第四讲电子商务安全.pptx
《第四讲电子商务安全.pptx》由会员分享,可在线阅读,更多相关《第四讲电子商务安全.pptx(81页珍藏版)》请在咨信网上搜索。
1、2024/8/23 周五1目录n电子商务安全概述n信息加密技术n信息认证技术n数字证书与CA认证中心nSSL协议n其他电子商务安全2024/8/23 周五2第一节 电子商务安全概述n电子商务的安全威胁n信息在网络的传输过程中被截获n传输的文件可能被篡改n伪造电子邮件n假冒他人身份n不承认已经做过的交易,抵赖2024/8/23 周五3n电子商务的主要安全要素n有效性n机密性n完整性n可靠性/不可抵赖性/鉴别n审查能力2024/8/23 周五4n主要安全技术及其标准规范n加密技术n密钥管理技术n数字签名nInternet电子邮件安全协议n安全电子交易规范(SET)n2024/8/23 周五5第二节
2、 信息加密技术n这仅仅是单纯的图画吗?2024/8/23 周五6n这样的数字毫无意义么?2024/8/23 周五7n加密的基本概念n加密与解密n所谓加密就是通过密码算术对数据(明文)进行转化,使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。n解密是加密的逆过程。2024/8/23 周五8n算法和密钥 n算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来控制对数据进行编码和解码方法的参数。2024/8/23 周五9n加密的类型n不考虑解密问题n对称加密n非对称加密2024/8/23 周五10n密码体制
3、的要求u从截获的密文或明文密文对,要确定密钥或任意明文在计算机上是不可行的。u系统的保密性只依赖于密钥而不依赖于对加密体制的保密,换句话说加密体制可以对外公开而不影响系统的保密性。u加密和解密算法适用于所有密钥空间中的元素。u系统易于实现而且使用方便。2024/8/23 周五11n对称密钥加密n对称钥匙加密系统是加密和解密均采用同一把秘密钥匙,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。2024/8/23 周五12nDES密码体制n最有名的密码算法 n第一个被公开的现代密码 n由IBM于1971年至1972年研制成功 n分组长度:64比特n密钥长度:56比特n目前DES已被视为不安全,普
4、遍使用的是变种triple DES,即对64比特分组加密三次,每次用不同的密钥,密钥长度总共168比特。2024/8/23 周五13n比较著名的对称加密算法算法注释Blowfish块加密;布鲁斯施奈尔(Bruce Schneier)提出DES块加密;7 0年代提出IDEA块加密(被认为是现有最好的算法)RC2RC4RC5RC6块加密;R S A公司提出流加密块加密块加密Triple DES使用三个密钥的加密、解密、加密序列2024/8/23 周五14n非对称加密体制n非对称加密体制又称为双钥密钥体制或公开密钥体制。在该体制中,加密密钥(又称公开密钥)PK是对外公开的,加密算法E和解密算法D也是
5、公开的,但解密密钥(又称秘密密钥)SK是保密的。虽然SK是由PK决定的,但却不能根据PK计算出SK。2024/8/23 周五15公开密钥算法具有以下特点用加密密钥PK对明文X加密后,再用解密密钥SK解密即得明文,即DSK(EPK(X)=X;加密密钥不能用来解密,即DPK(EPK(X)X;在计算机上可以容易地产生成对的PK和SK,但从已知的PK不可能推导出SK。2024/8/23 周五162024/8/23 周五17nRSA体制nRSA算法是由Rivest,Shamir和Adleman于1978年提出的,曾被ISO/TC97的数据加密委员会SC20推荐为公开数据加密标准。nRSA体制是根据寻求两
6、个大素数容易,而将他们的乘积分解开则极其困难这一原理来设计的。2024/8/23 周五18nRSA中的密钥2024/8/23 周五19nRSA中的加密与解密2024/8/23 周五20nRSA中密钥中参数的选择2024/8/23 周五21nRSA密码体制算例2024/8/23 周五22nRSA算法的安全性nRSA安全性取决于对模n因数分解的困难性。n1999年8月,荷兰国家数学与计算机科学研究所家们的一组科学家成功分解了512bit的整数,大约300台高速工作站与PC机并行运行,整个工作花了7个月。2024/8/23 周五23n1999年9月,以色列密码学家Adi Shamir设计了一种名叫“
