電子商務安全技術

6.1電子商務的安全概念電子商務的安全威脅電子商務的安全需求電子商務安全技術電子商務的安全威脅電腦犯罪:50個國家有信息恐怖組織,計算機犯罪增長率152%,銀行搶劫案件減少，英國網絡解密專家小組,美國第三方密鑰管理,………巨大損失:66萬美元/每次計算機犯罪,26美元/每次搶劫，國防，銀行，證券

網絡戰爭:中美網絡之戰電子商務的安全威脅系統破壞信息竊取信息竄改非法侵入非法冒用信息抵賴網絡安全攻擊中斷→可用性介入→機密性篡改→真確性假造→真實性電子商務安全機密性個體識別性真確性不可抵賴性電子商務的安全需求計算機系統安全網絡系統安全信息安全電子商務交易安全電子商務安全技術加密技術（Encryption)報文摘要(MessageDigest)數字簽名(DigitalSignature)安全協議(SecureProtocol)認證技術(AuthenticationCertificate)防火墻(Firewall)6.2密碼學基礎密碼與密碼學密碼系統及分類密碼算法數字簽名密碼與密碼學密碼（Cryptogram):它與“明碼”相對，用基于數學算法的程序和保密的密鑰對信息進行編碼，生成難以理解的字符串。

密碼學（Cryptography):研究加密的科學，密碼學是數字數據的實際保護、控制和標識

密碼分析（Cryptanalysis):密碼分析學是由被開發用來破壞、避開和／或破解第一部分（密碼）試圖完成的工作的所有嘗試組成的

密碼系統加密系統解密系統密碼分析明文(M)加密密鑰(K1)解密密鑰(K2)密文(C)明文(M)明文(M)加密系統的分類對稱式加密系統（K1=K2)也稱為私鑰（PrivateKey)系統非對稱式加密系統（K1<>K2)也稱為公鑰（PublicKey)系統混合加密系統，即采用公鑰對私鑰進行加密，用私鑰對信息進行加密。加密算法古典密碼算法數據加密標準（DES)RSA公鑰密碼系統古典密碼算法移位加密算法（愷撒密碼）詞組密鑰密碼分組密鑰密碼移位加密算法（愷撒密碼）對于任意密鑰k將明文的每個字母循環后移k位得到密文，例如：設k=3明文：securemessage密文：vhfxuhphvvdjh詞組密鑰密碼密鑰為２６字母的詞組，置換規則為：

abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：osvqnshsoofas分組加密算法設k為n位二進制數，將明文長度為n的分組進行加密，加密過程為：encryptm1…mnk1…knc1…cn數據加密標準（DES)

DES是由IBM公司在1970年研制的，1977年1月15日美國國家標準局批準為作為非機密機構的加密標準。DES是采用傳統換位與置換的加密方法的分組密碼系統，其基本原理是：混淆：將名文轉化成其他樣子擴散：明文中的任何一個小地方的變更都將擴散到密文的各部分DES的特點加解密速度快可以結合硬件加密密鑰的傳輸必須安全，不能和密文使用相同的傳輸渠道RSA公鑰密碼系統R.Rivest、A.Shamir、L.Adleman，1977RSADataSecurityInc.,RSALab.1982RSA公司和RSA實驗室在公開密鑰密碼系統的研究和商業應用推廣方面有舉足輕重的地位。RSA密碼系統的實現加密系統解密系統明文(M)乙方公鑰乙方密鑰密文(C)明文(M)甲方乙方RSA算法的安全性：n該多大？最簡單的考慮是加厚我們的“盾”，即n

取得更大。RSA實驗室認為，512比特的n已不安全，在1998年后應停止使用。RSA實驗室建議個人應用需用768比特的n,公司要用1026比特的n，極其重要的場合應該用2068比特的n。RSA實驗室還認為，768比特的n可望到2006年保持安全。RSA的特點解密速度慢密鑰生成費時初期系統成本高數字簽名保證信息的完整性保證信息來源的可靠性保證信息的不可否認性用公鑰系統實現數字簽名簽名系統驗證系統明文(M)甲方密鑰甲方公鑰密文(C)明文(M)甲方乙方報文摘要(MessageDigest)算法報文摘要算法，即生成數字指紋的方法在數字簽名中有重要作用。報文摘要算法是一類特殊的散列函數（hash函數），要求：接受的輸入報文數據沒有長度的限制；對任何輸入報文數據生成固定長度數字指紋輸出；由報文能方便地算出摘要；難以對指定的摘要生成一個報文,由該報文可以得出指定的摘要；難以生成兩個不同的報文具有相同的摘要。報文摘要算法的適用性和單向性報文摘要(MessageDigest)算法MD5從八十年代末到九十年代，Rivest開發了好幾種RSA公司專有的報文摘要算法，包括MD、MD2、MD5等。MD5生成的“數字指紋”長128bits。1996年有一個研究報告稱，可以花費$10,000,000去制造一臺專門機器，針對MD5搜索兩個不同的報文具有相同的摘要，即“碰撞”，平均用26天才能找到一個碰撞。至今，MD5仍被認為是一個安全的報文摘要算法。報文摘要數字簽名系統摘要簽名簽名驗證摘要驗證報文報文+摘要報文+簽名摘要6.3電子商務安全協議技術Internet安全協議認證技術防火墻技術計算機系統安全Internet的安全協議安全Internet協議結構（SecureSocketLayer)SSL安全Internet協議結構鏈路層安全協議網絡層安全協議傳輸層安全協議應用層安全協議LinkEncryptionIPSECSSLSHTTP，PEMSSL協議1.ClientsendsClentHellomessage2.ServeracknowledgeswithServerHellomessage3.Serversendsitscertificate6.ServerrequestsClient‘scertificate5.Clientsendsitscertificate6.ClientsendsClentKeyExchangemessage7.ClientsendsCertificateVerifymessage8.BothsendChangeCipherSpecmessages9.BothsendFinishedmessageClientServer認證技術帳號與口令認證地址認證加密認證集中認證認證中介帳號與口令認證喂！我是張三，我的密碼是zspswdInternet地址認證喂！我的IP地址是7Internet地址授權表05166.111.78.675...加密認證產生一隨機數RR將R簽名得XX對簽名進行校驗SYAB產生一隨機數S將S簽名得Y對簽名進行校驗集中認證服務器A服務器B服務器C認證服務器用戶登錄認證用戶口令及權限管理鑰匙分發中心(KDC)KDCHostAHostBHostCHostDKaKbKcKdKabKbcKcdKad認證中心與數字證書公開鑰匙持有證書序號:1238038持有者:張三公共鑰匙:36567566565有效日期:2000.12.31發證機關簽名:563563566公開鑰匙持有證書序號:12380567持有者:李六公共鑰匙:66576675675有效日期:2000.12.31發證機關簽名:566567876Internet認證中心(CA)公鑰認證系統的基礎設施（PKI)RootCABrandCABrandCAPersonalCASiteCAMerchantCASoftwareCA防火墻技術什么是防火墻（Firewall)防火墻的實現機制什么是防火墻（Firewall)InternetInternetLANLANFirewall防火墻的體系結構雙重宿主主機屏蔽主機屏蔽子網雙重宿主主機網絡接口網絡接口應用程序轉發器Internet雙宿主防火墻內部網堡壘主機Internet