第3章-电子商务的安全问题-课件

电子商务的安全问题电子商务的安全问题是电子商务系统的首要问题电子商务的安全问题电子商务的安全问题是电子商务系统的首要问题案例国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。案例国外CNNIC调查结果（2006年7月）用户对互联网的满意度CNNIC调查结果（2006年7月）用户对互联网的满意度Internet先天性安全漏洞在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。但是TCP/IP在传递数据包时，并未对其加密。在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储。Internet先天性安全漏洞在进行通信时，Internet电子商务所面临的安全问题信息在网络传输过程中被窃听最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器,它们是数据包的集散地，在该处安装一个窃听程序，可以轻易获取很多秘密。电子商务所面临的安全问题信息在网络传输过程中被窃听电子商务所面临的安全问题可被窃听的位置至少包括：网络中的各个计算机数据包在Internet上途经的每一路由器网络μ中的计算机电子商务所面临的安全问题可被窃听的位置至少包括：电子商务所面临的安全问题信息在传输过程中被窃取这种入侵方式一般出现在使用支持信任机制的网络中。通常，用户只需拥有合法帐号即可通过认证，因此入侵者可以利用信任关系，冒充一方与另一方连网，以窃取信息电子商务所面临的安全问题信息在传输过程中被窃取电子商务所面临的安全问题若入侵者欲用主机A入侵主机B，其步骤大致如下：确定要入侵的主机B确定主机B所信任的主机A利用主机X在短时间内发送大量的数据包给A，使之穷于应付利用主机X向B发送源地址为A的数据包电子商务所面临的安全问题若入侵者欲用主机A入侵主机B，其步骤电子商务所面临的安全问题网络会话被劫夺会话劫夺指入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径，可用防火墙切断，但对于内、外部网络之间的会话，除了采用数据加密手段外，没有其他方法可保证绝对安全电子商务所面临的安全问题网络会话被劫夺电子商务所面临的安全问题当主机A正与主机B进行会话时，X切入会话，并假冒B的名义发送数据包给A，通知其中断会话，然后X顶替A继续与B进行会话电子商务所面临的安全问题当主机A正与主机B进行会话时，X切入电子商务所面临的安全问题伪造网站和用户伪造中国银行网站假冒他人身份盗用密码不承认或抵赖已经做过的交易防止相互猜疑、防止交易抵赖计算机病毒与恶意攻击网络传输的可靠性病毒与恶意攻击电子商务所面临的安全问题伪造网站和用户电子商务常用安全技术加密技术基本概念信息加密技术明文明文加密器E解密器D密钥发生器密文信道电子商务常用安全技术加密技术明文明文加密器E解密器D密钥发生电子商务常用安全技术密码体制分类非对称密钥加密体制对称密钥加密体制电子商务常用安全技术密码体制分类电子商务常用安全技术对称加密体制什么是对称加密加密和解密密钥相同或本质上相同电子商务常用安全技术对称加密体制电子商务常用安全技术对称加密体制的优点加密速度快对称加密体制存在的问题密钥需要经常更换密钥在传递中可能泄漏密钥只能一对一面对多用户，需要多对多，密钥管理困难互不相识的人不能进行保密对话不能解决数字签名问题电子商务常用安全技术对称加密体制的优点电子商务常用安全技术非对称加密体制什么是非对称加密非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密

电子商务常用安全技术非对称加密体制电子商务常用安全技术非对称加密的优点密钥分配简单密钥保存量少可以满足互不相识的人保密对话可以实现数字签名非对称加密的缺点算法复杂，计算速度慢它不适合于对文件加密而只适用于对少量数据进行加密

电子商务常用安全技术非对称加密的优点电子商务常用安全技术互不相识的人保密对话明文DAEBDBEA明文Internet认证A私钥加密B公钥加密B私钥解密A公钥解密电子商务常用安全技术互不相识的人保密对话明文DAEBDBEA电子商务常用安全技术数字摘要数字摘要加密方法亦称安全Hash编码法（SHA:SecureHashAlgorithm）或MD5（MDStandardsforMessageDigest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint），它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了

