管理信息系统导论第十章.pptVIP

§10.4.2 保障电子商务系统安全的方法 3. 消息摘要 消息摘要用来确定消息是否完整。消息摘要是唯一对应一个消息的值，它由单向散列（Hash）函数加密算法对一个消息作用而生成，有固定的长度。所谓单向是指不能被解密。 不同的消息其摘要不同，相同消息其摘要相同，因此摘要成为消息的“指纹”，以验证消息是否是“真身” 。发送端将消息与摘要一同发送，接收端收到后，用Hash函数对收到的消息产生一个摘要，与收到的摘要对比，若相同，则说明收到的消息是完整的，在传输过程中没有被修改，否则，就是被修改过，不是原消息。 * §10.4.2 保障电子商务系统安全的方法 4．公钥和私钥系统 这一方法也称为非对称密钥系统。较著名的RSA算法，是由Rivest、Shamir和Adleman三人发明的。它使用两把钥匙，一个用于加密，另一个用于解密。两个钥匙是两个很大的质数，用其中一个质数与原信息相乘，对信息加密，可以用其中另一个质数与收到的信息相乘来解密。但不能用其中一个质数求出另一个质数。 每个网络用户都有一对公钥和私钥。公钥是公开的，可以公布在网上，也可以公开传送给需要的人；私钥只有本人知道，是保密的。 * §10.4.2 保障电子商务系统安全的方法 5．数字签名（digital signature） 数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。 接收者只能用发送者的公钥才能解密被加密的摘要，然后用Hash函数对收到的原文产生一个摘要，与解密的摘要对比，若相同，则说明收到的信息是完整的，在传输过程中没有被修改过，否则，被修改过，不是原信息。 同时，也证明发送者不能否认自己发送了信息。 6. 数字时间戳 数据时间戳是用来证明消息的收发时间的。用户首先将需要加时间戳的文件用Hash函数加密形成摘要，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原摘要加上时间后，进行数字签名（用私钥加密），并发送给原用户，原用户可以把它再发送给接收者。 * §10.4.3 数字证书与认证中心 数字证书 数字证书也叫数字凭证、数字标识。它含有证书持有者的有关信息，以标识它们的身份。 证书包括的内容有： 证书拥有者的公钥；公钥的有效期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号；证书拥有者数字签名。 数字证书有三种类型： 个人数字证书、 企业（服务器）数字证书、 软件（开发者）数字证书。 * §10.4.3 数字证书与认证中心 认证中心的功能 认证中心是一个权威机构，专门验证交易双方的身份。 认证中心除了颁发数字证书外，还具有管理、搜索和验证证书的职能。 通过证书管理，可以检查所申请证书的状态（等待、有效、过期等），并可以废除、更新证书；通过搜索证书，可以查找并下载持有人的证书；验证个人证书可帮助确定一张证书是否已经被其持有人废除。 * 认证中心的基本功能是发放和管理各种数字证书。 具体功能如下： 用户向认证中心提出申请证书，并说明自己的身份。认证中心在验证用户身份后，遵循一定的准则，如保证所发证书的序号各不相同，不同实体所申请的证书的主体内容不一致，不同主体内容的证书所包含的公开密钥各不相同，向用户发放数字证书； 用户能够方便地查找各种证书以及已经撤销用户的证书； 能够根据用户请求或其他信息撤销用户的证书，能够根据证书的有效期自动地撤销证书； 能够完成证书数据库的备份工作； 有效地保护证书和密钥服务器的安全，特别是认证中心的签名密要不被非法使用。 §10.4.3 数字证书与认证中心 * §10.4.3 数字证书与认证中心 认证中心的层次结构 根认证中心 品牌认证中心 区域认证中心 支付网关认证中心 商家认证中心 持卡人认证中心 支付网关 商家、银行 持卡人 SET认证中心的层次结构 * 认证中心的层次结构： 根据功能的不同，SET认证中心划分成不同的等级，不同的认证中心负责发放不同的证书。 SET证书的验证采用如下方法：交易双方通过出示由某CA签发的证书来证明自己的身份时，如果对签发证书的CA本身不信任，则继续验证CA的身份。 对于所有使用SET的实体来说，只有唯一的根CA。 §10.4.3 数字证书与认证中心 *