电子商务安全 第2章 密码技术及应用

第2章密码技术及应用2.1对称密码系统和非对称密码系统①机密性：满足电子商务交易中信息保密性的安全需求，可以避免敏感信息泄漏的威胁。②不可否认：防止交易伙伴否认曾经发送或者接收过某种文件或数据。③验证：消息的接收者应能确认消息的来源，入侵者不可能伪装成他人。④完整性：消息的接收者应能够验证在传递过程中消息没有被窜改，入侵者不能用假消息代替合法消息。

分类：对称密码系统非对称密码系统2.1.1对称密码系统DES

DES（DataEncryptionStandard）密码系统是电子商务系统中最常用的对称密钥加密技术。

它由IBM公司研制，并被国际标准化组织ISO认定为数据加密的国际标准。DES技术采用64位密钥长度，其中8位用于奇偶校验，剩余的56位可以被用户使用。

2.1.1对称密码系统DESDES算法DES系统是一种分组密码，是为二进制编码数据设计的、可以对计算机数据进行密码保护的数学变换。DES通过密钥对64位的二进制信息进行加密，把明文的64位信息加密成密文的64位信息。DES系统的加密算法是公开的，其加密强度取决于密钥的保密程度。加密后的信息可用加密时所用的同一密钥进行求逆运算，变换还原出对应的明文。

在DES系统中，64位密钥中的56位用于加密过程，其余8位用于奇偶校验。

密钥分成八个8位的字节，在每一个字节中的前7位用于加密，第8位用于奇偶校验。2.1.1对称密码系统DES（1）DES加密过程①将明文分组，每个分组输入64位的明文；②初始置换（IP）。初始置换过程是与密钥关的无操作，仅仅对64位码进行移位操作。③迭代过程，共16轮运算，这是一个与密钥有关的对分组进行加密的运算。④逆初始置换（IP-1），它是第2步中IP变换的逆变换，这一变换过程也不需要密钥。⑤输出64位码的密文。（2）DES的解密过程

DES解密过程和加密过程使用相同的算法，是加密过程的逆过程。即，如果各轮的加密密钥分别是：

K1，K2，K3，…，K15，K16那么解密密钥就是：

K16，K15，…，K2，K1

2.1.1对称密码系统DES

（3）DES系统的安全性（1）弱密钥和半弱密钥

若DES密钥置换中所产生的16个子密钥均相同，则称为弱密钥。若一个密钥能够解密用另一个密钥加密的密文，则为半弱密钥。（2）DES系统的破译和安全使用

DES加密体制共有256个密钥可供用户选择。256相当于7.6×1016，若采用穷举法进行攻击，假如1微秒穷举一个密钥，则需要用2283年的时间，因此看起来是很安全的。

1998年7月，美国电子新产品开发基金会（EFF）花了不到25万美元研制了一台计算机“DeepCrack”，以每秒测试8.8×1010个密钥可能组合的速度连续测试了56个小时破译了DES密码。2.1.1对称密码系统DES

（4）DES的改进1）DES级联

DES主要的密码学缺点就是密钥长度相对来说比较短。增加密钥长度，将一种分组密码进行级联，在不同的密钥作用下，连续多次对一组明文进行加密。

三重DES是DES算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128比特（112比特有效）或者192比特（168比特有效）。

采用三重DES可以实现在不改变算法的基础上增加加密强度，降低因扩展加密强度而增加的各种开销。

三重DES基本原理是将128比特的密钥分为64比特的两组，对明文多次进行普通的DES加解密操作，从而增强加密强度。这种方法用两个密钥对明文进行三次加密。

假设两个密钥是k1和k2，三重DES的加密过程是：

①

使用密钥k1进行第一次DES加密；

②

用密钥k2对第①步中DES加密的结果进行DES解密；

③

将第②步中DES解密的结果再用密钥k1进行DES加密。2）S盒可选择的DES算法

比哈姆（Biham）和沙米尔（Shamir）证明通过优化S盒的设计，甚至仅仅改变S盒本身的顺序，就可以抵抗差分密码分析，达到进一步增强DES算法加密强度的目的。3）具有独立子密钥的DES

