电子商务基础教案
湖南民族职业学院教案
具体授课内容(即讲义): 理论: 引言:
电子商务发展的核心和关键问题是交易的安全性,这是网上交易的基础,也是电子商务技术的难点所在。目前,因特网上影响交易最大的阻力就是交易安全问题。
4.1 电子商务安全的要求
4.1.1 电子商务系统的安全威胁 (1)信息泄露 (2)信息篡改 (3)信息破坏 (4)抵赖行为
4.1.2 电子商务的安全性要求
信息的保密性:这是指信息在存储、传输和处理过程中,不被他人窃取。这需要对交换的信息实施加密保护,使得第三者无法读懂电文。
信息的完整性:这是指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,在交换过程中无乱序或篡改,保持与原发送信息的一致性。
信息的不可否认性:这是指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
交易者身份的真实性:这是指交易双方的身份是真实的,不是假冒的。防止冒名发送数据。
系统的可靠性:这是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。
3.1.3 电子商务的安全体系
为了提高电子商务活动的安全性,除了采用先进的网络安全技术外,还必须有一套有效的信息安全机制作为保证,来实现电子商务交易数据的保密性、完整性和不可否认性等安全功能,这就是电子商务安全交易体系。概括起来,该体系包括信息加密算法、安全认证技术和安全交易协议等几个层次。
4.2 数据加密技术
加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密相连。 密码学这门古老而又年龄的科学包含着丰富的内容,它包括密码编码学和密码分析学。
密码体制的设计是密码编码学的主要内容,密码体制的破译是密码分析学的主要内容。
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。
解密是加密的逆过程,即将密文还原成明文。 加密和解密必须依赖两个要素:算法和密钥。算法是加密和解密的计算方法;密钥是加密所需的一串数字。
一般的数据加密模型:
4.2.1 传统的代换密码
早在几千年前人类就已有了通信保密的思想和方法。如在代换密码(substitution cipher)中,一个字母或一组字母被另一个字母或另一组字母所代替一一隐藏明文。这就是最古老的铠撒密码(Caesar cipher)。在这种方法中,a变成D,b变成E ,c变成F,……z变成C。例如,english变成IRKPMWL。其中明文用小写字母,密文用大写字母。
若允许密文字母表移动k个字母而不是总是3个,那么k就成为循环移动字母表通用方法的密钥。
再进一步改善,将明文中的符号,比如26个字母,简单地映射到其他字母上。
例如:
明文:abcdefghijklmnopqrstuvwxyz
密文:QWERTYUIOPASDFGHJKLZXCVBMN
这个通用系统叫做“单一字母表代换”,密钥是26个字母与整个字母表的对应关系。应用上面的密钥,english变成了TFUSOLI。
可以应用自然语言的统计规律作为手段,破译密码。在英语中,字母e是用得最多的,其次为t ,0,a,h,I等。最常用的两字母组(digram)依次是:th,in
,
er,re及an。最常用的三字母组(trigram)是:the,ing,and及ion。
因此,破译时可以从计算在密文中所有字母出现的相对频率开始,试着设定出现最多的字母为e等,接着计算二字母组及三字母组。如发现有txeq形式时,那么x很可能是字母h;同样,在thyt中y很可能为字母a。如果猜测出更多的字母,就可组织出一个实验性的明文。
1949年,信息论创始人C.E.Shannon论证了一般经典加密方法得到的密文几乎都是可破的。这引起了密码学研究的危机。
但是从20世纪60年代起,随着电子技术、计算机技术、结构代数、可计算性技术的发展,产生了数据加密标准DES和公开密钥体制,它们成为近代密码学发展史上两个重要的里程碑。 4.2.2 对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
对称密钥密码技术的代表是数据加密标准DES (Data Encrypuon Standard)。这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法,1979年美国银行协会批准使用DES,1980年它又成为美国标准化协会(ANSl)的标准,逐步成为商用保密通信和计算机通信的最常用加密算法。
DES算法的基本思想
DES算法的基本思想来自于分组密码,即将明文划分成固定的n比特的数据组,然后以组为单位,在密钥的控制下进行一系列的线性或非线性的变化变换而得到密文,这就是分组密码(Block Cipher)体制。分组密码一次变换一组数据,当给定一个密钥后,分组变换成同样长度的一个密文分组。若明文分组相同,那么密文分组也相同。
4.2.3 非对称密钥加密与RSA算法
当网络用户数很多时,对称密钥的管理十分繁琐。为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(Public Key Crypt-system),对近代密码学的发展具有重要影响。
现在公钥密码体系用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
