為了不被讀取需要進(jìn)行加密保護(hù)。因?yàn)樵贗nternet上進(jìn)行通信的團(tuán)體很多，采用預(yù)先交換密碼本然后傳送數(shù)據(jù)的方法是不切實(shí)際的。這就需要盡快建立起信息保護(hù)的方法，SSL能保護(hù)被傳送的數(shù)據(jù)不被修改。SSL有要互相通信的雙方能夠相互驗(yàn)證身份的功能，適應(yīng)了Internet匿名的特性。編輯ppt1〕SSL平安協(xié)議〔SecureSocketsLayer〕的歷史SSL是由Netscape和RSA在1994年開(kāi)展起來(lái)的。當(dāng)時(shí)已經(jīng)設(shè)計(jì)出版本1.0，但沒(méi)有形成真正的產(chǎn)品，這個(gè)協(xié)議被修改并開(kāi)展起來(lái)是從SSLV2.0開(kāi)始的。Netscape和RSA把它用到他們的產(chǎn)品中并投放市場(chǎng)是在1995年。不久，別的賣(mài)主開(kāi)始在自己的產(chǎn)品中使用SSL。SSLV2.0成為實(shí)際上的行業(yè)標(biāo)準(zhǔn)，今天，它已被廣泛用于許多應(yīng)用程序中來(lái)建立可靠的連接。編輯ppt2〕SSL平安協(xié)議的根本概念SSL平安協(xié)議又叫做“平安套接層協(xié)議〔SecureSocketsLayer〕〞，SSL協(xié)議的整個(gè)概念可以被總結(jié)為：一個(gè)保證任何安裝了平安套接字的客戶和效勞器間事務(wù)平安的協(xié)議，該協(xié)議向基于TCP／IP的客戶／效勞器應(yīng)用程序提供了客戶端和效勞器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等平安措施。編輯ppt該協(xié)議主要用于提高應(yīng)用程序之間的數(shù)據(jù)的平安系數(shù)，為用戶提供Internet及Intranet的平安通信效勞。通過(guò)在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)平安特性的審查。在SSL握手信息中采用了DES等加密技術(shù)來(lái)實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書(shū)實(shí)現(xiàn)鑒別。編輯pptSSL提供的根本效勞功能信息保密。使用公共密鑰和對(duì)稱密鑰技術(shù)實(shí)現(xiàn)信息保密。SSL客戶機(jī)和SSL效勞器之間的所有業(yè)務(wù)都使用在SSL握手過(guò)程中建立的密鑰和算法進(jìn)行加密，這樣就防止了某些用戶進(jìn)行非法竊聽(tīng)。信息完整性。SSL利用機(jī)密共享和Hash函數(shù)組提供信息完整性效勞。相互認(rèn)證。是客戶機(jī)和效勞器相互識(shí)別的過(guò)程。編輯pptSSL協(xié)議提供一個(gè)終端對(duì)終端的加密了的通信會(huì)話。它嵌套在傳送層與應(yīng)用程序?qū)又g，SSL協(xié)議支持可靠性和保密性，主要通過(guò)如下三方面的效勞來(lái)實(shí)現(xiàn)：〔1〕用戶和效勞器的合法性認(rèn)證認(rèn)證用戶和效勞器的合法性，使得它們能夠確信數(shù)據(jù)將被發(fā)運(yùn)到正確的客戶機(jī)和效勞器上?？蛻魴C(jī)和效勞器都是有各自的識(shí)別號(hào)，這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào)，為了驗(yàn)證用戶是否合法，平安套接層協(xié)議要求在握手交換數(shù)據(jù)時(shí)進(jìn)行數(shù)字認(rèn)證，以此來(lái)確保用戶的合法性；如果需要任何一方識(shí)別另一方，可以用數(shù)字證書(shū)來(lái)實(shí)現(xiàn)。編輯pptSSL通常用于在TCP應(yīng)用程序之間進(jìn)行可靠連接。在通過(guò)一個(gè)SSL協(xié)議保護(hù)的數(shù)據(jù)發(fā)送或接收之前，必須建立一個(gè)會(huì)話。SSL要求一個(gè)確定的方法建立一個(gè)可靠連接，這種預(yù)先給用戶交換明確的信息的方法叫SSL握手。數(shù)字證書(shū)在SSL握手中扮演重要角色。它要用標(biāo)準(zhǔn)格式預(yù)先確定。握手協(xié)議負(fù)責(zé)協(xié)商一個(gè)密碼標(biāo)準(zhǔn)并產(chǎn)生一個(gè)密鑰。密碼標(biāo)準(zhǔn)定義一個(gè)加密種類(lèi)〔如DES，RAS〕和用于連接的身份驗(yàn)證運(yùn)算法那么。由上可知，SSL協(xié)議不只是單一的協(xié)議，它實(shí)際上是由兩個(gè)協(xié)議組成，它們是：①SSL記錄協(xié)議SSL記錄協(xié)議在傳輸層之上，它用來(lái)密封各種較高層的協(xié)議。②SSL握手協(xié)議SSL握手協(xié)議的操作在SSL記錄層之上，在應(yīng)用程序協(xié)議接收或傳送數(shù)據(jù)之前，它允許客戶和效勞器彼此驗(yàn)證并協(xié)商一個(gè)數(shù)字加密法那么和加密密鑰。編輯ppt〔2〕數(shù)據(jù)加密和解密平安套接層協(xié)議所采用的加密技術(shù)既有對(duì)稱密鑰技術(shù)，如DES，也有公開(kāi)密鑰技術(shù)，如RSA。具體是客戶機(jī)與效勞器進(jìn)行數(shù)據(jù)交換之前，交換SSL初始握手信息，在SSL握手信息中采用了各種加密技術(shù)對(duì)其加密，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且用數(shù)字證書(shū)進(jìn)行鑒別。這樣就可以防止非法用戶進(jìn)行破譯。