1、河南财政税务高等专科学校 李瑶电子商务安全技术电子商务安全技术河南财政税务高等专科学校河南财政税务高等专科学校 李瑶 教学目的:教学目的:通过本章学习,使学生通过本章学习,使学生 了解电子商务安全技术在专业课程学习中的位置了解电子商务安全技术在专业课程学习中的位置 体会电子商务安全的重要性体会电子商务安全的重要性 了解常见的计算机安全问题了解常见的计算机安全问题 掌握电子商务安全的基本概念,原理,技术及应用掌握电子商务安全的基本概念,原理,技术及应用 教学要求教学要求 掌握以下概念掌握以下概念 电子商务系统安全电子商务系统安全 信息的保密性,信息的完整性,信息的不可否认性,交易者身信息的保密性
2、,信息的完整性,信息的不可否认性,交易者身份的真实性,系统的可靠性份的真实性,系统的可靠性 加密,解密,算法,密钥,密钥长度加密,解密,算法,密钥,密钥长度 防火墙,对称密钥,防火墙,对称密钥,非对称密钥(公钥和私钥),非对称密钥(公钥和私钥),消息摘要,消息摘要,数字时间戳,数字签名,认证中心数字时间戳,数字签名,认证中心,数字证书,数字证书 SSL,SET河南财政税务高等专科学校 李瑶 理解和掌握以下原理理解和掌握以下原理 加解密原理加解密原理 各种加密技术工作原理及其实现的信息安全性,包括防火墙,各种加密技术工作原理及其实现的信息安全性,包括防火墙,对称密钥,对称密钥,非对称密钥(公钥和
3、私钥),非对称密钥(公钥和私钥),消息摘要,消息摘要,数字时数字时间戳,数字签名,认证中心间戳,数字签名,认证中心,数字证书,数字证书 各种安全协议工作原理,包括各种安全协议工作原理,包括 SSL,SET 认证中心的数形结构认证中心的数形结构 教学重点和难点教学重点和难点各种加密技术工作原理各种加密技术工作原理数字证书的应用数字证书的应用各种安全协议工作原理各种安全协议工作原理河南财政税务高等专科学校 李瑶8.1 电子商务安全概述电子商务安全概述8.2 电子商务安全技术策略电子商务安全技术策略8.3 电子商务交易风险的识别电子商务交易风险的识别与防范与防范目目 录录项目八项目八 电子商务安全电
4、子商务安全河南财政税务高等专科学校 李瑶电子商务发展的核心和关键问题是交易的电子商务发展的核心和关键问题是交易的安全性,这是网上交易的基础,也是电子商安全性,这是网上交易的基础,也是电子商务技术的难点所在。目前,因特网上影响交务技术的难点所在。目前,因特网上影响交易最大的阻力就是交易安全问题。易最大的阻力就是交易安全问题。序 言河南财政税务高等专科学校 李瑶8.1 8.1 电子商务安全概述电子商务安全概述8.1.1 8.1.1 电子商务系统的安全威胁电子商务系统的安全威胁8.1.2 8.1.2 电子商务的安全性要求电子商务的安全性要求 河南财政税务高等专科学校 李瑶案例案例 以以“淘宝淘宝”为
5、诱饵让买家上当为诱饵让买家上当 当日正打算给手机充值的陈小姐在淘宝网上搜索时看到卖家“信誉天使5”在卖移动充值卡,面值100元的卖85元。陈小姐马上和“信誉天使5”联系,后者表示自己也是从其他网站上拿货,而且只有在产生交易订单后才能拿货。他让陈小姐登录网站,用他给的用户名和密码进入然后充值1元钱,再把交易订单发给他。陈小姐进入该网站登录后看到页面上有一个网上银行支付系统,于是就填了自己的招商银行信用卡账号和密码进行支付,但结果显示密码错误、交易不成功。陈小姐以为密码输入有误,正当她想第二次输入的时候,却突然收到招行发来的“已网络消费499元”的短信提醒。这时,陈小姐恍然大悟,自己的信用卡账号和
6、密码已被“信誉天使5”盗取了。她马上打银行热线冻结账户,但在短短几分钟内还是又被消费了200元。河南财政税务高等专科学校 李瑶 黑客拿专用盗号器打劫网银 病毒名称:病毒名称:Win32.Hack.Agent.61440中文名称:网银黑客盗号器中文名称:网银黑客盗号器61440病毒类型:盗号木马病毒类型:盗号木马病毒目的:盗窃用户的网银账号病毒目的:盗窃用户的网银账号本期医生:咖啡猪本期医生:咖啡猪 河南财政税务高等专科学校 李瑶“掌柜的,你这件商品有么?掌柜的,你这件商品有么?”+淘宝商品的链接淘宝商品的链接账号安全 警惕网络陷阱警惕网络陷阱识别钓鱼网站识别钓鱼网站河南财政税务高等专科学校 李