这是DES的另一种变形，在每轮迭代中都使用不同的子密钥，而不是由56比特密钥来产生子密钥。

因为16轮DES的每轮都需要48比特密钥，所以这种变形的DES密钥长度是768比特，这一方法可以增强DES的加密强度，大大增强了破译DES密钥的难度。

但是,比哈姆和沙米尔证明，利用261个选择明文便可破译这个DES变形，而不是原先所希望的2768个选择明文，所以这种方法并不见得比DES更安全。（5）DES的替代算法AESAES算法三条基本要求：①对称密码体制；②算法应为分组密码算法；③算法明密文分组长度为128比特，应支持128比特、192比特以及256比特的密钥长度2.1.2非对称密码系统

非对称密码系统又称公开密钥密码系统。公开密钥密码系统（简称公钥体制）是现代密码学最重要的发明和进展。

公开密钥密码体制最大的特点是采用两个不同的加密密钥和解密密钥，加密密钥公开，解密密钥保密，其他人无法从加密密钥和明文中获得解密密钥的任何消息，于是通信双方无需交换密钥就可以进行保密通信。

(1)RSA密码系统1976年，斯坦福大学电子工程系的两名学者Diffle和Hellman在《密码学研究的新方向》一文中提出了公钥密码的思想：若用户A有一个加密密钥ka,一个解密密钥kb，ka,公开而kb保密，要求ka,的公开不至于影响kb的安全。1977年，麻省理工学院三位博士Rivest，Shamir和Adleman设计一个RSA公开密钥密码算法。RSA密码算法利用数论领域的一个关键事实：把两个大素数相乘生成一个合数是件很容易的事，但要把一个大合数分解为两个素数却十分困难。

公钥密码系统RSA

l）密钥的生成

①任选两个秘密的大素数

p与q；②计算n，使得n=p×q>m，公开n；③选择正整数e，使得e与ψ(n)=（p-1）（q－1）互素，公开

e，n和e便是用户公钥；④计算d，使e×dmodψ(n)=l，d保密，d便是用户私钥。

2）加密过程

c＝E(m)≡memodn，c即是对应于明文m的密文。3）解密过程

m=D(c)≡cdmodn，m即是对应于密文c的明文。RSA算法的正确性

cdmodn≡（memodn）dmodn≡m(ed)modn≡mkψ(n)+1modn≡（mkψ(n)modn）·（mmodn）≡m

关于RSA密码算法的安全性，从算法可知，若n=p×q被因子分解成功，则非常容易计算出私有密钥d，从而可以攻破RSA密码系统。

因此，必须非常注意p、q的选取。例如，从安全素数中选取p、q，具有下列特点的素数p、q称为安全素数：

①

p和q的长度相差不大；

②

p-1和q-1有大素数因子；

③

公因子(p-1,q-1)很小。【例2.1】用RSA密码算法对明文信息"publickeyencryptions"进行加密和还原。

首先，假设选取素数p=43和q=59,则计算n=p×q=43×59=2537,ψ(n)=42×58=2436，并且选取e=13,解同余方程e×dmod2436=1得到d=937。

其次，将明文"publickeyencryptions"以两个字符为一组进行分组，得到：publickeyencryptions

第三步将明文数字化，用00表示a,01表示b,02表示c,......,23表示x,24表示y,25表示z；这样将上述分组字符进行数字化成如下形式：1520011108021004240413021724151908141418

现在，讨论对明文数字m=1520的加密c=E(m)≡me(modn)=152013(mod2537)=(15202)61520(mod2537)。

由于(15202)≡1730(mod2537)，所以c≡(1730)61520(mod2537)=(17302)31520(mod2537)。

注意到17302

≡1777mod(2537)，我们有c≡(1777)31520(mod2537)=(1777)2(1777*1520)(mod2537)。因为17772

≡1701mod(2537)以及1777×1520≡1672(mod2537)所以密文c≡1701*1672(mod2537)≡95(mod2537)=0095。2.1.2公钥密码系统RSA----与DES的比较

