4电子商务安全技术(缩减B版本).ppt

《4电子商务安全技术(缩减B版本).ppt》由会员分享，可在线阅读，更多相关《4电子商务安全技术(缩减B版本).ppt（119页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、4电子商务安全技术(缩减B版本)4 4 电子商务安全技术电子商务安全技术 4.1 4.1 电子商务安全需求概述电子商务安全需求概述4.2 4.2 常见网络安全技术常见网络安全技术(防火墙防火墙/VPN/VPN）4.3 4.3 加密技术和认证技术（数字证书）加密技术和认证技术（数字证书）4.4 4.4 电子商务安全协议（电子商务安全协议（SSLSSL和和SET)SET)StoneBiao,E-Commerce Page 2 2/9/2021 5:21 PM您是否担心过以下情况您是否担心过以下情况假冒站点假冒站点？服务器服务器A A网址网址 浏览者与服务器A连接，访问站点服务器服务器B B假冒假冒

2、当假冒服务器出现时安全安全当浏览者输入当浏览者输入时，时，实际访问的是服务实际访问的是服务器器B B，这样他的私，这样他的私人信息就可能被人信息就可能被B B非法获取非法获取 StoneBiao,E-Commerce Page 6 2/9/2021 5:21 PM您是否担心过以下情况您是否担心过以下情况不安全不安全EmailEmail？人物甲人物甲人物乙人物乙EmailEmail偷盗者偷盗者邮件邮件在传在传送过送过程中程中被截被截取取偷盗者偷盗者篡改邮篡改邮件后以件后以甲的身甲的身份重新份重新发送发送如果偷盗者截取如果偷盗者截取EmailEmail后不发给乙，怎么办？后不发给乙，怎么办？如果偷

3、盗者直接假冒如果偷盗者直接假冒甲的身份给乙发了假甲的身份给乙发了假邮件，怎么办？邮件，怎么办？乙收到该乙收到该EmailEmail甲甲给乙发出给乙发出EmailEmail安全安全 StoneBiao,E-Commerce Page 7 2/9/2021 5:21 PM您是否担心过以下情况您是否担心过以下情况抵赖抵赖？甲给乙发送了一封甲给乙发送了一封EmailEmail甲否认发送过甲否认发送过甲通过商家的甲通过商家的网站购买了某些网站购买了某些商品，并通过网络商品，并通过网络支付了所需的货款支付了所需的货款商家否认收到过商家否认收到过来自甲的购货款来自甲的购货款安全安全 StoneBiao,E-

4、Commerce Page 8 2/9/2021 5:21 PM种种潜在的欺诈机会种种潜在的欺诈机会信息在网络的传输过程中被截获信息在网络的传输过程中被截获传输的文件可能被篡改传输的文件可能被篡改伪造电子邮件伪造电子邮件假冒他人身份假冒他人身份不承认网络上已经做过的事，不承认网络上已经做过的事，抵赖抵赖开放的互联网存在开放的互联网存在计算机工具计算机工具计算机工具计算机工具+高额价值的网上交易高额价值的网上交易高额价值的网上交易高额价值的网上交易 +开放的互联网开放的互联网开放的互联网开放的互联网 +不道德的人们不道德的人们不道德的人们不道德的人们=无限的欺诈机会无限的欺诈机会无限的欺诈机会无

5、限的欺诈机会 StoneBiao,E-Commerce Page 9 2/9/2021 5:21 PM 目前电子商务中存在的安全问题目前电子商务中存在的安全问题系统被恶意入侵，数据库的资料被窃取系统被恶意入侵，数据库的资料被窃取或破坏或破坏信息在传输过程中被泄漏信息在传输过程中被泄漏信息在传输的过程中被篡改信息在传输的过程中被篡改难以确认对方的身份难以确认对方的身份信息发送方的抵赖信息发送方的抵赖.StoneBiao,E-Commerce Page 10 2/9/2021 5:21 PM4.1 电子商务安全需求概述电子商务安全需求概述4.1.1 电子商务的安全威胁电子商务的安全威胁4.1.2

6、电子商务的安全需求电子商务的安全需求4.1.3 电子商务的安全解决方案电子商务的安全解决方案 StoneBiao,E-Commerce Page 11 2/9/2021 5:21 PM4.1.14.1.1电子商务的安全威胁电子商务的安全威胁电子商务为销售者和消费者建立交易关电子商务为销售者和消费者建立交易关系。电子商务应对所有网络用户都是开系。电子商务应对所有网络用户都是开放的，且应方便、可靠和安全。放的，且应方便、可靠和安全。电子商务的安全将是实现电子商务的基电子商务的安全将是实现电子商务的基石。石。StoneBiao,E-Commerce Page 12 2/9/2021 5:21 PM现

