1、 配套教材 电子商务安全 第第1章章 绪绪 论论1.1 电子商务的安全问题电子商务的安全问题基于Internet互联网络进行的电子商务活动主要有:商务信息通过计算机网络进行传输、在网络上传输的信息是加密数据并保持完整性、贸易双方进行身份认证和确保交易的安全性。电子商务应用的另一个风险是有效性、实用性问题。保证基于Internet互联网络的电子商务的安全性,必须解决如下问题:信息的机密性。机密性要求保证系统存储的信息(用户个人资料、企业或者部门商业机密等)不泄露给非授权的人或实体,并且保证这些加密信息在网络传输过程中只有合法接收者才能获取和读懂,防止攻击者通过Internet、搭线、电磁波辐射范
2、围内安装截收装置、或者在数据包经过的网关和路由器上截获数据以获取用户者的银行账号、密码以及企业商业机密等信息。信息认证。它检验信息的完整性、要求保证数据在传输过程中没有被非授权建立、没有在消息中插入信息以使得接收方读不懂或接收错误的信息、没有删除某条消息或者消息的某部分、没有改变信息流的次序或者更改替换信息的内容和没有将信息截留并延迟一段时间后再重传给合法的接收方。用户身份(实体)认证、数字签名。要求能够确认信息的发送和接收方是否合法用户并经过授权,以杜绝假冒他人身份发布指令调阅机密文件、冒充他人消费与栽赃、冒充主机欺骗合法主机及合法用户、冒充网络控制程序套取或者修改使用权限和密钥等信息等。可
3、靠性。要求系统不能拒绝合法用户对网络系统中信息和资源的使用。不可抵赖性。系统确保发送方事后不能否认已经发送的数据和所执行的操作,接收方同样也不能事后否认已经接收数据和执行了相应的操作。1.1 电子商务的安全问题电子商务的安全问题 可控性,要求系统能确保合法用户在指定的时间、指定的地点能够访问、控制、使用指定的资源。数据加密、身份和实体认证、信息认证、数字签名等技术取代了传统贸易中的纸质文件、手写签名和盖章,实现电子贸易的可靠性和不可抵赖性。1.1 电子商务的安全问题电子商务的安全问题电子商务面临的安全威胁还有:攻击者侵入网络数据库系统篡改用户信息、获取客户资料等商业机密。建立另一个与真正销售者
4、服务器名字相同的WWW服务器来假冒销售者,生成虚假交易数据、获取他人机密交易信息 信用威胁,买方提交订单后不付款或者延迟付款、卖方收到汇款后不发货或者无故延误交货。恶意竞争者以他人名义订购商品以掌握竞争对手的货存信息、物流和资金流传输渠道及其方式。攻击者向销售商网络服务器发送大量虚假订单信息,阻塞通道、独占资源,使得系统不能向其合法用户提供及时的服务。1.2 电子商务安全体系结构 安全电子商务支付机制 安全电子商务交易协议SET 安全协议(SSL协议、S/MIME协议、电子邮件协议等)公钥基础设施PKI(数字签名、数字信封、数字证书、CA认证等)密码技术(DES密码、RSA密码、ECC密码等)
5、安全操作系统、安全数据库系统安全物理设备(安全网络设备、安全计算机、安全通信通道等)图1.1 电子商务安全的体系结构 密码技术利用密钥对敏感信息进行数学变换(密码算法)以达到保密的目的。密码技术包括密码算法的选取、密钥的生成和管理及分发等。密码技术分为对称密码系统和非对称密码系统两种。对称密码系统的加密密钥和解密密钥是相同的,它的安全性依赖于密钥的保护。目前常用商用对称密码系统是DES密码系统。对称密码系统加密、解密速度快,但是密钥管理相当困难。1.2 电子商务安全体系结构 非对称密码系统又称为公钥密码系统,它的加密密钥是公开的、存储在密钥数据库里,需要进行秘密通信的双方可以在网上查找出对方的
6、加密密钥对数据进行加密、然后将密文发送给对方,对方接收到密文后使用只有其自己知道的解密密钥进行解密、恢复出原文。公钥密码系统灵活并且大大减少了密钥量,但速度相对较慢。著名的公钥密码系统是RSA密码系统和椭圆曲线密码系统ECC。1.2 电子商务安全体系结构 数字签名技术由数字签名算法、数字信封结构、公钥基础设施PKI等构成,其中数字信封将待签名的数据、时间和签名组合成整体以抵抗重传攻击和替换攻击、确保数字签名之法律效力。除了常规的数字签名之外,数字签名技术还包括盲签名(匿名签名)、双重签名、群签名、门限签名、代理签名、门限代理签名和不可否认门限代理签名等。1.2 电子商务安全体系结构 安全电子交
