电子商务安全的基本

第4章电子商务平安的根本概念电子商务系统平安的概念〔1〕电子商务系统硬件平安：硬件平安是指保护计算机系统硬件(包括外部设备)的平安，保证其自身的可靠性和为系统提供根本平安机制。〔2〕电子商务系统软件平安：软件平安是指保护软件和数据不被窜改、破坏和非法复制。系统软件平安的目标是使计算机系统逻辑上平安，主要是使系统中信息的存取、处理和传输满足系统平安策略的要求。根据计算机软件系统的组成，软件平安可分为操作系统平安、数据库平安、网络软件平安和应用软件平安。〔3〕电子商务系统运行平安：运行平安是指保护系统能连续和正常地运行,商务交易平安：实现电子商务的保密性、完整性、认证性和不可否认性。〔4〕电子商务平安立法：电子商务平安立法是对电子商务犯罪的约束，它是利用国家机器，通过平安立法，表达与犯罪斗争的国家意志。精选ppt常见的攻击手段对认证的攻击进行未授权的操作植入后门通信监视通讯干扰中断系统工作拒绝效劳否认已经的操作精选ppt常用计算机网络平安技术网络平安的措施：(1)做好主机的平安配置，及时安装平安补丁；(2)定期对网络系统进行扫描分析，找出可能存在的平安隐患，并及时修补；(3)建立完善的访问控制措施，加强授权管理和认证；(4)利用数据存储技术加强数据备份和恢复措施；(5)对敏感的设备和数据建立必要的物理或逻辑隔离措施；(6)对网络上传输的敏感信息进行数据加密；(7)安装防病毒软件，加强内部网的整体防病毒措施；(8)建立平安审计日志，以便检测并跟踪入侵攻击精选ppt常用计算机网络平安技术病毒防范技术病毒是指在计算机程序或文件中插入的破坏计算机功能或者毁坏数据，并自我复制的一组计算机指令或程序代码。特点：

