安全电子交易的认证技术与数字证书课件

第九章

电子商务安全保障体系第九章电子商务安全保障体系YOURCOMPANYNAMEorYOURSITEADDRESS本章内容电子商务的安全控制

1安全电子交易的数据加密

2安全电子交易的认证技术与数字证书

3安全电子交易（SET）

4网络建设的安全性

5高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS电子商务的安全控制信息的保密性交易者身份的确定性交易的不可否认性（1）源点不可否认（2）接收不可否认（3）回执不可否认交易内容的完整性访问控制高等教育出版社电子商务安全保障体系用户对于安全的需要案例：美参议院通过《网络安全法案》

返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS电子商务的安全控制安全电子交易协议（SecureElectronicTransaction,简称SET）

涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。

安全超文本传输协议（S-HTTP）

依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。安全交易技术协定（SecureTransactionTechnology简称STT）

由Microsoft公司提出的安全交易协议，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在InternetExplorer中采用这一技术。安全套接层协议（SecureSocketsLayer,简称SSL）

由Netscape公司提出的安全交易协议，提供加密、认证服务报文完整性。SSL，被用于NetscapeCommunicator和MicrosoftIE浏览器，用以完成需要的安全交易操作。高等教育出版社电子商务安全保障体系电子商务安全交易标准返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密1数据加密技术综述高等教育出版社电子商务安全保障体系加密算法E明文X密文Y解密算法D密文Y明文X截取者加密秘钥Ke解密秘钥Kd一般数据加密模型一种密文的保密程度与加密算法的强度（或称算法复杂度）相关，加密强度越大，密文越不容易被破译，保密性也就越好；然而，随加密程度的加大，算法的计算复杂度亦会相应增加，加密解密的执行效率也会相应降低。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密2对称密钥加密与数据加密标准高等教育出版社电子商务安全保障体系对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。DES算法的优点是加/解密速度快,算法容易实现,安全性好,迄今为止尚未找到一种在理论上破译DES的行之有效的方法。DES算法的缺点是密钥量短，容易被穷尽，在复杂的网络中难于实现密钥管理。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密3公开密钥加密与RSA算法高等教育出版社电子商务安全保障体系RSA编码法建立在大数分解和“素数检测”的理论基础上的。即两个大素数相乘在计算上是容易实现的，但将该乘积分解为两个大素数因子的计算量却相当巨大，大到甚至在计算机上也不可能实现。素数检测就是判定一个给定的正整数是否为素数。RSA算法的主要优点是在网络中容易实现密钥管理，便于进行数字签名，从而保证数据的不可抵赖性。主要缺点是算法复杂，加/解密速度慢。公开密钥密码体制简称公钥体制，用户的加密密钥与解密密钥不再相同，从加密密钥求解密密钥是非常困难的。因此，用户加密密钥可以公开，用此加密密钥加密明文变成密文，将密文传送给指定用户，用户可以用仅有自己知道的解密密钥对收到的密文进行解密，恢复出明文，从而完成保密通信。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密4DES与RSA相结合的保密系统高等教育出版社电子商务安全保障体系RSARSAKKMMDESDES合并A分解ACCRSA/DES综合保密系统示意图在该系统中，用DES算法作为数据的加密算法对数据进行加密，用RSA算法作为DES密钥的加密算法，对DES的密钥进行加密。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密5安全套接协议SSL

高等教育出版社电子商务安全保障体系SSL同时使用公共密钥和私有密钥加密技术，其运行机制是：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥；加密的类型和强度则在两端之间建立连接的过程中判断决定。目前广泛应用于敏感财务信息处理的方案是SSL（安全套接层协议）返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书身份认证案例：电子认证应用指引发布保障网络金融安全高等教育出版社电子商务安全保障体系在目前的电子交易中，用户身份认证可通过以下三种基本方式或其组合方式来实现：第一，用户所知道的某个秘密信息，例如自己的口令。第二，用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户个人化参数，访问系统资源时必须要有智能卡。第三，用户所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等。但这种方案一般造价较高，适用于保密程度较高的场合。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字摘要（digitaldigest）高等教育出版社电子商务安全保障体系数字摘要加密方法，将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint）,它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。只有完全一致，才可以证明信息在传送过程中是安全可靠、没有被进行篡改的。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字签名（digitalsignature）高等教育出版社电子商务安全保障体系数字签名除了具有手工签名的全部功能外，还具有易更换、难伪造、可通过远程线路传输等优点。1.公开密钥数字签名数字签名是通过用密码算法对数据进行加、解密交换实现的。用DES算法、RSA算法都可实现数字签名。2．对文件的数字签名对文件的数字签名过程是通过一个哈希函数来实现的。将待签名的文件带入哈希函数，输出得到的是一组定长的代码，这组代码就是数字签名。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字时间戳（digitaltime-stamp）高等教育出版社电子商务安全保障体系时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要；②DTS收到文件的日期和时间；③DTS的数字签名。与书面签署文件的时间由签署人自己填写不同，数字时间戳是由认证单位DTS来加入的，以DTS收到文件的时间为依据。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字凭证（digitalcertificate,digitalID）安全电子邮件（E-mail）证书个人数字证书企业数字证书服务器数字证书SSL服务器数字证书高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书认证中心（CA：CertificationAuthority）高等教育出版社电子商务安全保障体系交易各方与认证中心的关系商家银行用户认证中心认证中心（CA）是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS举例：辽宁省个人数字证书的申请高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)RSA加密算法非对称密钥加密算法确认机制交易双方身份的确认DES加密算法对称密钥加密算法SET协议依赖YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)

