2020/11/29
第四章电子商务安全技术
第二.公钥可帮助我们实现数字签名。
客户
认证中心
商家
因为客户密钥是他唯一所有的，也就是说，除了该 客户能产生这样的密文外，其他的客户是不能产生这样 的密文的，也就是说订单是被客户签名了的，商家从而 可以进行身份认证。
假如客户抵赖发给商家的订单，商家可以去认证中 心鉴别， 通过这样的方法，保证了交易的不可抵赖性。
2020/11/29
第四章电子商务安全技术
客户信息的安全威胁
（1）活动页面
嵌套在HTML中的程序，也将构成客户信息安 全的重大威胁。远程客户可以通过嵌套的恶意 程序，读取用户页面的信息，甚至是保留在 Cookie程序中的信用卡用户及密码信息。
（2）浏览器的插件
但如果是一些无数字证书，或者是一些不 健康的网站的插件，通常带有安全的威胁。这 些插件中可能会有病毒，会有恶意攻击程序， 会改写你的注册表等等。
2020/11/29
第四章电子商务安全技术
传输信道的安全威胁
¨ （1）窃听：随着科学技术的不断发展，窃听 的涵义早已超出隔墙偷听、截听电话的概念， 它是指借助于技术设备、技术手段，不仅窃取 语音信息，还窃取数据、文字、图象等信息。
¨ （2）中断：在通信过程中，通信双方受到第 三方干扰，造成通信中断。
第四章电子商务安全技术
问题： 散列算法是公开的，如何有人修改了订单中的送
货地址和商品数量，重新生成信息摘要，然后把修改后 的信息和新的信息摘要发给商家。商家收到信息后检查， 发觉是匹配的，也就是说，修改后也没人发现。
那么，我们该如何提出改进方案，保证发信息的 人是商家所期待的客户？就是说，我们要让商家能确认 发送订单的客户的身份。
5.理解一个安全的电子商务交易需要有哪些保证。理解电子商务交 易安全的技术保证，熟悉安全交易协议主要包括那几个方面的 内容。
2020/11/29
第四章电子商务安全技术
4.1 电子商务安全概述
电子商务安全所面临的威胁 : 一是对客户信息的安全威胁 二是对传输链路的安全威胁 三是对电子商务服务器的安全威胁
2020/11/29
第四章电子商务安全技术
如何破解这类的密文？？？？
由于英文字母中各字母出现的频度早已有人进行 过统计，所以根据字母频度表可以很容易对这种代替 密码进行破译。
2020/11/29
第四章电子商务安全技术
再看一个加密的例子： 中国的网络企业70%以上没有信息安全保障 密钥：864513279
¨ 在计算机上可以容易的产生成对的Pk和Sk ¨ 从已知的Pk实际上不可能推导出Sk，即从Pk到
Sk是计算上不可能的。 ¨ 加密和解密算法都是公开的。
2020/11/29
第四章电子商务安全技术
非对称加密示意图
请看非对称加密如何工作的
我要给 你的信息
你的公钥 加密
通信网
你收到 的信息
你的私钥 解密
2020/11/29
2020/11/29
第四章电子商务安全技术
4.2 加密技术
看下面例子：代换密码（一个或一组代替另外一个或 一组字符）
原文：ABC DEFGHIJKLMNOPQRSTUVWXYZ
密文： XYZ ABCDEFGHIJKLMNOPQRSTUVW
前移3字符位
例如：网络传输CHINA，对应加密后是：
ZEFKX
864513 2 79 中 国 的 网 络 企 业 70 % 以上信息安全 没 有保 障
密文为：络安业没企全的信网息国上70 %有中以保障
2020/11/29
第四章电子商务安全技术
现在常用的加密方法按加密程序类型分为三类：散 列编码、对称加密和非对称加密
（1）散列编码
相当于信息的指纹，每个信息的散列值是唯一 的。
第四章电子商务安全技术
电子商务安全的需求
¨ 1.保密性
保密性一般通过加密技术对传输的信息进行 加密处理来实现，常用的加密技术有对称加密 和非对称加密
¨ 2.完整性
完整性一般可通过散列算法提取信息的数据 摘要的方式来进行对比验证得到。
¨ 3.不可抵赖性
不可抵赖性可通过对发送的消息进行数字签 名来获取
¨ 特点如下:
– 发送者用加密密钥Pk对明文X加密后，在接受者用 解秘密钥Sk解密，即可恢复出明文：Dsk(Epk(x))=X
– 加密和解密的运算可以对调：即Epk(Dsk(X))=X
2020/11/29
第四章电子商务安全技术
RSA公钥密码(2)
¨ 加密密钥是公开的，但不能用它来解密，即 Dpk(Epk(X))=X
使用单向散列函数计算信息的“摘要”，将它连
同信息发送给接受方。接受方重新计算“摘要”， 并与收到的“摘要”进行比较以验证信息在传输过 程中的完整性。
这种散列函数使任何两个不同的输入不可能产生