7、瑶 电子商务究竟面临怎样的安全威胁?河南财政税务高等专科学校 李瑶电子商务发展面临的挑战电子商务发展面临的挑战无法真正确认彼此的身份信息在互联网被窃听,导致信息泄漏信息被篡改,导致信息不完整用户对发送信息进行抵赖,没有抗抵赖的依据网上应用系统服务器网上应用系统服务器用户用户数据库数据库窃听窃听篡改篡改抵赖抵赖假冒的站点假冒的站点假冒的用户假冒的用户如何打造真正诚信的电子商务环境?如何打造真正诚信的电子商务环境?河南财政税务高等专科学校 李瑶电子商务缺乏诚信的核心问题电子商务缺乏诚信的核心问题网络中,我如何能相信你?1.无法真正代表电子商务参与者的无法真正代表电子商务参与者的真实身份;真实身份;
8、2.从而,也无法保证网上信息的真从而,也无法保证网上信息的真实性;实性;3.由于没有可供仲裁或公证的用户由于没有可供仲裁或公证的用户签名记录,用户随时都可以抵赖签名记录,用户随时都可以抵赖在网上做过的任何事情;在网上做过的任何事情;4.从而,也无法实现最终成交时签从而,也无法实现最终成交时签署电子合同;署电子合同;5.当然,也无法实现放心的网上支当然,也无法实现放心的网上支付、签署电子合同。付、签署电子合同。在病毒、木马等黑客技术的肆在病毒、木马等黑客技术的肆虐下,虐下,“账号账号+密码密码”的传统的传统认证模式,弊端凸显认证模式,弊端凸显:解决身份认证和网上行为抗抵赖已刻不容缓!解决身份认证
9、和网上行为抗抵赖已刻不容缓!河南财政税务高等专科学校 李瑶买卖双方面临的安全威胁买卖双方面临的安全威胁卖方买方系统中心安全性破坏 被人假冒竞争者的威胁付款后不能收到商品信用的威胁机密性丧失假冒的威胁拒绝服务网络诈骗河南财政税务高等专科学校 李瑶8.1.2 电子商务的安全性要求v信息的保密性信息的保密性:这是指信息在存储、传输和处理过程中,不被他人窃取。这需要对交换的信息实施加密保护,使得第三者无法读懂电文。v信息的完整性信息的完整性:这是指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,在交换过程中无乱序或篡改,保持与原发送信息的一致性。河南财政税务高等专科学校 李瑶v信息的不可
10、否认性信息的不可否认性:这是指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。v交易者身份的真实性交易者身份的真实性:这是指交易双方的身份是真实的,不是假冒的。防止冒名发送数据。v系统的可靠性系统的可靠性:这是指计算机及网络系统的硬件和软件工作的可靠性。河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶安全认证手段安全认证手段数字摘要、数字签名、数字信封、CA体系安全应用协议安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法基本加密算法非对称密钥加密、对称密钥加密、DES、RSA电子商务业务系统电子商务业务系统电子商务支付系统电子商务支付系统电子商
11、务安全交易体系电子商务安全交易体系河南财政税务高等专科学校 李瑶8.2 电子商务安全技术策略8.2.1 8.2.1 加密技术加密技术8.2.2 8.2.2 数字签名技术数字签名技术 8.2.3 8.2.3 认证技术认证技术8.2.4 8.2.4 主要安全协议主要安全协议8.2.5 8.2.5 计算机病毒计算机病毒河南财政税务高等专科学校 李瑶 加密技术是保证网络、信息安全加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧的核心技术。加密技术与密码学紧密相连。密相连。加密技术是一种主动的信息安全加密技术是一种主动的信息安全防范措施。防范措施。河南财政税务高等专科学校 李瑶将明文数据进行某
12、种变换,使其成为不可理解的形式,这个过程就是加密加密,这种不可理解的形式称为密文密文。解密是加密的逆过程,即将密文还原成明文。加密和解密必须依赖两个要素:算法和密钥。算法是加密和解密的计算方法;密钥是加密所需的一串数字。河南财政税务高等专科学校 李瑶一般的数据加密模型:河南财政税务高等专科学校 李瑶8.2.1 传统的代换密码早在几千年前人类就已早在几千年前人类就已有了通信保密的思想和有了通信保密的思想和方法。如最古老的铠撒方法。如最古老的铠撒密码密码(Caesar cipher)(Caesar cipher)。在这种方法中,在这种方法中,a a变成变成D D,b b 变 成变 成 E E ,c