每一次會(huì)話都有一個(gè)加密密鑰，它用來(lái)加密和解密數(shù)據(jù)。總之效勞器證書(shū)要求有公共密鑰和私有密鑰。一個(gè)團(tuán)體，通常是效勞器，首先要給用戶簽發(fā)證書(shū)，同時(shí)，效勞器還要向用戶要求一個(gè)證書(shū)，然后用戶創(chuàng)立一個(gè)密鑰，用別的團(tuán)體的公共密鑰加密它，同時(shí)送回加密密鑰。第一個(gè)團(tuán)體用其私有密鑰加密這個(gè)密鑰，然后就可以使用這個(gè)加密密鑰了。編輯ppt〔3〕維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變平安套接層協(xié)議是采用Hash函數(shù)和機(jī)密共享的方法來(lái)提供完整性信息的效勞，來(lái)建立客戶機(jī)與效勞器之間的平安通道，使所有經(jīng)過(guò)平安套接層協(xié)議處理的業(yè)務(wù)在傳輸過(guò)程中能全部完整準(zhǔn)確無(wú)誤地到達(dá)目的地。這保證了在發(fā)送者和接收者之間傳送的數(shù)據(jù)無(wú)法造假。用信息驗(yàn)證碼〔MAC〕可以查出并丟棄改變了的數(shù)據(jù)。編輯ppt3〕SSL平安協(xié)議的運(yùn)行步驟SSL平安協(xié)議主要包括6個(gè)運(yùn)行步驟：〔1〕接通階段客戶通過(guò)網(wǎng)絡(luò)向效勞商打招呼，效勞商回應(yīng)?！?〕密碼交換階段客戶與效勞商之間交換雙方認(rèn)可的密碼。一般選用RSA密碼算法?！?〕會(huì)談密碼階段客戶與效勞商間產(chǎn)生彼此交談的會(huì)談密碼?！?〕檢驗(yàn)階段檢驗(yàn)效勞商取得的密碼?！?〕客戶認(rèn)證階段驗(yàn)證客戶的可信度。〔6〕結(jié)束階段客戶與效勞商之間相互交換結(jié)束的信息。當(dāng)上述動(dòng)作完成之后，兩者間的資料傳送就會(huì)加以密碼，等到另外一方收到資料后，再將編碼資料復(fù)原。編輯ppt4〕SSL平安協(xié)議的應(yīng)用SSL平安協(xié)議也是國(guó)際上最早應(yīng)用于在線商務(wù)的一種網(wǎng)絡(luò)平安協(xié)議，至今仍然有許多網(wǎng)上商店在使用。在點(diǎn)對(duì)點(diǎn)的網(wǎng)上銀行業(yè)務(wù)中也經(jīng)常使用。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，并被廣泛應(yīng)用于Internet和Intranet的效勞器產(chǎn)品和客戶端產(chǎn)品中。如Netscape公司、微軟公司、IBM公司等領(lǐng)導(dǎo)Internet／Intranet網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議。此外，微軟公司和Visa機(jī)構(gòu)也共同研究制定了一種類(lèi)似于SSL的協(xié)議，這就是PCT〔專用通信技術(shù)〕。該協(xié)議只是對(duì)SSL進(jìn)行少量的改進(jìn)。當(dāng)然，在使用時(shí)，SSL協(xié)議根據(jù)郵購(gòu)的原理進(jìn)行了局部改進(jìn)。編輯ppt在傳統(tǒng)的郵購(gòu)活動(dòng)中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在在線商務(wù)的開(kāi)始階段，商家也是擔(dān)憂客戶購(gòu)置后不付款，或使用過(guò)期的信用卡，因而希望銀行給予認(rèn)證。SSL平安協(xié)議正是在這種背景下產(chǎn)生的。在在線商務(wù)交易過(guò)程中，由于有銀行參與，按照SSL協(xié)議，顧客購(gòu)置的信息首先發(fā)往在線商店，在線商店再將信息轉(zhuǎn)發(fā)銀行，銀行驗(yàn)證顧客信息的合法性后，通知在線商店付款成功，在線商店再通知顧客購(gòu)置成功，并將商品寄送給顧客。編輯pptSSL協(xié)議通信過(guò)程①接通階段：客戶機(jī)呼叫效勞器，效勞器回應(yīng)客戶。②認(rèn)證階段：效勞器向客戶機(jī)發(fā)送效勞器證書(shū)和公鑰；如果效勞器需要雙方認(rèn)證，還要向?qū)Ψ教岢稣J(rèn)證請(qǐng)求；客戶機(jī)用效勞器公鑰加密向效勞器發(fā)送自己的公鑰，并根據(jù)效勞器是否需要認(rèn)證客戶身份，向效勞器發(fā)送客戶端證書(shū)。編輯ppt③確立會(huì)話密鑰階段：客戶和效勞器之間協(xié)議確立會(huì)話密鑰。④會(huì)話階段：客戶機(jī)與效勞器使用會(huì)話密鑰加密交換會(huì)話信息。⑤結(jié)束階段：客戶機(jī)與效勞器交換結(jié)束信息，通信結(jié)束。編輯pptSSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。但在上述流程中我們也可以注意到，SSL協(xié)議有利于商家而不利于客戶?？蛻舻男畔⑹紫葌鞯缴碳遥碳议喿x后再傳至銀行，這樣，客戶資料的平安性便受到威脅。商家認(rèn)證客戶是必要的，但整個(gè)過(guò)程中，缺少了客戶對(duì)商家的認(rèn)證。在在線商務(wù)的開(kāi)始階段，由于參與在線商務(wù)的公司大都是一些大公司，信譽(yù)較高，這個(gè)問(wèn)題沒(méi)有引起人們的重視。隨著在線商務(wù)參與的廠商迅速增加，對(duì)廠商的認(rèn)證問(wèn)題越來(lái)越突出，SSL協(xié)議的缺點(diǎn)完全暴露出來(lái)。SSL協(xié)議將逐漸被新的在線商務(wù)協(xié)議〔例如SET〕所取代。