(1)传染性；

(2)非授权性；

(3)隐蔽性；

(4)破坏性；

(5)不可预见性精选ppt病毒防范技术防范病毒的措施：(1)安装防病毒软件，及时更新病毒库；(2)加强数据备份和恢复措施；(3)对敏感的设备和数据要建立必要的物理或逻辑隔离措施；(4)不轻易翻开不明的电子邮件及其附件；(5)防止在无防毒软件的机器上使用可移动存储介质精选ppt常用计算机网络平安技术身份识别技术身份识别技术的根本思想是通过验证被认证对象的属性来确保被认证对象的真实性。(1)口令当被认证对象要求访问提供效劳的系统时，提供效劳的认证方要求被认证对象提交口令，认证方收到口令后，与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。优点：一般的系统都提供对口令的支持。缺乏：①口令容易泄密；②口令在传输过程中可能被截获；③系统中的口令文件可能被攻击者获取；④用户往往在访问不同平安级别的系统时采用相同的口令，而低平安级别系统的口令更容易被攻击者获得，从而用来对高平安级别系统进行攻击；⑤只能进行单向认证，攻击者可能伪装成系统骗取用户口令。精选ppt常用计算机网络平安技术身份识别技术(2)标记法标记(token)是个人持有物。标记上记录着用于机器识别的个人信息。标记介质有磁卡和智能卡。(3)生物特征法生物特征法是基于物理特征或行为特征自动识别人员的一种方法，它是身份识别的理想方法，但目前基于生物特征识别人员的设备不是很多。精选ppt网络平安的模型①消息的平安传输：包括对消息的加密和认证。加密的目的是将消息搞乱以使敌手无法读懂，认证的目的是检查发送者的身分。②通信双方共享的某些秘密信息，如加密密钥。为获得消息的平安传输，可能还需要一个可信的第三方，其作用可能是负责向通信双方分布秘密信息或者在通信双方有争议时进行仲裁。①加密算法；②用于加密算法的秘密信息；③秘密信息的分布和共享：④使用加密算法和秘密信息以获得平安效劳所需的协议。精选ppt网络平安的模型对未授权访问的平安机制可分为两道防线，第一道称为守卫者，它包括基于通行字的登录程序和屏蔽逻辑程序，分别用于拒绝非授权用户的访问、检测和拒绝病毒。第二道防线由一些内部控制部件构成，用于管理系统内部的各项操作和分析所存有的信息，以检查是否有未授权的入侵者。精选ppt电子商务系统的平安威胁电子商务活动平安风险分为人为风险与自然风险。自然风险指来自于各种自然灾害、电磁辐射和电磁干扰、通信设备自然损毁等。但在电子商务平安方面，一般更注重来自人为风险。四类根本的人为攻击方法中断窃听篡改伪造精选ppt攻击类型也可分为两大类：被动攻击与主动攻击。1．被动攻击：主要采用窃听方法。攻击目的主要是窃取网络传输中的信息。如攻击者窃取电子商务活动中贸易伙伴之间的商业机密、非法获得传输中的电子邮件地址或信用卡中的私人隐密信息等等。2．主动攻击：包括对数据流的篡改或产生虚假数据流。主动攻击通常通过以下手段进行攻击：〔1〕假冒：伪装成合法用户，以获得某些权利。从而对系统进行攻击。这是进行攻击的最常用方法。〔2〕重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法的目的而重新发送。〔3〕消息篡改：改变、删除或替代传输中的数据。〔4〕业务拒绝：对通信设备的使用和管理被无条件拒绝。这种攻击通常有一个特定的目标。精选ppt4.2电子商务的平安需求1、信息的保密性2、信息的完整性3、信息的不可否认性4、交易者身份的真实性5、系统的合法性6、系统的防御性信息平安网络平安计算机平安密码平安交易环境的平安交易对象的平安交易过程的平安支付的平安精选ppt4.2电子商务的平安需求交易环境平安对客户机的平安威胁活动内容Java、Java小程序和JavaScriptActiveX控件图形文件、插件和电子邮件的附件对通信信道的平安威胁对保密性的平安威胁对完整性的平安威胁对即需性的平安威胁对效劳器的平安威胁对WWW效劳器的威胁对数据库的威胁对公用网关接口的威胁对其他程序的威胁精选ppt交易对象和交易过程的平安性电子交易所涉及的对象客户或持卡人发卡机构商家受卡行支付网关对销售者面临的平安威胁中央系统平安的破坏竞争者检索商品的递送状况客户资料被竞争者得悉被他人假冒消费者提交订单后不付款虚假订单获取他人的机密信息4.2电子商务的平安需求对消费者面临的平安威胁虚假订单付款后未能收到商品机密性丧失拒绝效劳精选ppt网上支付的平安需求使用数字签名使用加密算法使用消息摘要算法保证对业务的不可否认性处理多边业务的多边支付问题4.2电子商务的平安需求精选ppt电子商务的平安体系结构电子商务的平安体系结构由三个层次组成：1、根本加密算法，如单钥密码体制与公钥密码体制等。2、以根本加密算法为根底的认证体系、数字签名等根本平安技术。3、以根本加密算法、认证体系、平安技术等为根底的各种平安应用协议，如SET、SSL、S/MIME等。