13、 c 变 成变 成F F,z z变成变成C C。例如,。例如,englishenglish变成变成IRKPMWLIRKPMWL。其中明文用小写字母,其中明文用小写字母,密文用大写字母。密文用大写字母。若允许密文字母表移动若允许密文字母表移动k k个字母而不是总是个字母而不是总是3 3个,个,那么那么k k就成为循环移动字就成为循环移动字母表通用方法的密钥。母表通用方法的密钥。河南财政税务高等专科学校 李瑶明文:a b c d e f g h i j k l m n o p q r s t u v w x y z密文:T U V W X Y Z A B C D E F G H I J K L M
14、 N O P Q R S 在这个加密表下,明文与密文的对照关系就变成:明文:b a i d u 密文:UTB WN 河南财政税务高等专科学校 李瑶最迟在公元最迟在公元9 9世纪,阿拉伯的密世纪,阿拉伯的密码破译专家就已经娴熟地掌握了码破译专家就已经娴熟地掌握了用统计字母出现频率的方法来击用统计字母出现频率的方法来击破简单替换密码。破简单替换密码。河南财政税务高等专科学校 李瑶第一次世界大战时期的密码直到第一次世界大战结束为止,所有密直到第一次世界大战结束为止,所有密码都是使用手工来编码的。码都是使用手工来编码的。解密一方正值春风得意之时,几百年来解密一方正值春风得意之时,几百年来被认为坚不可破
15、的维吉耐尔被认为坚不可破的维吉耐尔(Vigenere)(Vigenere)密码和它的变种也被破解。而无线电报密码和它的变种也被破解。而无线电报的发明,使得截获密文易如反掌。的发明,使得截获密文易如反掌。无论是军事方面还是民用商业方面都需无论是军事方面还是民用商业方面都需要一种可靠而又有效的方法来保证通讯要一种可靠而又有效的方法来保证通讯的安全。的安全。河南财政税务高等专科学校 李瑶复式代换密码给自然语言频率复式代换密码给自然语言频率解密带来的难题解密带来的难题19181918年,德国发明年,德国发明家亚瑟家亚瑟谢尔比乌谢尔比乌斯斯 ENIGMAENIGMA (读作(读作“英格码英格码”,意为,
16、意为“谜谜”)他的一个)他的一个想法就是要用二十想法就是要用二十世纪的电气技术来世纪的电气技术来取代那种过时的铅取代那种过时的铅笔加纸的加密方法。笔加纸的加密方法。河南财政税务高等专科学校 李瑶 谢尔比乌斯发明的谢尔比乌斯发明的加密电子机械名叫加密电子机械名叫ENIGMAENIGMA,在以后的,在以后的年代里,它将被证年代里,它将被证明是有史以来最为明是有史以来最为可靠的加密系统之可靠的加密系统之一。一。三个部分:键盘、三个部分:键盘、转子和显示器。一转子和显示器。一共有共有2626个键,键盘个键,键盘排列接近我们现在排列接近我们现在使用的计算机键盘。使用的计算机键盘。河南财政税务高等专科学校
17、 李瑶 ENIGMAENIGMA加密的关键:这不是一种简单替加密的关键:这不是一种简单替换密码。同一个字母在明文的不同位置换密码。同一个字母在明文的不同位置时,可以被不同的字母替换,而密文中时,可以被不同的字母替换,而密文中不同位置的同一个字母,可以代表明文不同位置的同一个字母,可以代表明文中的不同字母,频率分析法在这里就没中的不同字母,频率分析法在这里就没有用武之地了。这种加密方式被称为有用武之地了。这种加密方式被称为“复式替换密码复式替换密码”。为了使消息尽量地短和更难以破译,空为了使消息尽量地短和更难以破译,空格和标点符号都被省略。格和标点符号都被省略。河南财政税务高等专科学校 李瑶河南
18、财政税务高等专科学校 李瑶反射器河南财政税务高等专科学校 李瑶发信人首先要调节发信人首先要调节三个转子的方向,三个转子的方向,使它们处于使它们处于1757617576个个方向中的一个(事方向中的一个(事实上转子的初始方实上转子的初始方向就是密匙,这是向就是密匙,这是收发双方必须预先收发双方必须预先约定好的),然后约定好的),然后依次键入明文,并依次键入明文,并把闪亮的字母依次把闪亮的字母依次记下来,然后就可记下来,然后就可以把加密后的消息以把加密后的消息用电报的方式发送用电报的方式发送出去。出去。工作原理河南财政税务高等专科学校 李瑶n三个转子不同的方向组成了三个转子不同的方向组成了2626*