編輯ppt案例：中軟塞博電子商務(wù)系統(tǒng)平安管理方案中軟塞博開(kāi)發(fā)的系統(tǒng)主要采取以下平安措施：系統(tǒng)采取防火墻技術(shù)把網(wǎng)絡(luò)分成對(duì)外效勞網(wǎng)段和對(duì)內(nèi)效勞網(wǎng)段，并采用VPN技術(shù)在Internet上實(shí)現(xiàn)了企業(yè)的虛擬私有網(wǎng)絡(luò)。采用防火墻技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)，使來(lái)自外部的用戶看不到系統(tǒng)的業(yè)務(wù)數(shù)據(jù)庫(kù)。所有對(duì)系統(tǒng)的合法使用皆是通過(guò)對(duì)應(yīng)用效勞器的訪問(wèn)完成，這樣系統(tǒng)操作人員不能直接看到數(shù)據(jù)庫(kù)，杜絕了內(nèi)部人員的破壞。所有的Web訪問(wèn)對(duì)關(guān)鍵信息采用SSL技術(shù)進(jìn)行加密所有的操作均被日志紀(jì)錄。只有擁有數(shù)據(jù)庫(kù)維護(hù)權(quán)限的模塊才有權(quán)操作數(shù)據(jù)庫(kù)，其他對(duì)該數(shù)據(jù)庫(kù)的操作只能通過(guò)應(yīng)用Server完成。編輯ppt1.3.SHTTP-secureHTTP及其他協(xié)議1〕SHTTP-secureHTTP協(xié)議〔平安超文本傳輸協(xié)議〕SHTTP〔平安超文本傳輸協(xié)議〕依靠密鑰的加密，使web站點(diǎn)之間交換信息的平安傳輸?shù)玫搅吮ＷC。它基于SSL技術(shù)，擴(kuò)充了HTTP的平安特性，增加了報(bào)文的平安性。該協(xié)議為Internet的應(yīng)用提供了完整性、可鑒別性、不可抵賴性及機(jī)密性等平安措施。。編輯ppt2〕STT平安交易技術(shù)協(xié)議〔SecureTransactionTechnology〕平安交易技術(shù)協(xié)議由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中別離開(kāi)，用以提高平安控制能力。Microsoft將在InternetExplorer中采用這一技術(shù)。編輯ppt3〕UN/EDIFACT標(biāo)準(zhǔn)UN／EDIFACT標(biāo)準(zhǔn)中的平安措施是在線商務(wù)最重要的組成局部，是國(guó)際上廣泛采用的自動(dòng)交換和處理商業(yè)信息和管理信息的技術(shù)。UN／EDIFACT報(bào)文是惟一的國(guó)際通用的在線商務(wù)標(biāo)準(zhǔn)。利用Internet進(jìn)行在線商務(wù)已成為人們?nèi)找骊P(guān)注的領(lǐng)域，保證在線商務(wù)的平安成為主要的問(wèn)題。編輯pptUN／EDIFACT的平安措施主要是通過(guò)集成式和別離式兩種途徑來(lái)實(shí)現(xiàn)：集成式的途徑是通過(guò)在UN／EDIFACT報(bào)文結(jié)構(gòu)中使用可選擇的平安頭字段來(lái)保證報(bào)文內(nèi)容的完整性、報(bào)文來(lái)源的鑒別和不可抵賴性；別離式途徑那么是通過(guò)發(fā)送3種特殊的UN／EDIFACT報(bào)文〔即AUTCK、KEYMAN和CIPHER〕來(lái)到達(dá)保障平安的目的。編輯ppt4〕國(guó)際商會(huì)制定的?電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守那么?〔UNCID〕國(guó)際商會(huì)1987年制定的?電傳交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守那么?對(duì)解決平安問(wèn)題作了規(guī)定。該規(guī)那么第6條規(guī)定，傳送電文的中介人保證，對(duì)中轉(zhuǎn)傳遞的電文未經(jīng)授權(quán)不得改動(dòng)，并保證不得將其內(nèi)容透露給未經(jīng)授權(quán)的任何人。該規(guī)那么第7條規(guī)定，電子貿(mào)易數(shù)據(jù)的接收人在收到電文時(shí)需發(fā)出收買(mǎi)通知。如收電文顯示條理不清、形式上不正確或不完整，接收人應(yīng)盡快將此情況通知送發(fā)人。該規(guī)那么第9條規(guī)定，對(duì)當(dāng)事人可采用協(xié)議方式，對(duì)他們之間交換的數(shù)據(jù)采用密碼方法或其他方法，給予特別保護(hù)。編輯ppt1.4.SET平安協(xié)議SET平安協(xié)議〔SecureElectronicTransactions，簡(jiǎn)稱SET〕在開(kāi)放的Internet上處理在線商務(wù)，保證買(mǎi)賣(mài)雙方傳輸數(shù)據(jù)的平安成為在線商務(wù)的重要問(wèn)題。為了克服SSL平安協(xié)議的缺點(diǎn)，滿足電子交易持續(xù)不斷地增加的平安要求，以及符合本錢(qián)效益的市場(chǎng)要求，Visa國(guó)際組織和萬(wàn)事達(dá)組織共同制定的一個(gè)能保證通過(guò)開(kāi)放網(wǎng)絡(luò)〔包括Internet〕進(jìn)行平安資金支付的技術(shù)標(biāo)準(zhǔn)。參與該標(biāo)準(zhǔn)研究的還有Microsoft公司、IBM公司、Netscape公司、RSA公司等。該協(xié)議于1997年6月正式實(shí)施。編輯pptSET是一個(gè)為了在Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為根底的電子付款標(biāo)準(zhǔn)。它主要使用電子認(rèn)證技術(shù)，采用RSA公開(kāi)密鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，利用DES、RSA或任何標(biāo)準(zhǔn)對(duì)稱加密方法進(jìn)行信息的加密傳輸，并用Hash算法來(lái)鑒別消息真?zhèn)危袩o(wú)篡改。