7、代电子商务是建立在现代电子商务是建立在InternetInternet上的，上的，而而InternetInternet是一个公用网络，是不安全是一个公用网络，是不安全的，又是不可信的。的，又是不可信的。事实上，作为电子商务基础的事实上，作为电子商务基础的InternetInternet最初的设计目标是最初的设计目标是互操作性和开放互操作性和开放，网，网络的安全性并未得到足够的重视，其安络的安全性并未得到足够的重视，其安全性的问题便不断被发现。全性的问题便不断被发现。StoneBiao,E-Commerce Page 13 2/9/2021 5:21 PM因此，在电子商务系统中无论是商品的因此，

8、在电子商务系统中无论是商品的销售者还是消费者都面临许多安全威胁，销售者还是消费者都面临许多安全威胁，主要的威胁综合如下：主要的威胁综合如下：StoneBiao,E-Commerce Page 14 2/9/2021 5:21 PM1 1、对销售者的威胁、对销售者的威胁（1 1）中央系统安全性被破坏；）中央系统安全性被破坏；（2 2）竞争者检索商品递送状况；）竞争者检索商品递送状况；（3 3）客户资料被竞争者获悉；）客户资料被竞争者获悉；（4 4）被他人假冒而损害公司的信誉；）被他人假冒而损害公司的信誉；（5 5）消费者提交订单后不付款；）消费者提交订单后不付款；（6 6）虚假订单；）虚假订单；

9、StoneBiao,E-Commerce Page 15 2/9/2021 5:21 PM2 2、对消费者的威胁、对消费者的威胁（1 1）虚假订单；）虚假订单；（2 2）付款后不能收到商品；）付款后不能收到商品；（3 3）机密性丧失；）机密性丧失；（4 4）拒绝服务。）拒绝服务。StoneBiao,E-Commerce Page 16 2/9/2021 5:21 PM4.1.2 4.1.2 电子商务的安全需求电子商务的安全需求1 1、销售者对电子商务的需求、销售者对电子商务的需求2 2、消费者对电子商务的需求、消费者对电子商务的需求3 3、电子商务的安全要求、电子商务的安全要求 StoneBi

10、ao,E-Commerce Page 17 2/9/2021 5:21 PM1 1、销售者对电子商务的需求、销售者对电子商务的需求（1 1）能鉴别）能鉴别消费者消费者身份的真实性和得到消费身份的真实性和得到消费者对商品或服务付款的能力；者对商品或服务付款的能力；（2 2）知识产权保护；）知识产权保护；（3 3）有效的争议解决机制。）有效的争议解决机制。StoneBiao,E-Commerce Page 18 2/9/2021 5:21 PM2 2、消费者对电子商务的需求、消费者对电子商务的需求（1 1）能对销售者的自身出发进行鉴别；）能对销售者的自身出发进行鉴别；（2 2）能保证消费者的机密信

11、息和个人隐）能保证消费者的机密信息和个人隐私不被泄露给非授权的人；私不被泄露给非授权的人；（3 3）有效的争议解决机制。）有效的争议解决机制。StoneBiao,E-Commerce Page 19 2/9/2021 5:21 PM3 3、电子商务的安全要求、电子商务的安全要求（1 1）真实性要求；）真实性要求；（2 2）机密性要求；）机密性要求；（3 3）完整性要求；）完整性要求；（4 4）可用性要求；）可用性要求；（5 5）不可否认要求；）不可否认要求；（6 6）可控性。）可控性。StoneBiao,E-Commerce Page 20 2/9/2021 5:21 PM4 4、电子商务系统

12、所需的安全服务、电子商务系统所需的安全服务为了满足电子商务的安全要求，电子商务系统为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供必须利用安全技术为电子商务活动参与者提供可靠的安全服务，主要的安全服务包括：可靠的安全服务，主要的安全服务包括：StoneBiao,E-Commerce Page 21 2/9/2021 5:21 PM（1 1）鉴别服务）鉴别服务对人或实体的身份进行鉴别，为身份的真实性对人或实体的身份进行鉴别，为身份的真实性提供保证提供保证。这意味着当某人或实体声称具有某。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来个特定的