1）加、解密处理效率方面，DES算法优于RSA算法。DES算法的密钥长度只有56比特，可以利用软件和硬件实现高速处理；RSA算法需要进行诸如至少200比特整数的乘幂和求模等多倍字长的处理，处理速度明显慢于DES算法。

2）在密钥的管理方面，RSA算法比DES算法更加优越。RSA算法可采用公开形式分配加密密钥，对加密密钥的更新也很方便。DES算法要求通信前进行密钥分配，密钥的更换困难，对不同的通信对象，DES需要产生和保管不同的密钥。

3）在签名和认证方面，由于RSA算法采用公开密钥密码体制，因而能够很容易地进行数字签名和身份认证。

(2)椭圆曲线密码系统ECC

1985年，NealKoblitz和V.S.Miller把椭圆曲线的研究成果应用到密码学中，分别独立提出在公钥密码系统中使用椭圆曲线的思想。从1998年起，一些国际化标准组织开始了椭圆曲线密码的标准化工作。1998年底美国国家标准与技术研究所（NIST）公布了专门针对椭圆曲线密码的ANSI-F9.62和ANSI-F9.63标准。1998年IEEE-P1363工作组正式将椭圆曲线密码写入了当时正在讨论制定的“公钥密码标准”的草案中。

椭圆曲线密码系统ECC

Weierstrass方程和椭圆曲线

任意一条椭圆曲线总可以用一个三次方程来表示，这个三次方程一般称为Weierstrass方程：

y2+a1xy+a3y=x3+a2x2+a4x+a6

方程中的参数取自域F上。F可以是有理数域、实数域或者有限域

椭圆曲线上的点在所定义的加法运算下形成一个阿贝尔群（Abeliangroup）。令E是由Weierstrass方程

（2.1）给出的椭圆曲线，则E上的两点P和Q相加的加法法则如下：对所有的P，Q∈E，

2.2数字签名

2.2.1数字签名的一般过程数字签名方案包括：系统初始化过程、签名产生过程和签名验证过程。

（1）系统的初始化系统初始化过程产生数字签名方案中的基本参数集合（M,S,K,SIG,VER），其中： M：消息集合； S：签名集合； K：密钥集合，包含私钥和公钥； SIG：签名算法集合； VER：签名验证算法集合。

（2）

签名产生过程（3）签名验证过程（4）数字签名的安全性理想的数字签名协议至少需要具有如下特征：①签名是真实的。签名使接收者相信签名者慎重地签字。②签名对选择明文的攻击具有不可伪造性，即B获得了A的签名，却不能用A的签名对其他消息伪造签名。③签名不可重用。不法之徒不可能将签名转移到不同的文件上。④签名的文件不可改变。签名后，文件不能改变。⑤签名不可抵赖。签名后，签名者不能声称没有签过名。

数字信封结构用来保证数据在传输过程中的安全，数字信封结构把待签名的数据、时间和数字签名结合成一个不可分割的整体，以抵抗重放攻击和代换攻击，确保签名的法律效力。（5）数字信封结构（6）签名算法

签名算法一般由公钥密码算法（RSA、ELGamal、DSA、ECDSA等），对称密钥密码算法（DES，AES等）和单向散列函数（MD2、MD4、MD5或SHA等）构成。

（7）数字签名的分类

数字签名方案的分类：建立在大整数素因子分解基础上的数字签名方案；建立在有限域的离散对数问题上的数字签名方案；建立在椭圆曲线离散对数问题上的数字签名方案。

还可以按照数字签名能够满足实际需要的特殊要求来进行分类：满足一般需求的基本数字签名、满足特殊需要的特殊数字签名以及满足多人共同签名需要的多重数字签名等等。2.2.2基于RSA密码体制的数字签名

（l）密钥的生成

①任选两个秘密的大素数

p与q；②计算n，使得n=p×q>m，公开n；③选择正整数e，使得e与ψ(n)=（p-1）（q－1）互素，公开e，n和e便是用户公钥；④计算d，使e×dmodψ(n)=l，d保密，d是用户私钥。