因此，可以為在線商務(wù)提供很強(qiáng)的平安保護(hù)。編輯pptSET標(biāo)準(zhǔn)的應(yīng)用及缺陷SET協(xié)議1.0版正式發(fā)布以來(lái)，大量的現(xiàn)場(chǎng)實(shí)驗(yàn)和實(shí)施效果獲得了業(yè)界的支持，促進(jìn)了SET良好的開(kāi)展趨勢(shì)，但細(xì)心的觀察家也發(fā)現(xiàn)了一些問(wèn)題，這些問(wèn)題包括:〔1〕協(xié)議沒(méi)有說(shuō)明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書(shū)。如果在線商店提供的貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費(fèi)者提出疑議，責(zé)任由誰(shuí)承擔(dān)?！?〕協(xié)議沒(méi)有擔(dān)?！胺蔷芙^行為〞，這意味著在線商店沒(méi)有方法證明訂購(gòu)是由簽署證書(shū)的、講信用的消費(fèi)者發(fā)出的?！?〕SET技術(shù)標(biāo)準(zhǔn)沒(méi)有提及在事務(wù)處理完成后，如何平安地保存或銷(xiāo)毀此類(lèi)數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。編輯ppt2.平安認(rèn)證標(biāo)準(zhǔn)2.1.認(rèn)證管理機(jī)制平安認(rèn)證中心CA是受一個(gè)或多個(gè)用戶信任，提供用戶身份驗(yàn)證的第三方機(jī)構(gòu)。目前在世界范圍內(nèi)CA的主要功能都是接收注冊(cè)請(qǐng)求，處理、批準(zhǔn)/拒絕請(qǐng)求，頒發(fā)證書(shū)。用戶向CA提交自己的公共密鑰和代表自己身份的信息〔如身份證號(hào)碼或E-mail地址〕，CA驗(yàn)證了用戶的有效身份之后，向用戶頒發(fā)一個(gè)經(jīng)過(guò)CA私有密鑰簽名的證書(shū)。編輯ppt認(rèn)證中心就是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)。對(duì)于一個(gè)大型的應(yīng)用環(huán)境，認(rèn)證中心往往采用一種多層次的分級(jí)結(jié)構(gòu)，各級(jí)的認(rèn)證中心類(lèi)似于各級(jí)行政機(jī)關(guān)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶。處在最高層的是認(rèn)證中心〔RootCA〕，它是所有人公認(rèn)的權(quán)威，如人民銀行總行的CA。編輯ppt2.2.證書(shū)標(biāo)準(zhǔn)證書(shū)標(biāo)準(zhǔn)〔X.509〕PKIX〔PublicKeyInfrastructure〕公開(kāi)密鑰體制下的證書(shū)標(biāo)準(zhǔn)X.509認(rèn)證機(jī)構(gòu)發(fā)放的數(shù)字證書(shū)主要應(yīng)用于:S/MIME協(xié)議實(shí)現(xiàn)平安的電子郵件系統(tǒng)通過(guò)SSL協(xié)議實(shí)現(xiàn)瀏覽器與Web效勞器之間的平安通信通過(guò)SET協(xié)議實(shí)現(xiàn)信用卡網(wǎng)上平安支付。提供在線商務(wù)中認(rèn)證證書(shū)標(biāo)準(zhǔn)。ISO/IEC/ITUX.509標(biāo)準(zhǔn)對(duì)證書(shū)格式的定義已被廣泛接受〔1988年為Ver1，1993年為Ver2，1996年發(fā)布Ver3〕。編輯ppt2.3.電子出版物查詢標(biāo)準(zhǔn)X.500電子出版目錄查詢標(biāo)準(zhǔn)〔目錄效勞協(xié)議LDAPX.500〕目錄效勞是用于網(wǎng)絡(luò)信息查詢的技術(shù)。目前網(wǎng)絡(luò)上有大量的對(duì)象信息，這些對(duì)象可以是人、組織、國(guó)家、計(jì)算機(jī)，甚至可以是計(jì)算機(jī)中的某個(gè)網(wǎng)絡(luò)通信進(jìn)程。人們經(jīng)常需要查詢它們的信息。雖然這些對(duì)象在不斷變化著，但相對(duì)于查詢的頻率而言，對(duì)象信息穩(wěn)定時(shí)間是較長(zhǎng)的。另外人們?cè)谌粘Ｉ钪邢Ｍ涀〉氖菍?duì)方的名字，而不是給計(jì)算機(jī)讀的地址，而且地址也比名字更容易變化，所以經(jīng)常要做“名字-地址〞映射?；谶@種需求，人們開(kāi)發(fā)了目錄效勞網(wǎng)絡(luò)應(yīng)用。編輯ppt目錄中按一定的格式記錄了現(xiàn)實(shí)世界中大量對(duì)象的信息，供用戶〔人，計(jì)算機(jī)應(yīng)用程序等〕做各種頻繁查詢和相對(duì)少量的修改。實(shí)現(xiàn)目錄效勞的方式有多種，但目前趨于統(tǒng)一到ITU-TX.500系列建議標(biāo)準(zhǔn)。CCITT在1988年制定了第一版X.500建議，后ITU-T又在1993年做了顯著的修訂和補(bǔ)充，產(chǎn)生了第二版建議〔但版本編號(hào)仍為1〕，ISO接受了此建議，把它作為ISO/IEC9594國(guó)際標(biāo)準(zhǔn)。編輯pptX.500系列建議由9個(gè)建議組成:〔1〕X.500是目錄效勞的概要介紹?！?〕X.501定義了目錄效勞的模型?！?〕X.511對(duì)目錄的各種抽象效勞作了定義?！?〕X.518描述分布操作的實(shí)現(xiàn)過(guò)程?！?〕X.519是傳輸協(xié)議?！?〕X.520和X.521定義了常用對(duì)象類(lèi)和屬性?！?〕X.509提出了一種認(rèn)證的框架?！?〕X.525規(guī)定了備份。編輯pptX.500系列建議的目錄效勞是分布式的。每個(gè)目錄的用戶由一個(gè)目錄用戶代理〔DUA〕代表，它就是用戶用于訪問(wèn)目錄效勞的進(jìn)程。在用戶看來(lái)，整個(gè)目錄在邏輯上是統(tǒng)一的整體，但實(shí)際上目錄信息可以分布在不同組織管理的計(jì)算機(jī)上。這些計(jì)算機(jī)中運(yùn)行的相互配合提供效勞的進(jìn)程是目錄效勞代理〔DSA〕，目錄的分布式功能模型。編輯ppt

