第四章电子商务安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
¨ 公钥密码体制的代表是RSA公钥密码,是由三位发明者姓名 (Rivest,Shamir,Adleman)的第一个字母联合构成的。
2020/11/29
第四章电子商务安全技术
RSA公钥密码(1)
¨ 加密密钥Pk (公开密钥)是公开信息,而解密 密钥Sk(秘密密钥)是需要保密的。加密算法 和解密算法也都是公开的。
¨ 特点如下:
– 发送者用加密密钥Pk对明文X加密后,在接受者用 解秘密钥Sk解密,即可恢复出明文:Dsk(Epk(x))=X
– 加密和解密的运算可以对调:即Epk(Dsk(X))=X
2020/11/29
第四章电子商务安全技术
RSA公钥密码(2)
¨ 加密密钥是公开的,但不能用它来解密,即 Dpk(Epk(X))=X
¨ (3)篡改:在通信过程中,第三方截获信息 并修改了交易双方的内容。
¨ (4)伪造:在通信过程中,第三放伪造交易 双方的身份进行交易。
2020/11/29
第四章电子商务安全技术
2020/11/29
第四章电子商务安全技术
电子商务服务器的安全威胁
¨ (1)系统安全。 ¨ (2)数据库系统的安全
2020/11/29
5.理解一个安全的电子商务交易需要有哪些保证。理解电子商务交 易安全的技术保证,熟悉安全交易协议主要包括那几个方面的 内容。
2020/11/29
第四章电子商务安全技术
4.1 电子商务安全概述
电子商务安全所面临的威胁 : 一是对客户信息的安全威胁 二是对传输链路的安全威胁 三是对电子商务服务器的安全威胁
第四章电子商务安全技术
(2)对称密钥加密体制
¨ 也叫私有密钥加密,只用一个密钥对信息进行加密与解密, 发送者与接收者都必须知道密钥。对称密钥密码技术要求加 密解密双方拥有相同的密钥。
¨ 对 称 密 钥 密 码 技 术 的 代 表 是 数 据 加 密 标 准 DES ( Data Encryption Standard),这是美国国家标准局于1977年公布的由 IBM公司提出的一种加密算法,作为商用的数据加密标准。 DES的公布在密码学发展过程中具有重要意义,并且至今仍 得到普遍采用。
发送
接收方用收到的 订单信息生成信 息摘要,与附加 的信息摘要对比, 检查信息是否被 修改
第四章电子商务安全技术
数字摘要(Digital Digest)
¨ 数字摘要这一安全认证技术亦称安全Hash编码 法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所 设计。
¨ 在计算机上可以容易的产生成对的Pk和Sk ¨ 从已知的Pk实际上不可能推导出Sk,即从Pk到
Sk是计算上不可能的。 ¨ 加密和解密算法都是公开的。
2020/11/29
第四章电子商务安全技术
非对称加密示意图
请看非对称加密如何工作的
我要给 你的信息
你的公钥 加密
通信网
你收到 的信息
你的私钥 解密
2020/11/29
第四章电子商务安全技 术
2020/11/29
第四章电子商务安全技术
本章学习要点
1.理解电子商务安全在哪些方面会面临威胁,了解活动页面和浏览 器插件对客户信息安全的威胁,理解数据在传输过程中会受到 哪几种威胁,理解电子商务服务器的安全威胁主要表现在哪些 方面。理解电子商务安全需求。熟悉电子商务安全内容;
第四章电子商务安全技术
问题: 散列算法是公开的,如何有人修改了订单中的送
货地址和商品数量,重新生成信息摘要,然后把修改后 的信息和新的信息摘要发给商家。商家收到信息后检查, 发觉是匹配的,也就是说,修改后也没人发现。
那么,我们该如何提出改进方案,保证发信息的 人是商家所期待的客户?就是说,我们要让商家能确认 发送订单的客户的身份。
2020/11/29
第四章电子商务安全技术
第二.公钥可帮助我们实现数字签名。
客户
认证中心
商家