13、身份时，鉴别服务将提供一种方法来验证其声明的正确性。验证其声明的正确性。StoneBiao,E-Commerce Page 22 2/9/2021 5:21 PM（2 2）访问控制服务）访问控制服务访问控制服务通过授权来对使用资源的方式进访问控制服务通过授权来对使用资源的方式进行控制，防止非授权使用或控制资源行控制，防止非授权使用或控制资源。它有助。它有助于达到机密性、完整性、可控性和建立责任机于达到机密性、完整性、可控性和建立责任机制。制。StoneBiao,E-Commerce Page 23 2/9/2021 5:21 PM（3 3）机密性服务）机密性服务机密性服务的目标是为电子商务参与

14、者的信息机密性服务的目标是为电子商务参与者的信息在存储、处理、传输过程中提供机密性保证，在存储、处理、传输过程中提供机密性保证，防止信息被泄露给非授权的人或实体防止信息被泄露给非授权的人或实体。StoneBiao,E-Commerce Page 24 2/9/2021 5:21 PM（4 4）不可否认服务）不可否认服务不可否认服务针对的是来自合法用户的威胁。不可否认服务针对的是来自合法用户的威胁。否认是指电子商务活动者否认其所进行的操作。否认是指电子商务活动者否认其所进行的操作。不可否认服务就是为交易的双方提供不可否认不可否认服务就是为交易的双方提供不可否认的证据来为解决因否认而产生的争议提供

15、支持。的证据来为解决因否认而产生的争议提供支持。它实际上建立了交易双方的责任机制。它实际上建立了交易双方的责任机制。StoneBiao,E-Commerce Page 25 2/9/2021 5:21 PM4.1.3 4.1.3 电子商务的安全解决方案电子商务的安全解决方案安全需求 解决方案 采用技术防止数据被泄漏或防止数据被泄漏或篡篡改改(机密性、完整性机密性、完整性)加密数据以防非法加密数据以防非法读读取取或或篡篡改改 对对称加密、非称加密、非对对称称加密、信息摘要加密、信息摘要 （MDMD）防止冒名防止冒名发发送数据或送数据或发发送送数据后抵数据后抵赖赖(真真实实性、有性、有效性、不可抵

16、效性、不可抵赖赖性性)对对信息的信息的发发送者送者进进行身行身份份验证验证数字数字签签名、数字名、数字时时间间戳、戳、认证认证技技术术防止未防止未经经授授权权擅自的擅自的访问访问网网络络(可靠性，可靠性，严严密性密性)对访问对访问网网络络或服或服务务器某器某些流量些流量进进行行过滤过滤和保和保护护防病毒、防火防病毒、防火墙墙 网网络对络对特定特定对对象开放象开放专专用网用网络络保保证证操作系操作系统统、应应用用软软件件的安全的安全用用户户注册、用注册、用户权户权限限用户名、密码用户名、密码保保证证数据数据库库安全安全访问访问控制、数据控制、数据备备份与份与管理管理DBMSDBMS1.1.常见电

17、子商务安全解决方案及采用的技术常见电子商务安全解决方案及采用的技术 StoneBiao,E-Commerce Page 26 2/9/2021 5:21 PM 2.2.电子商务安全基础架构（技术构成）电子商务安全基础架构（技术构成）电子商务业务系统电子商务业务系统电子商务支付系统电子商务支付系统 安全应用协议安全应用协议SET、SSL、S/HTTP、S/MIME 安全认证技术安全认证技术数字摘要、数字签名、数字信封、数字摘要、数字签名、数字信封、CA体系（体系（PKI）加密技术加密技术非对称密钥加密、对称密钥加密、非对称密钥加密、对称密钥加密、DES、RSA 网络安全网络安全安全策略、防火墙、

18、虚拟专用网、网络安全检测、安全工具包安全策略、防火墙、虚拟专用网、网络安全检测、安全工具包 StoneBiao,E-Commerce Page 27 2/9/2021 5:21 PM4.2 常见网络安全技术常见网络安全技术4.2.1 4.2.1 防火墙技术防火墙技术4.2.2 VPN4.2.2 VPN技术技术 StoneBiao,E-Commerce Page 28 2/9/2021 5:21 PM4.2.1 4.2.1 防火墙技术防火墙技术Windows Windows 防火墙防火墙 StoneBiao,E-Commerce Page 29 2/9/2021 5:21 PM 1 1、防火墙含

19、义、防火墙含义一种计算机硬件和软件的结合，一种计算机硬件和软件的结合，使使互联网（互联网（InternetInternet）与与内部网（内部网（IntranetIntranet）之之间建立起一个间建立起一个安全网关（安全网关（Security GatewaySecurity Gateway），从而从而保护内部网免受非法用户的侵入保护内部网免受非法用户的侵入。StoneBiao,E-Commerce Page 30 2/9/2021 5:21 PMWindows Windows 防火墙的启用防火墙的启用 StoneBiao,E-Commerce Page 31 2/9/2021 5:21 PM2

20、 2、防火墙的功能、防火墙的功能、过滤不安全的用户和非法用户、过滤不安全的用户和非法用户、控制对特殊站点的访问、控制对特殊站点的访问、作为网络安全的集中监视点、作为网络安全的集中监视点 StoneBiao,E-Commerce Page 32 2/9/2021 5:21 PM3 3、防火墙策略、防火墙策略“凡是未被准许的就是禁止的凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的凡是未被禁止的就是允许的”包过滤包过滤只过滤端口号和只过滤端口号和IPIP信息，具体传输内容无法处理信息，具体传输内容无法处理应用层过滤应用层过滤功能更强大，可进行传输内容过滤功能更强大，可进行传输内容过滤安全与性能

21、的结合考虑安全与性能的结合考虑 StoneBiao,E-Commerce Page 33 2/9/2021 5:21 PM包过滤和应用层过滤包过滤和应用层过滤 StoneBiao,E-Commerce Page 34 2/9/2021 5:21 PM4 4、防火墙的局限性、防火墙的局限性、防火墙无法防范内部用户的攻击、防火墙无法防范内部用户的攻击、防火墙无法防范不通过它的连接、防火墙无法防范不通过它的连接、限制了有用的网络访问、限制了有用的网络访问、防火墙很难防范病毒、防火墙很难防范病毒安全与性能安全与性能防火墙与杀毒软件防火墙与杀毒软件 StoneBiao,E-Commerce Page 3

22、5 2/9/2021 5:21 PM4.2.2 VPN4.2.2 VPN技术技术虚拟专用网络虚拟专用网络(Virtual Private Network)(Virtual Private Network)StoneBiao,E-Commerce Page 36 2/9/2021 5:21 PM为什么要采用为什么要采用VPN?VPN?用户远程访问网络的安全性主要包括两个方面：用户远程访问网络的安全性主要包括两个方面：一是不允许非授权用户访问内部网络一是不允许非授权用户访问内部网络，如通过用，如通过用身份识别身份识别IDID和密码验证用户，或采用和密码验证用户，或采用RADIUSRADIUS等安等

23、安全协议验证用户等；全协议验证用户等；二是保证授权用户安全连接二是保证授权用户安全连接、访问内部网络，即、访问内部网络，即远程用户连接内部网络，访问内部网络资源的信远程用户连接内部网络，访问内部网络资源的信道是安全的，防止别有用心的人的窃听、对信息道是安全的，防止别有用心的人的窃听、对信息的截获和篡改等操作。的截获和篡改等操作。StoneBiao,E-Commerce Page 37 2/9/2021 5:21 PM1.1.虚拟专用网络虚拟专用网络VPNVPN的定义的定义 虚拟专用网络（虚拟专用网络（VPNVPN）是远程客户机使用基于）是远程客户机使用基于 TCP/IPTCP/IP协议的专门的

24、隧道协议（如协议的专门的隧道协议（如PPTPPPTP、L2TPL2TP），），通过虚拟专用网络服务器的虚拟端口，穿越其他通过虚拟专用网络服务器的虚拟端口，穿越其他网络（如网络（如InternetInternet），实现一种逻辑上的直接连），实现一种逻辑上的直接连接。接。StoneBiao,E-Commerce Page 38 2/9/2021 5:21 PM在公共网络上组建的在公共网络上组建的VPNVPN可以使企业现有的可以使企业现有的VAN VAN（Value-Added NetWork,Value-Added NetWork,增值网）一样提供增值网）一样提供安全安全性、可靠性和可管理性性、