7、易协议SET应用了双重数字签名技术,使得当签名方希望验证方仅知道报价单、中间人只知道授权指令时,在签名方和验证方两者报价相同的情况下中间人可以进行授权操作。在电子化、计算机网络环境下进行商务交易之前,交易双方必须确认对方的身份。身份认证工作交由所谓的身份认证技术来实现。数字证书是解决这一问题的有效方法。1.2 电子商务安全体系结构 身份认证仅仅用于完成对交易双方的鉴别。为了确认所交易的数据的完整性,电子交易的双方还需要进行信息认证。信息认证技术使得:合法的接收者能够验证其所接收到的信息是否真实,发送者无法抵赖自己所发送的信息而且接收者也无法抵赖自己已经接收信息,当发送者和接收者双方发生争执时可
8、交由第三方仲裁;并且可以发现交易信息在传输过程中是否被延时、重传。1.2 电子商务安全体系结构 要确保电子商务安全首先要求传输商务信息的计算机网络基础设施本身是安全的。安全计算机网络系统要求计算机是安全的、网络互连设备是安全的、操作系统是安全的、Web协议是安全的。安全芯片、安全存储介质、安全电源系统等构成安全计算机。安全网络交换机、安全路由器和安全集线器等是主要的安全网络设备。操作系统的安全是计算机系统安全的关键技术,也是安全电子商务的关键要素。1.2 电子商务安全体系结构 安全网络协议是实现身份认证、数据加密、信息认证和不可抵赖等安全机制的基础,网络协议的安全性很大程度上决定了网络系统的安
9、全性。为了确保基于Internet网络的电子商务系统的安全,还需要有虚拟专用网VPN、防火墙、安全电子邮件、防治病毒、网络入侵检测等技术的支持。1.2 电子商务安全体系结构 1.3 1.3 安全电子商务的发展安全电子商务的发展Internet是一种国际化、社会化、开放化和个性化特征明显的网络,无论是计算机系统结构还是操作系统平台抑或是数据库平台都是异构的、信息不再局限于静态的文本文档而是完全动态的多媒体内容,网上用户众多、关系复杂且动态加入/退出网络,这些都大大增加了网络管理的难度并带来不安全的隐患,使得基于Internet网络的电子商务应用安全性问题日益突出、电子商务的风险控制将是一个持久的
10、课题。不断变化的商业环境推动着商业组织之间更开放的交流和信息共享的需求。许多电子商务企业正在通过合并或者合作来扩大“电子商务大家庭”,将这些原来可能是竞争对手、互不信任的公司纳入到一个统一的“可信任的网络”、通过信息共享程序来请求访问内部资源,这自然携带着隐含的安全问题(电子商务应用中非技术性的安全问题)。电子商务内容安全的另一方面来自技术威胁。计算机病毒借助用户桌面上的应用程序和编程环境进行传播,修改存储的文档或者删空硬盘、破坏商业用户的信任;象IIS这样的网页服务软件和浏览器也同样存在着大量的安全漏洞。1.3 1.3 安全电子商务的发展安全电子商务的发展对于电子商务安全应用中所需要使用到的
11、公开密钥等信息,它们通常是存储在数据库之中的。必须解决好密钥数据库的安全问题。另一方面,在分布式网络环境下,密钥数据库的并发读写和同步更新问题仍然.需要继续研究。电子商务方面的隐私问题需要通过数据加密等技术来加以保证。但是,在电子商务应用中强调对机密信息进行保护的同时,也要考虑在法律授权下能够恢复出被加密的信息,这就需要我们解决密钥恢复技术问题。1.3 1.3 安全电子商务的发展安全电子商务的发展W3C开发了具有良好的数据存储格式、可扩展性、高度结构化和便于网络传输的可扩展标记语言XML。提出XML的一个主要目的是为了解决电子商务交易过程中信息和数据表达的复杂性,使得交易变得方便简捷。电子商务
12、应用离不开数字现金,提高数字现金支付系统的执行效率、解决数字现金的可分割性与可传递性、将群组盲签名技术应用到传统的离线数字现金方案以真实模拟现实生活、以及开发电子商务支付系统的基于通用标准的安全性测试与评估标准,这些将是安全电子支付系统中需要加以研究解决的问题。1.3 1.3 安全电子商务的发展安全电子商务的发展1.4 本章小结本章小结 本章讨论了电子商务的安全问题,给出了安全电子商务系统的体系结构,比较详细地阐述电子商务系统的安全技术,提出了一些需要今后进一步研究与开发的电子商务安全技术问题。期望读者通过本章的学习,对电子商务安全有一个总体的印象和认识;也希望读者通过本章的学习,激发出对电子
13、商务安全的研究兴趣。习题习题 1、试归纳总结电子商务应用中常见的安全问题。2、请分析安全电子商务体系结构中各层次安全技术的作用。3、请上网了解一下电子商务安全研究的新动向。第2章密码技术及应用2.1 对称密码系统和非对称密码系统机密性:满足电子商务交易中信息保密性的安全需求,可以避免敏感信息泄漏的威胁。不可否认:防止交易伙伴否认曾经发送或者接收过某种文件或数据。验证:消息的接收者应能确认消息的来源,入侵者不可能伪装成他人。完整性:消息的接收者应能够验证在传递过程中消息没有被窜改,入侵者不能用假消息代替合法消息。分类:对称密码系统分类:对称密码系统 非对称密码系统非对称密码系统 2.1.1 对称