RSA和DES包括信息和格式购买信息和对象格式认可信息和对象格式划账信息和对象格式加密算法证书购买认可划账SET协议涉及的主要内容对话实体之间消息的传输协议对话实体商家发卡机构持卡人银行YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)SET加密技术举例现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，过程如下：（1）甲准备好要传送的数字信息（明文）；（2）甲对数字信息进行哈希运算，得到一个信息摘要；（3）甲用自己的私钥对信息摘要进行加密，得到甲的数字签名，并将其附在数字信息上；（4）甲随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文；（5）甲用乙的公钥对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙；（6）乙收到甲传送过来的密文和加过密的DES密钥，先用自己的私钥对加密的DES密钥进行解密，得到DES密钥；（7）乙用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥作废；（8）乙用甲的公钥对甲的数字签名进行解密，得到信息摘要；（9）乙用相同的哈希算法对收到的明文再进行一次哈希运算，得到一个新的信息摘要；（10）乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)SET标准的局限

（1）SET为了保证安全而牺牲了简便。由于该协议提供了多层次安全保障，复杂程度当然也随层次的增加而增加。

（2）SET投入运行的是互操作性问题。除基本的互操作性外，还有在不放弃全球标准前提下将各国具体的支付方式实施到SET中的兼容性问题。YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS网络建设的安全性软件

不安全因素环境网络部件工作人员

案例：互联网时代的知识产权保护高等教育出版社电子商务安全保障体系返回本章内容返回章节目录网络安全面临的威胁YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS网络建设的安全性高等教育出版社电子商务安全保障体系网络安全机制的实现1．包过滤路由器使用包过滤路由器(Router)除了可以完成不同网段间的寻址功能以外，由于它独特的带有包过滤工作表的特性，还可以用来滤除不受欢迎的一些主机的地址和服务。2．防火墙体系防火墙运行于OSI（开放式通信系统互联参考模型，opensysteminterconnection）的应用层。由于防火墙的地位十分重要，单只设立一级安全机制，容易被外界突破，不堪设想，所以一般均采用两级的安全机制，即第一级由包过滤路由器承担，第二级由防火墙承担。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS实训作业了解各种数字证书的申请搜集有关电子商务安全的案例本章练习高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITE第九章

电子商务安全保障体系第九章电子商务安全保障体系YOURCOMPANYNAMEorYOURSITEADDRESS本章内容电子商务的安全控制

1安全电子交易的数据加密

2安全电子交易的认证技术与数字证书

3安全电子交易（SET）

4网络建设的安全性

5高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS电子商务的安全控制信息的保密性交易者身份的确定性交易的不可否认性（1）源点不可否认（2）接收不可否认（3）回执不可否认交易内容的完整性访问控制高等教育出版社电子商务安全保障体系用户对于安全的需要案例：美参议院通过《网络安全法案》

返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS电子商务的安全控制安全电子交易协议（SecureElectronicTransaction,简称SET）

涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。

安全超文本传输协议（S-HTTP）

依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。安全交易技术协定（SecureTransactionTechnology简称STT）

由Microsoft公司提出的安全交易协议，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在InternetExplorer中采用这一技术。安全套接层协议（SecureSocketsLayer,简称SSL）