电子商务常用安全技术数字摘要电子商务常用安全技术数字摘要的原理电子商务常用安全技术数字摘要的原理电子商务常用安全技术王小云教授的杰出工作王小云教授发现，可以很快的找到MD5的“碰撞”，就是两个不同文件可以产生相同的“指纹”。这意味着，当你在网络上使用电子签名签署一份合同后，还可能找到另外一份具有相同签名但内容迥异的合同，这样两份合同的真伪性便无从辨别。电子商务常用安全技术王小云教授的杰出工作电子商务常用安全技术数字签名什么是数字签名数字签名是指发送者根据消息产生摘要，并对摘要用自身的私钥加密。消息和用自身私钥加密的数字摘要组合成数字签名

数字签名的作用接受者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接受者不能伪造对报文的签名如何实现数字签名使用数字摘要和非对称加密技术电子商务常用安全技术数字签名电子商务常用安全技术数字签名的原理电子商务常用安全技术数字签名的原理电子商务常用安全技术双重数字签名假设持卡人C（customer）从商家M（merchant）购买商品，他不希望商家看到他的信用卡信息，也不希望银行B（bank）看到他有关商品的信息，于是他采用双重数字签名，流程说明如下：电子商务常用安全技术双重数字签名电子商务常用安全技术首先C产生发往M的订购信息OI和发往B的支付指令PI，并分别产生OI与PI的摘要H（OI）和H（PI）。其中摘要由一个单向HASH函数作用于消息产生，它是一个唯一对应此消息的值，其它任何消息用HASH函数作用都不能产生此值，因此用消息摘要可以检查消息在中途是否被篡改。连接H（OI）和H（PI）得到OP，再生成OP的摘要H（OP），用C的RSA私钥签名H（OP），得sign[H（OP）]，称为双重数字签名。C将消息{OI，H（PI），sign[H（OP）]}发给M，将{PI，H（OI），sign[H（OP）]}发给B。在验证双重数字签名时，接受者分别创建消息摘要，M生成H（OI），B生成H（PI），再分别将H（OI）/H（PI）与另一接受到的摘要H（PI）/H（OI）连接，生成OP及其摘要H（OP）’，接受者M/B用C的RSA公钥解开sign[H（OP）]，得到H（OP），比较H（OP）’与H（OP）是否相同，如果相同，则表示数据完整且未被篡改，如果不同，则丢弃数据。

作业电子商务常用安全技术首先C产生发往M的订购信息OI和发往B的电子商务常用安全技术数字信封数字信封是用加密技术来保证只有规定的收信人才能阅读信的内容电子商务常用安全技术数字信封电子商务常用安全技术数字时间戳数字时间戳的内容数字时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分内容：需加时间戳的文件的摘要（digest）DTS（DTS:digitaltime-stampservice）收到文件的日期和时间DTS的数字签名电子商务常用安全技术数字时间戳电子商务常用安全技术数字时间戳的产生过程用户首先将需要加时间戳的文件用HASH编码加密形成摘要

用户将该摘要发送到DTSDTS对收到的文件摘要加上日期和时间信息后，再对该文件加密（数字签名）DTS将加密后的文件送回用户电子商务常用安全技术数字时间戳的产生过程电子商务常用安全技术数字时间戳的产生过程示意图电子商务常用安全技术数字时间戳的产生过程示意图电子商务常用安全技术数字证书什么是数字证书数字证书又称为数字凭证，它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet的身份证

电子商务常用安全技术数字证书电子商务常用安全技术数字证书的颁发过程（1）用户通过认证中心网站首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。（2）认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，用户就可以使用自己的数字证书进行相关的各种活动

电子商务实验4电子商务常用安全技术数字证书的颁发过程电子商务实验4电子商务常用安全技术数字证书的内容（1）证书拥有者的姓名和电子邮件地址（2）证书拥有者的公共密钥（3）公共密钥的有效期（4）颁发数字证书的单位（认证中心）名称（5）数字证书的序列号（Serialnumber）（6）认证中心（CA）的数字签名电子商务常用安全技术数字证书的内容电子商务常用安全技术数字证书的主要类型个人证书企业证书软件证书电子商务常用安全技术数字证书的主要类型电子商务常用安全数字证书的原理数字证书基于PKI（PublicKeyInfrastructure）公开密钥基础架构技术在公开密钥基础架构技术中，最常用一种算法是RSA算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。既使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），当密钥足够长时，在计算上是不可能实现的电子商务常用安全数字证书的原理密钥长度问题40bit密钥破译需要3.5小时成都重庆240密钥长度问题40bit密钥破译需要3.5小时成都重庆240密钥长度问题56bit密钥破译需要22小时15分钟价值25万美元的主机RSA的解密大赛罗马见密钥长度问题56bit密钥破译需要22小时15分钟价值25万密钥长度问题64bit密钥破译需要33－34天地球自转33－34周密钥长度问题64bit密钥破译需要33－34天地球自转33－密钥长度问题1024bit密钥破译需要2000年以上地球绕太阳公转2000周以上密钥长度问题1024bit密钥破译需要2000年以上地球绕太电子商务常用安全技术认证中心什么是认证中心所谓CA（CertificateAuthority）认证中心，它是采用PKI（PublicKeyInfrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构

