Web与电子商务的安全 .ppt

第8章 Web与电子商务的安全 8.1 Web与电子商务的安全分析 8.2 Web安全防护技术 8.3 SSL 8.4 SET协议及电子商务的安全 8.1 Web与电子商务的安全分析 8.1.1 安全电子交易认证技术 安全认证技术是为了满足电子商务系统的安全性要求而采取的一种常用的必需的安全技术。 安全认证技术主要包括数字摘要（Digital Digest）、数字信封（Digital Envelop）、数字签名（Digital Signature）、数字时间戳（DTS，Digital time-Stamp）、数字证书（Digital Certificate，Digital ID）等技术。 1.数字摘要 数字摘要技术是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同发送给接收方，接收方接到文件后，用相同的方法进行变换计算，若得出的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。 2.数字信封 数字信封是采用加密技术来保证只有规定的特定收信人才能阅读信的内容。 在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥加密（这部分称为数字信封，如RSA）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性能相当高。 3.数字签名 要理解什么是数字签名，需要从传统手工签名或盖印章谈起。在传统商务活动中，为了保证交易的安全与真实，一份书面合同或公文要由当事人或其负责人签字、盖章，以便让交易双方识别是谁签的合同，保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。 而在电子商务的虚拟世界中，合同或文件是以电子文件的形式表现和传递的。在电子文件上，传统的手写签名和盖章是无法进行的，这就必须依*技术手段来替代。 该技术能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵赖性，起到与手写签名或者盖章同等作用的签名的电子技术手段。 所谓数字签名，就是只有信息的发送者才能产生，而别人无法伪造的一段数字串，这段数字串同时也是对发送者信息的真实性的一个有效证明。 采用数字签名，可以确认以下两点： （1）信息确实是由签名者发送的，即确认对方的身份，具有防抵赖的作用。 （2）信息自签发后到收到为止的传输过程中未曾作过任何的修改，即具有保证信息的完整性和防篡改的作用。 数字签名技术广泛应用于鉴别发送方不可否认服务中，接收方不可否认服务也需结合数字签名技术予以实现。 数字签名协议原理 数字签名的基础是密码技术，目前较多使用公钥加密体制实现数字签名。 利用公钥加密体制进行数字签名的原理如下：将数字签名用发送方的私有密钥进行加密，会同密文一起发送给接收方，接收方用发送方的公开密钥对数字签名进行解密，若解密出的数字签名与其计算出的相同，则可确定发送方的身份是真实的。 这样，只要拥有发送方的公开密钥的人都能够验证数字签名的正确性，而只有真正的发送方才能发送这一数字签名，这也就完成了对发送方身份的鉴别。 4.数字时间戳 在电子交易中，交易文件签署的日期和时间是十分重要的。数字时间戳技术就是对电子文件签署的日期和时间进行安全性保护和有效证明的技术。数字时间戳的签署与由签署人自己写上的书面文件的时间根本不同，它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。 5.数字证书 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的 数字签名。一般情况下证书中还包括密钥的有效时 间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 数字证书文件通常就是一个.cer文件，采用ITUT X.509国际标准格式，其内容包含证书所有者的信息、公开密钥和证书颁发机构的签名等信息。在IE中单击菜单“工具/Internet选项”，选择“内容”选项卡，点击“证书”按钮；然后在“个人”选项卡中，选定某个数字证书，单击“查看/详细信息”，即可看到数字证书的主要内容(见图)。? 从图中可以看出，数字证书主要包括以下内容： 证书的版本信息，图中V3表示该证书是X.509 V3版本； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；