25、可靠性和可管理性等等.StoneBiao,E-Commerce Page 39 2/9/2021 5:21 PM2.2.虚拟专用网虚拟专用网(VPN)(VPN)的结构的结构Windows 2000 VPN ServerInternet AdapterIntranet AdapterCorporateIntranetVPN Remote Access ClientInternetInternetTunnelTunnel StoneBiao,E-Commerce Page 40 2/9/2021 5:21 PM3.3.虚拟专用网虚拟专用网(VPN)(VPN)的工作原理的工作原理VPN 服务器服务器

26、Internet 适配器适配器Intranet 适配器适配器公司公司内部网络内部网络VPN 远程访问客户机远程访问客户机InternetInternet隧道隧道隧道隧道 StoneBiao,E-Commerce Page 41 2/9/2021 5:21 PM 4.VPN 4.VPN数据传输协议数据传输协议ClientServerPPTPPPTP基于IP的互联网络没有报头压缩没有隧道身份验证采用PPP加密L2TPL2TP基于多种广域网络连接介质如帧中继,IP,X.25.报头压缩隧道身份验证使用IPSec 加密InternetInternetPPTP or L2TP StoneBiao,E-Co

27、mmerce Page 42 2/9/2021 5:21 PMVPNVPN的安全协议的安全协议(一一)PPTPPPTPPoint to Point Tunnel ProtocalPoint to Point Tunnel Protocal(点对点隧道协议点对点隧道协议)通过通过InternetInternet的数据通信，需要对数据的数据通信，需要对数据流进行封装和加密，流进行封装和加密，PPTPPPTP就可以实现这两个就可以实现这两个功能，从而可以通过功能，从而可以通过InternetInternet实现多功能通实现多功能通信。信。StoneBiao,E-Commerce Page 43 2/

28、9/2021 5:21 PML2TPL2TPLayer2 Tunneling Protocol(Layer2 Tunneling Protocol(第二层第二层隧道协议隧道协议)PPTP PPTP和和L2TPL2TP十分相似，因为十分相似，因为L2TPL2TP有一部有一部分就是采用分就是采用PPTPPPTP协议，两个协议都允许客户协议，两个协议都允许客户通过其间的网络建立隧道，通过其间的网络建立隧道，L2TPL2TP还还支持信道支持信道认证认证。VPNVPN的安全协议的安全协议(二二)StoneBiao,E-Commerce Page 44 2/9/2021 5:21 PMIPSECInter

29、net Portocol SecurityIPSECInternet Portocol Security(因特网因特网协议安全协议安全)它用于确保网络层之间的安全通信。它用于确保网络层之间的安全通信。SOCKs SOCKs SOCKs SOCKs是一个网络连接的代理协议，是一个网络连接的代理协议，SOCKsSOCKs能将能将连接请求进行鉴别和授权，并建立代理连接和连接请求进行鉴别和授权，并建立代理连接和传送数据。传送数据。VPNVPN的安全协议的安全协议(二二)StoneBiao,E-Commerce Page 45 2/9/2021 5:21 PM(1)(1)降低费用降低费用(2)(2)增强

30、的安全性增强的安全性 (3)(3)网络协议支持网络协议支持5.VPN5.VPN所带来的好处所带来的好处 StoneBiao,E-Commerce Page 46 2/9/2021 5:21 PM4.3 4.3 加密与认证技术加密与认证技术4.3.1 4.3.1 加密技术基础加密技术基础4.3.2 4.3.2 认证技术认证技术4.3.3 4.3.3 数字证书数字证书&CACA StoneBiao,E-Commerce Page 47 2/9/2021 5:21 PM4.3.14.3.1加密技术基础加密技术基础1.1.数据加密数据加密数数据据加加密密保保护护就就是是采采取取一一定定的的技技术术和和

31、措措施施，对对网网络络系系统统中中存存储储的的数数据据和和通通信信介介质质上上传传输输的的数数据据进进行行加加密密，使使得得加加密密后后的的数数据据不不能能被被无无关关的的用用户户识识别别，提提高高数数据的保密性。据的保密性。StoneBiao,E-Commerce Page 48 2/9/2021 5:21 PM 加解密示意图加解密示意图加密是在不安全的信息渠道中实现安全传输的重要方法 StoneBiao,E-Commerce Page 49 2/9/2021 5:21 PM数数据据加加密密离离不不开开密密码码技技术术。密密码码技技术术是是对对存存储储或或者者传传输输的的信信息息采采取取秘秘

