【正文】 ，比如，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中， SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。 ?凡是支持送 SSL協(xié)議的網(wǎng)頁 ， 都會以 URL的開頭 。 SSL利用機密共享和 Hash函數(shù)組提供信息完整性服務(wù) 。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。 * 58 * 59 * 60 （ 1）個人數(shù)字證書 （ 2）單位證書 （ 3）服務(wù)器證書 （ 4）代碼簽名證書 * 61 認(rèn)證中心 （ Certificate Authority， CA） ? 認(rèn)證中心：也稱之為電子商務(wù)認(rèn)證中心，是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，確認(rèn)用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機構(gòu)。 * 51 文 件 Hash函數(shù) 摘要 1 Inter 摘要 1 摘要 1 時間 ♂ 私鑰 數(shù)字時間戳 數(shù)字時間戳 第三方DTS 發(fā)送方 數(shù)字時間戳產(chǎn)生的過程 * 52 ①用戶首先將需要時間戳的文件用 Hash算法加密得到數(shù)字摘要； ②然后將數(shù)字摘要發(fā)送到專門提供數(shù)字時間戳服務(wù)的DTS機構(gòu)； ③ DTS機構(gòu)在原數(shù)字摘要上加上收到文件摘要的時間信息，用自己的私鑰對其進(jìn)行加密，產(chǎn)生數(shù)字時間戳發(fā)還給用戶； ④ 用戶可以將收到的數(shù)字時間戳發(fā)送給自己的商業(yè)伙伴以證明文件上的時間的真實性。 ② 發(fā)送方將數(shù)字簽名作為附件與原文一起發(fā)送給接收方。 數(shù)字摘要 驗證 信息完整性的原理 u 可以通過數(shù)字摘要鑒別其明文的真?zhèn)巍? 缺點： ? 加密解密速度慢 不適合對數(shù)據(jù)量較大的報文進(jìn)行加密 。 Adi Shamir Shamir是以色列 Weizmann科學(xué)學(xué)院應(yīng)用數(shù)學(xué)系的教授 。 2〉 當(dāng)通信對象增多時 ， 需要相應(yīng)數(shù)量的密鑰 ， 這就使密鑰管理和使用的難度增大 。 ?在加密算法公開的情況下 ， 非法解密者就要設(shè)法破獲密鑰 ， 為了使黑客難以破獲密鑰 ， 就要增加密鑰的長度 ， 使黑客無法用窮舉法測試破解密鑰 。 密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué) 。 ?信息的不可否認(rèn)性 ： 這是指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息 ， 接收方也不可否認(rèn)已經(jīng)收到的信息 。 序 言 電子商務(wù)系統(tǒng)的安全要求 電子商務(wù)系統(tǒng)的安全威脅 電子商務(wù)的安全性要求 電子商務(wù)的安全體系 ?（ 1） 信息泄露 ?（ 2） 信息篡改 ?（ 3） 信息破壞 ?（ 4） 抵賴行為 電子商務(wù)系統(tǒng)的安全威脅 安全威脅 電子商務(wù)的安全性要求 v信息的保密性 ： 這是指信息在存儲 、 傳輸和處理過程中 ， 不被他人竊取 。 電子商務(wù)安全性要求的實現(xiàn)涉及到多種安全技術(shù)的應(yīng)用 。 ? 解密 — 解密是加密的逆過程 ， 即將密文還原成明文 。 對稱密鑰密碼技術(shù)的代表是數(shù)據(jù)加密標(biāo)準(zhǔn) DES。 1977年從斯坦福大學(xué)獲得計算機博士學(xué)位 。 較著名的算法是 RSA算法 一對鑰匙 一個 公鑰 :是公開的，可以公布在網(wǎng)上，也可以公開傳遞給需要的人 。 定義： 所謂數(shù)字摘要 ， 是指通過單向 Hash函數(shù) ， 將明文加密而形成的一串 128bit固定長度的密文 。 * 40 ? 在電子商務(wù)活動中，交易雙方不見面，傳統(tǒng)簽字方式很難應(yīng)用于這種網(wǎng)上交易，那么在網(wǎng)絡(luò)傳遞的文件上如何簽名蓋章呢，如何使彼此的要約、承諾具有可信賴性？ 數(shù)字簽名 可解決這一難題 * 41 數(shù)字簽名 建立在非對稱 （ 公鑰 ） 加密體制基礎(chǔ)上 ，是非對稱加密技術(shù)的另一類應(yīng)用 。 數(shù)字簽名使用的是 發(fā)送方的密鑰對 ， 是發(fā)送方用自己的私鑰對摘要進(jìn)行加密 ， 接收方用發(fā)送方的公鑰對數(shù)字簽名解密 ， 是一對多的關(guān)系 ， 表明發(fā)送方公司的任何一個貿(mào)易伙伴都可以驗證數(shù)字簽名的真?zhèn)涡裕? 密鑰加密解密過程使用的是 接收方的密鑰對 ， 是發(fā)送方用接收方的公鑰加密 ， 接收方用自己的私鑰解密 ， 是多對一的關(guān)系 ， 表明任何擁有該公司公鑰的人都可以向該公司發(fā)送密文 ， 但只有該公司才能解密 ， 其他人不能解密； 數(shù)字簽名與加密過程密鑰對使用差別 老張 小李的公開 密匙 小李 老張 密文 小李 小李的私有 密匙 老張的私有 密匙 老張的公開 密匙 密文 鑒別 保密 用 RSA鑒別 ,只有老張能發(fā)出該信息 用 RSA保密 ,只有小李能解開該信息 * 50 數(shù)字時間戳 ?在書面合同文件中，日期和簽名均是十分重要的防止被偽造和篡改的關(guān)鍵性內(nèi)容。 * 57 數(shù)字證書的內(nèi)容 數(shù)字證書的內(nèi)部格式遵循 。 ?SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。 使用 公共密鑰 和 對稱密鑰 技術(shù)實現(xiàn)信息保密 。 ?③ 確立會話密鑰階段：客戶和服務(wù)器之間協(xié)議確立會話密鑰 。 當(dāng)用于銀行卡網(wǎng)上支付流程時的缺點 從 SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出， SSL協(xié)議運行的基礎(chǔ)是商家對消費者信息保密的承諾，這就有利于商家而不利于消費者。 SET數(shù)據(jù)加密 ? ① 加密算法的應(yīng)用 （ 例如 RSA和 DES） ； ? ② 證書信息和對象格式； ? ③ 購買信息和對象格式； ? ④ 認(rèn)可信息和對象格式； ? ⑤ 劃賬信息和對象格式； ? ⑥ 對話實體之間信息的傳輸協(xié)議 。 ?④ 收單銀行 。 確認(rèn)批準(zhǔn)后 ， 發(fā)卡銀行返回確認(rèn)信息 ， 經(jīng)收單銀行通過支付網(wǎng)關(guān)發(fā)給在線商家； ? ