1、1.信息的保密性:电子商务系统应该对主要信息进信息的保密性:电子商务系统应该对主要信息进行保护,阻止非法用户获取和理解原始数据。行保护,阻止非法用户获取和理解原始数据。2.数据完整性:电子商务系统应该提供对数据进行数据完整性:电子商务系统应该提供对数据进行完整性认证的手段,确保网络上的数据在传输过完整性认证的手段,确保网络上的数据在传输过程中没有被篡改。程中没有被篡改。3.用户身份验证:电子商务系统应该提供通讯双用户身份验证:电子商务系统应该提供通讯双方进行身份鉴别的机制。方进行身份鉴别的机制。4.一般可以通过数字签名和数字证书相结合的一般可以通过数字签名和数字证书相结合的方式实现用户身份的验
2、证,证实他就是他所声方式实现用户身份的验证,证实他就是他所声称的那个人。数字证书应该由可靠的证书认证称的那个人。数字证书应该由可靠的证书认证机构签发,用户申请数字证书时应提供足够的机构签发,用户申请数字证书时应提供足够的身份信息,证书认证机构在签发证书时应对用身份信息,证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。户提供的身份信息进行真实性认证。4.授权:电子商务系统需要控制不同的用授权:电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行户谁能够访问网络上的信息并且能够进行何种操作。何种操作。5.数据原发者鉴别:电子商务系统应能提数据原发者鉴别:电子商务系统应能提
3、供对数据原发者的鉴别,确保所收到的数供对数据原发者的鉴别,确保所收到的数据确实来自原发者。这个要求可以通过数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。据完整性及数字签名相结合的方法来实现。6.数据原发者的不可抵赖和不可否认性:电子数据原发者的不可抵赖和不可否认性:电子商务系统应能提供数据原发者不能抵赖自己曾商务系统应能提供数据原发者不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息,做出的行为,也不能否认曾经接到对方的信息,这在交易系统中十分重要。这在交易系统中十分重要。7.合法用户的安全性:合法用户的安全性是指合法用户的安全性:合法用户的安全性是指合法用户
4、的安全性不受到危害和侵犯,电子商合法用户的安全性不受到危害和侵犯,电子商务系统和电子商务的安全管理体系应该实现系务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密匙和口令统对用户身份的有效确认、对私有密匙和口令的有效保护、对非法攻击的有效防范等,的有效保护、对非法攻击的有效防范等,8.网络和数据的安全性:电子商务系统应网络和数据的安全性:电子商务系统应能提供网络和数据的安全,保护硬件资能提供网络和数据的安全,保护硬件资源不被非法占有,软件资源免受病毒的源不被非法占有,软件资源免受病毒的侵害。侵害。数据加密技术从技术上的实现分为在软件和数据加密技术从技术上的实现分为在软件和
5、硬件两方面。按作用不同,数据加密技术主要分硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。密钥管理技术这四种。在网络应用中一般采取两种加密形式:对称在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何处加密算法则要结合具密钥和公开密钥,采用何处加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强体应用环境和系统,而不能简单地根据其加密强度来作出判断。度来作出判断。明文消息明文消息密匙密匙A A加密加密加密消息加密消息明文消息明文消息密匙密匙A A解密解密2非对称密钥加密体制非对称密
6、钥加密体制非对称密钥加密系统,又称公钥密钥加密,非对称密钥加密系统,又称公钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(一个公开发布,称为公开密钥(Public-Key););另一个由用户自己秘密保存,称为私有密钥另一个由用户自己秘密保存,称为私有密钥(Private-Key)。)。信息发送者用公开密钥去加密,而信息接收信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。和解密速度却比对称密钥加密慢得多。老师老
7、师学生的公开学生的公开密匙密匙学生学生老师老师密文密文学生学生学生的私有学生的私有密匙密匙老师的私有老师的私有密匙密匙老师的公开老师的公开密匙密匙密文密文鉴别鉴别保密保密用用RSA鉴别鉴别,只有老张能发出该信息只有老张能发出该信息用用RSA保密保密,只有小李能解开该信息只有小李能解开该信息数字信封明文密文明文数字信封会话密钥会话密钥乙方私钥对称加密(如DES,IDEA等)非对称加密(如RSA,FAPKC)乙方公开钥会话密钥非对称解密对称解密甲方乙方Subject:老师老师Not Before:9/9/09Not After:9/9/99Signed:signSerial Number:1234
8、45Subjects Public key:Secure Email Client AuthenticationIssuer:认证中心认证中心客户证书,商家证书,网关证书及CA系统证书 Internet/Intranet浏览器/Client 读卡器卡浏览器/Client读卡器卡CA中心防火墙Web服务器及应用软件数据库防火墙银行等数据接收网关业务处理流程电子钥匙电子钥匙电子钥匙电子钥匙SSL协议包括两个子协议:SSL记录协议和SSL握手协议。记录协议定义了要传输数据的格式,它位于一些可靠的的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加
9、密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。网络连接建立;选择与该连接相关的加密和压缩方式;双方的身份识别;本次传输密钥的确定;加密的数据传输;网络连接的关闭。应用数据的传输过程为:)应用程序把应用数据提交给本地的SSL;)发送端的SSL根据需要:a)使用指定的压缩算法,压缩应用数据;b)使用散列算法对压缩后的数据计算散列值;c)把散列值和压缩数据一起用加密算法加密;3)密文通过网络传给对方;4)接收方的SSL用相同的加密算法对密文解密,得到明文;用相同的散列算法对明文中的应用数据散列;计算得到的散列值与明文中的散列值比较;5)如果一致,则明文有效,接收方的SSL把明文解压后得到应用数据上交给应用层。否则就丢弃数据,并向发方发出告警信息。严重的错误有可能引起再次的协商或连接中断。