精选ppt电子商务的支付平安根本功能1、使用数字签名实现对各方的认证如客户必须向商家和银行证明自己的身份，商家必须向客户及银行证明自己的身份。2、使用加密算法对业务进行加密为实现保密，系统应支持某些加密方案。在使用Web浏览器和效劳器的同时，系统可利用平安套接层SSL和平安的超文本传输协议S-HTTP。3、使用消息摘要算法以保证业务的完整性根据需要，加密算法可使用单钥或公钥算法，通过利用加密和消息摘要算法，以获得数据的加密和数据的完整性。4、在业务出现异议时，保证对业务的不可否认性业务不可否认性可通过使用公钥体制和X.509证书体制来实现。5、处理多方贸易的多支付协议多支付协议应满足以下两个要求：①商家只能读取订单信息，如货物的类型和销售价。当接收行对支付认证后，商家不必读取客户信用卡的信息；②接收行只需知道支付信息，无需知道客户所购何物。精选ppt电子商务的平安措施保护客户机监视活动内容处理cookie使用防病毒软件聘请防止计算机犯罪专家保护电子商务的通道加密保证交易的完整保证交易的传输保护电子商务效劳器精选ppt4.3电子商务系统平安常用的方法4.3.1防火墙技术1、Intranet的平安概念〔1〕保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问；〔2〕控制、监督和管理企业内部对外部Internet的访问。2、防火墙防火墙是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而使内部网络与外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源，执行平安管制措施，记录所有可疑的事件精选ppt防火墙的功能①可以提供平安决策的集中控制点，使所有进出网络的信息都通过这个检查点，形成信息进出网络的一道关口；②可以针对不同用户的不同需求，强制实施平安策略，起到“交通警察〞的作用；③可以对用户的操作和信息进行记录和审计，分析网络侵袭和攻击；④可以防止机密信息的扩散以及信息间谍的潜入。精选ppt防火墙的平安策略有两种：〔1〕没有被列为允许访问的效劳都是被禁止的：这意味着需要确定所有可以被提供的效劳以及他们的平安特性，开放这些效劳，并将所有其他未列入的效劳排斥在外，禁止访问；〔2〕没有被列为禁止访问的效劳都是被允许的：这意味着首先确定那些被禁止的、不平安的效劳，以禁止他们被访问，而其他效劳那么被认为是平安的，允许访问。防火墙软件通常是在TCP／IP网络软件的根底上进行改造和再开发形成的。目前使用的防火墙产品可分为三种类型：包过滤型和应用网关型及线路层网关。精选ppt包过滤型防火墙利用路由器作为防火墙是常用的方法之一。在路由器中对收到的每一数据包作许可或拒绝通过的决定就形成了包过滤防火墙。其工作原理是利用路由器对通过的每一数据报文进行检查以决定它是否与包过滤规那么中的某一条相匹配，如果匹配那么允许数据包通过；否那么不允许通过。而包过滤规那么利用IP转发过程的数据包报头信息，如IP源地址、IP目标地址、封装协议、TCP/UDP源端口、TCP/UDP目标端口、ICMP消息类型、数据包的输入接口、数据包的输出接口等进行定义。精选ppt包过滤型防火墙类型路由器根据使用包过滤规那么和是否依赖效劳划分1、依赖于效劳的过滤(1)仅允许进来的Telnet会话连接到指定的一些主机。(2)仅允许进来的FTP会话连接到指定的一些主机。(3)允许所有出去的Telnet会话。(4)允许所有出去的FTP会话。(5)拒绝从某个指定的外部网络进来的所有业务流。2、不依赖于效劳的过滤(1)IP源地址欺骗攻击防护(2)源路由攻击防护(3)小分段攻击防护精选ppt优点:标准路由器软件中都具有包过滤路由器特性，配置路由器所用的时间少且费用极少；其次，如果过滤器很少，对路由器性能就几乎没有影响;第三，由于包过滤路由器对用户和应用程序是透明的，所以不需要对用户进行专门的训练和安装特定的软件。缺点：定义包过滤路由器比较复杂，要求网络管理员对各种网络效劳、数据包报头格式以及报头中每个字段特定的取值等等非常熟悉。而且没有方法对包过滤规那么的正确性进行验证，可能会遗留平安漏洞；其次，路由器执行过滤规那么，会消耗大量CPU时间且影响系统的性能；第三，由于过滤路由器能允许或拒绝特定的效劳，但不能理解特定效劳的上下文内容，可能使包过滤器无法对业务流提供完全控制。包过滤型防火墙的优缺点精选ppt应用层网关应用网关型防火墙使用代理技术，在内部网和外部网之间设置一个物理屏障。对于外部网用户或内部网用户的telnet，Ftp等高层网络协议的效劳请求，防火墙的代理效劳机制对用户的真实身份和请求进行合法性检查，决定接受还是拒绝。对于合法的用户效劳请求，代理效劳机制连接内部网和外部网，并作为通信的中介，保护内部网络资源不受侵害。代理效劳机制是应用效劳，代理效劳程序是根据需要编写的。因此，大局部应用网关型防火墙只能提供有限的根本应用效劳。假设要增加新的应用效劳，那么必须编写新的程序。精选ppt什么是代理效劳器？