32、密密交交换换的的以以防防止止第第三三者者窃窃取取信信息息的的通通信信技技术术。密密码码技技术术分分为为加加密密（EncryptionEncryption）和和解解密密（DecryptionDecryption）两部分。两部分。StoneBiao,E-Commerce Page 50 2/9/2021 5:21 PM加加密密：是是把把需需要要加加密密的的报报文文（简简称称明明文文PlaintextPlaintext）利利用用密密钥钥按按照照某某种种算算法法进进行行变变 化化，产产 生生 密密 码码 文文 件件（简简 称称 密密 文文CiphertextCiphertext）。）。解解密密：是是利

33、利用用密密钥钥把把密密文文还还原原成成明明文文的的过程过程 StoneBiao,E-Commerce Page 51 2/9/2021 5:21 PM密密钥钥：是是一一个个数数值值，它它加加密密算算法法一一起起生生成成特特别别的的密密文文。密密钥钥本本质质是是一一个个非非常常大大的的数数，其其大大小小用用位位（bitbit）表表示示，显显然然，密密钥钥越越大大，密密文文就就越越安安全全，被被破破译译的的几几率就越小。率就越小。StoneBiao,E-Commerce Page 52 2/9/2021 5:21 PM数据加密传输的模型数据加密传输的模型利利用用密密码码技技术术，在在信信源源和和通

34、通信信信信道道之之间间对对报报文文进进行行加加密密，经经过过信信道道传传输输，在在信信宿宿对对接接收收的的信信息息进进行行解解密密，以以实实现现网网络络的保密通信。的保密通信。StoneBiao,E-Commerce Page 53 2/9/2021 5:21 PM发送端发送端接收端接收端明文信息明文信息X X加密算加密算法法E E密密文文信信息息Y Y密密文文信信息息Y YyyyyyyYyyyyyyY解密算解密算法法D D加加 密密 密密钥钥KeKe解解密密密密钥钥KdKd明明文文信信息息X X信道信道 StoneBiao,E-Commerce Page 54 2/9/2021 5:21 P

35、M凯撒密码法定义为：凯撒密码法定义为：E(P)E(P)(P+K)mod 26 (P+K)mod 26 C C 其中其中 E E 是加密函数是加密函数 P P 是明文的字母是明文的字母 K K 是右移量是右移量 C C 是密文后字母是密文后字母 StoneBiao,E-Commerce Page 55 2/9/2021 5:21 PM加加密密算算法法有有赖赖于于数数学学，越越先先进进的的算算法法所所涉涉及及的的数数学学知知识识深深奥奥。当当代代加加密密技技术术趋趋向向于于使使用用一一套套公公开开的的算算法法及及密密钥钥完完成成对对明明文文的的加加密密。其其理理由由是是，加加密密算算法法开开发发比

36、比较较复复杂杂，而而公公开开的的算算法法可可使使加加密密技技术术成成为为标标准准，也也便便于于用用硬硬件件来来实实施施，提提高高加密的速度。加密的速度。StoneBiao,E-Commerce Page 56 2/9/2021 5:21 PM2.2.对称密钥密码体系对称密钥密码体系对称密钥密码体系对称密钥密码体系(Symmetric(Symmetric Cryptography)Cryptography)又称对称密钥技术。又称对称密钥技术。对称钥匙加密系统是加密和解密均采用同一对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把把秘密钥匙，而且通信双方都必须获得这把钥匙

37、，并保持钥匙的秘密。钥匙，并保持钥匙的秘密。StoneBiao,E-Commerce Page 57 2/9/2021 5:21 PM对称加密技术对称加密技术密钥密钥加密数据加密数据密钥密钥解密数据解密数据 StoneBiao,E-Commerce Page 58 2/9/2021 5:21 PM对称密钥密码体系的优点是加密、解密速度对称密钥密码体系的优点是加密、解密速度很快很快(高效高效)，但缺点也很明显：，但缺点也很明显：密钥难于共密钥难于共享，需太多密钥享，需太多密钥。DESDES密码体制密码体制最有名的密码算法最有名的密码算法 ；第一个被公开的现代密码；第一个被公开的现代密码 由由IB

38、MIBM于于19711971年至年至19721972年研制成功年研制成功 StoneBiao,E-Commerce Page 59 2/9/2021 5:21 PMDESDES密码体制密码体制DESDES密码体制密码体制分组长度：分组长度：6464比特比特密钥长度：密钥长度：5656比特比特目前目前DESDES已被视为不安全，普遍使用的是变已被视为不安全，普遍使用的是变种种triple DEStriple DES，即对，即对6464比特分组加密三次，比特分组加密三次，每次用不同的密钥，密钥长度总共每次用不同的密钥，密钥长度总共168168比特。比特。StoneBiao,E-Commerce P