电子商务常用安全技术认证中心电子商务常用安全技术认证中心的作用CA中心在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。CA中心是开展电子商务的基础，如果CA中心不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起

发放和管理用户的数字证书证书管理证书的检索撤销证书备份证书数据库保护证书密钥服务器的安全电子商务常用安全技术认证中心的作用电子商务常用安全技术认证体系结构根结点CA1CACACA2CA3AB电子商务常用安全技术认证体系结构根结点CA1CACACA2C电子商务常用安全技术认证中心发展状况目前在全球处于领导地位的认证中心是美国的VeriSign公司，创建于1995年4月，总部在美国加州的MountainView。该公司所提供的数字证书的服务已遍及全世界50个国家，接受该公司的服务器数字证书的Web站点服务器已超过45000个，而使用该公司个人数字证书的用户已超过200万名国内认证中心是经过国家商用密码管理委员会严格审批的发放和管理数字安全证书的专门机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心，还没有全国统一的认证中心。电子商务常用安全技术认证中心发展状况电子商务常用安全技术认证技术为什么需要信息认证确认信息发送者的身份验证信息的完整性next电子商务常用安全技术认证技术next电子商务常用安全技术身份认证口令方式选择口令的原则口令管理方式标记方式用户保存磁卡、IC卡用户具有的唯一证据，例如，指纹、声谱电子商务常用安全技术身份认证电子商务常用安全技术信息完整性认证原代码：12345各乘以权数：65432乘积之和：6＋10＋12＋12＋10＝50求余数作为校验码：50/11＝4…6含校验的新代码：123456信息内容认证电子商务常用安全技术信息完整性认证原代码：1电子商务常用安全技术PKI什么是PKIPKI（PublicKeyInfrastructure）即“公开密钥体系”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系PKI就是利用公钥理论和技术建立的提供安全服务的基础设施PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术

电子商务常用安全技术PKI电子商务常用安全技术PKI的组成（1）认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征（2）数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥（3）密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。