它最重要的特点是加密和解密使用不同的密钥,每个用户保存着两个密钥:一个公开密钥(Public Key),简称公钥,一个私人密钥(Individual Key),简称私钥。 按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,就像现在个人的姓名、地址、E-mail地址一样,可以放在网页上供人下载,也可公开传送给需要通信的人。而私钥需由用户自己严密保管。通信时,发送方用接收者的公钥对明文加密后发送,接收方用自己的私钥进行解密,别人即使截取了也无法解开,这样既解决了信息保密问题,又克服了对称加密中密钥管理与分发传递的问题。
RSA算法的优点是:易于实现,使用灵活,密钥较少,在网络中容易实现密钥管理,便于进行数字签名,从而保证数据的不可抵赖性;
缺点是要取得较好的加密效果和强度,必须使用较长的密钥,从而加重系统的负担和减慢系统的吞吐速度,这使得非对称密钥技术不适合对数据量较大的报文进行加密。
另外,RSA算法体系的基础在于大素数因子分解困难.因子分解越困难,密码就越难以破译,加密强度就越高。反之,如果能有办法或者在一定条件下对大素数进行因子分解,就能够对密文进行破译,就会动摇这种加密体制的基础。 RSA和DES相结合的综合保密系统
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。在该系统中,用DES算法作为数据的加密算法对数据进行加密,用RSA算法作为DES密钥的加密算法,对DES密钥进行加密。这样的系统既能发挥DES算法加密速度快、安全性好的优点,又能发挥RSA算法密钥管理方便的优点,扬长避短。
4.3 认证技术 4.3.1 身份认证
用户身份认证三种常用基本方式 (1) 口令方式 (2) 标记方式
(3) 人体生物学特征方式 3.3.2 数字摘要
数字摘要:也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。
所谓数字摘要,是指通过单向Hash函数,将需加密的明文“摘要”成一串128bit固定长度的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要而成的密文也不能推出其明文。数字摘要类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。只有数字指纹完全一致,才可以证明信息在传送过程中是安全可靠,没有被篡改。数字指纹的应用使交易文件的完整性(
不
可修改性)得以保证。
3.4.5 数字签名Digital Signature
鉴别文件或书信真伪的传统做法亲笔签名或盖章。签名起到认证,核准,生效的作用。电子商务、政务要求对电子文档进行辨认和验证,因而产生数字签名。
1.作用:保证信息完整性;提供信息发送者的身份认证。
2. 与传统签名的区别:需要将签名与消息绑定在一起;通常任何人都可验证;要考虑防止签名的复制、重用。
3.性质
(1)必须能够验证作者及其签名的日期时间。 (2)必须能够认证签名时刻的内容。
(3)签名必须能够由第三方验证,以解决争议。 5. 数字签名必须保证:
(1)可验证:签字是可以被确认的
(2)防抵赖:发送者事后不承认发送报文并签名 (3)防假冒:攻击者冒充发送者向收方发送文件 (4)防篡改:收方对收到的文件进行篡改 (5)防伪造:收方伪造对报文的签名 3.4.6 数字时间戳
1. DTS(Digital Time-Stamp Service):可以对电子文件发表的时间进行安全保护。保护的是DTS收到摘要的日期和时间。
2.数字时间戳形成过程:
(1)用户将需要加时间戳的订单或合同通过Hash加密形成摘要 (2)将此摘要发送到DTS机构
(3) DTS收到摘要后,对收到的摘要和摘要收到的日期、时间信息进行数字签名
(4) DTS将数字签名后的密文回送到用户。 3.4.7 数字证书与CA认证 1.CA认证
认证中心,又称为证书授证(Certificate Authority)中心,是一个负责发放和管理数字证书的权威机构。认证中心的作用:证书的颁发;证书的更新;证书的查询;证书的作废;证书的归档。 2.数字证书
数字证书也称为公开密钥证书,在网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。数字证书内容包括 : 有唯一标识证书所有者(即交易方)的名称; 有唯一标识证书发布者的名称; 证书所有者的公开密钥、有效期; 证书发布者的数字签名; 证书的序列号,每个证书都有唯一的证书序列号; 证书的有效期。
数字证书功能: 保密性 、认证身份、 完整性 、 不可否认性 。 数字证书类型主要有: 个人数字证书 、企业数字证书、 软件数字证书是为软件开发者提供凭证,证明该软件的合法性。 3.4.8 电子商务安全交易标准 1.SSL协议
安全套接层协议 SSL( SSL —— Secure Sockets Layer),由SSL记录协议和SSL握手协议特点:在建立连接的过程中采用公开密钥;在会话过程中采用专用密钥;每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。其缺点:没有实现保密性、完整性、不可抵赖性,而且实现多 方互相认证也困难 2.SET
SET保证了商家的合法性,并且用户的信用卡号不会被窃取。SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。SET可以用在系统的一部分或者全部。 3.S/MIME协议
S/MIME协议 主要用于电子邮件或可以使用电子邮件的业务,也可以用于Web业务。 4.S-HTTP协议
S-HTTP协议是利用密钥对进行加密,通常只用于Web业务。
实训: 教后记