（2）签名过程

S≡mdmodn，S是对应于明文m的数字签名。签名者将签名S和明文m一起发送给签名验证者。

（3）验证签名过程

m’

≡Semodn，若m’=m，则签名得到验证。2.2.3基于DSA密码体制的数字签名（l）密钥的生成①公开密钥p：512位到1024位的素数

q：160位长，并与p－1互素的因子

g＝h(p-1)/qmodp

其中h小于p-1，并且g>1。

y=gx

modp

（一个p位的数）；②私人密钥x，一个<

q

的160位的数；（2）签名过程

k

选取一个小于q的随机数

r(签名)=(gkmodp)modq

s(签名)=(k-1(H(m)+xr))modq

（3）验证签名过程：

w=s-1modq

u1=(H(m)×w)modq

u2=(rw)modq

v=(g

u1×y

u2modp)modq 如果v=r，则签名被验证2.2.4基于ECC密码体制的数字签名1992年在NIST的第一次征求DSS标准评论时，ScottVanstone首先提出椭圆曲线数字签名算法ECDSA

ECDSA于1998年被接受为ISO标准（ISO14888-3）

1999年成为ANSI（AmericanNationalStandardsInstitute）标准（ANSIX9.62）

2000年成为IEEE标准（IEEEP1363）以及FIPS标准（FIPS186-2）(1)ECDSA主域参数

(2)ECDSA密钥对

确定椭圆曲线的主域参数D=(q,FR,a,b,G,n,h)，便可确定ECDSA的密钥对。假设需要进行数字签名的签名实体为A。

实体A可以按如下算法产生签名所需要的私钥和公钥：1.在区间[1，n-1]中选取一个随机数或者伪随机数d；2.计算Q=dG；3.实体A的公钥是Q，私钥是d。(3)ECDSA签名的产生产生椭圆曲线数字签名的算法描述如下：①选取一个随机数k，1≤k≤n-1；②计算kG=(x1,y1)，以及r=x1modn；如果r=0，转步①；③计算k-1modn；④计算e=SHA-1(m)；⑤计算S=k-1(e+dr)modn，如果S=0，转步①；⑥实体A对消息的签名是（r,S），算法结束。(4)ECDSA签名的验证

输入参数为A的数字签名（r,S），签名消息m，实体B所需要的主域参数D=(q,FR,a,b,G,n,h)以及A的公钥Q；输出为接受或者拒绝签名。验证过程如下：①验证r和S是[1,n-1]中的整数；

②计算e=SHA-1(m)；③计算w=S-1modn；④计算u1=ewmodn；u2=rwmodn；⑤计算X=u1G+u2

Q，记X的坐标为(x1,y1)，如果

X=O，就拒绝签名；否则计算v=x1modn；⑥当且仅当v=r时，接受签名，算法结束。2.2.5特殊数字签名

（1）盲签名：签名者签署不知道内容的文件时，使用盲签名。盲签名具有匿名的性质，在电子货币和电子投票系统中得到广泛的应用。（2）双重签名：当签名者希望验证者只知道报价单，中间人只知道授权指令时，能够让中间人在签名者和验证者报价相同的情况下进行授权操作。（3）群签名：允许一个群体中的成员以群体的名义进行数字签名，并且验证者能够确认签名者的身份。群签名中最重要的是群密钥的分配，要能够高效处理群成员的动态加入和退出。群密钥管理分为集中式密钥管理和分散式密钥管理。（4）门限签名：在有n个成员的群体中，至少有t个成员才能代表群体对文件进行有效的数字签名。门限签名通过共享密钥方法实现，将密钥分为n份，只有当将超过t份的子密钥组合在一起时才能重构出密钥。门限签名在密钥托管技术中得到了很好的应用，某人的私钥由政府的n个部门托管，当其中超过t个部门决定对其实行监听，便可重构密钥。2.2.5特殊数字签名