11.5密碼學(xué)根底密碼與密碼學(xué)密碼系統(tǒng)及分類(lèi)密碼算法數(shù)字簽名編輯ppt密碼與密碼學(xué)密碼〔Cryptogram):它與“明碼〞相對(duì)，用基于數(shù)學(xué)算法的程序和保密的密鑰對(duì)信息進(jìn)行編碼，生成難以理解的字符串。密碼學(xué)〔Cryptography):研究加密的科學(xué)，密碼學(xué)是數(shù)字?jǐn)?shù)據(jù)的實(shí)際保護(hù)、控制和標(biāo)識(shí)密碼分析〔Cryptanalysis):密碼分析學(xué)是由被開(kāi)發(fā)用來(lái)破壞、避開(kāi)和／或破解第一局部〔密碼〕試圖完成的工作的所有嘗試組成的編輯ppt密碼系統(tǒng)加密系統(tǒng)解密系統(tǒng)密碼分析明文(M)加密密鑰(K1)解密密鑰(K2)密文(C)明文(M)明文(M)編輯ppt加密系統(tǒng)的分類(lèi)對(duì)稱式加密系統(tǒng)〔K1=K2)也稱為私鑰〔PrivateKey)系統(tǒng)非對(duì)稱式加密系統(tǒng)〔K1<>K2)也稱為公鑰〔PublicKey)系統(tǒng)混合加密系統(tǒng)，即采用公鑰對(duì)私鑰進(jìn)行加密，用私鑰對(duì)信息進(jìn)行加密。編輯ppt加密算法古典密碼算法私鑰密碼系統(tǒng)〔DES)公鑰密碼系統(tǒng)〔RSA〕編輯ppt古典密碼算法移位加密算法〔愷撒密碼〕詞組密鑰密碼分組密鑰密碼異或法編輯ppt移位加密算法〔愷撒密碼〕對(duì)于任意密鑰k將明文的每個(gè)字母循環(huán)后移k位得到密文，例如：設(shè)k=3明文：securemessage密文：vhfxuhphvvdjh編輯ppt詞組密鑰密碼密鑰為２６字母的詞組，置換規(guī)那么為：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：osvqnshsoofas編輯ppt分組加密算法設(shè)k為n位二進(jìn)制數(shù)，將明文長(zhǎng)度為n的分組進(jìn)行加密，加密過(guò)程為：encryptm1…mnk1…knc1…cn編輯ppt加密技術(shù)提供的效勞數(shù)據(jù)保密性數(shù)據(jù)完整性認(rèn)證不可否認(rèn)性編輯ppt加密技術(shù)的加強(qiáng)強(qiáng)度算法的強(qiáng)度密鑰的保密性密鑰程度編輯ppt傳統(tǒng)密鑰體制傳統(tǒng)密鑰體制又稱對(duì)稱密碼體系，即加密和解密使用同一密碼的加密體系。目前較為流行的對(duì)稱加密算法有：DES、3DES、IDES、RC5、AES等，其中DES是對(duì)稱加密算法中的代表。編輯ppt數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES)DES是由IBM公司在1970年研制的，1977年1月15日美國(guó)國(guó)家標(biāo)準(zhǔn)局批準(zhǔn)為作為非機(jī)密機(jī)構(gòu)的加密標(biāo)準(zhǔn)。DES是采用傳統(tǒng)換位與置換的加密方法的分組密碼系統(tǒng)，其根本原理是：混淆：將名文轉(zhuǎn)化成其他樣子擴(kuò)散：明文中的任何一個(gè)小地方的變更都將擴(kuò)散到密文的各局部編輯pptDES算法原理DES算法是一種分組密碼算法。DES算法每次取明文中連續(xù)的64位數(shù)據(jù)，利用64位密鑰〔其中有8位屬于奇偶校驗(yàn)位〕，經(jīng)過(guò)一連串〔16次循環(huán)〕的組加密算法〔替換和移位〕將其轉(zhuǎn)換成64位的數(shù)據(jù)〔密文〕。反復(fù)執(zhí)行上述過(guò)程，就可將全部明文加密成密文。以上替換的目的是制造混亂，移位的目的是擴(kuò)散。算法的強(qiáng)度通過(guò)16次循環(huán)來(lái)實(shí)現(xiàn)。編輯pptDES算法加密過(guò)程首先，將64位明文進(jìn)行初始排列，以打亂明文的順序。其次，將所得的64位數(shù)據(jù)一分為二，前32位L0和后32位的R0,然后經(jīng)過(guò)16次循環(huán)操作，進(jìn)行一系列的移位、替換和異或操作；最后，經(jīng)過(guò)最終排列。得到該組的密文，最終排列是初始排列的逆。編輯pptDES的特點(diǎn)優(yōu)點(diǎn)：加解密速度快可以結(jié)合硬件加密問(wèn)題密鑰的傳輸必須平安，不能和密文使用相同的傳輸渠道，對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)和繁瑣的過(guò)程。密鑰的數(shù)目大，難于管理。對(duì)稱加密算法一般不能提供信息完整性的鑒別。編輯ppt公開(kāi)密鑰密碼體制公開(kāi)密鑰密碼體制又稱非對(duì)稱式加密體系，即加密和解密過(guò)程分別使用兩個(gè)不同的密鑰體系，目前，用于公鑰加密的典型算法有：RSA、背包算法、Rabin算法、概率加密算法、McEliece算法等，其中RSA算法為代表。編輯pptRSA公鑰密碼系統(tǒng)R.Rivest、A.Shamir、L.Adleman，1977RSADataSecurityInc.,RSALab.1982RSA公司和RSA實(shí)驗(yàn)室在公開(kāi)密鑰密碼系統(tǒng)的研究和商業(yè)應(yīng)用推廣方面有舉足輕重的地位。