14、密码系统 DES DES(Data Encryption Standard)密码系统是电子商务系统中最常用的对称密钥加密技术。它由IBM公司研制,并被国际标准化组织ISO认定为数据加密的国际标准。DES技术采用64位密钥长度,其中8位用于奇偶校验,剩余的56位可以被用户使用。2.1.1 对称密码系统 DES DES算法 DES系统是一种分组密码,是为二进制编码数据设计的、可以对计算机数据进行密码保护的数学变换。DES通过密钥对64位的二进制信息进行加密,把明文的64位信息加密成密文的64位信息。DES系统的加密算法是公开的,其加密强度取决于密钥的保密程度。加密后的信息可用加密时所用的同一密钥进
15、行求逆运算,变换还原出对应的明文。在DES系统中,64位密钥中的56位用于加密过程,其余8位用于奇偶校验。密钥分成八个8位的字节,在每一个字节中的前7位用于加密,第8位用于奇偶校验。2.1.1 对称密码系统 DES(1)DES加密过程 将明文分组,每个分组输入64位的明文;初始置换(IP)。初始置换过程是与密钥关的无 操作,仅仅对64位码进行移位操作。迭代过程,共16轮运算,这是一个与密钥有关的 对分组进行加密的运算。逆初始置换(IP-1),它是第 2步中IP变换的逆变换,这一变换过程也不需要密钥。输出64位码的密文。(2)DES 的解密过程 DES解密过程和加密过程使用相同的算法,是 加密过
16、程的逆过程。即,如果各轮的加密密钥分别是:K1,K2,K3,K15,K16 那么解密密钥就是:K16,K15,K2,K1 2.1.1 对称密码系统 DES (3)DES系统的安全性(1)弱密钥和半弱密钥 若DES密钥置换中所产生的16个子密钥均相同,则称为弱密钥。若一个密钥能够解密用另一个密钥加密的密文,则为半弱密钥。(2)DES系统的破译和安全使用 DES加密体制共有256个密钥可供用户选择。256相当于7.6 1016,若采用穷举法进行攻击,假如1微秒穷举一个密钥,则需要用2283年的时间,因此看起来是很安全的。1998年7月,美国电子新产品开发基金会(EFF)花了不到25万美元研制了一台
17、计算机“Deep Crack”,以每秒测试8.81010个密钥可能组合的速度连续测试了56个小时破译了DES密码。2.1.1 对称密码系统 DES (4)DES的改进1)DES级联 DES主要的密码学缺点就是密钥长度相对来说比较短。增加密钥长度,将一种分组密码进行级联,在不同的密钥作用下,连续多次对一组明文进行加密。三重DES是DES算法扩展其密钥长度的一种方法,可使加密密钥长度扩展到128比特(112比特有效)或者192比特(168比特有效)。采用三重DES可以实现在不改变算法的基础上增加加密强度,降低因扩展加密强度而增加的各种开销。三重DES基本原理是将128比特的密钥分为64比特的两组,
18、对明文多次进行普通的DES加解密操作,从而增强加密强度。这种方法用两个密钥对明文进行三次加密。假设两个密钥是k1和k2,三重DES的加密过程是:使用密钥k1进行第一次DES加密;用密钥k2对第步中DES加密的结果进行DES解密;将第步中DES解密的结果再用密钥k1进行DES加密。2)S盒可选择的DES算法比哈姆(Biham)和沙米尔(Shamir)证明通过优化S盒的设计,甚至仅仅改变S盒本身的顺序,就可以抵抗差分密码分析,达到进一步增强DES算法加密强度的目的。3)具有独立子密钥的DES 这是DES的另一种变形,在每轮迭代中都使用不同的子密钥,而不是由56比特密钥来产生子密钥。因为16轮DES
19、的每轮都需要48比特密钥,所以这种变形的DES密钥长度是768比特,这一方法可以增强DES的加密强度,大大增强了破译DES密钥的难度。但是,比哈姆和沙米尔证明,利用261个选择明文便可破译这个DES变形,而不是原先所希望的2768个选择明文,所以这种方法并不见得比DES更安全。(5)DES的替代算法AESAES算法三条基本要求:对称密码体制;算法应为分组密码算法;算法明密文分组长度为128比特,应支持128比特、192比特以及256比特的密钥长度2.1.2 非对称密码系统 非对称密码系统又称公开密钥密码系统。公开密钥密码系统(简称公钥体制)是现代密码学最重要的发明和进展。公开密钥密码体制最大的