代理效劳器是介于浏览器和Web效劳器之间的一台效劳器，当你通过代理效劳器

上网浏览时，浏览器不是直接到Web效劳器去取回网页，而是向代理效劳器发出

请求，由代理效劳器来取回浏览器所需要的信息，并传送给你的浏览器。

什么是免费代理效劳器

在使用代理猎手等软件搜索代理效劳器地址时，会在验证状态栏中出现类似“要

密码〞、“Free〞等字样。如果你把“Free〞的地址设置为代理效劳器，那你就

会发现访问网页时不会要求你输入密码了。这就是“免费的代理效劳器〞。为什

么会出现free的呢？有以下几种情况：

1.是系统漏洞，一旦被网管发现就会被堵上；

2.是善良的网管和其他有时机接近主机的人，将机器设成了代理效劳器；

3.是真正的好心人，就是将自己的机器作为免费代理，造福广阔同仁。这真

值得钦佩！但被查封关闭得也最快。

4.是ISP商为了提高影响，在一段时间内免费开放，一般很短。

使用代理效劳器的好处

Proxy

Server(代理效劳器)是Internet链路级网关所提供的一种重要的平安功能，它

的工作主要在开放系统互联(OSI)型的对话层，主要的功能有：

突破自身IP访问限制：

1.访问国外站点。教育网、169网等网络用户可以通过代理访问国外网站。

2.访问一些单位或团体内部资源，如某大学FTP(前提是该代理地址在该资源

的允许访问范围之内)，使用教育网内地址段免费代理效劳器，就可以用于对教育

网开放的各类FTP下载上传，以及各类资料查询共享等效劳。

3.突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种

限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国

外的代理效劳器试试。

4.提高访问速度：通常代理效劳器都设置一个较大的硬盘缓冲区，当有外界

的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，

那么直接由缓冲区中取出信息，传给用户，以提高访问速度。

5.隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。精选ppt应用层网关使用以下设计特性来保证平安(1)在允许用户访问代理效劳以前，要求用户进一步认证。(2)代理仅支持标准应用程序命令集中的一个子集。(3)代理仅允许对特定主机系统的访问，这意味着受限制的某些命令、特征只被用于受保护网络中的一局部系统。(4)代理记录所有业务流、连接的时间，以维护详细的审计信息。(5)由于代理是专为网络平安设计的程序，因而可检查代理是否存在平安漏洞。(6)代理与代理相互独立，如任一代理存在运行问题或平安漏洞，将其卸载而不影响其他代理应用。同时如果用户要求支持新的效劳，网络管理者可在堡垒主机上很容易地安装所要求的代理。(7)代理除了读取自己的初始配置文件外，通常执行无磁盘访问，因此使得攻击者难以在堡垒主机上安装特洛伊木马或其他危险文件。(8)每个代理都是作为一个无特权的用户在一个保密的、平安的目录中运行。精选ppt线路层网关线路层网关是能被应用层执行的专门功能组件，它只简单地被用作TCP连接的中继点，而不对传输的数据包进行处理和过滤。线路层网关的中继作用用于在内部连接和外部连接之间往复拷贝字节，然而由于连接似乎是起源于防火墙系统，因此隐藏了受保护网络的有关信息。精选ppt防火墙应用举例屏蔽主机防火墙单连接点堡垒主机该系统中，堡垒主机被配置在专用网中，而包过滤路由器那么配置在Internet和堡垒主机之间，过滤规那么的配置使得外部主机只能访问堡垒主机，发往其他内部系统的业务流那么全部被阻塞。由于内部主机和堡垒主机在同一网络上，机构的平安策略决定内部系统是被允许直接访问Internet，还是要求使用堡垒主机上的代理效劳。通过配置路由器的过滤规那么，使其仅接收发自于堡垒主机的内部业务流，就可以迫使内部用户使用代理效劳。双连接点堡垒主机使用双连接点堡垒主机系统能构造更为平安的防火墙系统，如下图。双连接点堡垒主机有两个网络接口，但是该主机不能将业务流绕过代理效劳而直接在两个接口间转发。