因为客户密钥是他唯一所有的,也就是说,除了该 客户能产生这样的密文外,其他的客户是不能产生这样 的密文的,也就是说订单是被客户签名了的,商家从而 可以进行身份认证。
假如客户抵赖发给商家的订单,商家可以去认证中 心鉴别, 通过这样的方法,保证了交易的不可抵赖性。
2020/11/29
第四章电子商务安全技术
电子商务安全的内容
¨ 计算机网络安全的内容包括:计算机网络设备 安全、计算机网络系统安全、数据库安全等。 其特征是针对计算机网络本身可能存在的安全 问题,实施网络安全增强方案,以保证计算机 网络自身的安全性为目标。
¨ 商务交易安全则紧紧围绕传统商务在互联网 络上应用时产生的各种安全问题,在计算机网 络安全的基础上,保障电子商务过程的顺利进 行。即实现电子商务的保密性、完整性、可鉴 别性、不可伪造性和不可抵赖性。
2.掌握加密的基本原理,熟悉传统的加密算法,理解对称加密和非 对称加密的概念和原理,理解散列算法的概念;
3.了解防火墙的概念,熟悉防火墙的功能和分类;
4.了解身份认证的概念,熟悉身份认证技术的几种分类,掌握各分 类的操作原理,理解不同种类的身份认证技术的区别,掌握数 字签名的概念,熟悉数字签名的流程,理解数字信封和数字时 间戳的概念,掌握数字证书的概念和类型,了解数字证书的应 用,熟悉认证中心的概念和职能,理解认证系统的构成;
使用单向散列函数计算信息的“摘要”,将它连
同信息发送给接受方。接受方重新计算“摘要”, 并与收到的“摘要”进行比较以验证信息在传输过 程中的完整性。
这种散列函数使任何两个不同的输入不可能产生
相同的输出。因此一个被修改了的文件不可能有同 样的“摘要”。
2020/11/29
第四章电子商务安全技术
如: (1)“我们7月30号去旅游”——AD3D3DFVAF
2020/11/29
第四章电子商务安全技术
如何破解这类的密文????
由于英文字母中各字母出现的频度早已有人进行 过统计,所以根据字母频度表可以很容易对这种代替 密码进行破译。
2020/11/29
第四章电子商务安全技术
再看一个加密的例子: 中国的网络企业70%以上没有信息安全保障 密钥:864513279
864513 2 79 中 国 的 网 络 企 业 70 % 以上信息安全 没 有保 障
密文为:络安业没企全的信网息国上70 %有中以保障
2020/11/29
第四章电子商务安全技术
现在常用的加密方法按加密程序类型分为三类:散 列编码、对称加密和非对称加密
(1)散列编码
相当于信息的指纹,每个信息的散列值是唯一 的。
第四章电子商务安全技术
电子商务安全的需求
¨ 1.保密性
保密性一般通过加密技术对传输的信息进行 加密处理来实现,常用的加密技术有对称加密 和非对称加密
¨ 2.完整性
完整性一般可通过散列算法提取信息的数据 摘要的方式来进行对比验证得到。
¨ 3.不可抵赖性
不可抵赖性可通过对发送的消息进行数字签 名来获取
¨ 这样数字签名就可用来防止电子信息因易被修改而有 人作伪;或冒用别人名义发送信息;或发出(收到) 信件后又加以否认等情况发生。
2020/11/29
第四章电子商务安全技术
¨ 数字签名并非用“手书签名”类型的图型标志, 它采用了双重加密的方法来实现防伪、防赖。 其原理为:
– ① 被发送文件用SHA编码加密产生128Bit的数字 摘要。
2020/11/29
第四章电子商务安全技术
客户信息的安全威胁
(1)活动页面
嵌套在HTML中的程序,也将构成客户信息安 全的重大威胁。远程客户可以通过嵌套的恶意 程序,读取用户页面的信息,甚至是保留在 Cookie程序中的信用卡用户及密码信息。
(2)浏览器的插件
但如果是一些无数字证书,或者是一些不 健康的网站的插件,通常带有安全的威胁。这 些插件中可能会有病毒,会有恶意攻击程序, 会改写你的注册表等等。
第四章电子商务安全技术
wk.baidu.com
4.4 认证技术
如何保证交易的完整性??