（5）代理签名：允许密钥持有者授权给第三方，获得授权的第三方能够代表签名持有者进行数字签名。代理机制：全权代理、部分代理和授权代理（6）门限代理签名：将密钥分配给n个代理者，只有超过t个人联合时才可以重构密钥。通过这样的方法可以限制代理者的权限。门限代理签名实际上是门限签名和代理签名的综合应用。（7）不可否认的门限代理签名：用来防止门限代理签名中的t个签名者同谋重构签名，该方案中参与代理签名的t人均不可否认其签名。（8）报文还原签名：具有报文还原功能的数字签名方案，它使得签名收方利用签名资料便可还原消息。2.2.5特殊数字签名

（9）多重数字签名：需要多人对同一文件进行签名后文件才生效的数字签名。

（10）广播多重数字签名：发送者将消息同时发送给每一位签名者进行数字签名，签名完毕后将结果发送到签名收集者计算整理，最终发送给签名验证者。

（11）顺序多重数字签名：消息发送者预先设计一种签名顺序，将这种签名按顺序发送到每一位签名者进行数字签名，最终发送给签名验证者。

（12）基于ID号的多重数字签名：1996年，chou和Wu提出了两种基于ID号的多重数字签名协议，分别适用于广播多重数字签名和顺序多重数字签名。该签名算法为每个签名者分配ID号，算法基于大数因子分解难度，使用认证机构CA。2.2.5特殊数字签名

（13）签名权限各异多重数字签名：该方案特征是参与签名的各人均持有不同的签名权限，系统可以识别每个签名者，但不能保证每个签名者只有一个签名权限。

（14）使用自鉴定公钥的ELGamal型多重数字签名：该算法由Yuh-ShihngChang于2000年提出，它通过验证多重数字签名来进行公钥的鉴定。其优点是减少了一般签名算法将公钥保存在PKI中而验证算法时必须先从PKI中检索得到公钥的过程，缺点是签名中需要较多的参数。

（15）基于文件分解的多重数字签名：该方案由Tzong-ChenWu于2001年提出。当对一个内容广泛、包含不同主体的文件进行多重数字签名时，可以按主题将文件分解为一些不相交的子文件，让各个签名者分别对自己熟悉的部分而不是对整个文件进行签名，验证时可以通过群体的公共密钥进行验证。2.2.5特殊数字签名（16）Internet上顺序多重数字签名方案：该方案由Motomi和Miyaji于2001年提出，该方案允许签名者修改文件，并且签名顺序任意，还可以增加或减少签名者人数。这种方案的好处是适应在Internet上对文件进行签名的特点：签名人数和顺序可能事先无法估计。

（17）报文还原ELGamal型多重数字签名方案：具有报文还原功能的多重数字签名方案，它使得多重签名接收方利用签名资料便可还原消息。2.3密钥管理所有的密钥都有时间期限，密钥的使用周期称为密钥周期。密钥周期由以下几个阶段构成：

密钥生成；密钥修改；密钥封装； 密钥恢复；密钥分发；密钥撤销

2.3.1密钥的生成与修改(1)密钥的生成:密钥生成方法主要有不重复密钥生成法和重复密钥生成法两种。

不重复密钥生成法：产生密钥的加密算法是三重DES，V0是一个秘密的64位种子，Ti是时间标记。生成随机密钥Ri

。2.3.1密钥的生成与修改

重复密钥生成法：由一个初始密钥生成多个密钥

首先，如果初始密钥在密钥空间中是随机的，则由其生成的密钥也应该是随机的。其次，密钥生成的方法可以用迭代法，即可由一个初始密钥生成一个新密钥，接着再用新密钥作为初始密钥生成一个新密钥，依此类推，不断衍生出新的密钥。最后，密钥生成过程具有不可逆性，即由后继密钥不能推出其前导密钥。(2)密钥的修改