39、age 60 2/9/2021 5:21 PM3.3.非对称密钥密码体系非对称密钥密码体系非对称密钥密码体系非对称密钥密码体系(Asymmetric Cryptography)也称公开密钥技术。也称公开密钥技术。在该体制中，加密密钥（又称公开密钥）在该体制中，加密密钥（又称公开密钥）PK是对外公开的，加密算法是对外公开的，加密算法E和解密算法和解密算法D也是公开的，但解密密钥（又称秘密密钥）也是公开的，但解密密钥（又称秘密密钥）SK是保密的。虽然是保密的。虽然SK是由是由PK决定的，但决定的，但却不能根据却不能根据PK计算出计算出SK。StoneBiao,E-Commerce Page 61

40、2/9/2021 5:21 PM私钥私钥公钥公钥公开密钥加密技术公开密钥加密技术加密数据加密数据解密数据解密数据 StoneBiao,E-Commerce Page 62 2/9/2021 5:21 PM非对称密钥技术的优点是：非对称密钥技术的优点是：易于实现，易于实现，使用灵活，密钥较少使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。必须使用较长的密钥。StoneBiao,E-Commerce Page 63 2/9/2021 5:21 PM公开密钥算法具有以下特点：公开密钥算法具有以下特点：用加密密钥用加密密钥PK对明文对明文

41、X加密后，再用解密加密后，再用解密密钥密钥SK解密即得明文，即解密即得明文，即DSK(EPK(X)=X；加密密钥不能用来解密，即加密密钥不能用来解密，即DPK(EPK(X)X；在计算机上可以容易地产生成对的在计算机上可以容易地产生成对的PK和和SK，但从已知的，但从已知的PK不可能推导出不可能推导出SK。StoneBiao,E-Commerce Page 64 2/9/2021 5:21 PM 对称对称 公开密公开密钥钥加解密速度加解密速度数据量大时的适用性数据量大时的适用性密钥分发容易性密钥分发容易性密钥管理方便性密钥管理方便性 对称与公开密钥技术比较对称与公开密钥技术比较 StoneBia

42、o,E-Commerce Page 65 2/9/2021 5:21 PM对公钥密码算法的误解对公钥密码算法的误解公开密钥算法比对称密钥密码算法更安全？公开密钥算法比对称密钥密码算法更安全？任何一种算法都依赖于密钥长度、破译密码的工任何一种算法都依赖于密钥长度、破译密码的工作量，从抗分析角度，没有一方更优越作量，从抗分析角度，没有一方更优越公开密钥算法使对称密钥成为过时了的技术？公开密钥算法使对称密钥成为过时了的技术？公开密钥很慢，只能用在密钥管理和数字签名，公开密钥很慢，只能用在密钥管理和数字签名，对称密钥密码算法将长期存在对称密钥密码算法将长期存在使用公开密钥加密，密钥分配变得非常简单？使

43、用公开密钥加密，密钥分配变得非常简单？事实上的密钥分配既不简单，也不有效事实上的密钥分配既不简单，也不有效 StoneBiao,E-Commerce Page 66 2/9/2021 5:21 PMRSARSA算法的安全性算法的安全性19991999年年8 8月，荷兰国家数学与计算机科学研究所月，荷兰国家数学与计算机科学研究所家们的一组科学家成功分解了家们的一组科学家成功分解了512bit512bit的整数，大的整数，大约约300300台高速工作站与台高速工作站与PCPC机并行运行，整个工作机并行运行，整个工作花了花了7 7个月。个月。现有的现有的RSARSA密码体制支持的密钥长度有密码体制支

44、持的密钥长度有512512、10241024、20482048、40964096等。等。StoneBiao,E-Commerce Page 67 2/9/2021 5:21 PM目前的加密解密技术目前的加密解密技术已经可以保证电子商务的安全已经可以保证电子商务的安全集成现有应用最有效的安全技术集成现有应用最有效的安全技术建立身份认证过程的权威性框架建立身份认证过程的权威性框架为交易的参与方提供安全保障为交易的参与方提供安全保障保证用户不会因为加密和密钥管理比较复保证用户不会因为加密和密钥管理比较复杂而影响使用。用户不必做大的更动。杂而影响使用。用户不必做大的更动。StoneBiao,E-Com

