安全电子商务技术基础.ppt

1、安全电子商务技术基础安全电子商务技术基础主讲人：张会平博士主讲人：张会平博士20112011年年0707月月2222日日课程大纲课程大纲课程大纲课程大纲电子商务的安全需求电子商务的安全需求1信息加密技术信息加密技术2安全认证技术安全认证技术34安全应用协议安全应用协议网络安全技术网络安全技术51 1 1 1 电子商务的安全需求电子商务的安全需求电子商务的安全需求电子商务的安全需求电子商务的内涵电子商务的内涵1.1Information的内涵的内涵1.2电子商务安全的要求电子商务安全的要求1.3电子商务安全技术体系电子商务安全技术体系1.41.1 1.1 1.1 1.1 电子商务的内涵电子商务的

2、内涵电子商务的内涵电子商务的内涵电子商务电子商务电子电子商务商务=+信息流信息流物流物流资金流资金流1.2 Information1.2 Information1.2 Information1.2 Information的内涵的内涵的内涵的内涵informationinformationinforminformformform：由人及物：由人及物：由神及人：由神及人：由师及徒：由师及徒：由人及人：由人及人编编 码码传传 输输解解 码码从安全角度看：确保从安全角度看：确保WhoWho，WhatWhat，WhereWhere，WhenWhen1.3 1.3 1.3 1.3 电子商务安全的要求电子商

3、务安全的要求电子商务安全的要求电子商务安全的要求保密性保密性完整性完整性不可抵赖性不可抵赖性真实性真实性可靠性可靠性1.4 1.4 1.4 1.4 电子商务安全技术体系电子商务安全技术体系电子商务安全技术体系电子商务安全技术体系电子商务业务系统电子商务业务系统电子商务支付系统电子商务支付系统 安全应用协议安全应用协议SET、SSL、S/HTTP、S/MIME 安全认证技术安全认证技术数字摘要、数字签名、数字信封、数字摘要、数字签名、数字信封、CA证书证书 信息加密技术信息加密技术非对称密钥加密、对称密钥加密、非对称密钥加密、对称密钥加密、DES、RSA 安全策略、防火墙、查杀病毒、虚拟专用网安

4、全策略、防火墙、查杀病毒、虚拟专用网安全应用安全应用信息安全信息安全网络安全网络安全2 2 2 2 信息加密技术信息加密技术信息加密技术信息加密技术密码学概述密码学概述2.1对称密钥密码体制对称密钥密码体制2.2公开密钥密码体制公开密钥密码体制2.3两种密码体制的比较两种密码体制的比较2.42.1 2.1 2.1 2.1 密码学概述密码学概述密码学概述密码学概述基本概念基本概念2.1.1凯撒密码凯撒密码2.1.2密码体制密码体制2.1.32.1.1 2.1.1 2.1.1 2.1.1 基本概念基本概念基本概念基本概念加密加密：将数据进行编码，使它成为一种不可理解的：将数据进行编码，使它成为一种

5、不可理解的形式，这种不可理解的内容叫形式，这种不可理解的内容叫密文密文解密解密：将密文还原成原来可理解的形式，即：将密文还原成原来可理解的形式，即明文明文；解密是加密的逆过程解密是加密的逆过程加密和解密过程依靠两个元素，缺一不可：算法和加密和解密过程依靠两个元素，缺一不可：算法和密钥。密钥。算法算法是加密或解密的一步一步的过程；在这是加密或解密的一步一步的过程；在这个过程中需要一串数字，这个数字就是个过程中需要一串数字，这个数字就是密钥密钥2.1.2 2.1.2 2.1.2 2.1.2 凯撒密码凯撒密码凯撒密码凯撒密码凯撒密码：明文中的所有字母都在字母表上向后或凯撒密码：明文中的所有字母都在字