20、特点是采用两个不同的加密密钥和解密密钥,加密密钥公开,解密密钥保密,其他人无法从加密密钥和明文中获得解密密钥的任何消息,于是通信双方无需交换密钥就可以进行保密通信。1976年,斯坦福大学电子工程系的两名学者Diffle和Hellman在密码学研究的新方向一文中提出了公钥密码的思想:若用户A有一个加密密钥ka,一个解密密钥kb,ka,公开而kb保密,要求ka,的公开不至于影响kb的安全。1977年,麻省理工学院三位博士Rivest,Shamir和 Adleman设计一个RSA公开密钥密码算法。RSA密码算法利用数论领域的一个关键事实:把两个大素数相乘生成一个合数是件很容易的事,但要把一个大合数分
21、解为两个素数却十分困难。公钥密码系统RSA l)密钥的生成 任选两个秘密的大素数 p与q;计算n,使得 n=pqm,公开n;选择正整数e,使得e与(n)=(p-1)(q1)互素,公开 e,n和e便是用户公钥;计算d,使 ed mod(n)=l,d保密,d便是用户私钥。2)加密过程 cE(m)me mod n,c即是对应于明文m的密文。3)解密过程 m=D(c)cd mod n,m即是对应于密文c的明文。RSA算法的正确性 cd mod n(me mod n)d mod n m(ed)mod n m k(n)+1 mod n(m k(n)mod n)(m mod n)m 关于 RSA密码算法的安
22、全性,从算法可知,若n=pq被因子分解成功,则非常容易计算出私有密钥d,从而可以攻破RSA密码系统。因此,必须非常注意p、q的选取。例如,从安全素数中选取p、q,具有下列特点的素数p、q称为安全素数:p和q的长度相差不大;p-1和q-1有大素数因子;公因子(p-1,q-1)很小。【例2.1】用RSA密码算法对明文信息 public key encryptions进行加密和还原。首先,假设选取素数p=43和q=59,则计算n=pq=4359=2537,(n)=4258=2436,并且选取e=13,解同余方程ed mod 2436=1 得到d=937。其次,将明文public key encryp
23、tions以两个字符为一组进行分组,得到:pu bl ic ke ye nc ry pt io ns 第三步将明文数字化,用00表示a,01表示b,02表示c,.,23表示x,24表示y,25表示z;这样将上述分组字符进行数字化成如下形式:1520 0111 0802 1004 2404 1302 1724 1519 0814 1418 现在,讨论对明文数字m=1520的加密 c=E(m)me(mod n)=1520 13 (mod 2537)=(1520 2)6 1520 (mod 2537)。由于(15202)1730 (mod 2537),所以 c(1730)6 1520(mod 253
24、7)=(1730 2)3 1520 (mod 2537)。注意到 1730 2 1777 mod(2537),我们有 c(1777)3 1520 (mod 2537)=(1777)2 (1777*1520)(mod 2537)。因为1777 2 1701 mod(2537)以及1777 15201672 (mod 2537)所以 密文 c1701*1672 (mod 2537)95 (mod 2537)=0095。2.1.2 公钥密码系统RSA-与DES的比较 1)加、解密处理效率方面,DES算法优于RSA算法。DES算法的密钥长度只有56比特,可以利用软件和硬件实现高速处理;RSA算法需要进
25、行诸如至少200比特整数的乘幂和求模等多倍字长的处理,处理速度明显慢于DES算法。2)在密钥的管理方面,RSA算法比DES算法更加优越。RSA算法可采用公开形式分配加密密钥,对加密密钥的更新也很方便。DES算法要求通信前进行密钥分配,密钥的更换困难,对不同的通信对象,DES需要产生和保管不同的密钥。3)在签名和认证方面,由于RSA算法采用公开密钥密码体制,因而能够很容易地进行数字签名和身份认证。(2)椭圆曲线密码系统ECC 1985年,Neal Koblitz和V.S.Miller把椭圆曲线的研究成果应用到密码学中,分别独立提出在公钥密码系统中使用椭圆曲线的思想。从1998年起,一些国际化标准