19、2626*26=1757626=17576种不同可能性;种不同可能性;n三个转子间不同的相对位置为三个转子间不同的相对位置为6 6种可能种可能性;性;n连接板上两两交换连接板上两两交换6 6对字母的可能性数对字母的可能性数目非常巨大,有目非常巨大,有100391791500100391791500种;种;n于是一共有于是一共有1757617576*6 6*100391791500100391791500,大,大约为约为1000000000000000010000000000000000,即一亿亿种,即一亿亿种可能性。可能性。破解的艰难性河南财政税务高等专科学校 李瑶“一战一战”解密文件刺激德国
20、解密文件刺激德国 德国方面在一战结束十年之后才知道真相:德国方面在一战结束十年之后才知道真相:19231923年出版的温斯顿年出版的温斯顿丘吉尔的著作丘吉尔的著作世界世界危机危机,提到了英国和俄国在军事方面的合,提到了英国和俄国在军事方面的合作,指出俄国人在第一次世界大战中曾经成作,指出俄国人在第一次世界大战中曾经成功地破译了某些德军密码,而使用这些成果,功地破译了某些德军密码,而使用这些成果,英国能够系统性地取得德军的加密情报。英国能够系统性地取得德军的加密情报。19231923年由皇家海军发表的关于第一次世界大年由皇家海军发表的关于第一次世界大战的官方报告,其中讲述了在战时盟军方面战的官方
21、报告,其中讲述了在战时盟军方面截获(并且破译)德军通讯所带来的决定性截获(并且破译)德军通讯所带来的决定性的优势。的优势。河南财政税务高等专科学校 李瑶二战前英格码的生产装备情况n从从19251925年开始,谢尔比乌斯的工年开始,谢尔比乌斯的工厂开始系列化生产厂开始系列化生产ENIGMAENIGMA,19261926年德军开始使用这些机器。年德军开始使用这些机器。n到到19361936年,德国军队大约装备了年,德国军队大约装备了3000030000台台ENIGMAENIGMA。n谢尔比乌斯的发明使德国具有了谢尔比乌斯的发明使德国具有了最可靠的加密系统。最可靠的加密系统。河南财政税务高等专科学校
22、 李瑶一次大战后英国仍旧保持着对一次大战后英国仍旧保持着对德国通讯的监听,并保持着很德国通讯的监听,并保持着很高的破译率。高的破译率。但是从但是从19261926年开始,他们开始年开始,他们开始收到一些不知所云的信息收到一些不知所云的信息ENIGMAENIGMA开始投入使用开始投入使用。英法密码学家对破解英格码失英法密码学家对破解英格码失去信心。去信心。河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶英格码破解大师阿兰图灵(Alan Turing)河南财政税务高等专科学校 李瑶n一台图灵一台图灵“炸弹炸弹”高高2 2米,长米,长2 2米,宽米,宽1 1米。米。图灵的研究于图灵的研究
23、于19401940年初完成,机器由英国塔年初完成,机器由英国塔布拉丁机械厂制造。布拉丁机械厂制造。神奇的图灵炸弹 河南财政税务高等专科学校 李瑶 对称密钥加密 对称加密算法是指文件加密和解密使用一个对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。相同秘密密钥,也叫会话密钥。河南财政税务高等专科学校 李瑶对称加密算法对称加密算法Hi BobAliceHi BobAliceC=E(M,K)M=D(C,K)C=密文密文M=明文明文K=密钥密钥E=加密算法加密算法D=解密算法解密算法!?乱码信息乱码信息aN!3q*nB5+河南财政税务高等专科学校 李瑶1 1在首次通信前,双方必须通过
24、除网络在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。以外的另外途径传递统一的密钥。2 2当通信对象增多时,需要相应数量的当通信对象增多时,需要相应数量的密钥,这就使密钥管理和使用的难度增密钥,这就使密钥管理和使用的难度增大。大。3 3对称加密是建立在共同保守秘密的基对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。存在着潜在的危险和复杂的管理难度。对称加密技术存在的问题对称加密技术存在的问题河南财政税务高等专科学校 李瑶 非对称
25、密钥加密与RSA算法为了克服对称加密技术存在的密为了克服对称加密技术存在的密钥管理和分发上的问题,钥管理和分发上的问题,19761976年年产生了密钥管理更为简化的产生了密钥管理更为简化的非对非对称密钥密码体系称密钥密码体系,也称,也称公钥密码公钥密码体系体系,对近代密码学的发展具有,对近代密码学的发展具有重要影响。重要影响。河南财政税务高等专科学校 李瑶非对称加密算法的基本过程非对称加密算法的基本过程 接受方生成一段密钥,将其中一个作为公用密钥向其他贸易方公开;发送方得到该密钥后对机密信息进行加密后发送给接受方;接受方再用自己保存的另一把专用密钥对加密后的信息进行解密。河南财政税务高等专科学
