【正文】 《 電子商務(wù)概論》 840 非對(duì)稱加密技術(shù)（ 公鑰加密） （ K1K2) ? 1976年 Diffie與 Hellman提出了公鑰的思想。而另一個(gè)密鑰稱為公鑰，應(yīng)該公開。 ? 若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實(shí)現(xiàn)由一個(gè)用戶加密的消息使多個(gè)用戶解讀。 ? 優(yōu)點(diǎn)： ，其優(yōu)勢(shì)在于不需要共享通用的密鑰。 《 電子商務(wù)概論》 845 密鑰管理技術(shù) 對(duì)密鑰系統(tǒng)的大多數(shù)攻擊發(fā)生在密鑰上，而不是針對(duì)某種具體的加密算法，因此對(duì)密鑰進(jìn)行安全管理很重要。 （ 2）數(shù)字時(shí)間戳 密鑰的失效日期可以保存在數(shù)字證書的公共密鑰上，也可以保存在存放數(shù)字證書的目錄表中。加密雖然能在一定程度上保障數(shù)據(jù)安全，但加密本身可能受到比特交換攻擊，無(wú)法保障數(shù)據(jù)的真實(shí)完整，所以需要結(jié)合采用其他完整性機(jī)制。 ? hash函數(shù)是把任意長(zhǎng)的輸入串 x變化成固定長(zhǎng)的輸出串 y的一種函數(shù)。 ? 消息摘要用來(lái)檢測(cè)消息的完整性。 ? 利用 公開密鑰加密算法 （ RSA）是進(jìn)行數(shù)字簽名的最常用方法。數(shù)字簽名是一個(gè) 一對(duì)多關(guān)系 ： 任何擁有發(fā)送方公開密鑰得人都可驗(yàn)證數(shù)字簽名的正確性 。 ? 一個(gè)用戶通常有兩個(gè)密鑰對(duì)，一個(gè)用來(lái)對(duì)數(shù)字簽名進(jìn)行加密解密，一個(gè)用來(lái)對(duì)私密密鑰進(jìn)行加密解密。 《 電子商務(wù)概論》 855 數(shù)字時(shí)間戳 明文 數(shù)字摘要 1 Hash函數(shù) 數(shù)字摘要 和時(shí)間信息 DTS機(jī)構(gòu) 數(shù)字摘要 2 Hash函數(shù) 數(shù)字時(shí)間戳 DTS機(jī)構(gòu)私鑰加密 《 電子商務(wù)概論》 856 數(shù)字信封 ? 數(shù)字信封，結(jié)合對(duì)稱密鑰和非對(duì)稱密鑰加密技術(shù)的優(yōu)點(diǎn)， 克服了對(duì)稱加密算法的密鑰分發(fā)難，以及公鑰密碼系統(tǒng)中加密所需時(shí)間較長(zhǎng)的缺點(diǎn) 。 ? 在實(shí)際的電子商務(wù)運(yùn)作中，認(rèn)證中心可由交易各方都信任的一方承擔(dān)。通過(guò)一個(gè)完整的 CA認(rèn)證體系，可以有效地實(shí)現(xiàn)對(duì)數(shù)字證書的驗(yàn)證。 ? 根證書是 CA認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點(diǎn)。 《 電子商務(wù)概論》 861 數(shù)字證書的概念 ? 電子商務(wù)證書又稱 CA證書或數(shù)字證書。 CA的數(shù)字簽名使攻擊者不能偽造和篡改數(shù)字證書。證書正是通過(guò)信任層次來(lái)逐級(jí)驗(yàn)證的。 《 電子商務(wù)概論》 864 ? 對(duì)數(shù)字證書的驗(yàn)證包括以下幾個(gè)步驟： CA簽名真實(shí)？ 證書在有效期內(nèi)？ 證書在 CA發(fā)布的 證書撤消列表內(nèi)？ Y 偽造的證書 N 失效的證書 N Y 失效的證書 Y N 有效的證書 《 電子商務(wù)概論》 865 數(shù)字證書類型 ? 不同類型的數(shù)字證書內(nèi)容也不同 ? 證書包含的內(nèi)容越多， CA認(rèn)證中心需要驗(yàn)證的內(nèi)容就越多，那么證書對(duì)于驗(yàn)證用戶身份的作用就越大。 認(rèn)證中心(CA) 公開鑰匙持有證書 序號(hào) :1238038 持有者 :張三 公共鑰匙 :36567566565 有效日期 : 發(fā)證機(jī)關(guān)簽名 :563563566 公開鑰匙持有證書 序號(hào) :12380567 持有者 :李六 公共鑰匙 :66576675675 有效日期 : 發(fā)證機(jī)關(guān)簽名 :566567876 Inter 《 電子商務(wù)概論》 868 CA中心簡(jiǎn)介 ? 