6、母表上向后或向前按照一个固定数目进行偏移后被替换成密文向前按照一个固定数目进行偏移后被替换成密文加密算法：加密算法：解密算法：解密算法：2.1.3 2.1.3 2.1.3 2.1.3 密码体制密码体制密码体制密码体制密码体制：一个加密系统所采用的基本工作方式密码体制：一个加密系统所采用的基本工作方式密码体制的两个基本构成要素：算法和密钥密码体制的两个基本构成要素：算法和密钥现代密码体制的一个基本原则是：一切秘密寓于密现代密码体制的一个基本原则是：一切秘密寓于密钥之中；算法可以公开钥之中；算法可以公开对称密钥秘密体制对称密钥秘密体制公开密钥秘密体制公开密钥秘密体制凯撒密码非常容易破解：穷举法凯撒

7、密码非常容易破解：穷举法密钥越长，加密系统越牢固；密钥越长，加密系统越牢固；1616位密钥和位密钥和100100密钥密钥2.2 2.2 2.2 2.2 对称密钥密码体制对称密钥密码体制对称密钥密码体制对称密钥密码体制基本概念基本概念2.2.1数据加密标准（数据加密标准（DES）2.2.2高级加密标准（高级加密标准（AES）2.2.32.2.1 2.2.1 2.2.1 2.2.1 基本概念基本概念基本概念基本概念对称密钥密码体制：加密密钥和解密密钥相同对称密钥密码体制：加密密钥和解密密钥相同密钥管理困难密钥管理困难密钥传递困难密钥传递困难2.2.2 2.2.2 2.2.2 2.2.2 数据加密标

8、准（数据加密标准（数据加密标准（数据加密标准（DESDESDESDES）DESDES：使用一个：使用一个 56 56 位的密钥以及附加的位的密钥以及附加的 8 8 位奇偶位奇偶校验位，产生最大校验位，产生最大 64 64 位的分组大小位的分组大小以现代计算能力，以现代计算能力，2424小时内即可能被破解小时内即可能被破解Triple DESTriple DESAESAES2.2.3 2.2.3 2.2.3 2.2.3 高级加密标准（高级加密标准（高级加密标准（高级加密标准（AESAESAESAES）AESAES：区块长度固定为：区块长度固定为128 128 位，密钥长度则可以是位，密钥长度则可

9、以是128128，192192或或256256位位2.3 2.3 2.3 2.3 公开密钥密码体制公开密钥密码体制公开密钥密码体制公开密钥密码体制基本概念基本概念2.3.1RSA2.3.2RSA举例举例2.3.32.3.1 2.3.1 2.3.1 2.3.1 基本概念基本概念基本概念基本概念公开密钥密码体制：加密密钥和解密密钥不相同公开密钥密码体制：加密密钥和解密密钥不相同密钥生成密钥生成密钥管理密钥管理2.3.2 RSA2.3.2 RSA2.3.2 RSA2.3.2 RSA原理：已知两个互素的大素数的乘积，求解两个素原理：已知两个互素的大素数的乘积，求解两个素数极为困难数极为困难2.3.3

10、RSA2.3.3 RSA2.3.3 RSA2.3.3 RSA举例举例举例举例（1 1）取两个质数）取两个质数p=11,q=13p=11,q=13；（2 2）得到）得到 n=p*q=143 n=p*q=143；（3 3）算出另一个数）算出另一个数 (n(n)=(p-1)*(q-1)=120)=(p-1)*(q-1)=120；（4 4）再选取一个与）再选取一个与(n(n)=120)=120互质的数，如设互质的数，如设e=7e=7，满足：满足：e*d1 mod e*d1 mod(n(n)，得到，得到d=103d=103；（5 5）（）（n n，e e）和（）和（n n，d d）这两组数分别为：）这两