45、merce Page 68 2/9/2021 5:21 PM4.3.2 4.3.2 认证技术认证技术4.3.2.1 4.3.2.1 数字信封技术数字信封技术4.3.2.2 4.3.2.2 数字签名技术数字签名技术4.3.2.3 4.3.2.3 数据加密解密与身份认证流程数据加密解密与身份认证流程 StoneBiao,E-Commerce Page 69 2/9/2021 5:21 PM4.3.2.1 4.3.2.1 数字信封技术数字信封技术对称密钥对称密钥 加密传递的信息加密传递的信息公开密钥公开密钥 加密加密“对称密钥对称密钥”或称数字信封或称数字信封 =数字信封技术公钥公钥密钥密钥 Sto

46、neBiao,E-Commerce Page 70 2/9/2021 5:21 PM信息发送的基本原理信息发送的基本原理 StoneBiao,E-Commerce Page 71 2/9/2021 5:21 PM接收方取得信息的过程接收方取得信息的过程 StoneBiao,E-Commerce Page 72 2/9/2021 5:21 PM综合考虑公开密钥和对称密钥的优缺点综合考虑公开密钥和对称密钥的优缺点可以保证传输速率和同时保证加密安全可以保证传输速率和同时保证加密安全 StoneBiao,E-Commerce Page 73 2/9/2021 5:21 PM4.3.2.2 4.3.2.

47、2 数字签名技术数字签名技术 StoneBiao,E-Commerce Page 74 2/9/2021 5:21 PM数字签名：采用数学函数对信息进行摘要处理，数字签名：采用数学函数对信息进行摘要处理，得到的摘要用个人签名私钥加密。个人签名私得到的摘要用个人签名私钥加密。个人签名私钥只有本人知道。钥只有本人知道。数字签名向接收方保证：信息来自真实的发送数字签名向接收方保证：信息来自真实的发送方，方，收到的有数字签名的信息没有别人被篡收到的有数字签名的信息没有别人被篡改过。改过。StoneBiao,E-Commerce Page 75 2/9/2021 5:21 PM安全的数字签名安全的数字签

48、名 StoneBiao,E-Commerce Page 76 2/9/2021 5:21 PM数字签名过程数字签名过程将待发送信息原文做摘要将待发送信息原文做摘要有时称为摘要或有时称为摘要或数字指纹数字指纹用签名私钥对摘要进行加密（签名）用签名私钥对摘要进行加密（签名）被加密的摘要称为签名块被加密的摘要称为签名块签名块附在信息原文后面一起发送签名块附在信息原文后面一起发送 StoneBiao,E-Commerce Page 77 2/9/2021 5:21 PM验证数字签名验证数字签名收到签名数据包收到签名数据包对信息部分进行摘要对信息部分进行摘要对签名部分用发送方公钥解密得到摘要对签名部分用

49、发送方公钥解密得到摘要比较两个摘要是否相同比较两个摘要是否相同相同则数字签名有效相同则数字签名有效 StoneBiao,E-Commerce Page 78 2/9/2021 5:21 PM完整性验证原理完整性验证原理 单向摘要函数单向摘要函数信息原文的数字化摘要信息原文的数字化摘要不能根据摘要推出原文不能根据摘要推出原文计算速度很快计算速度很快长度为长度为128-160Bits128-160Bits摘要验证摘要验证对接收到的信息对接收到的信息 重做摘要重做摘要-摘要摘要2 2 比较摘要比较摘要2 2与摘要与摘要1 1HashingHashing摘要摘要1 1算法算法:MD2,MD4,MD5,

50、SHA-1 低成低成本，任何大小的信息都可以处理本，任何大小的信息都可以处理信息信息摘要摘要1 1信息信息信息信息摘要摘要2摘要摘要2摘要摘要1 1 StoneBiao,E-Commerce Page 79 2/9/2021 5:21 PM 发送方不可抵赖的证据发送方不可抵赖的证据数字签名使接收方可以得到保证：数字签名使接收方可以得到保证：文件确实来自声称的发送方。文件确实来自声称的发送方。鉴于签名私钥只有发送方自己保存，他人鉴于签名私钥只有发送方自己保存，他人无法做一样的数字签名无法做一样的数字签名,因此他不能否认他因此他不能否认他参与了交易。参与了交易。StoneBiao,E-Commer