如果许可外部用户能够直接访问信息效劳器，那么堡垒主机的拓扑结构将迫使外部用户发往内部网的业务流必须经过堡垒主机，以提供附加的平安性。精选ppt屏蔽子网防火墙屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机，如下图。由于它支持网络层和应用层的平安，而且还定义一个“非军事区〞DMZ(DemilitarizedZone)网络，因此它建立的是最平安的防火墙系统。网络管理者将堡垒主机、信息效劳器、公用调制解调区、以及其他一些公用效劳器都放在DMZ网络中，DMZ网络很小，位于Internet和内部网之间，它的配置可使Internet中的系统和内部网中的系统只能访问DMZ网络中有限数目的系统，且可禁止业务流穿过DMZ网络的直接传输。防火墙应用举例精选ppt屏蔽子网防火墙的优点(1)入侵者必须闯过三个分开的设备才能够渗透到内部网，这三个设备是外部路由器、堡垒主机、内部路由器。(2)由于外部路由器是DMZ网与因特网的惟一接口，Internet上的系统没有到受保护的内部网的路由，因此可使网络管理者保证内部网对Internet来说是“不可见的〞，Internet只有通过路由表和域名系统DNS信息交换才能知道DMZ中的某些系统。(3)由于内部路由器是DMZ网和内部网的惟一接口，内部网中的系统没有直接到Internet的路由，从而保证了内部网用户必须通过堡垒主机中的代理效劳才能访问Internet。(4)包过滤路由器将业务流发送到DMZ网中指定设备，因此堡垒主机没有必要是双连接点。(5)当内部路由器作为专用网和Internet之间最后一道防火墙系统时，比双连接点堡垒主机有更大的业务流吞吐量。(6)由于DMZ网是一个与内部网不同的网，所以可在堡垒主机上安装网络地址转换器NAT(NetworkAddressTranslator)，从而可不必对内部网重新计数和重新划分子集。精选ppt4.4密钥系统1、加密和解密加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文复原成原来可理解的形式。加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥。下面，我们通过一个例子来理解加密、解密、算法和密钥。2、密钥的长度3、对称密钥算法(单钥加密算法)DES对64位的明文分组进行操作，通过一个初始置换，将明文分组分成左半局部和右半局部，各32位长。然后进行16轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密钥结合。经过16轮后，左、右半局部合在一起经过一个末置换〔初始置换的逆置换〕，这样该算法就完成了。在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。通过一个扩展置换将数据的右半局部扩展成48位，并通过一个异或操作与48位密钥结合，通过8个转换器将这48位替代成新的32位数据，再将其置换一次。这四步运算构成了函数f。然后，通过另一个异或运算，函数f输出与左半局部结合，其结果即成为新的右半局部，原来的右半局部成为新的左半局部。将该操作重复16次，便实现了DES的16轮运算。是指加密密钥和解密密钥为同一密钥的密码算法精选ppt密钥密码体制加密原理发送信息方将要发送的消息称为明文。明文被变换成不可理解的形式，成为密文。加密即是指将明文变换为密文的过程。解密是加密的逆过程，即将密文复原成明文的过程。通常，对明文进行加密时所采用的一组规那么称为加密算法。加密和解密算法的操作通常在一组密钥控制下进行。由此可知，根本保密通信原理模型中加密和解密过程依靠两个元素：算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥。下面，我们通过一个例子来理解加密、解密、算法和密钥。优点：〔1〕由于设计算法很困难，因此基于密钥的变化就解决了这一难题；〔2〕简化了信息发送方与多个接收方加密信息的传送，即发送方只需使用一个算法，不同的密钥向多个接收方发送密文；〔3〕如果密文被破译，换一个密钥就能解决问题。精选ppt单钥密码体制密码算法的加密密钥和解密密钥为同一密钥，那么这种密码体制称为单钥密码体制。