7、TWINKLE”的因数分解设备,可以在几天内攻破512bit的RSA密钥。(但要做到这一点,需要300-400台设备,每台设备价值5000美圆)。n现有的RSA密码体制支持的密钥长度有512、1024、2048、4096等。2024/8/23 周五24n两种密钥体制的优缺点比较n对称加密体制的编码效率高n对称密码体制在密钥分发与管理上存在困难,而非对称密码体制可以很好的解决这个问题2024/8/23 周五25n比较著名的非对称加密算法算法算法注释注释ECCLUCRSA块加密;RSA公司提出2024/8/23 周五26n两种密钥一起使用2024/8/23 周五27n数字信封n数字信封的工作流程数
8、字信封的生成2024/8/23 周五282024/8/23 周五29第三节 信息认证技术n攻击密码系统的两种方式n被动攻击n敌手只是对截获的密文进行分析而已。n主动攻击n敌手通过采取删除、增添、重放、伪造等手段主动向系统注入假消息。2024/8/23 周五30n信息认证的目的n验证信息的发送者是真正的而不是假冒的;n验证信息的完整性,即验证信息在传送或存储中未被篡改、重放或延迟。2024/8/23 周五31n对认证体制的要求n意定的接受者能够检验和证实消息的合法性、真实性和完整性。n消息的发送者不能够对所发的消息不能够抵赖,有时也要求消息的接受者不能否认所收到的消息。n除了合法的消息发送者外,
9、其他人不能伪造合法的消息。2024/8/23 周五32n与信息认证相关的技术n数字摘要n数字签名技术n数字信封n数字时间戳2024/8/23 周五33n数字摘要n数字摘要简要地描述了一份较长的信息或文件,它可以被看作一份长文件的“数字指纹”。信息摘要用于创建数字签名,对于特定的文件而言,信息摘要是唯一的。信息摘要可以被公开,它不会透露相应文件的任何内容。2024/8/23 周五34n摘要函数n又称杂凑函数、杂凑算法或哈希函数,就是把任意长度的输入串变化成固定长度的输出串的一种函数。2024/8/23 周五35n摘要函数的安全性n输入长度是任意的;n输出长度是固定的,根据目前的计算技术至少取12
10、8比特长,以便抵抗生日攻击;n对每一个给定的输入,计算输出即杂凑值是很容易的;n(a)给定杂凑函数的描述,找到两个不同的输入消息杂凑到同一个值在计算上是不可行的,或(b)给定杂凑憾事的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得他们杂凑到同一个值在计算上是不可行的。2024/8/23 周五36n数字摘要的作用n用于验证信息的完整性。2024/8/23 周五37n比较著名的摘要算法算法注释MD2目前已放弃;RSA公司提出MD4目前已不安全;128位散列值;RSA公司提出MD5能提供较好的保密;128位散列值;RSA公司提出SHA1SHA的替代算法;160位散列值2024/8/23
11、周五38n数字签名n什么是数字签名n数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。2024/8/23 周五39n数字签名n数字签名的作用n保证信息完整 n信息发送者身份的验证 2024/8/23 周五40n 数字签名工作流程(a)生成数字签名流程 2024/8/23 周五41(b)验证数字签名流程 2024/8/23 周五422024/8/23 周五43n数字时间戳 n什么是数字时间戳?n数字时戳服务(DTS)采用强加密措施颁发时戳,该时戳将一个具体的日期和时间与数字文件关联在一起。数字时戳可以在以后的某个日期里用于证明在时戳所著
12、的时间确实有这么一个电子文件存在。2024/8/23 周五442024/8/23 周五45第四节 数字证书与CA认证体系n数字证书n什么是数字证书?nDigital ID也称数字证书,把身份与电子密钥对绑定,该密钥对可以对信息进行加密和签名。数字证书可以用于鉴别某人是否有权使用某个指定的密钥,也可以防止人们使用假冒的密钥来冒充他人。数字证书与密码术一起提供更为完整的安全性。n数字证书由CA颁发,并利用CA的私钥签名。2024/8/23 周五46n数字证书的内容 n数字证书一般包含以下内容:用户的公钥 用户名 公钥的有效期 CA颁发者(颁发数字证书的CA)数字证书的序列号 颁发者的数字签名 20
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第四 电子商务 安全
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。