11、组数分别为：“公开密钥（公开密钥（143143，7 7）”和和“秘密私钥（秘密私钥（143143，103103）”（6 6）加密：设明文）加密：设明文x=85x=85，用公开密钥加密得到密文，用公开密钥加密得到密文y y：y=y=x xe e mod n=85 mod n=857 7 mod 143=123 mod 143=123（7 7）解密：用秘密私钥计算：）解密：用秘密私钥计算：x=yx=yd d mod n=123 mod n=123103103 mod 143=85 mod 143=852.4 2.4 2.4 2.4 两种密码体制的比较两种密码体制的比较两种密码体制的比较两种密码体制

12、的比较对称密钥密码体制：加密速度快，适用于对较大数对称密钥密码体制：加密速度快，适用于对较大数据量的信息加密，如对信息文档加密等据量的信息加密，如对信息文档加密等公开密钥密码体制：加密速度较慢，适用于对较小公开密钥密码体制：加密速度较慢，适用于对较小数据量的信息加密，如对对称密钥加密等数据量的信息加密，如对对称密钥加密等3 3 3 3 安全认证技术安全认证技术安全认证技术安全认证技术数字摘要与数字签名数字摘要与数字签名3.1数字时间戳数字时间戳3.2数字证书数字证书3.3认证机构（认证机构（CA）3.43.1 3.1 3.1 3.1 数字摘要与数字签名数字摘要与数字签名数字摘要与数字签名数字摘

13、要与数字签名数字摘要数字摘要3.1.1数字签名数字签名3.1.2数字信封数字信封3.1.33.1.1 3.1.1 3.1.1 3.1.1 数字摘要数字摘要数字摘要数字摘要源源文文件件数数字字摘摘要要数数字字摘摘要要源源文文件件数数字字摘摘要要Hash算法算法Hash算法算法对比对比发送端发送端接收端接收端因特网因特网因特网因特网3.1.2 3.1.2 3.1.2 3.1.2 数字签名数字签名数字签名数字签名数字摘要数字摘要对比A方方B方方A私钥哈希算法数字摘要数字签名A公钥哈希算法明文明文明文数字签名数字签名3.1.3 3.1.3 3.1.3 3.1.3 数字信封数字信封数字信封数字信封对称密

14、钥明文密文密钥密文密文密钥密文明文对称密钥B方私钥B方公钥对称密钥A方方B方方3.2 3.2 3.2 3.2 数字时间戳数字时间戳数字时间戳数字时间戳源源文文件件数数字字摘摘要要数数字字摘摘要要数数字字摘摘要要+时时间间新新摘摘要要数数字字摘摘要要+时时间间数数字字时时间间戳戳数数字字时时间间戳戳Hash算法算法Hash算法算法加时间加时间第三方私钥加密第三方私钥加密发送方发送方第三方第三方3.3 3.3 3.3 3.3 数字证书数字证书数字证书数字证书数字证书的概念数字证书的概念3.3.1数字证书的内容数字证书的内容3.3.2数字证书的类型数字证书的类型3.3.33.3.1 3.3.1 3.

15、3.1 3.3.1 数字证书的概念数字证书的概念数字证书的概念数字证书的概念数字证书：是一个担保个人、计算机系统或者组织数字证书：是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档的身份和密钥所有权的电子文档 数字证书采用公开密钥密码体制数字证书采用公开密钥密码体制3.3.2 3.3.2 3.3.2 3.3.2 数字证书的内容数字证书的内容数字证书的内容数字证书的内容数字证书的格式一般采用数字证书的格式一般采用X.509X.509国际标准；数字证国际标准；数字证书的主要内容有：书的主要内容有：证书的版本信息证书的版本信息 证书的序列号证书的序列号 证书所使用的签名算法证书所使用的签

16、名算法 证书的发行机构名称证书的发行机构名称 证书的有效期证书的有效期 证书所有人的名称证书所有人的名称 证书所有人的公开密钥证书所有人的公开密钥 证书发行者的签名证书发行者的签名3.3.3 3.3.3 3.3.3 3.3.3 数字证书的类型数字证书的类型数字证书的类型数字证书的类型 按使用者划分：按使用者划分：客户证书、商家证书、网关证书、客户证书、商家证书、网关证书、CACA系统证书系统证书 按技术划分：按技术划分：电子邮件数字证书电子邮件数字证书基于基于SSLSSL协议的数字证书协议的数字证书基于基于SETSET协议的数字证书协议的数字证书3.4 3.4 3.4 3.4 认证机构（认证机