在对称密钥密码算法中,加密运算与解密运算使用同样的密钥。信息的发送者和信息的接收者在进行信息的传输与处理时，发送者和接收者有相同的密钥,这样就解决了信息的保密性问题，〔称为对称密钥〕。通常,在单钥密码体制使用的加密算法比较简便高效,密钥简短,破译极其困难，但系统的保密性主要取决于密钥的平安性。密钥产生、分配、存储、销毁等问题统称为密钥管理。如何平安可靠地分配密钥给通信双方是单钥密码体制的主要问题。单钥体制对明文消息的加密一般有两种方式：一种是将明文消息按字符逐字加密，称为流密码；另一种是将明文消息分组，逐组进行加密，称为分组密码。精选ppt单钥分组密码设计的算法应满足的要求〔1〕分组长度n要足够大，使分组代换字母表中的元素个数2n足够大，防止明文穷举攻击法奏效。〔2〕密钥量要足够大(即置换子集中的元素足够多)，尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。但密钥又不能过长，以便于密钥的管理。〔3〕由密钥确定置换的算法要足够复杂，充分实现明文与密钥的扩散和混淆，没有简单的关系可循，能抗击各种的攻击。使对手破译时除了用穷举法外，无其他捷径可循。〔4〕加密和解密运算简单，易于软件和硬件高速实现。〔5〕数据扩展。一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。〔6〕过失传播尽可能地小。精选ppt公钥密码体制公钥密码算法〔双钥加密码算法，非对称密钥算法〕：是指加密密钥和解密密钥为两个不同密钥的密码算法。公钥密码算法采用两个相关密钥将加密钥与解密密钥分开，其中一个密钥是公开的，称为公钥(Publickey)；另一个密钥是用户专用的，称为私钥(Privatekey)。两个密钥之间存在着相互依存关系：即用其中任一个密钥加密的信息只能用另一个对应的密钥进行解密。假设以公钥作为加密密钥，以用户专用密钥〔私钥〕作为解密密钥，那么可实现多个用户加密的信息只能由一个用户解读；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，那么可实现由一个用户加密的信息而多个用户解读。在电子商务中，前者可用于数字加密，后者可用于数字签名。精选ppt公钥密码体制原理在加密应用时，用户产生一对密钥，将其中的一个向外界公开，称为公钥；另一个那么自己保存，称为私钥。获得公钥的任何人假设想向用户传送信息，只需用用户的公钥对明文加密，将密文传送给用户。而由于公钥与私钥之间存在依存关系，只有用户私钥才能解密，任何未受用户授权的人包括信息的发送者都无法解密。精选ppt公钥密码体制原理(1)接收方产生一对密钥PKb，SKb，其中PKb为公钥，SKb为私钥。(2)接收方将加密密钥PKb放在公开的地方，由加密发送方自由获得，而将解密密钥SKb保藏。(3)发送方使用公钥PKb加密明文M，并向接收者发送密文C。加密过程用加密算法函数E表示为：C=EPKb[M](4)接收方使用私钥SKb解密C。解密过程用解密算法函数D表示为：M=DSKb[C]精选ppt认证原理(1)发送方用秘密的私钥SKa加密明文M，并向接收者发送密文C。加密过程用加密算法函数E表示为：C=ESKa[M](2)接收方使用公钥PKa解密C。解密过程用解密算法函数D表示为：M=DPKa[C]由于使用秘密私钥SKa对M加密形成C只有发送者能够进行。因而C便被认为是发送者对M的数字签名。另一方面，任何人只要得不到发送者秘密的私钥SKa就不能篡改M，所以这一过程同时完成了对发送者身份与信息完整性。精选ppt消息摘要消息摘要(messagedigest)方法也称平安Hash编码法或MD5,它是由RonRivest创造。消息摘要是一个唯一对应一个消息的值,它由单向Hash加密算法对一个消息作用而生成,有固定的长度。所谓单向是指不能被解密。不同的消息其摘要不同，相同消息其摘要相同，因此摘要成为消息的“指纹〞，以验证消息是否是“真身〞。发送端将消息和摘要一同发送，接收端收到后，用Hash函数对收到的消息产生一个摘要，与收到的摘要比照，假设相同，那么说明收到的消息是完整的，在传输过程中没有被修改，否那么，就是被修改正，不是原消息。消息摘要方法解决了信息的完整性问题。