26、组织开始了椭圆曲线密码的标准化工作。1998年底美国国家标准与技术研究所(NIST)公布了专门针对椭圆曲线密码的ANSI-F9.62和ANSI-F9.63标准。1998年IEEE-P1363工作组正式将椭圆曲线密码写入了当时正在讨论制定的“公钥密码标准”的草案中。椭圆曲线密码系统ECC Weierstrass方程和椭圆曲线 任意一条椭圆曲线总可以用一个三次方程来表示,这个三次方程一般称为Weierstrass方程:y2+a1 x y+a3 y=x3+a2 x2+a4 x+a6 方程中的参数取自域F上。F可以是有理数域、实数域或者有限域)(rqGF 椭圆曲线上的点在所定义的加法运算下形成一个阿贝
27、尔群(Abelian group)。令E是由Weierstrass方程 (2.1)给出的椭圆曲线,则E上的两点P和Q相加的加法法则如下:对所有的P,QE,2.2 数字签名 2.2.1 数字签名的一般过程 数字签名方案包括:系统初始化过程、签名产生过程和签名验证过程。(1)系统的初始化 系统初始化过程产生数字签名方案中的基本参数集合(M,S,K,SIG,VER),其中:M:消息集合;S:签名集合;K:密钥集合,包含私钥和公钥;SIG:签名算法集合;VER:签名验证算法集合。(2)签名产生过程(3)签名验证过程(4)数字签名的安全性 理想的数字签名协议至少需要具有如下特征:签名是真实的。签名使接收
28、者相信签名者慎重地签字。签名对选择明文的攻击具有不可伪造性,即B获得了A的签名,却不能用A的签名对其他消息伪造签名。签名不可重用。不法之徒不可能将签名转移到不同的文件上。签名的文件不可改变。签名后,文件不能改变。签名不可抵赖。签名后,签名者不能声称没有签过名。数字信封结构用来保证数据在传输过程中的安全,数字信封结构把待签名的数据、时间和数字签名结合成一个不可分割的整体,以抵抗重放攻击和代换攻击,确保签名的法律效力。(5 5)数字信封结构)数字信封结构(6)签名算法 签名算法一般由公钥密码算法(RSA、ELGamal、DSA、ECDSA等),对称密钥密码算法(DES,AES等)和单向散列函数(M
29、D2、MD4、MD5或SHA等)构成。(7)数字签名的分类 数字签名方案的分类:建立在大整数素因子分解基础上的数字签名方案;建立在有限域的离散对数问题上 的数字签名方案;建立在椭圆曲线离散对数问题上的数字签名方案。还可以按照数字签名能够满足实际需要的特殊要求来进行分类:满足一般需求的基本数字签名、满足特殊需要的特殊数字签名以及满足多人共同签名需要的多重数字签名等等。2.2.2 基于RSA密码体制的数字签名(l)密钥的生成 任选两个秘密的大素数 p与q;计算n,使得 n=pqm,公开n;选择正整数e,使得e与(n)=(p-1)(q1)互素,公开 e,n和e便是用户公钥;计算d,使 ed mod(
30、n)=l,d保密,d是用户私钥。(2)签名过程 S md mod n,S是对应于明文m的数字签名。签名者将签名S和明文m一起发送给签名验证者。(3)验证签名过程 m Se mod n,若m=m,则签名得到验证。2.2.3 基于DSA密码体制的数字签名(l)密钥的生成 公开密钥 p:512位到1024位的素数 q:160位长,并与p1互素的因子 gh(p-1)/q mod p 其中h小于p-1,并且g1。y=gx mod p(一个p位的数);私人密钥 x,一个 q 的160位的数;(2)签名过程 k 选取一个小于q的随机数 r(签名)=(g k mod p)mod q s(签名)=(k-1(H(
31、m)+xr)mod q (3)验证签名过程:w=s-1 mod q u1=(H(m)w)mod q u2=(rw)mod q v=(g u1y u2mod p)mod q如果v=r,则签名被验证2.2.4 基于ECC密码体制的数字签名1992年在NIST的第一次征求DSS标准评论时,Scott Vanstone首先提出椭圆曲线数字签名算法ECDSA ECDSA于1998年被接受为ISO标准(ISO 14888-3)1999年成为ANSI(American National Standards Institute)标准(ANSI X9.62)2000年成为IEEE标准(IEEE P1363)以及
