课题∶ 电子商务安全技术.pptVIP

电子商务安全技术 报文鉴别技术、数字签名技术及身份认证技术 课堂目标: 能力目标: 了解电子商务安全技术中的报文鉴别技术、数字签名技术及身份认证技术。 报文鉴别的意义 知识目标: 报文鉴别的意义 数字签名技术的含义 数字签名的功能 身份认证技术 常见的几种身份认证 演练 报文鉴别技术 数字签名技术 身份认证技术 几种常见身份认证技术比较 X.509标准 PKI 报文鉴别技术 在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用报文鉴别 (message authentication) 的方法。 报文鉴别就是一种过程，它使得通信的接收方能够验证所收到的报文的真伪。使用传统的加密方法就可达到报文鉴别的目的。 如果能确信只有报文的发送者和接收者才知道所用的加密密钥，那么可以推断，只有发送者才能制作此秘密报文。数字签名是在报文鉴别中常使用的一种方法。 数字签名技术 数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。 身份认证技术 身份认证技术主要包括数字签名、身份验证和数字证明。 数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输 ， 特别是电子商务是极其重要的，一般要采用一种称为摘要的技术。 摘要技术主要是采用 HASH 函数。应用： 将一段任意长的报文通过函数变换，转换为一段固定长的报文，即摘要。 身份验证是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜和声音等特征。 数字证明机制，则是一种提供利用公开密钥进行验证的方法。 几种常见身份认证技术比较 用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法。 每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。 即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。 因此用户名/密码方式一种是极不安全的身份认证方式。 智能卡认证 IC卡是由专门的厂商通过专门的设备生产出的一种不可复制的硬件。IC卡芯片厚度为0.76~0.80mm，可以写入数据与存贮数据。 IC卡通过在芯片中存有与用户身份相关的数据，由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。 通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。 几种常见身份认证技术比较 动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。 优点：动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。 缺点：如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作。 生物特征认证 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、视网膜膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有不同的生物特征，因此几乎不可能被仿冒。 在网络环境下的身份认证系统中，应用指纹作为身份确认依据是理想的方法。 X.509标准 数字证书的格式遵循X.509标准。X.509是由国际电信联盟（ITU-T）制定的数字证书标准。 X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。 一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥（如DES）为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。 这种鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录款项中获得相应的公开密钥，用于各种安全服务。 X.509 数字证书不仅包含用户名和公钥，而且还包含与用户有关的其他信息。 X.509 证书和许多其他证书一样，都有有效期限。证书在期满后就会失效。CA 可以出于许多原因吊销