26、校 李瑶最著名的算法最著名的算法-RSA-RSA现在公钥密码体系用的最多是现在公钥密码体系用的最多是RSARSA算法,它是以三位发明者算法,它是以三位发明者(ivestivest、hamirhamir、dlemandleman)姓名的第一个字母组合而成的。姓名的第一个字母组合而成的。河南财政税务高等专科学校 李瑶Len dlemanRon ivestAdi hamir河南财政税务高等专科学校 李瑶(Left to Right:Ron ivest,Adi hamir,Len Adleman)2002年图灵奖获得者-RSA-2002河南财政税务高等专科学校 李瑶Ronald L.RivestRiv
27、estRivest博士现任美博士现任美国麻省理工学院电国麻省理工学院电子工程和计算机科子工程和计算机科学系教授。学系教授。河南财政税务高等专科学校 李瑶Adi Shamir ShamirShamir是以色列是以色列WeizmannWeizmann科学学院科学学院应用数学系的教授。应用数学系的教授。河南财政税务高等专科学校 李瑶Len AdlemanAdlemanAdleman现现在是美国南在是美国南加州大学的加州大学的计算机科学计算机科学以及分子生以及分子生物学教授。物学教授。河南财政税务高等专科学校 李瑶它最重要的特点是加密和解密使用不它最重要的特点是加密和解密使用不同的密钥。同的密钥。每个
28、用户保存着两个密钥:一个公开每个用户保存着两个密钥:一个公开密钥密钥(Public Key)(Public Key),简称公钥,一个,简称公钥,一个私人密钥私人密钥(Individual Key)(Individual Key),简称私,简称私钥。钥。按现在的计算机技术水平,要破解目按现在的计算机技术水平,要破解目前采用的前采用的10241024位位RSARSA密钥,需要上千密钥,需要上千年的计算时间!。年的计算时间!。河南财政税务高等专科学校 李瑶公开密钥技术解决了密钥发布的管理公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,私问题,商户可以公开其公开密钥,私钥由用户自己严密保
29、管。钥由用户自己严密保管。通信时,发送方用接收者的公钥对明通信时,发送方用接收者的公钥对明文加密后发送,接收方用自己的私钥文加密后发送,接收方用自己的私钥进行解密,别人即使截取了也无法解进行解密,别人即使截取了也无法解开。开。这样既解决了信息保密问题,又克服这样既解决了信息保密问题,又克服了对称加密中密钥管理与分发传递的了对称加密中密钥管理与分发传递的问题。问题。河南财政税务高等专科学校 李瑶RSA和DES相结合的综合保密系统数字信封在实践中,为了保证电子商务系统的安全、在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由可靠以及使用效率,一般可以采用由RSARSA和和DES
30、DES相结合实现的综合保密系统。相结合实现的综合保密系统。在该系统中,用在该系统中,用DESDES算法作为数据的加密算法作为数据的加密算法对数据进行加密,用算法对数据进行加密,用RSARSA算法作为算法作为DESDES密钥的加密算法,对密钥的加密算法,对DESDES密钥进行加密。密钥进行加密。这样的系统既能发挥这样的系统既能发挥DESDES算法加密速度快、算法加密速度快、安全性好的优点,又能发挥安全性好的优点,又能发挥RSARSA算法密钥算法密钥管理方便的优点,扬长避短。管理方便的优点,扬长避短。河南财政税务高等专科学校 李瑶数字信封数字信封 发送方采用对称密钥加密信息,然后将此对称密钥用接收
31、方的公开密钥加密之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。安全性能高,保证只有规定的接收方才能阅读信的内容。发送端发送端接收端接收端原原信信息息密密文文对称密钥加密internetinternet密密文文数字数字信封信封原原信信息息对称密钥解密接收者公钥加密数字数字信封信封对称对称密钥密钥接收者私钥解密对称对称密钥密钥河南财政税务高等专科学校 李瑶 8.2.2 数字签名技术n1数字摘要数字摘要n2数字签名数字签名n3数字时间戳数字时间戳河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶数字摘要数字摘要散列函数与指纹