电子商务常用安全技术PKI的组成电子商务常用安全技术（4）证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等（5）应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性电子商务常用安全技术（4）证书作废系统：证书作废处理系统是P电子商务常用安全技术PKI的安全性保护PKI的保密性、完整性和可用性提供证书不可抵赖服务禁止PKI服务否认其行为禁止用户否认其行为电子商务常用安全技术PKI的安全性电子商务常用安全技术时间服务交互操作支持证书和关系数据的国际标准支持证书服务的国际标准支持证书和关系数据的国际化支持证书服务的国际化电子商务常用安全技术时间服务电子商务常用安全技术公钥基础设施的结构安全协议协议安全服务长期密钥服务加密服务加密算法系统安全授权服务安全策略服务支持服务应用电子商务常用安全技术公钥基础设施的结构安全协议协议安全服务长明文密文密文Z公有密钥修改明文Z私有密钥B公有密钥修改明文B私有密钥ABA私有密钥A公有密钥Z私有密钥Z公有密钥中间人攻击公钥加密技术拦截A和B公开密钥并以Z取代明文密文密文Z公有修改Z私有B公有修改B私有ABA私有A公有电子商务常用安全技术防火墙技术什么是防火墙它是一种由计算机硬件和软件组成的一组用于增强内部网和外部网之间访问控制的系统防火墙的优点保护容易受到攻击的服务控制对特殊网站的访问集中化的安全管理对网络访问做统计和记录电子商务常用安全技术防火墙技术电子商务常用安全技术防火墙的主要功能保护数据的完整性保护网络的有效性保护数据的机密性防火墙的缺点不能有效防范内部的攻击无法防范通过防火墙以外的攻击无法完全防范计算机病毒电子商务常用安全技术防火墙的主要功能电子商务常用安全技术防火墙安全控制基本准则一切未被允许的都是禁止的一切未被禁止的都是允许的电子商务常用安全技术防火墙安全控制基本准则电子商务常用安全技术防火墙的主要类型数据包过滤在网络层中对数据包实施有选择的通过路由器防火墙系统外部网Internet内部网Intranet电子商务常用安全技术防火墙的主要类型路由器防火墙系统外部网内电子商务常用安全技术代理技术防火墙代替用户完成特定的TCP/IP功能代理服务器防火墙系统内部网Intranet外部网Internet电子商务常用安全技术代理技术防火墙代理服务器防火墙系统内部网电子商务常用安全技术混合技术防火墙内部网Intranet外部网Internet路由器防火墙系统代理服务器电子商务常用安全技术混合技术防火墙内部网外部网路由器防火墙系电子商务常用安全技术防火墙体系结构双重宿主主机体系结构Internet防火墙双重宿主主机内部网电子商务常用安全技术防火墙体系结构Internet防火墙双重电子商务常用安全技术被屏蔽主机体系结构Internet屏蔽路由器防火墙内部网电子商务常用安全技术被屏蔽主机体系结构Internet屏蔽路电子商务常用安全技术被屏蔽子网体系结构Internet防火墙堡垒主机内部路由器外部路由器周边网内部网电子商务常用安全技术被屏蔽子网体系结构Internet防火墙电子商务的安全问题电子商务的安全问题是电子商务系统的首要问题电子商务的安全问题电子商务的安全问题是电子商务系统的首要问题案例国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。案例国外CNNIC调查结果（2006年7月）用户对互联网的满意度CNNIC调查结果（2006年7月）用户对互联网的满意度Internet先天性安全漏洞在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。但是TCP/IP在传递数据包时，并未对其加密。在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储。Internet先天性安全漏洞在进行通信时，Internet电子商务所面临的安全问题信息在网络传输过程中被窃听最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器,它们是数据包的集散地，在该处安装一个窃听程序，可以轻易获取很多秘密。电子商务所面临的安全问题信息在网络传输过程中被窃听电子商务所面临的安全问题可被窃听的位置至少包括：网络中的各个计算机数据包在Internet上途经的每一路由器网络μ中的计算机电子商务所面临的安全问题可被窃听的位置至少包括：电子商务所面临的安全问题信息在传输过程中被窃取这种入侵方式一般出现在使用支持信任机制的网络中。通常，用户只需拥有合法帐号即可通过认证，因此入侵者可以利用信任关系，冒充一方与另一方连网，以窃取信息电子商务所面临的安全问题信息在传输过程中被窃取电子商务所面临的安全问题若入侵者欲用主机A入侵主机B，其步骤大致如下：确定要入侵的主机B确定主机B所信任的主机A利用主机X在短时间内发送大量的数据包给A，使之穷于应付利用主机X向B发送源地址为A的数据包电子商务所面临的安全问题若入侵者欲用主机A入侵主机B，其步骤电子商务所面临的安全问题网络会话被劫夺会话劫夺指入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径，可用防火墙切断，但对于内、外部网络之间的会话，除了采用数据加密手段外，没有其他方法可保证绝对安全电子商务所面临的安全问题网络会话被劫夺电子商务所面临的安全问题当主机A正与主机B进行会话时，X切入会话，并假冒B的名义发送数据包给A，通知其中断会话，然后X顶替A继续与B进行会话电子商务所面临的安全问题当主机A正与主机B进行会话时，X切入电子商务所面临的安全问题伪造网站和用户伪造中国银行网站假冒他人身份盗用密码不承认或抵赖已经做过的交易防止相互猜疑、防止交易抵赖计算机病毒与恶意攻击网络传输的可靠性病毒与恶意攻击电子商务所面临的安全问题伪造网站和用户电子商务常用安全技术加密技术基本概念信息加密技术明文明文加密器E解密器D密钥发生器密文信道电子商务常用安全技术加密技术明文明文加密器E解密器D密钥发生电子商务常用安全技术密码体制分类非对称密钥加密体制对称密钥加密体制电子商务常用安全技术密码体制分类电子商务常用安全技术对称加密体制什么是对称加密加密和解密密钥相同或本质上相同电子商务常用安全技术对称加密体制电子商务常用安全技术对称加密体制的优点加密速度快对称加密体制存在的问题密钥需要经常更换密钥在传递中可能泄漏密钥只能一对一面对多用户，需要多对多，密钥管理困难互不相识的人不能进行保密对话不能解决数字签名问题电子商务常用安全技术对称加密体制的优点电子商务常用安全技术非对称加密体制什么是非对称加密非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密