精选ppt消息摘要精选ppt非对称密钥算法非对称密钥算法〔双钥加密码算法，公钥加密算法〕：是指加密密钥和解密密钥为两个不同密钥的密码算法。公钥密码算法不同于单钥密码算法，它使用了一对密钥：公钥(publickey)用于加密信息，私钥(Privatekey)那么用于解密信息，通信双方无需事先交换密钥就可进行保密通信。两个钥匙是两个很大的质数，用其中的一个质数与原信息相乘，对信息加密，可以用其中的另一个质数与收到的信息相乘来解密。但不能用其中的一个质数求出另一个质数。其中加密密钥不同于解密密钥,加密密钥公之于众,有关人员谁都可以用；解密密钥只有解密人自己知道。这两个密钥之间存在着相互依存关系：即用其中任一个密钥加密的信息只能用另一个密钥进行解密。假设以公钥作为加密密钥，以用户专用密钥〔私钥〕作为解密密钥，那么可实现多个用户加密的信息只能由一个用户解读；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，那么可实现由一个用户加密的信息而多个用户解读。前者可用于数字加密，后者可用于数字签名。精选ppt公开密钥数字签名算法数字签名(digitalsignature)技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用Hash函数对收到的原文产生一个摘要，与解密的摘要比照，假设相同，那么说明收到的信息是完整的，在传输过程中没有被修改，否那么，被修改正，不是原信息。同时，也证明发送者不能否认自己发送了信息。这样，数字签名就保证了信息的完整性和不可否认性。精选ppt数字签名与数字信封数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。精选ppt数字签名精选ppt数字证书(digitalID)签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。数字证书认证中心发放的数字证书是一个经证书认证中心数字签名的、包含证书申请者〔公开密钥拥有者〕个人信息及其公开密钥的文件。证书认证中心的数字签名可以确保数字证书信息的真实性。数字证书格式及数字证书内容遵循X.509标准。从理论上看，数字证书机制的根底是公钥密码体制和数字签名，数字证书的用途可将数字证书分为：签名证书签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。精选ppt数字证书认证中心的主要工作(1)证书颁发中心接收、验证用户〔包括下级认证中心和最终用户〕的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，那么进一步确定给用户颁发何种类型的证书。新证书用认证中心的私有密钥签名以后，发送到目录效劳器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。(2)证书的更新认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。(3)证书的查询证书的查询可以分为两类。一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；二是用户证书的查询，这类查询由目录效劳器来完成，目录效劳器根据用户的请求返回适当的证书。(4)证书的作废当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表CertificateRevocationList，CRL〕来完成上述功能。(5)对签发的数字证书的真实性进行确认在双方通信时，通过出示由某个认证中心〔CA〕签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，那么可先向上一级认证机构验证CA的身份，逐级进行，直到公认的权威CA处，便可确信证书的有效性。