17、构（认证机构（认证机构（CACACACA）CA的概念的概念3.4.1CA的功能的功能3.4.2CA的组成的组成3.4.3我国的认证机构我国的认证机构3.4.43.4.1 CA3.4.1 CA3.4.1 CA3.4.1 CA的概念的概念的概念的概念CA(Certification Authority)CA(Certification Authority)：承担网上安全电：承担网上安全电子交易认证服务、能签发数字证书并能确认用户身子交易认证服务、能签发数字证书并能确认用户身份的服务机构份的服务机构CACA的职责：解决公钥的信任问题，即证明主体的身的职责：解决公钥的信任问题，即证明主体的身份以及它与

18、公钥的匹配关系份以及它与公钥的匹配关系CACA是第三方认证机构是第三方认证机构3.4.2 CA3.4.2 CA3.4.2 CA3.4.2 CA的功能的功能的功能的功能签发数字证书签发数字证书CACA密钥的管理密钥的管理接受证书申请，审核申请者身份接受证书申请，审核申请者身份证书管理证书管理提供证书和证书状态的查询提供证书和证书状态的查询3.4.3 CA3.4.3 CA3.4.3 CA3.4.3 CA的组成的组成的组成的组成3.4.4 3.4.4 3.4.4 3.4.4 我国的认证机构我国的认证机构我国的认证机构我国的认证机构第一类是行业性的第一类是行业性的CACA，如中国金融认证中心，如中国金

19、融认证中心（CFCACFCA）、海关）、海关CACA、商务部、商务部CACA（国富安（国富安CACA）等，这）等，这些些CACA是由相应行业的主管部门牵头建立的是由相应行业的主管部门牵头建立的第二类是地方性第二类是地方性CACA，如北京，如北京CACA、上海、上海CACA、浙江、浙江CACA等，等，这些这些CACA是由当地地方政府牵头建立的是由当地地方政府牵头建立的第三类第三类CACA是商业性是商业性CACA，如天威诚信，如天威诚信CACA。这类。这类CACA进行进行商业化经营，并不从属于任何行业或地域，但它们商业化经营，并不从属于任何行业或地域，但它们也必须具有良好的公信力，必须由国家主管部

20、门审也必须具有良好的公信力，必须由国家主管部门审批通过才能投入运营，以确保其权威、公正性批通过才能投入运营，以确保其权威、公正性4 4 4 4 安全应用协议安全应用协议安全应用协议安全应用协议安全套接层协议安全套接层协议（SSL协议）协议）4.1安全电子交易协议（安全电子交易协议（SET协议）协议）4.2SSL协议和协议和SET协议的比较协议的比较4.34.1 4.1 4.1 4.1 安全套接层协议（安全套接层协议（安全套接层协议（安全套接层协议（SSLSSLSSLSSL协议协议协议协议）SSL协议概述协议概述4.1.1SSL协议的原理协议的原理4.1.2SSL协议中的加密与认证协议中的加密与

21、认证4.1.3基于基于SSL协议的交易过程协议的交易过程4.1.44.1.1 SSL4.1.1 SSL4.1.1 SSL4.1.1 SSL协议概述协议概述协议概述协议概述SSLSSL协议协议：工作于网络会话层（：工作于网络会话层（Socket LayerSocket Layer）上）上4.1.2 SSL4.1.2 SSL4.1.2 SSL4.1.2 SSL协议的原理协议的原理协议的原理协议的原理SSLSSL协议协议包括：包括：SSLSSL记录协议和记录协议和SSLSSL握手协议握手协议SSLSSL记录协议：建立在可靠的传输协议（如记录协议：建立在可靠的传输协议（如TCPTCP）之）之上，为高层

