3电子商务安全

3.1电子商务的安全要求3.2数据加密技术3.3认证技术3.4电子商务的安全交易标准目录第3部分电子商务安全电子商务发展的核心和关键问题是交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。目前，因特网上影响交易最大的阻力就是交易安全问题。序言3.1电子商务系统的安全要求3.1.1电子商务系统的安全威胁3.1.2电子商务的安全性要求3.1.3电子商务的安全体系（1）信息泄露（2）信息篡改（3）信息破坏（4）抵赖行为3.1.1电子商务系统的安全威胁安全威胁3.1.2电子商务的安全性要求信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。信息的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。3.1.3电子商务的安全体系电子商务安全交易体系三个层次：信息加密算法安全认证技术安全交易协议3.2数据加密技术3.2.1对称加密与DES算法3.2.2非对称加密与RSA算法加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密相连。密码学包括密码编码学和密码分析学。密码体制的设计是密码编码学的主要内容。密码体制的破译是密码分析学的主要内容。13:28:4912加密--将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密。密文--这种不可理解的形式称为密文。解密—解密是加密的逆过程，即将密文还原成明文。加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。在加密算法公开的情况下，非法解密者就要设法破获密钥，为了使黑客难以破获密钥，就要增加密钥的长度，使黑客无法用穷举法测试破解密钥。一般的数据加密模型:13:28:4916数据加密的例子：例：原信息为：Howareyou加密后为：LSAEVICSY原文密文在实际加密过程中，算法是不变的，但密钥是变化的----加密技术的关键是密钥？若密钥4换成1，结果会怎么样呢？abcd..………wxyzEFGH……….ABCD将上述两组字母分别对应，即差4个字母，这条规则就是加密算法，其中的4为密钥。3.2.1对称密钥加密与DES算法对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。对称密钥密码技术的代表是数据加密标准DES。这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，1979年美国银行协会批准使用DES,1980年它又成为美国标准化协会(ANSl)的标准，逐步成为商用保密通信和计算机通信的最常用加密算法。对称密钥加密1〉在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2〉当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大。3〉对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险。对称加密技术存在的问题3.2.2非对称密钥加密与RSA算法为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系，对近代密码学的发展具有重要影响。最著名的算法--RSA现在公钥密码体系用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。(LefttoRight:RonRivest,AdiShamir,LenAdleman)2002年图灵奖获得者--RSA-2002RonaldL.RivestRivest博士现任美国麻省理工学院电子工程和计算机科学系教授。1977年从斯坦福大学获得计算机博士学位。主要从事密码安全、计算机安全算法的研究，他发明了RSAKEY的算法，这个算法在信息安全中获得最大的突破。他现在担任国家密码学会的负责人。AdiShamirShamir是以色列Weizmann科学学院应用数学系的教授。国际著名的密码学专家，为现代密码学提供了很多新的理念，多年来始终活跃在密码学界的前沿，是学界公认的领军人物。LenAdlemanAdleman现在是美国南加州大学的计算机科学以及分子生物学教授。他是计算机病毒的教父（他的博士生Cohen是计算机病毒的发明人），DNA计算的创始人，爱滋病免疫学大师级专家，在数学、计算机科学、分子生物学、爱滋病研究等每一个方面作出的卓越贡献都是大师级成果。13:28:4926非对称加密技术使用两把不同的钥匙（一对钥匙），其中一把用于加密，另一把用于解密。较著名的算法是RSA算法一对钥匙一个公钥:是公开的，可以公布在网上，也可以公开传递给需要的人;一个私钥:只有本人知道，是保密的非对称加密技术用于保密应用的原理27接收方公钥接收方私钥在保密应用时，发件人用收件人的公钥将信件加密发给收件人，收件人收到密文后，用自己的私钥解密。密文明文Internet密文加密解密明文(发送方)(接收方)优点：密钥较少，在网络中容易实现密钥管理；便于进行数字签名，从而保证数据的不可抵赖性。缺点：加密解密速度慢-----不适合对数据量较大的报文进行加密。