电子商务安全7.ppt

;;;;;;;;;;;;;;;;;对称加密存在的问题;;;;;;;;;;;;;;;我国认证中心现状;Date;数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。;数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。数字证书提供了一种在网上验证身份的方式，主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。;Date;目前大多数商务网站使用用户名和口令??方式来对用户进行认证，这种方式需要站点收集所有注册用户的信息，维护庞大的用户信息数据库。同时这种传统登录机制的安全性也比较脆弱，容易遭到外界的攻击破坏。;;2.数字证书的内容 ;l? 证书拥有者的姓名；证书所有人的名称，命名规则一般采用X.500格式； l? 证书的版本信息。用来与X.509标准的将来版本兼容。 l? 证书的序列号。每个证书都有一个唯一的证书序列号。 l? 证书所使用的签名算法。 l? 颁发者。即证书的发行机构名称，命名规则一般采用X.500格式。 l? 证书的有效期限。现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； ;;Date;Date;3.数字证书的有效性 ;软件数字证书使用前;软件数字证书使用前;软件数字证书使用后;数字摘要：也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。;所谓数字摘要，是指通过单向Hash函数，将需加密的明文“摘要”成一串128bit固定长度的密文，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且即使知道了摘要而成的密文也不能推出其明文。数字摘要类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。只有数字指纹完全一致，才可以证明信息在传送过程中是安全可靠，没有被篡改。数字指纹的应用使交易文件的完整性(不可修改性)得以保证。;数字摘要的使用过程;1.数字签名的含义和作用 在书面文件上亲笔签名或盖章是传统商务中确认文件真实性和法律效力的一种最为常用的手段。 作用: ①确认当事人的身份，起到了签名或盖章的作用。 ②能够鉴别信息自签发后到收到为止是否被篡改。;数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。 完善的数字签名技术具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力，在电子商务安全服务中的源鉴别、完整性服务、不可否认性服务方面有着特别重要的意义。;2.数字签名和验证的过程;⑷接收方对收到的原文用Hash算法得到接收方的数字摘要； ⑸将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。 由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。;数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性； 密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司发送密文，但只有该公司才能解密，其他人不能解密；;Date;Date;4.3.6 数字时间戳;①用户首先将需要时间戳的文件用Hash算法加密得到数字摘要； ②然后将数字摘要发送到专门提供数字时间戳服务的DTS机构； ③DTS机构在原数字摘要上加上收到文件摘要的时间信息，用 Hash算法加密得到新的数字摘要； ④DTS机构用自己的私钥对新的数字摘要进行加密，产生数字 时间戳发还给用户； ⑤用户可以将收到的数字时间戳发送给自己的商业伙伴以证明 信息的发送时间。;⑴ 需加时间戳的文件的数字摘要 ⑵ DTS机构收到文件摘要的日期和时间 ⑶ DTS机构的数字签名;4.4 安全交易协议;电子商务实施初期采用的安全措施;SSL (secure s