22、协议提供数据封装、压缩、加密等基本上，为高层协议提供数据封装、压缩、加密等基本功能的支持功能的支持SSLSSL握手协议：建立在握手协议：建立在SSLSSL记录协议之上，用于在实记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等商加密算法、交换加密密钥等4.1.3 SSL4.1.3 SSL4.1.3 SSL4.1.3 SSL协议中的加密与认证协议中的加密与认证协议中的加密与认证协议中的加密与认证SSLSSL协议支持很多的加密算法，协议支持很多的加密算法，例如例如DESDES、RC2RC2、RC4RC4、IDEA

23、IDEA等等SSLSSL协议采用的是协议采用的是X.509X.509电子证书标准，通过电子证书标准，通过RSARSA算算法来实现数字签名法来实现数字签名，包括：，包括：服务器认证服务器认证阶段；阶段；客户端认证阶段客户端认证阶段如果在连接中服务器端也要求客户端的认证的话，如果在连接中服务器端也要求客户端的认证的话，则服务器端就会要求客户端出示自己的证书则服务器端就会要求客户端出示自己的证书4.1.4 4.1.4 4.1.4 4.1.4 基于基于基于基于SSLSSLSSLSSL协议的交易流程协议的交易流程协议的交易流程协议的交易流程4.2 4.2 4.2 4.2 安全电子交易协议（安全电子交易协

24、议（安全电子交易协议（安全电子交易协议（SETSETSETSET协议）协议）协议）协议）SET协议概述协议概述4.2.1SET协议中的角色协议中的角色4.2.2SET协议中的双重签名技术协议中的双重签名技术4.2.3基于基于SET协议的交易流程协议的交易流程4.2.44.2.1 SET4.2.1 SET4.2.1 SET4.2.1 SET协议概述协议概述协议概述协议概述SETSET协议协议是一个基于可信的第三方认证中心的方案是一个基于可信的第三方认证中心的方案SETSET协议的主要目标包括三个方面：协议的主要目标包括三个方面：保障付款安全保障付款安全确定应用的互通性确定应用的互通性达到全球市场

25、的接受性达到全球市场的接受性SETSET协议详细而准确地反映了交易各方之间的关系协议详细而准确地反映了交易各方之间的关系4.2.2 SET4.2.2 SET4.2.2 SET4.2.2 SET协议中的角色协议中的角色协议中的角色协议中的角色持卡人持卡人发卡机构发卡机构商家商家收单银行收单银行支付网关支付网关认证机构认证机构4.2.2 SET4.2.2 SET4.2.2 SET4.2.2 SET协议中的双重签名技术协议中的双重签名技术协议中的双重签名技术协议中的双重签名技术4.2.4 4.2.4 4.2.4 4.2.4 基于基于基于基于SETSETSETSET协议的交易流程协议的交易流程协议的交

26、易流程协议的交易流程4.3 SSL4.3 SSL4.3 SSL4.3 SSL协议和协议和协议和协议和SETSETSETSET协议的比较协议的比较协议的比较协议的比较5 5 5 5 网络安全技术网络安全技术网络安全技术网络安全技术防火墙防火墙5.1虚拟专用网虚拟专用网5.2病毒防护技术病毒防护技术5.35.1 5.1 5.1 5.1 防火墙防火墙防火墙防火墙允允 许许拒拒 绝绝监监 测测数据包过滤数据包过滤应用级网关应用级网关代理服务器代理服务器5.2 5.2 5.2 5.2 虚拟专用网虚拟专用网虚拟专用网虚拟专用网虚拟专用网（虚拟专用网（VPNVPN）：利用公共网络构建专用网络）：利用公共网络构建专用网络5.3 5.3 5.3 5.3 病毒防护技术病毒防护技术病毒防护技术病毒防护技术预防病毒技术预防病毒技术检测病毒技术检测病毒技术杀除病毒技术杀除病毒技术