編輯pptRSA密碼系統(tǒng)的實(shí)現(xiàn)加密系統(tǒng)解密系統(tǒng)明文(M)乙方公鑰乙方密鑰密文(C)明文(M)甲方乙方編輯pptRSA算法原理RSA算法基于大數(shù)的因子分解，數(shù)的位數(shù)越多，因數(shù)分解越困難，RSA算法自1978年公布至今，雖然對(duì)其進(jìn)行大量的密碼分析，至今仍然沒(méi)有有效的方法，因此可以確保RSA算法的平安性。編輯pptRSA算法原理Pk是公開(kāi)密鑰，Sk是私有密鑰，它們雖然成對(duì)出現(xiàn)，但卻不能根據(jù)Pk計(jì)算出Sk，它們需滿足以下條件：加秘密鑰Pk對(duì)明文X加密后，再用解密密鑰Sk解密，即可恢復(fù)出原文。加密密鑰不能用來(lái)解密。在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的Pk和Sk。從的Pk實(shí)際上不可能推導(dǎo)出Sk。加密和解密的運(yùn)算可以對(duì)調(diào)。編輯pptRSA算法原理既然Pk和SK是一對(duì)存在相互關(guān)系的密鑰，那么從其中一個(gè)推導(dǎo)出另一個(gè)是有可能的，如何找到一個(gè)適宜的算法生成適宜的Pk和SK，并且使得從Pk不可能推導(dǎo)出SK，為了解決這個(gè)問(wèn)題，密碼學(xué)家們參考了數(shù)學(xué)上陷門(mén)單項(xiàng)函數(shù)。單項(xiàng)函數(shù)的加密函書(shū)比較容易計(jì)算，而計(jì)算其逆函數(shù)〔即解密函數(shù)〕卻很困難。為提高保密強(qiáng)度，RSA密鑰至少為500位長(zhǎng)，一般推薦使用1024位。編輯pptRSA算法的平安性：n該多大？最簡(jiǎn)單的考慮是加厚我們的“盾〞，即n取得更大。RSA實(shí)驗(yàn)室認(rèn)為，512比特的n已不平安，在1998年后應(yīng)停止使用。RSA實(shí)驗(yàn)室建議個(gè)人應(yīng)用需用768比特的n,公司要用1026比特的n，極其重要的場(chǎng)合應(yīng)該用2068比特的n。RSA實(shí)驗(yàn)室還認(rèn)為，768比特的n可望到2006年保持平安。編輯pptRSA算法原理該算法基于以下的兩個(gè)事實(shí)：已有確定一個(gè)數(shù)是不是質(zhì)數(shù)的快速算法尚未找到確定一個(gè)合數(shù)的質(zhì)因子的快速算法RSA算法過(guò)程如下：任意選取兩個(gè)不同的大質(zhì)數(shù)p和q,計(jì)算乘積r=p*q.任意選取一個(gè)大整數(shù)e,e與〔p-1〕X(q-1)互質(zhì),整數(shù)e用做加密密鑰。〔整數(shù)e的選取是很容易的，假設(shè)，所有大于p和q的質(zhì)數(shù)都可用。〕確定解密密鑰d:dXe=1mod(p-1)x(q-1)根據(jù)e、p和q可以容易地算出d。公開(kāi)整數(shù)r和e,但是不公開(kāi)d.將明文p加密為密文C,計(jì)算方法為：C=Pemodr將密文C解密為明文P,計(jì)算方法為：P=Cdmodr只根據(jù)r和e〔不是p和q〕要計(jì)算出d是不可能的，因此，任何人都可對(duì)明文進(jìn)行加密，但只有授權(quán)用戶才可對(duì)密文解密。編輯pptRSA的特點(diǎn)解密速度慢密鑰生成費(fèi)時(shí)初期系統(tǒng)本錢(qián)高編輯ppt電子簽名法簡(jiǎn)介傳統(tǒng)交易中，為了保證交易平安，一份書(shū)面合同一般要由當(dāng)事人簽字或蓋章，能夠讓交易對(duì)方識(shí)別是誰(shuí)簽的合同，并能保證簽字或者蓋章的人認(rèn)可合同的內(nèi)容，法律上才成認(rèn)這份合同是有效的。電子商務(wù)中，合同或者文件是以電子的形式表現(xiàn)和傳遞的，傳統(tǒng)的手寫(xiě)簽字和蓋章無(wú)法進(jìn)行，必須靠技術(shù)手段替代。因此需要一種電子簽名的手段，這種電子簽名必須能夠在電子文件中識(shí)別交易人的身份，保證交易平安，起到與手寫(xiě)簽字或者蓋章同等的作用。11.6電子簽名技術(shù)編輯ppt?電子簽名法?共5章36條，包括：總那么、數(shù)據(jù)電文、電子簽名與認(rèn)證、法律責(zé)任和附那么。主要解決了以下幾個(gè)問(wèn)題：一是確立了電子簽名的法律效力；二是標(biāo)準(zhǔn)了電子簽名的行為；三是明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序，并給認(rèn)證機(jī)構(gòu)設(shè)置了市場(chǎng)準(zhǔn)入條件和行政許可的程序；四是規(guī)定了電子簽名的平安保障措施；五是明確了認(rèn)證機(jī)構(gòu)行政許可的實(shí)施主體是國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)。電子簽名法簡(jiǎn)介

編輯ppt?電子簽名法?中明確規(guī)定自2005年4月1日起施行，即自2005年4月1日起，有關(guān)數(shù)據(jù)電文、電子簽名與認(rèn)證以及違反本法規(guī)定應(yīng)當(dāng)承擔(dān)責(zé)任都應(yīng)當(dāng)執(zhí)行本法的規(guī)定。按照國(guó)際通行的原那么，法律不溯及以往，也就是說(shuō)，新的法律規(guī)定不能調(diào)整法律生效前已經(jīng)發(fā)生的違反新法律的事實(shí)和行為，但是如果其事實(shí)和行為在新法生效前發(fā)生并延續(xù)到新法實(shí)施后，那么應(yīng)當(dāng)適用新法。電子簽名法簡(jiǎn)介

編輯ppt電子簽名的概念、實(shí)現(xiàn)方法及功能

