搜索
电子商务的安全技术----数字证书主讲:何鑫生邮箱:hxshhy@163.com电话:教学目标教学目标:1.了解数字证书的有关基本概念2.掌握用数字证书进行文件加密和解密3.掌握用数字签名和验证4.了解数字时间戳的概念及应用教学内容1.数字证书及其作用2.数字证书的工作原理①数字证书的加密和解密过程②数字签名和验证过程3.数字时间戳的原理与应用课程引入1:电子商务安全隐患1.信息的截获或窃取2.信息的篡改3.信息的伪造或假冒4.交易的抵赖课程引入2:对称密码体制Alice信息传输Bob密码传输同一密码课程引入3:非对称密码体制Bob的公钥Bob的私钥Alice信息传输Bob一、什么是数字证书?Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。1.数字证书是由一个由权威机构----CA证书授权(CertificateAuthority)中心发行的,可以在互联网中识别的身份一种数字文档。2.数字证书的颁发机构:数字认证中心CA3.CA证书的类型:①个人数字证书②单位数字证书③服务器证书④VPN证书⑤WAP证书⑥代码签名证书4.证书的格式:遵循ITUTX.509国际标准。一个标准的X.509数字证书包含以下一些内容:①证书的版本信息;②证书的序列号,每个证书都有一个唯一的证书序列号;③证书所使用的签名算法;④证书的发行机构名称,命名规则一般采用X.500格式;⑤证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;⑥证书所有人的名称,命名规则一般采用X.500格式;⑦证书所有人的公开密钥;⑧证书发行者对证书的签名。6、数字证书的查看:IE→工具→Internet选项…→内容→证书二、为什么要使用数字证书?1.由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。(隐私安全)2.买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心。(信息安全)3.电子商务系统必须保证具有十分可靠的安全保密技术,必须保证网络安全的四大要素:①即信息传输的保密性②数据交换的完整性③发送信息的不可否认性④交易者身份的确定性。4.数字证书的作用:通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:①信息除发送方和接收方外不被其它人窃取;②信息在传输过程中不被篡改;③发送方能够通过数字证书来确认接收方的身份;④发送方对于自己的信息不能抵赖。三、数字认证1.数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。2.私钥:每个用户自己设定一把特定的仅为本人所知的私有密钥(),用它进行解密和签名;3.公钥:一把由本人可以公开公共密钥,为一组用户所共享,用于加密和验证签名。(一)加密与解密当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。发送方A接收方B加密与解密的传输过程公开密钥对文件进行加密传输的实际过程包括四步:(1)发送方生成一个会话密钥(对称密钥)并用接收方的公开密钥对会话密钥进行加密,然后通过网络传输到接收方;(2)发送方对需要传输的文件用会话密钥进行加密,然后通过网络把加密后的文件传输到接收方;(3)接收方用自己的私有密钥进行解密后得到会话密钥;(4)接收方用会话密钥对文件进行解密得到文件的明文形式。加密过程(图示)(二)数字签名与验证1.传统签名:书面文件上签名是确认文件的一种手段,其作用有两点:①第一,因为自己的签名难以否认,从而确认了文件已签署这一事实;②第二,因为签名不易仿冒,从而确定了文件是真的这一事实。2、数字签名原理①数字签名目的:数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:第一,信息是由签名者发送的;第二,信息自签发后到收到为止未曾作过任何修改。数字签名原理②数字签名原理:A.报文的发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。B.报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的并且报文在传送的过程中没有被改动。C.通过数字签名能够实现对原始报文的鉴别,并具有不可抵赖性。数字签名原理图数字签名原理图3、数字签名与验证过程当发送一份签名文件时,发送方使用自己的私钥签名,而接收方则使用发送方的公钥验证签名。发送方A接收方B4、数字签名和验证的文件传输过程(1)发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密,并把加密后的数字签名附加在要发送的原文后面;(2)发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方;(3)发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方;(4)接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文;(5)接收方用秘密密钥对文件进行解密,得到经过加密的数字签名;(6)接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明文;(7)接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名进行对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。数字签名与验证传输过程(图示)主要用于为文件、报文或其它分组数据产生指纹(三)数字时间戳技术1.电子商务的发展过程中,数字签名技术也有所发展。数字时间戳技术就是数字签名技术的另一种的应用。在电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。2.数字时间戳服务(DTS:digita1timestampservice)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护,由专门的机构提供。如果在签名时加上一个时间标记,即是有数字时间戳(digitaltimestamp)的数字签名。3.时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:①需加时间戳的文件的摘要(digest);②DTS收到文件的日期和时间;③DTS的数字签名。4、时间戳产生的过程①首先,用户将需要加时间戳的文件用Hash编码加密形成摘要②然后,将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。四、数字证书的应用Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:1.发送安全电子邮件2.访问安全站点3.网上招标投标4.网上签约5.网上订购6.安全网上公文传送7.网上缴费8.网上缴税9.网上炒股10.网上购物11.网上报关等五、数字证书的类型1.个人证书2.单位证书(单位证书、单位员工证书)3.服务器证书4.全球服务器证书5.安全邮件证书6.代码签名证书1、个人证书①个人证书:用户使用此证书来向对方表明个人的身份,同时应用系统也可以通过证书获得用户的其他信息。②个人数字证书支持现在主流的浏览器产品(包括MicrosoftIE4.0及后续版本、Netscape4.0及后续版本)和电子邮件客户端软件(包括MicrosoftOutlook等)。③可存放于计算机硬盘、智能卡、USB电子密钥中。2、单位证书①单位证书:颁发给独立的单位、组织,在互联网上证明该单位、组织的身份。②单位数字证书根据各个单位的不同需要,可以分为单位证书和单位员工证书。单位证书对外代表整个单位,单位员工证书对外代表单位中具体的某一位员工。③可存放于计算机硬盘、智能卡、USB电子密钥中。3、服务器证书①服务器证书:主要颁发给Web站点或其他需要安全鉴别的服务器,证明服务器的身份信息。②服务器数字证书支持目前主流的WebServer,包括但不限于:IIS、LotusDomino、Apache、iPlant等Web服务器。③可存放于服务器硬盘或加密硬件设备上。4、全球服务器证书①全球服务器证书:是发放给全球范围网站的数字证书,支持业界所有主流的浏览器和Web服务器,能够轻松地实现网站服务器的身份认证,解决网站访问中的网络钓鱼、网络窃听、数据篡改等安全问题,有力地提高网站的公信度和市场竞争力。②全球服务器证书产品分为两种:SSL全球服务器证书(SSL证书)和增强型验证全球服务器证书(EV证书)。③申请过程简单、方便、快捷,快速实现网站的安全保护。5、安全邮件证书①安全邮件证书:结合使用数字证书和S/MIME技术,对普通电子邮件做加密和数字签名处理②确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。6、代码签名证书①代码签名证书:为软件开发商提供对软件代码做数字签名的技术②主要作用:A.有效防止软件代码被篡改B.使用户免遭病毒与黑客程序的侵扰C.保护软件开发商的版权利益。小结1.数字证书及其作用2.数字证书的工作原理3.数字证书的加密和解密过程4.数字签名和验证过程5.数字时间戳的原理与应用6.数字证书的应用及类型谢谢大家再见