第三章 电子商务信息安全

第三章电子商务信息安全电子商务信息安全要素1电子商务信息安全技术2数字证书与认证中心3信息安全协议43.1电子商务信息安全要素3.1.1信息的保密性信息的保密性是指信息在传输过程或存储过程中不被他人窃取。3.1电子商务信息安全要素3.1.2信息的完整性信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。3.1电子商务信息安全要素3.1.3信息的不可否认性信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。3.1电子商务信息安全要素3.1.4交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的，不是假冒的。3.2电子商务信息安全技术3.2.1信息加密技术加密和解密•加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。•解密是加密的逆过程，即将密文还原成原来可理解的形式。•加密和解密过程依靠两个元素：算法和密钥。算法是加密或解密的一步一步的过程，在这个过程中需要一串数字，这个数字就是密钥。3.2电子商务信息安全技术3.2.1信息加密技术密码系统的构成3.2电子商务信息安全技术3.2.1信息加密技术密码系统的构成密码系统的工作过程是，发送方用加密密钥Ke和加密算法E，对明文M加密，得到的密文C，然后传输密文C。接收方用解密密钥Kd（与加密密钥Ke成对）和解密算法D，对密文解密，得到原来的明文M。3.2电子商务信息安全技术3.2.1信息加密技术密码系统的构成密码系统使用的密码体制，按密钥的形式可以分为两类：通用密钥密码体制和公开密钥密密码体制。3.2电子商务信息安全技术3.2.1信息加密技术通用密钥密码体制通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样的密钥，也称之为“传统密码体制”。3.2电子商务信息安全技术3.2.1信息加密技术公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥（privatekey），而加密密钥完全公开，称为公共密钥（publickey）。该系统也称为“非对称密码体制”。3.2电子商务信息安全技术3.2.2数字摘要和数字签名数字摘要数字摘要（digitaldigest）也称安全Hash（散列）编码法（SHA，SecureHashAlgorithm）或MD5（MD：StandardsforMessageDigest）。3.2电子商务信息安全技术3.2.2数字摘要和数字签名数字摘要该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文也称为数字指纹，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样，这串摘要便可成为验证明文是否“真身”的“指纹”了。数字摘要的应用使信息的完整性（不可修改性）得以保证。3.2电子商务信息安全技术3.2.2数字摘要和数字签名数字签名•数字签名能确认以下两点：其一，信息是由签名者发送的；其二，信息自签发后到收到为止未曾作过任何修改。3.2电子商务信息安全技术3.2.2数字摘要和数字签名数字签名3.2电子商务信息安全技术3.2.2数字摘要和数字签名数字签名①发送方用SHA编码加密产生128bit的数字摘要；②发送方用自己的私人密钥（PrivateKey）对摘要加密，形成数字签名；③将原文和加密的摘要同时传输给对方；④接受方用授信方的公共密钥（PublicKey）对摘要解密，同时对收到的信息用SHA编码加密产生又一摘要；⑤将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比。3.3数字证书与认证中心3.3.1数字证书数字证书原理数字证书（digitalID）又称为数字凭证，数字标识，是一个经证书认证机构（CA）数字签名的包含用户身份信息以及公开密钥信息的电子文件，是用电子手段来证实一个用户的身份和对网络资源访问的权限，是各实体（消费者、商户/企业、银行等）在网上进行信息交流及商务活动的电子身份证。3.3数字证书与认证中心3.3.1数字证书数字证书的类型•个人数字证书•企业（服务器）数字证书•软件（开发者）数字证书3.3数字证书与认证中心3.3.2认证中心基本概念认证中心(CA，CertificationAuthority)就是承担网上安全电子交易认证服务、签发数字证书、并能确认用户身份的服务机构。3.3数字证书与认证中心3.3.2认证中心认证中心的作用•证书的颁发•证书的更新•证书的查询•证书的作废•证书的归档3.3数字证书与认证中心3.3.2认证中心认证分级体系3.3数字证书与认证中心3.3.3数字证书的申请和使用目前，在上海市数字证书认证中心，用户可以申请数字证书。3.3数字证书与认证中心3.3.3数字证书的申请和使用3.4信息安全协议3.4.1SSL安全协议SSL（SecureSocketsLayer）的中译名叫安全套接层协议，是1994年底由Netscape研制并实现。SSL协议的最基本目标是进行服务器/客户机方式进行通讯的两个应用程序之间保证其通讯内容的保密性和数据的完整性。SSL协议层包括两个协议子层：SSL记录协议与SSL握手协议。3.4信息安全协议3.4.1SSL安全协议SSL安全协议提供三个方面的保障：•认证客户机和服务器的合法性。•加密数据以隐藏被传送的数据。•维护数据的完整性。3.4信息安全协议3.4.2SET安全协议SET协议，即“安全电子交易”协议，是为了确保网上交易的安全可靠，由两个国际信用卡集团VISA和MasterCard联合发起制定的。3.4信息安全协议3.4.2SET安全协议SET安全协议提供五个方面的保障：•保证信息在Internet上安全传输。•保证电子商务参与者信息的相互隔离。•解决多方认证问题。•保证网上交易的实时性，使所有的支付过程都是在线的。•要求软件遵循相同协议和消息格式。