保护交易的完整性,就是要保护客户与商家在网络传输 的订单信息,结算信息等不受到破坏。
第一,保护信息的安全,保证知道发出的信息是否正确 的,没有被修改的。 ——可用散列函数提取信息摘要,即数字摘要方法。
采购订单
散列函数 信息摘要
2020/11/29
第四章电子商务安全技术
对称密钥加密体制
密文为:
络安业没企全的信
网息国上70有中以 障%保
密钥: 864513279
得到原文: 864513279 中国的网络企业70 % 以上信息安全没有保 障
2020/11/29
第四章电子商务安全技术
(3)非对称密钥加密体制
¨ 公钥密钥加密体制对当代密码学的发展具有重要影响。当网络用 户数很多时,对称密钥的管理十分繁琐,而公钥密码的密钥管理 则可大大简化。
2020/11/29
第四章电子商务安全技术
传输信道的安全威胁
¨ (1)窃听:随着科学技术的不断发展,窃听 的涵义早已超出隔墙偷听、截听电话的概念, 它是指借助于技术设备、技术手段,不仅窃取 语音信息,还窃取数据、文字、图象等信息。
¨ (2)中断:在通信过程中,通信双方受到第 三方干扰,造成通信中断。
¨ DES加密的主要步骤:
– 加密前,先对整个的明文进行分组,每一个组长64位
– 使用密钥64位(实际56位,8位用于奇偶校验)
– 对每一个64位分组进行加密处理,产生一组64位密文数 据
– 将各组密文串接起来,得出整个的密文
¨ DES的保密性取决于对密钥的保密,而算法是公开的。
2020/11/29
– ② 发送方用自己的私用密钥对摘要再加密,这就 形成了数字签名。
– ③ 将原文和加密的摘要同时传给对方。
– ④ 对方用发送方的公共密钥对摘要解密,同时对 收到的文件用SHA编码加密产生又一摘要。
– ⑤ 将解密后的摘要和收到的文件在接收方重新加 密产生的摘要互对比。如两者一致,则说明传送过 程中信息没有被破坏或篡改过。否则不然。
2020/11/29
第四章电子商务安全技术
4.2 加密技术
看下面例子:代换密码(一个或一组代替另外一个或 一组字符)
原文:ABC DEFGHIJKLMNOPQRSTUVWXYZ
密文: XYZ ABCDEFGHIJKLMNOPQRSTUVW
前移3字符位
例如:网络传输CHINA,对应加密后是:
ZEFKX
¨ 该编码法采用单向Hash 函数将需加密的明文" 摘要"成一串128bit的密文,这一串密文亦称为 数字指纹(Finger Print),它有固定的长度,且 不同的明文摘要成密文,其结果总是不同的, 而同样的明文其摘要必定一致。这样这串摘要 便可成为验证明文是否是"真身"的"指纹"了。
2020/11/29
(2)一个实现算法:
input = "Let us meet at 9 o' clock at the secret pla ce."; $hash = mhash(MHASH_SHA1, $input); print "散列值为 ".bin2hex($hash)."\n";
散列值为 d3b85d710d8f6e4e5efd4d5e67d041f9cecedafe
¨ 也称公钥密钥加密,它用两个数学相关的密钥对信息进行编码, 其中一个叫公开密钥(Public-Key),可随意发给期望同密钥持 有者进行安全通信的人;第二个密钥是私有密钥(Private-Key), 由用户自己秘密保存,私有密钥持有者对信息进行解密。现代密 码算法将加密密钥与解密密钥区分开来,且由加密密钥事实上求 不出解密密钥。
2020/11/29
第四章电子商务安全技术
请看下面示意图:
我们7月30号去旅游
散列函数
AD3D3DFVAF
Let us meet at 9 o' clock at the secret place
D3b85d710d8f6e4e5e fd4d5e67d041f9cecedafe
2020/11/29
解决办法:数字签名
2020/11/29
第四章电子商务安全技术
数字签名(digital signature)