32、相象比原物(本人)信息量小与本人一一对应无法找到相同指纹的两个人知道了指纹,无法重建一个人河南财政税务高等专科学校 李瑶数字摘要数字摘要 数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。一般来说,安全Hash标准的输出长度为160位,这样才能保证它足够的安全。河南财政税务高等专科学校 李瑶数字签名技术 数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。河南财政税务高等专科学校 李瑶发送端发送端接收端接收端原
33、原信信息息数字签名数字签名l用发送方的私有密钥对数字摘要进行加密得的数字签名,因此数字签名是只有信息的发送者才能产生而别人无法伪造的一段数字串,有确认对方的身份,防抵赖的作用;l接收方用发送方的公开密钥对数字签名进行解密,用数字摘要原理保证信息的完整和防篡改性。摘摘要要Hash函数加密数数字字签签名名发送者私钥加密internetinternet原原信信息息数数字字签签名名摘摘要要摘摘要要Hash函数加密发送者公钥解密对比对比河南财政税务高等专科学校 李瑶数字时间戳数字时间戳 digital time-stamp 对于成功的电子商务应用,要求参与交易各方不能否认其行为。这其中需要在经过数字签名
34、的交易上打上一个可信赖的时间戳,从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。河南财政税务高等专科学校 李瑶发送端发送端第三方第三方原原信信息息数字时间戳数字时间戳数字时间戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术。它是由专门的认证机构来加的,并以认证机构收到文件的时间为依据。摘摘要要Hash函数加密新新摘摘要要Hash函数加密第三方私钥加密数数字字时时间间戳戳internet摘摘要要摘摘要要时时间间加时间internet数数字字时时间间戳戳摘摘要要时时间间河南财政
35、税务高等专科学校 李瑶 在电子文件中,同样需对文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。河南财政税务高等专科学校 李瑶 数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。河南财政税务高等专科学校 李瑶 数字签名和数字信封的数字签名和数字信封的比较?比较?课后作业河南财政税务高等专科学校 李瑶8.2.3 认证技术n1数
36、字证书数字证书n2认证中心认证中心n3身份认证身份认证河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶认证技术是保证电子商务交易安全的认证技术是保证电子商务交易安全的一项重要技术。一项重要技术。认证机制的核心包含两部分:数字认证机制的核心包含两部分:数字证书和认证中心。证书和认证中心。河南财政税务高等专科学校 李瑶 1 数字证书数字证书就是标志网络用户身份数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的以及其公钥的合法性的一种权威性的电子文档,
37、由权威公正的第三方机构,电子文档,由权威公正的第三方机构,即即CACA中心签发。中心签发。1.1.数字证书的概念数字证书的概念河南财政税务高等专科学校 李瑶数字证书的拥有者可以将其证书提供给其数字证书的拥有者可以将其证书提供给其他人、他人、WebWeb站点及网络资源,以证实他的合站点及网络资源,以证实他的合法身份,并且与对方建立加密的、可信的法身份,并且与对方建立加密的、可信的通信。通信。以数字证书为核心的加密技术可以对网络以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、和签名验证,确保网上传递信