32、FIPS标准(FIPS 186-2)(1)ECDSA主域参数(2)ECDSA密钥对 确定椭圆曲线的主域参数D=(q,FR,a,b,G,n,h),便可确定ECDSA的密钥对。假设需要进行数字签名的签名实体为A。实体A可以按如下算法产生签名所需要的私钥和公钥:1.在区间1,n-1中选取一个随机数或者伪随机数d;2.计算Q=d G;3.实体A的公钥是Q,私钥是d。(3)ECDSA签名的产生产生椭圆曲线数字签名的算法描述如下:选取一个随机数k,1kn-1;计算kG=(x1,y1),以及r=x1 mod n;如果r=0,转步;计算k-1mod n;计算e=SHA-1(m);计算S=k-1(e+d r)m
33、od n,如果S=0,转步;实体A对消息的签名是(r,S),算法结束。(4)ECDSA签名的验证 输入参数为A的数字签名(r,S),签名消息m,实体B所需要的主域参数D=(q,FR,a,b,G,n,h)以及A的公钥Q;输出为接受或者拒绝签名。验证过程如下:验证r和S是1,n-1中的整数;计算e=SHA-1(m);计算w=S-1mod n;计算u1=e w mod n;u2=r w mod n;计算X=u1 G+u2 Q,记X的坐标为(x1,y1),如果 X=O,就拒绝签名;否则计算v=x1 mod n;当且仅当v=r时,接受签名,算法结束。2.2.5 特殊数字签名 (1)盲签名:签名者签署不知
34、道内容的文件时,使用盲签名。盲签名具有匿名的性质,在电子货币和电子投票系统中得到广泛的应用。(2)双重签名:当签名者希望验证者只知道报价单,中间人只知道授权指令时,能够让中间人在签名者和验证者报价相同的情况下进行授权操作。(3)群签名:允许一个群体中的成员以群体的名义进行数字签名,并且验证者能够确认签名者的身份。群签名中最重要的是群密钥的分配,要能够高效处理群成员的动态加入和退出。群密钥管理分为集中式密钥管理和分散式密钥管理。(4)门限签名:在有n个成员的群体中,至少有t个成员才能代表群体对文件进行有效的数字签名。门限签名通过共享密钥方法实现,将密钥分为n份,只有当将超过t份的子密钥组合在一起
35、时才能重构出密钥。门限签名在密钥托管技术中得到了很好的应用,某人的私钥由政府的n个部门托管,当其中超过t个部门决定对其实行监听,便可重构密钥。2.2.5 特殊数字签名 (5)代理签名:允许密钥持有者授权给第三方,获得授权的第三方能够代表签名持有者进行数字签名。代理机制:全权代理、部分代理和授权代理 (6)门限代理签名:将密钥分配给n个代理者,只有超过t个人联合时才可以重构密钥。通过这样的方法可以限制代理者的权限。门限代理签名实际上是门限签名和代理签名的综合应用。(7)不可否认的门限代理签名:用来防止门限代理签名中的t个签名者同谋重构签名,该方案中参与代理签名的t人均不可否认其签名。(8)报文还
36、原签名:具有报文还原功能的数字签名方案,它使得签名收方利用签名资料便可还原消息。2.2.5 特殊数字签名 (9)多重数字签名:需要多人对同一文件进行签名后文件才生效的数字签名。(10)广播多重数字签名:发送者将消息同时发送给每一位签名者进行数字签名,签名完毕后将结果发送到签名收集者计算整理,最终发送给签名验证者。(11)顺序多重数字签名:消息发送者预先设计一种签名顺序,将这种签名按顺序发送到每一位签名者进行数字签名,最终发送给签名验证者。(12)基于ID号的多重数字签名:1996年,chou和Wu提出了两种基于ID号的多重数字签名协议,分别适用于广播多重数字签名和顺序多重数字签名。该签名算法为
37、每个签名者分配ID号,算法基于大数因子分解难度,使用认证机构CA。2.2.5 特殊数字签名 (13)签名权限各异多重数字签名:该方案特征是参与签名的各人均持有不同的签名权限,系统可以识别每个签名者,但不能保证每个签名者只有一个签名权限。(14)使用自鉴定公钥的ELGamal型多重数字签名:该算法由Yuh-Shihng Chang于2000年提出,它通过验证多重数字签名来进行公钥的鉴定。其优点是减少了一般签名算法将公钥保存在PKI中而验证算法时必须先从PKI中检索得到公钥的过程,缺点是签名中需要较多的参数。(15)基于文件分解的多重数字签名:该方案由Tzong-Chen Wu于2001年提出。当
38、对一个内容广泛、包含不同主体的文件进行多重数字签名时,可以按主题将文件分解为一些不相交的子文件,让各个签名者分别对自己熟悉的部分而不是对整个文件进行签名,验证时可以通过群体的公共密钥进行验证。2.2.5 特殊数字签名 (16)Internet上顺序多重数字签名方案:该方案由Motomi和Miyaji于2001年提出,该方案允许签名者修改文件,并且签名顺序任意,还可以增加或减少签名者人数。这种方案的好处是适应在Internet上对文件进行签名的特点:签名人数和顺序可能事先无法估计。(17)报文还原ELGamal型多重数字签名方案:具有报文还原功能的多重数字签名方案,它使得多重签名接收方利用签名资