¨ 在书面文件上签名是确认文件的一种手段,签名的作 用有两点,一是因为自己的签名难以否认,从而确认 了文件已签署这一事实;二是因为签名不易仿冒,从 而确定了文件是真的这一事实。
¨ 数字签名与书面文件签名有相同之处,采用数字签名, 也能确认以下两点: – 信息是由签名者发送的。 – 信息自签名后到收到为止未曾作过任何修改。
2020/11/29
第四章电子商务安全技术
RSA公钥密码(1)
¨ 加密密钥Pk (公开密钥)是公开信息,而解密 密钥Sk(秘密密钥)是需要保密的。加密算法 和解密算法也都是公开的。
¨ 特点如下:
– 发送者用加密密钥Pk对明文X加密后,在接受者用 解秘密钥Sk解密,即可恢复出明文:Dsk(Epk(x))=X
– 加密和解密的运算可以对调:即Epk(Dsk(X))=X
2020/11/29
第四章电子商务安全技术
RSA公钥密码(2)
¨ 加密密钥是公开的,但不能用它来解密,即 Dpk(Epk(X))=X
¨ (3)篡改:在通信过程中,第三方截获信息 并修改了交易双方的内容。
¨ (4)伪造:在通信过程中,第三放伪造交易 双方的身份进行交易。
2020/11/29
第四章电子商务安全技术
2020/11/29
第四章电子商务安全技术
电子商务服务器的安全威胁
¨ (1)系统安全。 ¨ (2)数据库系统的安全
2020/11/29
5.理解一个安全的电子商务交易需要有哪些保证。理解电子商务交 易安全的技术保证,熟悉安全交易协议主要包括那几个方面的 内容。
2020/11/29
第四章电子商务安全技术
4.1 电子商务安全概述
电子商务安全所面临的威胁 : 一是对客户信息的安全威胁 二是对传输链路的安全威胁 三是对电子商务服务器的安全威胁
第四章电子商务安全技术
(2)对称密钥加密体制
¨ 也叫私有密钥加密,只用一个密钥对信息进行加密与解密, 发送者与接收者都必须知道密钥。对称密钥密码技术要求加 密解密双方拥有相同的密钥。
¨ 对 称 密 钥 密 码 技 术 的 代 表 是 数 据 加 密 标 准 DES ( Data Encryption Standard),这是美国国家标准局于1977年公布的由 IBM公司提出的一种加密算法,作为商用的数据加密标准。 DES的公布在密码学发展过程中具有重要意义,并且至今仍 得到普遍采用。
发送
接收方用收到的 订单信息生成信 息摘要,与附加 的信息摘要对比, 检查信息是否被 修改
第四章电子商务安全技术
数字摘要(Digital Digest)
¨ 数字摘要这一安全认证技术亦称安全Hash编码 法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所 设计。
¨ 在计算机上可以容易的产生成对的Pk和Sk ¨ 从已知的Pk实际上不可能推导出Sk,即从Pk到
Sk是计算上不可能的。 ¨ 加密和解密算法都是公开的。
2020/11/29
第四章电子商务安全技术
非对称加密示意图
请看非对称加密如何工作的
我要给 你的信息
你的公钥 加密
通信网
你收到 的信息
你的私钥 解密
2020/11/29
第四章电子商务安全技 术
2020/11/29
第四章电子商务安全技术
本章学习要点
1.理解电子商务安全在哪些方面会面临威胁,了解活动页面和浏览 器插件对客户信息安全的威胁,理解数据在传输过程中会受到 哪几种威胁,理解电子商务服务器的安全威胁主要表现在哪些 方面。理解电子商务安全需求。熟悉电子商务安全内容;
第四章电子商务安全技术
问题: 散列算法是公开的,如何有人修改了订单中的送
货地址和商品数量,重新生成信息摘要,然后把修改后 的信息和新的信息摘要发给商家。商家收到信息后检查, 发觉是匹配的,也就是说,修改后也没人发现。
那么,我们该如何提出改进方案,保证发信息的 人是商家所期待的客户?就是说,我们要让商家能确认 发送订单的客户的身份。
2020/11/29
第四章电子商务安全技术
第二.公钥可帮助我们实现数字签名。
