1、 电子商务安全交易体系 n 1 电子商务系统安全的概念 n硬件安全、软件安全、运行安全、电子商务安全立法n 2 电子商务的安全要求 n保密性、完整性、不可否认性、真实性n 3 信息加密技术 n通用密钥密码体制、公开密钥密码体制n 4 电子商务安全交易方法 n数字摘要、数字签名、数字证书、认证中心 1 电子商务系统安全的概念n电子商务系统硬件安全 n电子商务系统软件安全 n电子商务系统运行安全 n电子商务安全立法 2 电子商务的安全要求 n信息传输的保密性 n交易文件的完整性 n信息的不可否认性 n交易者身份的真实性 3 信息加密技术 n加密和解密n加密是指将数据进行编码,使它成为一种不可理解的
2、形式,这种不可理解的内容叫做密文。n解密是加密的逆过程,即将密文还原成原来可理解的形式。n加密和解密过程依靠两个元素,缺一不可,这就是算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字,这个数字就是密钥。3 信息加密技术2、密码系统的构成 密码系统的构成如图所示 按密钥的形式可以分为两类:通用密钥密码体制和公开密钥密 加密E解密D明文M明文MKd解密密钥Ke加密密钥密文C图图5-7 5-7 密码系统的构成密码系统的构成 3 信息加密技术n3、通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的,即发送方和接收方使用同样密钥的密码体制,也称之为“传统密码体制”
3、。恺撒密码:恺撒密码是于明文的各个字母,根据它在26个英文字母表中的排列位置,按某个固定间隔n变换字母,即得到对应的密文。这个固定间隔的数字n就是加密密钥,也是解密密钥。例如英文单词:cryptography是明文,使用密钥n=4,加密过程如图所示。3 信息加密技术多表式密码的算法:密钥字串与明文同样长度(也可不同长度),明文中每一个字母往后移动的间隔,与它在密钥字串中对应的字母本身在字母表中的位置有关。例如:对于HOWAREYOU明文,其密钥为ENGLANDEN,具体算法如下:3 信息加密技术n4、公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同,只有解密密钥是保密的,称为私
4、人密钥(private key),而加密密钥完全公开,称为公共密钥(public key)。该系统也称为“非对称密码体制”。3 信息加密技术Kdz私人密钥Kdy私人密钥Kdx私人密钥公众通信网XZY密钥中心Kex,Key,Kez,公共密钥Kex:XKex:X的加密密钥,的加密密钥,Key:XKey:X的解密密钥,其他密钥依次类推的解密密钥,其他密钥依次类推.图图5-10 5-10 公开密钥密码体制公开密钥密码体制 3 信息加密技术 nRSA算法*n利用质因数分解的困难性开发的算法n加密密钥:e和n(公开)n解密密钥:d和n(d值保密)n加密:C=E(M)=Me mod n(由明文M到密文C)n
5、解密:M=D(C)=Cd mod n(由密文C到明文M)4 电子商务安全交易方法n1、数字摘要数字摘要(digital digest)也称安全Hash编码法(SHA)。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文也称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。4 电子商务安全交易方法n2、数字签名数字签名(digital signature)与书面文件签名有相同之处,作用如下:其一,信息是由签名者发送的;其二,信息自签发后到收到为止未曾作过任何修改。原理如图所示 4 电子
6、商务安全交易方法n3、数字时间戳数字时间戳服务(DTS,Digital Timestamp Service)提供电子文件发表时间的安全保护。时间戳是一个经加密后形成的凭证文档,它包括三个部分:一是需加时间戳的文件的摘要;二是DTS收到文件的日期和时间;三是DTS的数字签名。n3、数字时间戳时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后,再对该文件加密(数字签名),然后送回用户。5 数字证书与认证中心n1、数字证书原理数字证书(digital ID)又称为数字凭证,数字标识,是一个经证书认证机构(
7、CA)数字签名的包含用户身份信息以及公开密钥信息的电子文件,是用电子手段来证实一个用户的身份和对网络资源访问的权限。是各实体(消费者、商户/企业、银行等)在网上进行信息交流及商务活动的电子身份证。5 数字证书与认证中心n2、数字证书的类型 n个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的。并通过安全的电子邮件来进行交易操作。n2、数字证书的类型 n企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点
8、(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。n2、数字证书的类型n软件(开发者)凭证(Developer ID):它通常为因特网中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化技术)结合的软件,以使用户在下载软件时能获得所需的信息。数字证书由认证中心发行。5 数字证书与认证中心 3、认证中心 n认证中心(CA,Certification Authority)就是承担网上安全电子交易认证服务、签发数字证书、并能确认用户身份的服务机构。n中国协卡认证体系 n中国金融认证中心 n广东省电子商务认证中心 n
9、湖北省电子商务认证中心 n美国的Verisign 5 数字证书与认证中心4、认证中心的作用 证书的颁发、更新、查询、作废和归档。证书的颁发认证中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。5 数字证书与认证中心4、认证中心的作用 证书的颁发、更新、查询、作废和归档。证书的更新认证中心可以定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。证书的查询认证中心根据用户的请求返回适当的证书。5 数字证书与认证中心4、认证中心的作用 证书的颁发、更新、查询、作废和归档。证书的作废当用户的私钥由于泄密等原因造成
10、用户证书需要申请作废时,用户需要向认证中心提出证书作废的请求,认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期,认证中心自动将该证书作废。5 数字证书与认证中心4、认证中心的作用 证书的颁发、更新、查询、作废和归档。证书的归档证书具有一定的有效期,证书过了有效期之后就将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。5 数字证书与认证中心n5、认证的分级体系CA证书是通过信任分级体系来验证的,每一种证书与签发它的单位相联系,沿着该信任树直到一个公认可信赖的组织,就可以确定证
11、书的有效性。5 数字证书与认证中心根认证(Root CA)品牌认证(Brand CA)区域性认证(Get-Political CA)商户认证(Merchant CA)持卡人认证(Cardholder CA)支付网关认证(Payment Gateway CA)持卡人商户支付网关图图5-12 CA证书信任分级体系证书信任分级体系 5 数字证书与认证中心n6、数字证书申请责任书数字证书是用于标识在网上交易和网上作业的身份。为确保电子商务和网上作业中,能正确标识身份,认证体系为个人、单位持卡人、商户、支付网关发放数字证书。所有用户必须遵循一定的规程。n7、综合应用n数字摘要、数字签名、数字时间戳、数字
12、证书、认证中心以及信息加密,是安全电子交易常用的6种手段。各种手段常常结合在一起使用,从而构成安全电子交易的体系。明文数字签名摘要DES加密密文通用密钥RSA加密已加密的通用密钥B公司的公用密钥认证中心RSA加密A公司的私人密钥SHA加密认证中心数字签名RSA解密A公司的公用密钥摘要密文已加密的通用密钥RSA解密B公司的私人密钥通用密钥DES解密明文摘要SHA加密信息信息比较二者是否一致,若一致则信息被确认A A公公司司B B公公司司56978516971414发送图图5-13 信息加密和数字签名的综合处理流信息加密和数字签名的综合处理流程程实验一实验一 数字证书的申请数字证书的申请n1.实验目的1)了解CA证书的申请方法和用途2)掌握网上申请个人数字证书的方法2.实验内容1)申请个人数字证书2)申请企业数字证书3)申请信用卡身份证书