1.電子簽名的概念簽名，一般是指一個(gè)人用手親筆在一份文件上寫(xiě)下名字或留下印記、印章或其他特殊符號(hào)，以確定簽名人的身份，并確定簽名人對(duì)文件內(nèi)容予以認(rèn)可。傳統(tǒng)的簽名必須依附于某種有形的介質(zhì)，而在電子交易過(guò)程，文件是通過(guò)數(shù)據(jù)電文的發(fā)送、交換、傳輸、儲(chǔ)存來(lái)形成的，沒(méi)有有形介質(zhì)，這就需要通過(guò)一種技術(shù)手段來(lái)識(shí)別交易當(dāng)事人、保證交易平安，以到達(dá)與傳統(tǒng)手寫(xiě)簽名相同的功能。電子簽名要能夠在電子文件中識(shí)別雙方交易人的真實(shí)身份，保證交易的平安性和真實(shí)性以及不可抵懶性，要起到與手寫(xiě)簽名或者蓋章同等作用。編輯ppt1.電子簽名的概念聯(lián)合國(guó)貿(mào)發(fā)會(huì)的?電子簽名示范法?中對(duì)電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和說(shuō)明簽名人認(rèn)可數(shù)據(jù)電文所含信息〞；在歐盟的?電子簽名共同框架指令?中規(guī)定：“以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，作為一種判別的方法〞稱電子簽名。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt1.電子簽名的概念在我國(guó)的?中華人民共和國(guó)電子簽名法?第二條中規(guī)定：“本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并標(biāo)明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類(lèi)似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。〞電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt電子簽名的概念具體來(lái)說(shuō)，電子簽名的概念包括以下內(nèi)容：〔1〕電子簽名是以電子形式出現(xiàn)的數(shù)據(jù)；〔2〕電子簽名是附著于數(shù)據(jù)電文的。電子簽名可以是數(shù)據(jù)電文的一個(gè)組成局部，也可以是數(shù)據(jù)電文的附屬，與數(shù)據(jù)電文具有某種邏輯關(guān)系、能夠使數(shù)據(jù)電文與電子簽名相聯(lián)系；〔3〕電子簽名必須能夠識(shí)別簽名人身份并說(shuō)明簽名人認(rèn)可與電子簽名相聯(lián)系的數(shù)據(jù)電文的內(nèi)容。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt1.電子簽名的概念電子簽名具有多種形式，諸如：附著于電子文件的手寫(xiě)簽名的數(shù)字化圖像，包括采用生物筆記鑒別法所形成的圖像；向收件人發(fā)出正式發(fā)送人身份的密碼、計(jì)算機(jī)口令；采用特定生物技術(shù)識(shí)別工具，如指紋或是眼虹膜透視區(qū)分法等。無(wú)論采用什么樣技術(shù)手段，只要符合本條規(guī)定的條件，就是本法所稱的電子簽名。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt電子簽名的概念?電子簽名法?還對(duì)可靠的電子簽名做出如下規(guī)定：“第十三條電子簽名同時(shí)符合以下條件的，視為可靠的電子簽名：〔一〕

電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；不可否認(rèn)。〔二〕

簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；〔三〕

簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。當(dāng)事人也可以選擇符合其約定的可靠條件的電子簽名。〞電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt2．電子簽名的實(shí)現(xiàn)方法目前，實(shí)現(xiàn)電子簽名的方法有好多種技術(shù)手段，前提是在確認(rèn)了簽署者確實(shí)切身份即經(jīng)過(guò)認(rèn)證之后，人們可以用多種不同的方法簽署一份電子記錄。這些方法有：基于PKI的公鑰密碼技術(shù)的數(shù)字簽名；或用一個(gè)獨(dú)一無(wú)二的以生物特征統(tǒng)計(jì)學(xué)為根底的識(shí)別標(biāo)識(shí)，例如手書(shū)簽名和圖章的電子圖像的模式識(shí)別；手印、聲音印記或視網(wǎng)膜掃描的識(shí)別；一個(gè)讓收件人能識(shí)別發(fā)件人身份的密碼代號(hào)、密碼或個(gè)人識(shí)別碼PIN；基于量子力學(xué)的計(jì)算機(jī)等等。但比較成熟的，使用方便具有可操作性的，在世界先進(jìn)國(guó)家和我國(guó)普遍使用的電子簽名技術(shù)還是基于PKI〔PublicKeyInfrastructure，公鑰根底設(shè)施〕的數(shù)字簽名技術(shù)。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt3．電子簽名的功能傳統(tǒng)的簽名主要有三個(gè)功能：一是證明文件的來(lái)源，即識(shí)別簽名人；二是說(shuō)明簽名人對(duì)文件內(nèi)容確實(shí)認(rèn)；三是構(gòu)成簽名人對(duì)文件內(nèi)容正確性和完整性負(fù)責(zé)的根據(jù)。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt3．電子簽名的功能可靠的電子簽名也能夠與傳統(tǒng)商務(wù)活動(dòng)中的簽名蓋章具有相同的功能。這是因?yàn)椋簂