客户
认证中心
商家
因为客户密钥是他唯一所有的,也就是说,除了该 客户能产生这样的密文外,其他的客户是不能产生这样 的密文的,也就是说订单是被客户签名了的,商家从而 可以进行身份认证。
假如客户抵赖发给商家的订单,商家可以去认证中 心鉴别, 通过这样的方法,保证了交易的不可抵赖性。
2020/11/29
第四章电子商务安全技术
电子商务安全的内容
¨ 计算机网络安全的内容包括:计算机网络设备 安全、计算机网络系统安全、数据库安全等。 其特征是针对计算机网络本身可能存在的安全 问题,实施网络安全增强方案,以保证计算机 网络自身的安全性为目标。
¨ 商务交易安全则紧紧围绕传统商务在互联网 络上应用时产生的各种安全问题,在计算机网 络安全的基础上,保障电子商务过程的顺利进 行。即实现电子商务的保密性、完整性、可鉴 别性、不可伪造性和不可抵赖性。
2.掌握加密的基本原理,熟悉传统的加密算法,理解对称加密和非 对称加密的概念和原理,理解散列算法的概念;
3.了解防火墙的概念,熟悉防火墙的功能和分类;
4.了解身份认证的概念,熟悉身份认证技术的几种分类,掌握各分 类的操作原理,理解不同种类的身份认证技术的区别,掌握数 字签名的概念,熟悉数字签名的流程,理解数字信封和数字时 间戳的概念,掌握数字证书的概念和类型,了解数字证书的应 用,熟悉认证中心的概念和职能,理解认证系统的构成;
使用单向散列函数计算信息的“摘要”,将它连
同信息发送给接受方。接受方重新计算“摘要”, 并与收到的“摘要”进行比较以验证信息在传输过 程中的完整性。
这种散列函数使任何两个不同的输入不可能产生
相同的输出。因此一个被修改了的文件不可能有同 样的“摘要”。
2020/11/29
第四章电子商务安全技术
如: (1)“我们7月30号去旅游”——AD3D3DFVAF
2020/11/29
第四章电子商务安全技术
如何破解这类的密文????
由于英文字母中各字母出现的频度早已有人进行 过统计,所以根据字母频度表可以很容易对这种代替 密码进行破译。
2020/11/29
第四章电子商务安全技术
再看一个加密的例子: 中国的网络企业70%以上没有信息安全保障 密钥:864513279
864513 2 79 中 国 的 网 络 企 业 70 % 以上信息安全 没 有保 障
密文为:络安业没企全的信网息国上70 %有中以保障
2020/11/29
第四章电子商务安全技术
现在常用的加密方法按加密程序类型分为三类:散 列编码、对称加密和非对称加密
(1)散列编码
相当于信息的指纹,每个信息的散列值是唯一 的。
第四章电子商务安全技术
电子商务安全的需求
¨ 1.保密性
保密性一般通过加密技术对传输的信息进行 加密处理来实现,常用的加密技术有对称加密 和非对称加密
¨ 2.完整性
完整性一般可通过散列算法提取信息的数据 摘要的方式来进行对比验证得到。
¨ 3.不可抵赖性
不可抵赖性可通过对发送的消息进行数字签 名来获取
¨ 这样数字签名就可用来防止电子信息因易被修改而有 人作伪;或冒用别人名义发送信息;或发出(收到) 信件后又加以否认等情况发生。
2020/11/29
第四章电子商务安全技术
¨ 数字签名并非用“手书签名”类型的图型标志, 它采用了双重加密的方法来实现防伪、防赖。 其原理为:
– ① 被发送文件用SHA编码加密产生128Bit的数字 摘要。
2020/11/29
第四章电子商务安全技术
客户信息的安全威胁
(1)活动页面
嵌套在HTML中的程序,也将构成客户信息安 全的重大威胁。远程客户可以通过嵌套的恶意 程序,读取用户页面的信息,甚至是保留在 Cookie程序中的信用卡用户及密码信息。
(2)浏览器的插件
但如果是一些无数字证书,或者是一些不 健康的网站的插件,通常带有安全的威胁。这 些插件中可能会有病毒,会有恶意攻击程序, 会改写你的注册表等等。
第四章电子商务安全技术
wk.baidu.com
4.4 认证技术
如何保证交易的完整性??