精选ppt数字证书的信息处理过程(1)A方对明文通过杂凑函数运算得到明文信息摘要；(2)A用自己的私钥(SK)对信息摘要进行加密得到A的数字签名并将其附在数字信息上；(3)A随机产生一个加密密钥(DES密钥)，并用此密钥对发送的信息进行加密，形成密文；(4)A用B的公钥〔PK〕对刚刚随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给B；(5)B收到密文和加过密的DES密钥，先用自己的私钥〔SK〕对加密的DES密钥进行解密，得到DES密钥；(6)B再用DES密钥对收到的密文进行解密，得到明文，随后抛弃DES密钥；(7)B用A的公钥〔PK〕对A的数字签名进行解密，得到信息摘要；(8)B用相同的杂凑函数对收到的明文进行运算，得到一个新的信息摘要；(9)B将收到的信息摘要和新产生的信息摘要比较，假设一致，说明收到的信息未被篡改。精选ppt数字证书的类型〔1〕个人数字证书：个人数字证书仅仅为某个用户提供凭证，一般安装在客户浏览器上，以帮助其个人在网上进行平安交易操作：访问需要客户验证平安的因特网站点；用自己的数字证书发送带自己签名的电子邮件；用对方的数字证书向对方发送加密的邮件。〔2〕企业(效劳器)数字证书：企业数字证书为网上的某个Web效劳器提供凭证，拥有效劳器的企业就可以用具有凭证的Web站点进行平安电子交易：开启效劳器SSL平安通道，使用户和效劳器之间的数据传送以加密的形式进行；要求客户出示个人证书，保证Web效劳器不被未授权的用户攻击。〔3〕软件(开发者)数字证书：软件数字证书为软件提供凭证，证明该软件的合法性。精选ppt国内外认证中心1、VeriSign2、国富安电子商务平安认证中心3、浙江省数字认证中心4、中国数字认证网〔ca365〕5、北京数字证书认证中心〔〕精选ppt数字证书应用操作实例〔个人证书在平安电子邮件中的应用〕〔1〕在OutlookExpress5发送签名邮件：1〕在OutlookExpress5中设置证书、2〕发送签名邮件。〔2〕用OutlookExpress5发送加密电子邮件：1〕获取收件人数字证书、2〕发送加密邮件。精选ppt电子商务平安交易标准1、平安超文本传输协议S-HTTP是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。S-HTTP实际上应用了Netscape的完全套接字层〔SSL〕作为HTTP应用层的子层。〔S-HTTP使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。〕SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是适宜的。假设用户使用Netscape浏览器访问一个的站点，并且观看其商品类目。当用户希望定购商品时，用户可以通过URL进行，单击“发送〞，将相应的订单发送到供给商那里，浏览器的S-HTTP层将对信息进行加密。从效劳器返回的加密信息也是经过加密的，在用户效劳器的S-HTTP层进行解密后显示。2、平安套接层协议SSL平安协议主要提供三方面的效劳：〔1〕认证用户和效劳器，使得它们能够确信数据将被发送到正确的客户机和效劳器上；〔2〕加密数据以隐藏被传送的数据；〔3〕维护数据的完整性，确保数据在传输过程中不被改变。精选ppt3、平安电子交易协议SET协议的工作程序分为下面七个步骤；〔1〕消费者利用自己的PC机通过Internet选定所要购置的物品，并在计算机上输入订货单，订货单上需包括在线商店、购置物品名称及数量、交货时间及地点等相关信息。〔2〕通过电子商务效劳器与有关在线商店联系在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数，交货方式等信息是否准确，是否有变化。〔3〕消费者选择付款方式，确认订单签发付款指令。此时SET开始介入。〔4〕在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息。〔5〕在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。〔6〕在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。〔7〕在线商店发送货物或提供效劳井通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个