13:28:4928非对称加密技术的特点加密过程对称非对称step1Alice和Bob协商一个密码系统Alice和Bob选用一个公开密码系统step2密钥是秘密的Alice和Bob协商同一密钥Bob将他的公开密钥传送给Alicestep3Alice用协商的加密算法和密钥加密她的消息，得到消息的密文Alice用Bob的公开密钥加密她的消息，然后发送给Bobstep4Alice发送密文消息给BobBob用他的私人密钥解密Alice的消息，然后阅读消息step5Bob用同样的密钥和算法解密密文，得到原始明文，然后阅读明文13:28:4930对称与非对称加密技术对比特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理便于管理相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用13:28:4931在该系统中，用对称加密算法作为数据的加密算法对数据进行加密，用非对称加密算法作为密钥的加密算法，对密钥进行加密。对称与非对称技术相结合的综合保密系统------数字信封这样的系统既能发挥对称加密算法加密速度快、安全性好的优点，又能发挥非对称加密算法密钥管理方便的优点，扬长避短。对称与非对称技术相结合的综合保密系统------数字信封13:28:4932明文密文明文A密钥加密的密钥A密钥公钥B私钥B发送方A接收方BInternet密文加密的密钥13:28:49333.3认证技术交易者身份真实吗?文件被篡改过吗?交易抵赖怎么办?电子商务交易这就是认证技术要解决的问题身份认证验证完整性防止抵赖13:28:493.3认证技术•鉴别用户身份认证技术身份认证信息认证•信息完整性•防止抵赖1.密码认证2.用户所持有的包含某个秘密信息的载体：如智能卡3.利用生物特征：如指纹、声音、DNA图案视网膜扫描图案等4.CA认证(数字证书)保证交易安全1.数字摘要2.数字签名电子签名3.数字时间戳13:28:49353.3.1数字摘要也称为安全Hash编码法，是用来保证信息完整性的一项技术。它是由RonRivest发明的一种单向加密算法，其加密结果是不能解密的。定义：所谓数字摘要，是指通过单向Hash函数，将明文加密而形成的一串128bit固定长度的密文。数字摘要类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹。13:28:4936★不同的明文形成的摘要总是不相同的；★同样的明文其摘要必定一致；★即使知道了摘要也不能推出其明文。数字摘要验证信息完整性的原理可以通过数字摘要鉴别其明文的真伪。只有数字摘要完全一致，才可以证明信息在传送过程中是安全可靠的，没有被篡改。13:28:4937数字摘要的验证过程文件Hash摘要发送端Internet文件Hash摘要接收端摘要对比13:28:4938数字摘要的使用过程①对文件使用Hash算法得到数字摘要；②将数字摘要与文件一起发送；③接收方将收到的文件应用单向Hash函数产生一个新的数字摘要；④将新的数字摘要与发送方发来的数字摘要进行比较，若两者相同则表明文件在传输中没有被修改，否则就说明文件被修改过。13:28:49393.3.2数字签名传统商务中确认文件真实性和法律效力的一种最为常用的手段是在书面文件上亲笔签名或盖章。其作用有两方面：1、因签名难以否认，从而确认签名者已同意文件内容；2、因签名难以仿冒，从而确定文件是真的这一事实。13:28:4940在电子商务活动中，交易双方不见面，传统签字方式很难应用于这种网上交易，那么在网络传递的文件上如何签名盖章呢，如何使彼此的要约、承诺具有可信赖性？数字签名-----可解决这一难题13:28:4941数字签名---建立在非对称（公钥）加密体制基础上，是非对称加密技术的另一类应用。它把非对称加密技术和数字摘要结合起来，形成了实用的数字签名技术。数字签名的含义和作用验证信息完整性防止抵赖作用非对称加密技术用于验证的原理13:28:4942明文密文明文私钥A公钥A发送方A接收方BInternet密文13:28:4943数字签名和验证的过程买方：签名过程合同Hash函数摘要♂买方私钥数字签名合同数字签名传给卖方卖方接收Hash函数摘要卖方：接收、验证过程摘要合同数字签名♂买方公钥比较两个摘要13:28:4944①报文的发送方从原文中生成一个数字摘要，再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。②发送方将数字签名作为附件与原文一起发送给接收方。③接收方用发送方的公钥对已收到的加密数字摘要进行解密；数字签名和验证的具体步骤④接收方对收到的原文用Hash算法得到接收方的数字摘要；⑤将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。13:28:4946数字签名的作用①确认当事人的身份，起到了签名或盖章的作用；②能够鉴别信息自签发后到收到为止是否被篡改。由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司发送密文，但只有该公司才能解密，其他人不能解密；数字签名与加密过程密钥对使用差别老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息13:28:49503.3.3数字时间戳在书面合同文件中，日期和签名均是十分重要的防止被伪造和篡改的关键性内容。在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS(DigitalTime-stampService)服务机构提供的电子商务安全服务项