当一个合法的密钥即将过期时，就要自动产生新的密钥。可以使用密钥生成的方法重新生成密钥、从旧的密钥中产生新的密钥。（3）密钥的保护

保护密钥安全的最直接的方法是让密钥驻留在密码装置之内，当密钥数量很大且经常需要修改时，这种方法的开销太大、几乎不可能实现。

另一种可用的方法是由系统对这些密钥进行加密并控制它的使用。

使用一个密钥来保护许多其他密钥的原理被定义为主密钥原理，极少量的主密钥驻留在密码装置之中将是安全、现实的。2.3.2密钥的封装和恢复

密钥恢复的类型

1）密钥托管——由政府或一个可信赖的第三方机构托管代理，持有用户真正的密钥或相应的密钥分量。2）密钥封装——采用若干个可信赖的第三方机构来获得以加密形式封装的密钥，并确保只有称为恢复代理的特定的可信赖的第三方机构可以执行解封操作以恢复埋藏在其中的密钥信息。

典型的密钥恢复系统

1）美国的托管加密标准EES2）信息信托公司(TIS)的密钥恢复系统

2.3.3密钥的分发和撤销（1）密钥的分发对称密钥密码体制中密钥的分发密钥分发技术分为人工和自动方式两大类人工方式分发密钥主要采用信使来传递密封邮件自动方式主要有主密钥分发方式和密钥分发中心方式

密钥分发中心方式在某个特定的网络中设置一个密钥分发中心KDC，用户的通信密钥由KDC集中管理和分配。网络中需要保密通信的用户各自都有一个和KDC共享的秘密密钥。如果两个用户A和B需要进行一次秘密会话，则：①用户A向KDC请求一个与B通信的会话密钥；②KDC先产生一个随机的会话密钥Ks，接着分别用与A共享的秘密密钥Ka、与B共享的秘密密钥Kb对Ks加密，得到

KsA和KsB并将KsA和KsB发送给A；③A用与KDC共享的秘密密钥Ka解密KsA

，恢复Ks；④A将另外一个未解密的KsB发送给B；⑤B用与KDC共享的秘密密钥Kb解密收到的未解密的KsB

，恢复Ks；⑥A、B用Ks进行一次安全的会话。2.3.3密钥的分发和撤销公开密钥密码体制的密钥分发 在公开密钥密码体制中进行安全密钥的分发最重要的问题是确保公钥的完整性。 假设交易伙伴双方是A和B，A想要得到B的公钥。 第一种方法是A可以采用人工方式获得B的公钥，B通过信使将密钥交给A。 第二种方法是B将其公钥email给A，A可以用单向函数对该公钥生成一个160位的信息摘要并以16进制显示，这一特点称作密钥的指纹。然后A打电话给B，让B在电话中对证指纹，如果双方一致则该公钥被认可。 最常用的方法是采用数字证书来实现密钥分发。数字证书由一个大家都信任的证书权威机构的成员来签发，该成员称为认证中心（CA）。2.3.3密钥的分发和撤销（2）密钥的撤销