38、息的机密性、完整性,以及交易实体身份的真实性,签完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用名信息的不可否认性,从而保障网络应用的安全性。的安全性。河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶数字证书的类型数字证书的类型(一)按照主体不同 个人数字证书:通常装在浏览器内,并通过电子邮件进行操作 企业证书:通过服务器提供凭证 软件证书河南财政税务高等专科学校 李瑶(二)按照数字证书的应用角度 服务器证书:服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。电子邮件证书:电子邮件证书可以用来证明电子邮件发件
39、人的真实性。河南财政税务高等专科学校 李瑶 收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输,只有接收方的持有者才可能打开该邮件 河南财政税务高等专科学校 李瑶 客户端个人证书:客户端证书主要被用来进行身份验证和电子签名。安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey,且需要知道key的保护密码,这也被称为双因子认证。河
40、南财政税务高等专科学校 李瑶 2 认证中心(CA-CA-Certificate AuthorityCertificate Authority)。)。也称之为电子证书认证中心,是也称之为电子证书认证中心,是承担网上安全电子交易认证服务,承担网上安全电子交易认证服务,能签发数字证书,确认用户身份能签发数字证书,确认用户身份的、与具体交易行为无关的第三的、与具体交易行为无关的第三方权威机构。方权威机构。河南财政税务高等专科学校 李瑶国外的认证中心通常是企业国外的认证中心通常是企业性的服务机构,主要任务是性的服务机构,主要任务是受理证书的申请、签发和管受理证书的申请、签发和管理数字证书。其核心是公共理
41、数字证书。其核心是公共密钥基础设施(密钥基础设施(PKIPKI)。)。河南财政税务高等专科学校 李瑶认证中心的主要功能认证中心的主要功能 证书发放 证书更新 证书撤销 证书验证河南财政税务高等专科学校 李瑶认证中心的功能模块和层次结构认证中心的功能模块和层次结构(一)功能模块 证书发放审核部门 证书发放操作部门 接受用户证书申请的证书受理者 证书作废表河南财政税务高等专科学校 李瑶(二)认证中心的层次 根CA 品牌CA 地方CA 持卡人CA、商家CA 上一级的CA负责下一级CA数字证书的申请、签发和管理,每一份数字证书都和上一级的签名证书相关联。河南财政税务高等专科学校 李瑶我国认证中心现状我
42、国安全认证体系我国安全认证体系(CA)(CA)可分为金融可分为金融CACA与与非金融非金融CACA两种类型来处理。两种类型来处理。在金融在金融CACA方面,根证书由中国人民银行方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌管理,根认证管理一般是脱机管理;品牌认证中心采用认证中心采用“统一品牌、联合建设统一品牌、联合建设”的的方针进行。方针进行。在非金融在非金融CACA方面,最初主要由中国电信方面,最初主要由中国电信负责建设。负责建设。河南财政税务高等专科学校 李瑶我国的我国的CACA又可分为行业性又可分为行业性CACA和区域性和区域性CACA两大类。两大类。行业性行业性CACA
43、:中国金融认证中心(:中国金融认证中心(CFCACFCA)和中国电信认证中心(和中国电信认证中心(CTCACTCA)是行业性)是行业性CACA中中影响最大的两家。影响最大的两家。区域性区域性CACA大多以地方政府为背景,以公大多以地方政府为背景,以公司机制来运作,如广东司机制来运作,如广东CACA中心(中心(CNCACNCA)、上)、上海海CACA中心中心(SHECA)(SHECA)、深圳、深圳CACA中心中心(SZCA)(SZCA),其,其中影响最大的是广东中影响最大的是广东CACA中心(中心(CNCACNCA)和上海)和上海CACA中心中心(SHECA)(SHECA)。河南财政税务高等专科
44、学校 李瑶v如果按照技术来源划分,CA中心还可分为引进国外技术与完全自主开发两类。vCFCA和天威诚信属于前者,广东CA和上海CA都属于后者。v深圳CA与广东南海CAvCFCA的SET系统由IBM公司承建,NON-SET系统由德达/SUN/Entrust集团承建。天威诚信天威诚信的技术平台来自VeriSign。但它们的密码模块却都是由国内自主开发,经国家安全部门认可的。河南财政税务高等专科学校 李瑶CFCA CFCA 是全国惟一的金融根认证中心,由是全国惟一的金融根认证中心,由中国人民银行负责统一规划管理,中国工商中国人民银行负责统一规划管理,中国工商银行、中国银行、中国农业银行、中国建设银行