39、料便可还原消息。2.3 密钥管理 所有的密钥都有时间期限,密钥的使用周期称为密钥周期。密钥周期由以下几个阶段构成:密钥生成;密钥修改;密钥封装;密钥恢复;密钥分发;密钥撤销2.3.1 密钥的生成与修改(1)密钥的生成:密钥生成方法主要有不重复密钥生成法和重复密钥生成法两种。不重复密钥生成法:产生密钥的加密算法是三重DES,V0是一个秘密的64位种子,Ti是时间标记。生成随机密钥Ri。2.3.1 密钥的生成与修改 重复密钥生成法:由一个初始密钥生成多个密钥 首先,如果初始密钥在密钥空间中是随机的,则由其生成的密钥也应该是随机的。其次,密钥生成的方法可以用迭代法,即可由一个初始密钥生成一个新密钥,
40、接着再用新密钥作为初始密钥生成一个新密钥,依此类推,不断衍生出新的密钥。最后,密钥生成过程具有不可逆性,即由后继密钥不能推出其前导密钥。(2)密钥的修改 当一个合法的密钥即将过期时,就要自动产生新的密钥。可以使用密钥生成的方法重新生成密钥、从旧的密钥中产生新的密钥。(3)密钥的保护 保护密钥安全的最直接的方法是让密钥驻留在密码装置之内,当密钥数量很大且经常需要修改时,这种方法的开销太大、几乎不可能实现。另一种可用的方法是由系统对这些密钥进行加密并控制它的使用。使用一个密钥来保护许多其他密钥的原理被定义为主密钥原理,极少量的主密钥驻留在密码装置之中将是安全、现实的。2.3.2 密钥的封装和恢复
41、密钥恢复的类型 1)密钥托管由政府或一个可信赖的第三方机构托管代理,持有用户真正的密钥或相应的密钥分量。2)密钥封装采用若干个可信赖的第三方机构来获得以加密形式封装的密钥,并确保只有称为恢复代理的特定的可信赖的第三方机构可以执行解封操作以恢复埋藏在其中的密钥信息。典型的密钥恢复系统 1)美国的托管加密标准EES 2)信息信托公司(TIS)的密钥恢复系统 2.3.3 密钥的分发和撤销(1)密钥的分发 对称密钥密码体制中密钥的分发 密钥分发技术分为人工和自动方式两大类 人工方式分发密钥主要采用信使来传递密封邮件自动方式主要有主密钥分发方式和密钥分发中心方式 密钥分发中心方式 在某个特定的网络中设置
42、一个密钥分发中心KDC,用户的通信密钥由KDC集中管理和分配。网络中需要保密通信的用户各自都有一个和KDC共享的秘密密钥。如果两个用户A和B需要进行一次秘密会话,则:用户A向KDC请求一个与B通信的会话密钥;KDC先产生一个随机的会话密钥Ks,接着分别用与A共享 的秘密密钥Ka、与B共享的秘密密钥Kb对Ks加密,得到 KsA和KsB并将KsA和KsB发送给A;A用与KDC共享的秘密密钥Ka解密KsA,恢复Ks;A将另外一个未解密的KsB发送给B;B用与KDC共享的秘密密钥Kb解密收到的未解密的KsB,恢复Ks;A、B用Ks进行一次安全的会话。2.3.3 密钥的分发和撤销 公开密钥密码体制的密钥
43、分发 在公开密钥密码体制中进行安全密钥的分发最重要的问题是确保公钥的完整性。假设交易伙伴双方是A和B,A想要得到B的公钥。第一种方法是A可以采用人工方式获得B的公钥,B通过信使将密钥交给A。第二种方法是B将其公钥email给A,A可以用单向函数对该公钥生成一个160位的信息摘要并以16进制显示,这一特点称作密钥的指纹。然后A打电话给B,让B在电话中对证指纹,如果双方一致则该公钥被认可。最常用的方法是采用数字证书来实现密钥分发。数字证书由一个大家都信任的证书权威机构的成员来签发,该成员称为认证中心(CA)。2.3.3 密钥的分发和撤销(2)密钥的撤销 密钥撤销包括清除旧密钥的所有踪迹。旧密钥在停
44、止使用后,可能还要持续保密一段时间。2.4 身份认证技术 身份证明可以依靠下述三种基本途径之一或者它们的组合来实现:1)所知:个人知道或者掌握的知识,如密码、口令等;2)所有:个人拥有的东西,如身份证、护照、信用卡、钥匙等;3)个人特征:如指纹、笔迹、声音、血型、视网膜、虹膜以及DNA等。身份认证技术可以从身份的真实性和不可抵赖性两个方面来保证交易伙伴是值得信赖的。2.4.1 身份认证协议 身份认证系统的组成 1)一方是出示证件的人,称作示证者,又称申请者,由他提出某种要求;2)另一方是验证者,验证示证者出示证件的正确性和合法性,决定是否满足示证者的要求;3)第三方是攻击者,会窃听和伪装示证者