由Netscape公司提出的安全交易协议，提供加密、认证服务报文完整性。SSL，被用于NetscapeCommunicator和MicrosoftIE浏览器，用以完成需要的安全交易操作。高等教育出版社电子商务安全保障体系电子商务安全交易标准返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密1数据加密技术综述高等教育出版社电子商务安全保障体系加密算法E明文X密文Y解密算法D密文Y明文X截取者加密秘钥Ke解密秘钥Kd一般数据加密模型一种密文的保密程度与加密算法的强度（或称算法复杂度）相关，加密强度越大，密文越不容易被破译，保密性也就越好；然而，随加密程度的加大，算法的计算复杂度亦会相应增加，加密解密的执行效率也会相应降低。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密2对称密钥加密与数据加密标准高等教育出版社电子商务安全保障体系对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。DES算法的优点是加/解密速度快,算法容易实现,安全性好,迄今为止尚未找到一种在理论上破译DES的行之有效的方法。DES算法的缺点是密钥量短，容易被穷尽，在复杂的网络中难于实现密钥管理。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密3公开密钥加密与RSA算法高等教育出版社电子商务安全保障体系RSA编码法建立在大数分解和“素数检测”的理论基础上的。即两个大素数相乘在计算上是容易实现的，但将该乘积分解为两个大素数因子的计算量却相当巨大，大到甚至在计算机上也不可能实现。素数检测就是判定一个给定的正整数是否为素数。RSA算法的主要优点是在网络中容易实现密钥管理，便于进行数字签名，从而保证数据的不可抵赖性。主要缺点是算法复杂，加/解密速度慢。公开密钥密码体制简称公钥体制，用户的加密密钥与解密密钥不再相同，从加密密钥求解密密钥是非常困难的。因此，用户加密密钥可以公开，用此加密密钥加密明文变成密文，将密文传送给指定用户，用户可以用仅有自己知道的解密密钥对收到的密文进行解密，恢复出明文，从而完成保密通信。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密4DES与RSA相结合的保密系统高等教育出版社电子商务安全保障体系RSARSAKKMMDESDES合并A分解ACCRSA/DES综合保密系统示意图在该系统中，用DES算法作为数据的加密算法对数据进行加密，用RSA算法作为DES密钥的加密算法，对DES的密钥进行加密。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的数据加密5安全套接协议SSL

高等教育出版社电子商务安全保障体系SSL同时使用公共密钥和私有密钥加密技术，其运行机制是：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥；加密的类型和强度则在两端之间建立连接的过程中判断决定。目前广泛应用于敏感财务信息处理的方案是SSL（安全套接层协议）返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书身份认证案例：电子认证应用指引发布保障网络金融安全高等教育出版社电子商务安全保障体系在目前的电子交易中，用户身份认证可通过以下三种基本方式或其组合方式来实现：第一，用户所知道的某个秘密信息，例如自己的口令。第二，用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户个人化参数，访问系统资源时必须要有智能卡。第三，用户所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等。但这种方案一般造价较高，适用于保密程度较高的场合。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字摘要（digitaldigest）高等教育出版社电子商务安全保障体系数字摘要加密方法，将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint）,它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。只有完全一致，才可以证明信息在传送过程中是安全可靠、没有被进行篡改的。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字签名（digitalsignature）高等教育出版社电子商务安全保障体系数字签名除了具有手工签名的全部功能外，还具有易更换、难伪造、可通过远程线路传输等优点。1.公开密钥数字签名数字签名是通过用密码算法对数据进行加、解密交换实现的。用DES算法、RSA算法都可实现数字签名。2．对文件的数字签名对文件的数字签名过程是通过一个哈希函数来实现的。将待签名的文件带入哈希函数，输出得到的是一组定长的代码，这组代码就是数字签名。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字时间戳（digitaltime-stamp）高等教育出版社电子商务安全保障体系时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要；②DTS收到文件的日期和时间；③DTS的数字签名。与书面签署文件的时间由签署人自己填写不同，数字时间戳是由认证单位DTS来加入的，以DTS收到文件的时间为依据。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书数字凭证（digitalcertificate,digitalID）安全电子邮件（E-mail）证书个人数字证书企业数字证书服务器数字证书SSL服务器数字证书高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS安全电子交易的认证技术与数字证书认证中心（CA：CertificationAuthority）高等教育出版社电子商务安全保障体系交易各方与认证中心的关系商家银行用户认证中心认证中心（CA）是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS举例：辽宁省个人数字证书的申请高等教育出版社电子商务安全保障体系返回本章内容返回章节目录YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)RSA加密算法非对称密钥加密算法确认机制交易双方身份的确认DES加密算法对称密钥加密算法SET协议依赖YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)

RSA和DES包括信息和格式购买信息和对象格式认可信息和对象格式划账信息和对象格式加密算法证书购买认可划账SET协议涉及的主要内容对话实体之间消息的传输协议对话实体商家发卡机构持卡人银行YOURCOMPANYNAMEorYOURSITEYOURCOMPANYNAMEorYOURSITEADDRESS高等教育出版社电子商务安全保障体系返回本章内容返回章节目录安全电子交易（SET)SET加密技术举例现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，过程如下：（1）甲准备好要传送的数字信息（明文）；（2）甲对数字信息进行哈希运算，得到一个信息摘要；（3）甲用自己的私钥对信息摘要进行加密，得到甲的数字