第5章 电子商务安全PPT课件.ppt

用户的特征 用户所拥有的 用户所知道的 指纹 虹膜 DNA 声音 用户的行为 身份证 护照 密钥盘 密码 口令 实现身份认证的物理基础 安全性最高，算法和实现技术更复杂 (1)口令方式 用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统根据保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。 这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。 * * (2) 标记方式 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。即访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。 * * (3) 人体生物学特征方式 某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，在不同人中完全相同的概率非常小，用它可以直接进行身份认证。但这种方案一般造价较高，适用于保密程度很高的场合。 * * (4)PKI认证方式 通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证，并通过数字证书的方式为每个合法用户的公钥提供一个合法性的证明。综合采用了摘要算法、非对称加密、对称加密、数字签名等技术。 * * 消息认证 数字摘要 数字签名 数字时间戳 5.4.1 什么是 CA认证 电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。 CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 5.4.1 什么是CA认证 CA是证书的签发机构，它是PKI的核心。 CA 也拥有一个证书（内含公钥）和私钥。 如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。 如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。 非对称加密体制的优点与缺点 1）密钥管理简单； 2）便于进行数字签名和身份认证，从而保证数据的不可抵赖性； 1）算法复杂； 2）加密数据的速度和效率较低； 3）存在对大报文加密困难。 优点 缺点 RSA算法的优点：易于实现，使用灵活，密钥较少，在网络中容易实现密钥管理，便于进行数字签名，从而保证数据的不可抵赖性； 缺点：取得较好的加密效果和强度，必须使用较长的密钥，从而加重系统的负担和减慢系统的吞吐速度，这使得非对称密钥技术不适合对数据量较大的报文进行加密。 另外，RSA算法体系的基础在于大素数因子分解困难．因子分解越困难，密码就越难以破译，加密强度就越高。反之，如果能有办法或者在一定条件下对大素数进行因子分解，就能够对密文进行破译，就会动摇这种加密体制的基础。 * * 非对称加密体制的算法 RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称的方法，算法以发明者的名字的首字母来命名的。它是第一个既可用于加密，也可用于数字签名的算法。 RSA只用于少量数据加密，在Internet中广泛使用的电子邮件和文件加密软件PGP(Pretty Good Privacy)就是将RSA作为传送会话密钥和数字签名的标准算法。 两种加密体系的对比 比较项目 对称加密体制 非对称加密体制 代表算法 DES RSA 密钥数目 单一密钥 密钥是成对的 密钥种类 密钥是秘密的 一个私有,一个公开 密钥管理 简单不好管理 需要数字证书及可靠的第三者 相对速度 非常快 慢 主要用途 大量数据加密 数字签名\密钥分配加密 对称与非对称加密体系的结合 在实际应用中，通常将利用DES对称加密算法来进行大容量数据的加密，而采用RSA非对称加密算法来传递对称加密算法所使用的密钥。 这种二者结合的体系，就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。 常规密钥密码体制 密码技术是保证网络、信息安全的核心技术。 加密方法有：替换加密和转换加密 例一：Caesar(恺撒)密码 例二：将字母倒排序 例三：单表置换密码 例一：Vigenere密码 例二：转换加密 替换加密法： 1.单字母加密法 2.多字母加密法 例：明文（记做m）为“important”，Key=3，则密