45、骗取验证者的信任。4)认证系统在必要时也会有第四方,即可信赖的仲裁者参与,调解纠纷。身份认证技术又称为身份证明技术、实体认证等。2.4.1 身份认证协议(1)常用的身份认证技术1)变换口令 2)提问应答3)时间戳 4)一次性口令 5)数字签名 6)零知识技术 好的身份认证协议通常结合了上述或类似的多个技术 2.4.1 身份认证协议(2)常用的身份认证方法 1)口令和个人识别码(PINs)2)个人令牌 3)生物统计学 4)Kerberos认证机制 5)基于公钥密码体制的身份认证2.4.2 不可否认机制 不可否认机制来源不可否认、接收不可否认、提交不可否认(1)不可否认机制的实施阶段为某一特定通信
46、提供不可否认机制服务包括5个阶段,依次是:不可否认的请求。生成记录。分发记录。核实记录。保留记录。2.4.2 不可否认机制(2)来源不可否认机制1)来源不可否认机制涉及的争议:接收者声称已经收到了一条消息,但被认定的发送者否认曾生成过该消息;接收者声称收到的消息和被认定的发送者声明发送的消息不同;接收者声称收到了一条于特定时间生成的特定消息,但被认定的发送者否认在该时间生成过那个特定消息。2)争议的真实情况发送方在撒谎(或接收了误传);接收者在撒谎(或接收了误传);出现了计算机或者通信错误;有攻击者介入欺骗了当事双方。2.4.2 不可否认机制 3)实现来源不可否认机制的方法 要求发送方对文件进
47、行数字签名 通过可信任的仲裁者的数字签名来实现 通过可信任的仲裁者对消息摘要的数字签名来实现 内嵌可信任的仲裁者 上述各种机制的组合2.4.2 不可否认机制(3)接收不可否认机制1)接收不可否认机制涉及的争议 发送者声称已经发出了一条消息,但被认定的接收者否认曾收到过该消息;发送者声称发出的消息和被认定的接收者声明接收的消息不同;发送者声称发送了一条于特定时间生成的特定消息,但被认定的接收者否认在该时间接收过那个特定消息。2)对于消息来源的争议,真实情况可能是:某一方在撒谎;出现了计算机或通信错误;攻击者介入欺骗了他们。2.4.2 不可否认机制 实现接收不可否认机制的方法有:通过要求接收方对文
48、件进行数字签名来实现通过可信任的接收代理来实现通过累进的接收报告来实现 2.4.2 不可否认机制(4)提交不可否认机制涉及的争议有:发送者声称已经发出了一条消息,但被认定的接收者否认曾收到过该消息,而且认为发送者根本没有发送该消息;发送者声称发送了一条于特定时间生成的特定消息,但被认定的接收者否认在该时间接收过那个特定消息。如果发送者和接收者都说了真话,那么就是计算机系统出了故障或者攻击者欺骗了他们。2.5 信息认证技术信息认证的主要工作:证实报文是由其声明的发送者产生的;证实报文的内容在其被发出后没有被修改过(证实报文的完整性);确认报文的序号和时间是正确的;如果收、发双方发生争执,仲裁者必
49、须能够进行公正的裁决。(1)基于私钥密码体制的信息认证 设通信双方A和B,A、B的共享密钥为KAB,M为A发送给B的报文。为防止报文M在公共信道被窃听,A将M加密后再传送,C为密文.2.5.1 信息完整性认证协议(2)基于公钥密码体制的信息认证基于公钥密码体制的信息认证主要利用数字签名技术和单向散列函数技术实现。设SA为A的私钥,SB为B的私钥,KPA为A的公钥,KPB为B的公钥,则A对报文M的散列值H(M)的签名为SigSAH(M)。2.6 访问控制机制 访问控制是指控制访问电子商务服务器的用户以及访问者所访问的内容,限制访问者对重要资源的访问。访问控制是网络安全防范和保护的主要策略,它的主
50、要任务是保证网络资源不被非法使用和访问。访问控制一是限制访问系统的人员的身份,这可以通过身份认证技术实现;二是限制进入系统的用户所做的工作,这可以通过访问控制策略(Access Control Policy)来实现。2.6.1 2.6.1 访问控制概述访问控制概述 主体、客体和授权 主体(Subject)又称为发起者(Initiator),是一个主动的实体,是可以访问该资源的实体,通常指用户或代表用户执行的程序。客体(Object)是需要保护的资源,又称作目标(target)。主客体的关系是相对的。授权(Authorization)规定主体可以对客体执行的动作,(例如读、写、执行或拒绝访问)。
