电商安全3

16.1电子商务系统的安全要求6.2数据加密技术6.3认证技术6.4电子商务的安全交易标准目录第6章电子商务安全26.3认证技术6.3.1身份认证6.3.2认证中心6.3.3数字证书6.3.4数字摘要6.3.5数字签名6.3.6数字时间戳36.3.4数字摘要数字摘要MessageDigest（又数字指纹：digitalfingerprint)是用来保证信息完整性的一项技术。它是一种单向加密算法。2002年图灵奖得主RonaldL.Rivest---RSA和MD5的创始人4所谓数字摘要，是指通过单向Hash函数，将需加密的明文“摘要”成一串固定长度(如128bit)的密文，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且即使摘要知道了也不能反推出明文。5数字摘要的使用过程①对原文使用Hash算法得到数字摘要；②将数字摘要与原文一起发送；③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要；④将新数字摘要与发送方数字摘要进行比较。6与其它加密算法的区别一般的对称或非对称加密算法用于防治信息被非法窃取数字摘要技术用于证明信息的完整性和准确性，主要用于防止原文被篡改78910MD5和SHA-1应用举例•1、常见的Unix系统口令以及多数论坛/社区系统口令都是经MD5处理后保存其摘要信息串；•2、互联网文件下载的完整性验证。一般都提供一个MD5的数字摘要，下载方通过MD5摘要能够确认所下载的文件与原文件一致，以此来防止文件被篡改。11126.3.5数字签名1、数字签名的含义也称为电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把非对称加密技术和数字摘要结合起来，形成了实用的数字签名技术。132、作用:①确认当事人的身份，起到了签名或盖章的作用。②能够鉴别信息自签发后到收到为止是否被篡改。完善的数字签名技术具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力，用于电子商务安全服务中的源鉴别、完整性服务、不可否认性服务。14数字签名示意图:15数字信封数字信封的功能类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制，是一个混合加密系统。信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。16PGP的加密过程：17发送者A的邮件明文P生成数字摘要，并用其私钥加密生成数字签名H，将P和H拼接在一起压缩成P1，然后用对称密钥KM对P1加密，再用邮件接收者B的公钥加密钥KM，最后将加密后的压缩文件P1和加密后的KM（即数字信封）拼接起来，编码后发送给邮件接收者B；B收到加密的邮件后，先进行base64解码，并用其私钥解出密钥KM，用KM解密出P1，B接着从P1分出明文P和A的数字签名，B用A的公钥解密该数字签名得出数字摘要X，若与B自己算出来的数字摘要一致，则可认为P是从A发来的邮件。18综合应用：（发送方、接受方）19综合应用过程步骤如下：A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。A用户再把数字签名及自己的数字证书附在明文后面。A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。20为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。21思考题•数字签名与加密过程在密钥对使用方面有什么差别?2224252627282931注意:书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。应用实例商业情报专利发明竞标竞拍主要用途保证信息的时效性对于商业情报信息、专利发明等对时间非常敏感的信息，通过申请时间戳，可以证明你在某一时刻拥有这一信息或专利。保证操作的时效性对于像竞标、竞拍等对时间敏感的活动，通过申请时间戳，可证明你在某一时刻完成了这项活动。最新应用：08年刚启动的广州市版权协会的“时间戳”作品首创时间登记系统，可以为作品自动形成一个精确到千分之一秒的作品首创时间。当发生版权纠纷时，时间戳就可以作为版权证明的重要依据之一。33数字时间戳服务示意图：