电子商务常用安全技术非对称加密体制电子商务常用安全技术非对称加密的优点密钥分配简单密钥保存量少可以满足互不相识的人保密对话可以实现数字签名非对称加密的缺点算法复杂，计算速度慢它不适合于对文件加密而只适用于对少量数据进行加密

电子商务常用安全技术非对称加密的优点电子商务常用安全技术互不相识的人保密对话明文DAEBDBEA明文Internet认证A私钥加密B公钥加密B私钥解密A公钥解密电子商务常用安全技术互不相识的人保密对话明文DAEBDBEA电子商务常用安全技术数字摘要数字摘要加密方法亦称安全Hash编码法（SHA:SecureHashAlgorithm）或MD5（MDStandardsforMessageDigest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（FingerPrint），它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了

电子商务常用安全技术数字摘要电子商务常用安全技术数字摘要的原理电子商务常用安全技术数字摘要的原理电子商务常用安全技术王小云教授的杰出工作王小云教授发现，可以很快的找到MD5的“碰撞”，就是两个不同文件可以产生相同的“指纹”。这意味着，当你在网络上使用电子签名签署一份合同后，还可能找到另外一份具有相同签名但内容迥异的合同，这样两份合同的真伪性便无从辨别。电子商务常用安全技术王小云教授的杰出工作电子商务常用安全技术数字签名什么是数字签名数字签名是指发送者根据消息产生摘要，并对摘要用自身的私钥加密。消息和用自身私钥加密的数字摘要组合成数字签名

数字签名的作用接受者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接受者不能伪造对报文的签名如何实现数字签名使用数字摘要和非对称加密技术电子商务常用安全技术数字签名电子商务常用安全技术数字签名的原理电子商务常用安全技术数字签名的原理电子商务常用安全技术双重数字签名假设持卡人C（customer）从商家M（merchant）购买商品，他不希望商家看到他的信用卡信息，也不希望银行B（bank）看到他有关商品的信息，于是他采用双重数字签名，流程说明如下：电子商务常用安全技术双重数字签名电子商务常用安全技术首先C产生发往M的订购信息OI和发往B的支付指令PI，并分别产生OI与PI的摘要H（OI）和H（PI）。其中摘要由一个单向HASH函数作用于消息产生，它是一个唯一对应此消息的值，其它任何消息用HASH函数作用都不能产生此值，因此用消息摘要可以检查消息在中途是否被篡改。连接H（OI）和H（PI）得到OP，再生成OP的摘要H（OP），用C的RSA私钥签名H（OP），得sign[H（OP）]，称为双重数字签名。C将消息{OI，H（PI），sign[H（OP）]}发给M，将{PI，H（OI），sign[H（OP）]}发给B。在验证双重数字签名时，接受者分别创建消息摘要，M生成H（OI），B生成H（PI），再分别将H（OI）/H（PI）与另一接受到的摘要H（PI）/H（OI）连接，生成OP及其摘要H（OP）’，接受者M/B用C的RSA公钥解开sign[H（OP）]，得到H（OP），比较H（OP）’与H（OP）是否相同，如果相同，则表示数据完整且未被篡改，如果不同，则丢弃数据。

作业电子商务常用安全技术首先C产生发往M的订购信息OI和发往B的电子商务常用安全技术数字信封数字信封是用加密技术来保证只有规定的收信人才能阅读信的内容电子商务常用安全技术数字信封电子商务常用安全技术数字时间戳数字时间戳的内容数字时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分内容：需加时间戳的文件的摘要（digest）DTS（DTS:digitaltime-stampservice）收到文件的日期和时间DTS的数字签名电子商务常用安全技术数字时间戳电子商务常用安全技术数字时间戳的产生过程用户首先将需要加时间戳的文件用HASH编码加密形成摘要

