第3章 电子商务安全(电子商务概论-北京物资学院,李频.ppt

序 言 电子商务发展的核心和关键问题是交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。目前，因特网上影响交易最大的阻力就是交易安全问题。 （1）信息泄露 （2）信息篡改 （3）信息破坏 （4）抵赖行为 3.1.2 电子商务的安全性要求 信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。 交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。 系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。 3.1.3 电子商务的安全体系 为了提高电子商务活动的安全性，除了采用先进的网络安全技术外，还必须有一套有效的信息安全机制作为保证，来实现电子商务交易数据的保密性、完整性和不可否认性等安全功能，这就是电子商务安全交易体系。概括起来，该体系包括信息加密算法、安全认证技术和安全交易协议等几个层次。 3.2 数据加密技术 将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。 解密是加密的逆过程，即将密文还原成明文。 加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。 一般的数据加密模型 在无价格限制的条件下，目前几乎所有使用的密码体制都是可破的。因此，人们关心的是要研制出在计算机上是不可破解的密码体制。如果一个密码体制的密码不能被现有的计算资源所破译，那么这种密码体制在计算上可以说是安全的。 在加密算法公开的情况下，非法解密者就要设法破获密钥，为了使黑客难以破获密钥，就要增加密钥的长度，使黑客无法用穷举法测试破解密钥。当密钥超过100位(bit)，即使是使用高速计算机，也需要几个世纪才能破译密钥。因此现在采用的密钥至少都有128位以上。 3.2.1 传统的代换密码 早在几千年前人类就已有了通信保密的思想和方法。如在代换密码(substitution cipher)中，一个字母或一组字母被另一个字母或另一组字母所代替一一隐藏明文。这就是最古老的铠撒密码(Caesar cipher)。在这种方法中，a变成D，b变成E ，c变成F，……z变成C。例如，english变成IRKPMWL。其中明文用小写字母，密文用大写字母。 若允许密文字母表移动k个字母而不是总是3个，那么k就成为循环移动字母表通用方法的密钥。 传统的代换密码 再进一步改善，将明文中的符号，比如26个字母，简单地映射到其他字母上。例如: 明文：abcdefghijklmnopqrstuvwxyz 密文：QWERTYUIOPASDFGHJKLZXCVBMN 这个通用系统叫做“单一字母表代换”，密钥是26个字母与整个字母表的对应关系。应用上面的密钥，english变成了TFUSOLI。 可以应用自然语言的统计规律作为手段，破译密码。在英语中，字母e是用得最多的，其次为t ，0，a，h，I等。最常用的两字母组(digram)依次是:th，in，er，re及an。最常用的三字母组(trigram)是:the，ing，and及ion。 因此，破译时可以从计算在密文中所有字母出现的相对频率开始，试着设定出现最多的字母为e等，接着计算二字母组及三字母组。如发现有txeq形式时，那么x很可能是字母h；同样，在thyt中y很可能为字母a。如果猜测出更多的字母，就可组织出一个实验性的明文。 1949年，信息论创始人C.E.Shannon论证了一般经典加密方法得到的密文几乎都是可破的。这引起了密码学研究的危机。 3.2.2 对称密钥加密与DES算法 对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。 对称密钥密码技术的代表是数据加密标准DES (Data Encrypuon Standard)。这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，1979年美国银行协会批准使用DES,1980年它又成为美国标准化协会(ANSl)的标准，逐步成为商用保密通信和计算机通信的最常用加密算法。 密码学的危机及DES的公布 DES的公布在密码学发展过程中具有重要的意义，多年来，DES一直活跃在国际保密通信的舞台上，扮演了十分突出的角色。 但进入20世纪90年代以来，以色列的密码学家Shamir等人提出了一种“差分分析法”，以后日本人又提出了类似的方法，可以认为是一种正式的对DES的攻击算法。 DES毕竟已经公开了二十多年，破译的研究比较充分，随着电子技术的进步，