第3章 电子商务安全技术及应用.ppt

对称密钥加密，又称私钥加密，指信息的发送方和接收方用一个密钥K去加密和解密数据。即只用一个密钥对信息进行加密和解密。见图 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。其原理如下： （1）发送方用一个单向散列函数对明文信息m进行运算，形成信息摘要MD（Message Digest），采用信息摘要能够加快数字签名的速度。 （2）发送方用自己的私人密钥S对信息摘要进行加密得到Es（MD）。 （3）将加密后的信息摘要和明文信息m一起发送出去。即：c=m+Es(MD)→B。 （4）接收方用同样的单向散列函数对明文信息m进行计算，形成另一信息摘要MD＇。 （5）接收方把接收到的信息摘要用发送方的公开密钥P解密，恢复出加密前信息摘要MD，并与步骤（4）形成的信息摘要MD＇进行比较，若两者完全一样，即MD＝MD＇，则证明信息是完整的，并且数字签名是有效的。 （1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。 （2）发送方选择一个对称密钥对文件加密，然后通过网络传输到接收方，最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。 （3）发送方用接收方的公钥给对称密钥加密，并通过网络把加密后的对称密钥传输到接收方。 （4）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥。 （5）接收方用对称密钥对文件进行解密，得到经过加密的数字签名。 （6）接收方用发送方的公钥对数字签名进行解密，得到数字签名的明文。 （7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。 数字证书也叫数字标识 (Digital Certificate，Digital ID)，是一种应用广泛的信息安全技术，它是由权威公正的第三方机构即CA中心（Certificate Authority，即证书授权中心）签发，是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，其实质上就是一系列密钥，即一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，用于签名和加密数字信息，以解决交易的各方相互间的信任问题。 目前主要数字证书有：安全电子邮件证书、个人和企业身份证书、服务器证书和代码签名证书等几种类型，分别应用于不同的场合。如代码签名证书主要用于给程序签名；安全电子邮件证书，用于给邮件数字签名；而个人数字证书用途则很广，可以用来给Office文档、软件代码、XML文件、Email等文件数字签名。数字证书可以存放在计算机的硬盘、随身U盘、IC卡或CUP卡中，也可以放在自己的E-mail中。 安全套接层协议（SSL：Secure Sockets Layer） 网景（Netscape）公司于1994年提出的 主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议，位于TCP／IP和HTTP或其他协议如SNMP或FTP之间，能提供保密性、鉴别和数据完整性。 目前是Internet网上安全通讯与交易的标准。SSL支持许多加密算法。SSL分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式。 SSL提供的安全服务 （1）用户和服务器的合法性认证。为使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上，客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，SSL要求在握手交换数据中做数字认证，以此来确保用户的合法性 （2）加密数据以隐藏被传送的数据。SSL采用的加密技术既有对称密钥，也有公开密钥。具体来说，就是客户机与服务器交换数据之前，先交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术且经数字证书鉴别，这样就可以防止非法用户破译。 （3）维护数据的完整性。客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道，以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息，从而保证其机密性和数据的完整性，防止非法用户破译。 SSL的工作原理 客户机的浏览器在登录服务器的安全网站时，服务器将招呼要求发给浏览器（客户机），浏览器以客户机招呼来响应。接着浏览器要求服务器提供数字证书，如同要求查看有照片的身份证。作为响应，服务器发给浏览器一个认证中心签名的证书。浏览器检查服务器证书的数字签字与所存储的认证中心的公开密钥是否一致。一旦认证中心的公开密钥得到验