用户将该摘要发送到DTSDTS对收到的文件摘要加上日期和时间信息后，再对该文件加密（数字签名）DTS将加密后的文件送回用户电子商务常用安全技术数字时间戳的产生过程电子商务常用安全技术数字时间戳的产生过程示意图电子商务常用安全技术数字时间戳的产生过程示意图电子商务常用安全技术数字证书什么是数字证书数字证书又称为数字凭证，它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet的身份证

电子商务常用安全技术数字证书电子商务常用安全技术数字证书的颁发过程（1）用户通过认证中心网站首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。（2）认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，用户就可以使用自己的数字证书进行相关的各种活动

电子商务实验4电子商务常用安全技术数字证书的颁发过程电子商务实验4电子商务常用安全技术数字证书的内容（1）证书拥有者的姓名和电子邮件地址（2）证书拥有者的公共密钥（3）公共密钥的有效期（4）颁发数字证书的单位（认证中心）名称（5）数字证书的序列号（Serialnumber）（6）认证中心（CA）的数字签名电子商务常用安全技术数字证书的内容电子商务常用安全技术数字证书的主要类型个人证书企业证书软件证书电子商务常用安全技术数字证书的主要类型电子商务常用安全数字证书的原理数字证书基于PKI（PublicKeyInfrastructure）公开密钥基础架构技术在公开密钥基础架构技术中，最常用一种算法是RSA算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。既使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），当密钥足够长时，在计算上是不可能实现的电子商务常用安全数字证书的原理密钥长度问题40bit密钥破译需要3.5小时成都重庆240密钥长度问题40bit密钥破译需要3.5小时成都重庆240密钥长度问题56bit密钥破译需要22小时15分钟价值25万美元的主机RSA的解密大赛罗马见密钥长度问题56bit密钥破译需要22小时15分钟价值25万密钥长度问题64bit密钥破译需要33－34天地球自转33－34周密钥长度问题64bit密钥破译需要33－34天地球自转33－密钥长度问题1024bit密钥破译需要2000年以上地球绕太阳公转2000周以上密钥长度问题1024bit密钥破译需要2000年以上地球绕太电子商务常用安全技术认证中心什么是认证中心所谓CA（CertificateAuthority）认证中心，它是采用PKI（PublicKeyInfrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构

电子商务常用安全技术认证中心电子商务常用安全技术认证中心的作用CA中心在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。CA中心是开展电子商务的基础，如果CA中心不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起

发放和管理用户的数字证书证书管理证书的检索撤销证书备份证书数据库保护证书密钥服务器的安全电子商务常用安全技术认证中心的作用电子商务常用安全技术认证体系结构根结点CA1CACACA2CA3AB电子商务常用安全技术认证体系结构根结点CA1CACACA2C电子商务常用安全技术认证中心发展状况目前在全球处于领导地位的认证中心是美国的VeriSign公司，创建于1995年4月，总部在美国加州的MountainView。该公司所提供的数字证书的服务已遍及全世界50个国家，接受该公司的服务器数字证书的Web站点服务器已超过45000个，而使用该公司个人数字证书的用户已超过200万名国内认证中心是经过国家商用密码管理委员会严格审批的发放和管理数字安全证书的专门机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心，还没有全国统一的认证中心。电子商务常用安全技术认证中心发展状况电子商务常用安全技术认证技术为什么需要信息认证确认信息发送者的身份验证信息的完整性next电子商务常用安全技术认证技术next电子商务常用安全技术身份认证口令方式选择口令的原则口令管理方式标记方式用户保存磁卡、IC卡用户具有的唯一证据，例如，指纹、声谱电子商务常用安全技术身份认证电子商务常用安全技术信息完整性认证原代码：12345各乘以权数：65432乘积之和：6＋10＋12＋12＋10＝50求余数作为校验码：50/11＝4…6含校验的新代码：123456信息内容认证电子商务常用安全技术信息完整性认证原代码：1电子商务常用安全技术PKI什么是PKIPKI（PublicKeyInfrastructure）即“公开密钥体系”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系PKI就是利用公钥理论和技术建立的提供安全服务的基础设施PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术

电子商务常用安全技术PKI电子商务常用安全技术PKI的组成（1）认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征（2）数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥（3）密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