相同的输出。因此一个被修改了的文件不可能有同 样的“摘要”。
2020/11/29
第四章电子商务安全技术
如： （1）“我们7月30号去旅游”——AD3D3DFVAF
¨ 这样数字签名就可用来防止电子信息因易被修改而有 人作伪；或冒用别人名义发送信息；或发出（收到） 信件后又加以否认等情况发生。
2020/11/29
第四章电子商务安全技术
¨ 数字签名并非用“手书签名”类型的图型标志， 它采用了双重加密的方法来实现防伪、防赖。 其原理为：
– ① 被发送文件用SHA编码加密产生128Bit的数字 摘要。
¨ 公钥密码体制的代表是RSA公钥密码，是由三位发明者姓名 （Rivest，Shamir，Adleman）的第一个字母联合构成的。
2020/11/29
第四章电子商务安全技术
RSA公钥密码(1)
¨ 加密密钥Pk （公开密钥）是公开信息，而解密 密钥Sk（秘密密钥）是需要保密的。加密算法 和解密算法也都是公开的。
2020/11/29
第四章电子商务安全技术
请看下面示意图：
我们7月30号去旅游
散列函数
AD3D3DFVAF
Let us meet at 9 o' clock at the secret place
D3b85d710d8f6e4e5e fd4d5e67d041f9cecedafe
2020/11/29
发送
接收方用收到的 订单信息生成信 息摘要，与附加 的信息摘要对比， 检查信息是否被 修改
第四章电子商务安全技术
数字摘要（Digital Digest）
¨ 数字摘要这一安全认证技术亦称安全Hash编码 法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所 设计。
¨ （3）篡改：在通信过程中，第三方截获信息 并修改了交易双方的内容。
¨ （4）伪造：在通信过程中，第三放伪造交易 双方的身份进行交易。
2020/11/29
第四章电子商务安全技术
2020/11/29
第四章电子商务安全技术
电子商务服务器的安全威胁
¨ （1）系统安全。 ¨ （2）数据库系统的安全
2020/11/29
– ② 发送方用自己的私用密钥对摘要再加密，这就 形成了数字签名。
– ③ 将原文和加密的摘要同时传给对方。
– ④ 对方用发送方的公共密钥对摘要解密，同时对 收到的文件用SHA编码加密产生又一摘要。
– ⑤ 将解密后的摘要和收到的文件在接收方重新加 密产生的摘要互对比。如两者一致，则说明传送过 程中信息没有被破坏或篡改过。否则不然。
解决办法：数字签名
2020/11/29
第四章电子商务安全技术
数字签名(digital signature)
¨ 在书面文件上签名是确认文件的一种手段，签名的作 用有两点，一是因为自己的签名难以否认，从而确认 了文件已签署这一事实；二是因为签名不易仿冒，从 而确定了文件是真的这一事实。
¨ 数字签名与书面文件签名有相同之处，采用数字签名， 也能确认以下两点： – 信息是由签名者发送的。 – 信息自签名后到收到为止未曾作过任何修改。
第四章电子商务安全技术
4.4 认证技术
如何保证交易的完整性？？
保护交易的完整性，就是要保护客户与商家在网络传输 的订单信息，结算信息等不受到破坏。
第一，保护信息的安全，保证知道发出的信息是否正确 的，没有被修改的。 ——可用散列函数提取信息摘要，即数字摘要方法。
采购订单
散列函数 信息摘要
2020/11/29
2.掌握加密的基本原理，熟悉传统的加密算法，理解对称加密和非 对称加密的概念和原理，理解散列算法的概念；
3.了解防火墙的概念，熟悉防火墙的功能和分类；
4.了解身份认证的概念，熟悉身份认证技术的几种分类，掌握各分 类的操作原理，理解不同种类的身份认证技术的区别，掌握数 字签名的概念，熟悉数字签名的流程，理解数字信封和数字时 间戳的概念，掌握数字证书的构成；
¨ 也称公钥密钥加密，它用两个数学相关的密钥对信息进行编码， 其中一个叫公开密钥（Public-Key），可随意发给期望同密钥持 有者进行安全通信的人；第二个密钥是私有密钥（Private-Key）， 由用户自己秘密保存，私有密钥持有者对信息进行解密。现代密 码算法将加密密钥与解密密钥区分开来，且由加密密钥事实上求 不出解密密钥。
（2）一个实现算法：
input = "Let us meet at 9 o' clock at the secret pla ce."; $hash = mhash(MHASH_SHA1, $input); print "散列值为 ".bin2hex($hash)."\n";