保护交易的完整性,就是要保护客户与商家在网络传输 的订单信息,结算信息等不受到破坏。
第一,保护信息的安全,保证知道发出的信息是否正确 的,没有被修改的。 ——可用散列函数提取信息摘要,即数字摘要方法。
采购订单
散列函数 信息摘要
2020/11/29
第四章电子商务安全技术
对称密钥加密体制
密文为:
络安业没企全的信
网息国上70有中以 障%保
密钥: 864513279
得到原文: 864513279 中国的网络企业70 % 以上信息安全没有保 障
2020/11/29
第四章电子商务安全技术
(3)非对称密钥加密体制
¨ 公钥密钥加密体制对当代密码学的发展具有重要影响。当网络用 户数很多时,对称密钥的管理十分繁琐,而公钥密码的密钥管理 则可大大简化。
2020/11/29
第四章电子商务安全技术
传输信道的安全威胁
¨ (1)窃听:随着科学技术的不断发展,窃听 的涵义早已超出隔墙偷听、截听电话的概念, 它是指借助于技术设备、技术手段,不仅窃取 语音信息,还窃取数据、文字、图象等信息。
¨ (2)中断:在通信过程中,通信双方受到第 三方干扰,造成通信中断。
¨ DES加密的主要步骤:
– 加密前,先对整个的明文进行分组,每一个组长64位
– 使用密钥64位(实际56位,8位用于奇偶校验)
– 对每一个64位分组进行加密处理,产生一组64位密文数 据
– 将各组密文串接起来,得出整个的密文
¨ DES的保密性取决于对密钥的保密,而算法是公开的。
2020/11/29
– ② 发送方用自己的私用密钥对摘要再加密,这就 形成了数字签名。
– ③ 将原文和加密的摘要同时传给对方。
– ④ 对方用发送方的公共密钥对摘要解密,同时对 收到的文件用SHA编码加密产生又一摘要。
– ⑤ 将解密后的摘要和收到的文件在接收方重新加 密产生的摘要互对比。如两者一致,则说明传送过 程中信息没有被破坏或篡改过。否则不然。
2020/11/29
第四章电子商务安全技术
4.2 加密技术
看下面例子:代换密码(一个或一组代替另外一个或 一组字符)
原文:ABC DEFGHIJKLMNOPQRSTUVWXYZ
密文: XYZ ABCDEFGHIJKLMNOPQRSTUVW
前移3字符位
例如:网络传输CHINA,对应加密后是:
ZEFKX
¨ 该编码法采用单向Hash 函数将需加密的明文" 摘要"成一串128bit的密文,这一串密文亦称为 数字指纹(Finger Print),它有固定的长度,且 不同的明文摘要成密文,其结果总是不同的, 而同样的明文其摘要必定一致。这样这串摘要 便可成为验证明文是否是"真身"的"指纹"了。
2020/11/29
(2)一个实现算法:
input = "Let us meet at 9 o' clock at the secret pla ce."; $hash = mhash(MHASH_SHA1, $input); print "散列值为 ".bin2hex($hash)."\n";
散列值为 d3b85d710d8f6e4e5efd4d5e67d041f9cecedafe
¨ 也称公钥密钥加密,它用两个数学相关的密钥对信息进行编码, 其中一个叫公开密钥(Public-Key),可随意发给期望同密钥持 有者进行安全通信的人;第二个密钥是私有密钥(Private-Key), 由用户自己秘密保存,私有密钥持有者对信息进行解密。现代密 码算法将加密密钥与解密密钥区分开来,且由加密密钥事实上求 不出解密密钥。
2020/11/29
第四章电子商务安全技术
请看下面示意图:
我们7月30号去旅游
散列函数
AD3D3DFVAF
Let us meet at 9 o' clock at the secret place
D3b85d710d8f6e4e5e fd4d5e67d041f9cecedafe
2020/11/29
解决办法:数字签名
2020/11/29
第四章电子商务安全技术
数字签名(digital signature)
¨ 在书面文件上签名是确认文件的一种手段,签名的作 用有两点,一是因为自己的签名难以否认,从而确认 了文件已签署这一事实;二是因为签名不易仿冒,从 而确定了文件是真的这一事实。
¨ 数字签名与书面文件签名有相同之处,采用数字签名, 也能确认以下两点: – 信息是由签名者发送的。 – 信息自签名后到收到为止未曾作过任何修改。