45、、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三光大银行、民生银行和福建兴业银行共十三家商业银行联合建设,由银行卡信息交换总家商业银行联合建设,由银行卡信息交换总中心承建,建立了中心承建,建立了SETCASETCA和和Non-SETCANon-SETCA两套系两套系统,于统,于20002000年年6 6月月2929日正式开始为全国的用日正式开始为全国的用户提供证书服务。户提供证书服务。中国金融认证中心(CFCA)河南
46、财政税务高等专科学校 李瑶在管理分工上,中国人民银行负责在管理分工上,中国人民银行负责管理根认证中心管理根认证中心CFCACFCA,并负责审批、,并负责审批、认证统一的品牌认证中心。一般脱机认证统一的品牌认证中心。一般脱机进行。进行。品牌认证中心由成员银行接受中国品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理,人民银行的委托建设、运行和管理,建立对最终持卡人、商业用户和支付建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等网关认证证书的审批、管理和认证等工作,其中管理包括证书申请、补发、工作,其中管理包括证书申请、补发、重发和注销等内容。重发和注销等内容。河南财政税
47、务高等专科学校 李瑶河南财政税务高等专科学校 李瑶 中国电信认证中心(CTCA)中国电信中国电信19971997年底,开始进行电子商务年底,开始进行电子商务试点工作,试点工作,19991999年年8 8月,中国电信月,中国电信CTCACTCA安全安全认证系统通过国家密码委员会和信息产业认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许认证中心颁发的认证证书,成为首家允许在公网上运营的在公网上运营的CACA安全认证系统。安全认证系统。19991999年年底,按全国底,按全国CACA认证中心、省认证中心、
48、省RARA审核中心、审核中心、业务受理点三级结构在全国范围内大规模业务受理点三级结构在全国范围内大规模推广。推广。河南财政税务高等专科学校 李瑶 广东广东CACA及及“网证通网证通”(NETCANETCA)系统)系统广东省电子商务认证中心是国家电子商务广东省电子商务认证中心是国家电子商务的试点工程,其前身是中国电信南方电子商的试点工程,其前身是中国电信南方电子商务中心,创立于务中心,创立于19981998年。年。20012001年年1 1月,广东省月,广东省电子商务认证中心的电子商务认证中心的“网证通网证通”电子认证系电子认证系统通过国家公安部计算机信息系统安全产品统通过国家公安部计算机信息系
49、统安全产品质量监督检测,被认定为安全可信的产品。质量监督检测,被认定为安全可信的产品。20012001年年8 8月,国家密码管理委员会办公室批准月,国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密广东省电子商务认证中心使用密码和建立密钥管理中心,成为国内提供网络安全认证服钥管理中心,成为国内提供网络安全认证服务的重要力量。务的重要力量。河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶 上海上海CACA(SHECASHECA)上海市上海市CACA中心是中国第一个中心是中国第一个CACA认证中心,创建于认证中心,创建于19981998年,年,经过经过国家批准并被列为信
50、息产业部全国家批准并被列为信息产业部全国的示范工程。国的示范工程。河南财政税务高等专科学校 李瑶河南财政税务高等专科学校 李瑶中国协卡认证体系(中国协卡认证体系(SHECASHECA)是在遵循是在遵循PKIPKI架构标准体系基础架构标准体系基础上,根据中国国情,由上海、北上,根据中国国情,由上海、北京、天津三地发起,由上海市电京、天津三地发起,由上海市电子商务安全证书管理中心有限公子商务安全证书管理中心有限公司(简称上海司(简称上海CACA中心)设计、建中心)设计、建设、并组织运行,联合国内多家设、并组织运行,联合国内多家CACA机构和地区行业联合共建的认机构和地区行业联合共建的认证体系。证体