密钥撤销包括清除旧密钥的所有踪迹。旧密钥在停止使用后，可能还要持续保密一段时间。2.4身份认证技术

身份证明可以依靠下述三种基本途径之一或者它们的组合来实现：

1）所知：个人知道或者掌握的知识，如密码、口令等；

2）所有：个人拥有的东西，如身份证、护照、信用卡、钥匙等；

3）个人特征：如指纹、笔迹、声音、血型、视网膜、虹膜以及DNA等。

身份认证技术可以从身份的真实性和不可抵赖性两个方面来保证交易伙伴是值得信赖的。

2.4.1身份认证协议

身份认证系统的组成

1）一方是出示证件的人，称作示证者，又称申请者，由他提出某种要求；

2）另一方是验证者，验证示证者出示证件的正确性和合法性，决定是否满足示证者的要求；

3）第三方是攻击者，会窃听和伪装示证者骗取验证者的信任。

4）认证系统在必要时也会有第四方，即可信赖的仲裁者参与，调解纠纷。身份认证技术又称为身份证明技术、实体认证等。2.4.1身份认证协议

（1）常用的身份认证技术1）变换口令2）提问－应答3）时间戳4）一次性口令5）数字签名6）零知识技术

好的身份认证协议通常结合了上述或类似的多个技术2.4.1身份认证协议

（2）常用的身份认证方法

1）口令和个人识别码（PINs）2）个人令牌3）生物统计学4）Kerberos认证机制5）基于公钥密码体制的身份认证2.4.2不可否认机制

不可否认机制——来源不可否认、接收不可否认、提交不可否认（1）不可否认机制的实施阶段

为某一特定通信提供不可否认机制服务包括5个阶段，依次是：①不可否认的请求。②生成记录。③分发记录。④核实记录。⑤保留记录。2.4.2不可否认机制

（2）来源不可否认机制1）来源不可否认机制涉及的争议：①接收者声称已经收到了一条消息，但被认定的发送者否认曾生成过该消息；②接收者声称收到的消息和被认定的发送者声明发送的消息不同；③接收者声称收到了一条于特定时间生成的特定消息，但被认定的发送者否认在该时间生成过那个特定消息。2）争议的真实情况①发送方在撒谎（或接收了误传）；②接收者在撒谎（或接收了误传）；③出现了计算机或者通信错误；④有攻击者介入欺骗了当事双方。2.4.2不可否认机制

3）实现来源不可否认机制的方法①要求发送方对文件进行数字签名②通过可信任的仲裁者的数字签名来实现③通过可信任的仲裁者对消息摘要的数字签名来实现④内嵌可信任的仲裁者⑤上述各种机制的组合2.4.2不可否认机制

（3）接收不可否认机制1）接收不可否认机制涉及的争议①发送者声称已经发出了一条消息，但被认定的接收者否认曾收到过该消息；②发送者声称发出的消息和被认定的接收者声明接收的消息不同；③发送者声称发送了一条于特定时间生成的特定消息，但被认定的接收者否认在该时间接收过那个特定消息。2）对于消息来源的争议，真实情况可能是：①某一方在撒谎；②出现了计算机或通信错误；③攻击者介入欺骗了他们。2.4.2不可否认机制

实现接收不可否认机制的方法有：①通过要求接收方对文件进行数字签名来实现②通过可信任的接收代理来实现③通过累进的接收报告来实现

2.4.2不可否认机制

（4）提交不可否认机制涉及的争议有：①发送者声称已经发出了一条消息，但被认定的接收者否认曾收到过该消息，而且认为发送者根本没有发送该消息；②发送者声称发送了一条于特定时间生成的特定消息，但被认定的接收者否认在该时间接收过那个特定消息。如果发送者和接收者都说了真话，那么就是计算机系统出了故障或者攻击者欺骗了他们。

2.5信息认证技术信息认证的主要工作：①证实报文是由其声明的发送者产生的；②证实报文的内容在其被发出后没有被修改过（证实报文的完整性）；③确认报文的序号和时间是正确的；④如果收、发双方发生争执，仲裁者必须能够进行公正的裁决。

（1）基于私钥密码体制的信息认证

设通信双方A和B，A、B的共享密钥为KAB，M为A发送给B的报文。为防止报文M在公共信道被窃听，A将M加密后再传送，C为密文.

2.5.1信息完整性认证协议

（2）基于公钥密码体制的信息认证

基于公钥密码体制的信息认证主要利用数字签名技术和单向散列函数技术实现。设SA为A的私钥，SB为B的私钥，KPA为A的公钥，KPB为B的公钥，则A对报文M的散列值H(M)的签名为SigSAH(M)。

2.6访问控制机制

访问控制是指控制访问电子商务服务器的用户以及访问者所访问的内容，限制访问者对重要资源的访问。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

访问控制一是限制访问系统的人员的身份，这可以通过身份认证技术实现；二是限制进入系统的用户所做的工作，这可以通过访问控制策略(AccessControlPolicy)来实现。

2.6.1访问控制概述

主体、客体和授权 主体(Subject)又称为发起者(Initiator)，是一个主动的实体，是可以访问该资源的实体，通常指用户或代表用户执行的程序。 客体（Object）是需要保护的资源，又称作目标（target）。 主客体的关系是相对的。

授权（Authorization）规定主体可以对客体执行的动作，(例如读、写、执行或拒绝访问)。

访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问请求加以控制。在访问控制中，客体是指资源（文件、设备、信号量）等；主体是指对客体访问的活动资源，主体是访问的发起者，通常是指进程、程序或用户。访