國(guó)內(nèi)常見(jiàn)的 CA有中國(guó)商務(wù)在線 中國(guó)數(shù)字認(rèn)證網(wǎng) （ ），數(shù)字認(rèn)證，數(shù)字簽名， CA認(rèn)證， CA證書，數(shù)字證書，安全電子商務(wù)。 除了 Netscape外，參與制定 SSL協(xié)議的廠商還包括： IBM, Microsoft, Spyglass，他們都將 SSL加入到自己的客戶 端和服務(wù)器的應(yīng)用方面。 握手層完成服務(wù)器和客戶之間的相互認(rèn)證、協(xié)商加密算法 和加密密鑰等發(fā)生在應(yīng)用協(xié)議層傳輸數(shù)據(jù)之前的事務(wù)。 《 電子商務(wù)概論》 871 SSL握手協(xié)議 SSL中的握手協(xié)議，是在客戶機(jī)和服務(wù)器之間交換消息的 強(qiáng)化性協(xié)議，一般有六個(gè)階段： （ 1）接通階段： （ 2）密鑰交換階段： （ 3）會(huì)話密鑰生成階段： （ 4）服務(wù)器證實(shí)階段： （ 5）客戶機(jī)認(rèn)證階段： （ 6）結(jié)束階段： 上述過(guò)程完成以后，雙方之間的信息傳送就會(huì)加以密碼， 另一端收到信息后，再將加密的信息還原。商家再通 知客戶購(gòu)買成功，并將商品寄送客戶。 ? SET協(xié)議是在應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議?？蛻舻馁Y料加密或打包后通過(guò)商家到達(dá)銀行，但是商家不能看到客戶的賬戶和密碼信息。所有的支付過(guò)程都是在線的。 2. 認(rèn)證機(jī)制 SSL中服務(wù)器需要認(rèn)證，客戶端認(rèn)證則是有選擇的。 SSL中，商家的風(fēng)險(xiǎn)： 無(wú)法保證購(gòu)買者就是該信用卡的合法擁有者。 （ 2）補(bǔ)救措施： 因 SET可以用在系統(tǒng)的一部分或全部，所以可以考慮商家 與銀行的連接使用 SET，而商家與顧客的連接則使用 SSL 。 。私鑰的安全保存非常 重要。 《 電子商務(wù)概論》 880 4. SET的缺陷及補(bǔ)救措施 （ 1）缺陷： ①要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客 PC機(jī)上安裝相應(yīng) 的軟件，這給各方增加了附加費(fèi)用。 《 電子商務(wù)概論》 879 SSL與 SET協(xié)議的比較 3. 風(fēng)險(xiǎn)性 SSL中，客戶的風(fēng)險(xiǎn)： ①客戶信息的安全性完全依賴于商家的保密承諾。 《 電子商務(wù)概論》 877 客戶商家服務(wù)器$銀行支付網(wǎng)關(guān)發(fā)卡機(jī)構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認(rèn)授權(quán)商品和服務(wù)信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認(rèn)信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理 《 電子商務(wù)概論》 878 SSL與 SET協(xié)議的比較 1. 連接性 SSL提供了兩臺(tái)機(jī)器之間的安全連接，是面向連接的。為消費(fèi)者、商家與支付網(wǎng)關(guān)等每個(gè)交易參與方都生成數(shù)字證書。 《 電子商務(wù)概論》 876 SET協(xié)議 ? 保證信息在互聯(lián)網(wǎng)上安全傳輸。 ? 由 VISA和 MasterCard共同制定， 1997年 5月推出。 SSL協(xié)議的流程（如下圖）： 客戶信息首先傳到商家，商家閱讀后再傳到銀行。 SSL的具體功能：把要傳輸?shù)男畔⒎殖煽梢钥刂频臄?shù)據(jù) 段，對(duì)這些數(shù)據(jù)進(jìn)行壓縮、“文摘”、加密等操作（有的操作可 選），然后傳送結(jié)果。 SSL是一個(gè)層次化的協(xié)議，共分兩層： 記錄層（ RecordLayer）和握手層（ HandshakeLayer）。 廣東省電子商務(wù)認(rèn)證中心 () 《 電子商務(wù)概論》 869 安全應(yīng)用協(xié)議 ? 安全套接層協(xié)議 （ Secure Socked Layer, SSL） Inter上的安全套接層協(xié)議是 1994年底由 Nescape首先 引入的，目前已有 。然而，證