其一、可靠的電子簽名的這兩個(gè)條件保證了能夠通過(guò)電子簽名來(lái)識(shí)別簽名人的身份的真實(shí)性。l

其二、能夠保證數(shù)據(jù)電文的完整性，即數(shù)據(jù)電文從發(fā)出起沒(méi)有被修改正。這也就說(shuō)明了簽名人對(duì)數(shù)據(jù)電文內(nèi)容確實(shí)認(rèn)。l

其三、上述兩點(diǎn)足以證明簽名人必須對(duì)數(shù)據(jù)電文內(nèi)容的正確性和完整性負(fù)責(zé)，即簽名人對(duì)發(fā)出的數(shù)據(jù)電文是無(wú)法抵賴的。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt3．電子簽名的功能除了傳統(tǒng)的簽名所具有的三個(gè)功能外，基于PKI技術(shù)的數(shù)字簽名還具有三項(xiàng)新增的功能：其一、保密功能。其二、識(shí)別機(jī)器的身份。其三、數(shù)字時(shí)間戳、VPN〔虛擬專用網(wǎng)〕證書(shū)、軟件發(fā)行者證書(shū)等其他新增功能。電子簽名的概念、實(shí)現(xiàn)方法及功能

編輯ppt數(shù)字簽名技術(shù)1．

什么是數(shù)字簽名數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人〔例如接收者〕進(jìn)行偽造〞。美國(guó)電子簽名標(biāo)準(zhǔn)對(duì)數(shù)字簽名作了如下解釋：“利用一套規(guī)那么和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性〞。按上述定義PKI提供可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來(lái)源及對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證。編輯ppt數(shù)字簽名必須滿足的條件簽名是真實(shí)的。簽名是不可偽造的.簽名是不可重用的.簽名是不可更改的.簽名是不可抵賴的編輯pptDES數(shù)字簽名算法DES用于數(shù)字簽名，就像DES算法一樣，加密和解密使用同一密鑰，密鑰是必須嚴(yán)格保密的。使用這種密碼系統(tǒng)時(shí)，密鑰的保密性不僅能保證消息的保密性，還能保證消息的真實(shí)性。但不能防止偽造信息。通常需要一個(gè)仲裁方。在電子銀行的環(huán)境里，這里的仲裁方，實(shí)際上就是各級(jí)交換中心。交換中心作為仲裁方，必須是通信各方可信賴的、公正的第三方。因此，這種數(shù)字簽名可用于銀行專用網(wǎng)內(nèi)的數(shù)據(jù)通信，以保證網(wǎng)絡(luò)中傳輸消息的平安性。編輯pptDES數(shù)字簽名算法假設(shè)發(fā)送方S和仲裁方A有相同的密鑰Ks,而接受方R和仲裁方A由此相同的密鑰Kr.如果消息具有不可偽造性和真實(shí)性兩個(gè)要求。假設(shè)是用對(duì)稱密鑰的數(shù)字簽名協(xié)議，實(shí)現(xiàn)上述要求的做法是：〔1〕S先發(fā)送加密信息給A.(2)A使用Ks解密出明文M,在證實(shí)信息確實(shí)來(lái)自于S之后，A使用Kr發(fā)送帶有S信息的加密信息E((M,S,E(M,Ks)),Kr)給R.(3)R接到使用密鑰Kr加密的消息后，用Kr解密，得到M,S和E(M,Ks)三個(gè)消息，并按S的指令M進(jìn)行操作。假設(shè)要求不可否認(rèn)性，那么R還將執(zhí)行M的結(jié)果，M’以密文的方式回送A.(4)A解密收到的消息，證實(shí)R執(zhí)行了A的指令，并使用Ks發(fā)送帶有A信息的加密信息E((M’,E(M’,Kr)),Ks)給S.(5)S解密收到的消息，得知R執(zhí)行的結(jié)果和相關(guān)證據(jù)E(M’,Kr).編輯ppt用公鑰系統(tǒng)實(shí)現(xiàn)數(shù)字簽名簽名系統(tǒng)驗(yàn)證系統(tǒng)明文(M)甲方密鑰甲方公鑰密文(C)明文(M)甲方乙方編輯pptRSA數(shù)字簽名算法在電子銀行和電子商務(wù)中廣泛采用公開(kāi)密鑰做數(shù)字簽名。在RSA下，加密E和解密D是可以交換的，因此,可以保證信息的真實(shí)性和不可偽造性，但不能保證消息的保密性。因?yàn)橹繱公開(kāi)密鑰的所有人，都能解密S發(fā)出的消息?？捎脙纱渭用芊椒▉?lái)克服這一缺陷。編輯pptRSA數(shù)字簽名算法S發(fā)送經(jīng)過(guò)兩次加密的如下消息給R:E(Ｅ(M,Kspriv),S),Kspub)注：這里的公鑰是Ｒ的。R收到該消息后，那么可用自己的保密密鑰作交換，以進(jìn)行第一次解密：D(E((Ｅ(M,Kspriv),S),Kspub),Kspriv)=(Ｅ(M,Kspiv),S)注：黑體的私鑰是Ｒ的。第二次解密：Ｄ(Ｅ(M,Kspiv)，Ｋspub)＝M注：這里的公鑰是Ｓ的。編輯ppt報(bào)文摘要(MessageDigest)算法報(bào)文摘要算法，即生成數(shù)字指紋的方法在數(shù)字簽名中有重要作用。報(bào)文摘要算法是一類(lèi)特殊的散列函數(shù)〔hash函數(shù)〕，要求：接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度的限制；對(duì)任何輸入報(bào)文數(shù)據(jù)生成固定長(zhǎng)度數(shù)字指紋輸出；由報(bào)文能方便地算出摘要；難以對(duì)指定的摘要生成一個(gè)報(bào)文,由該報(bào)文可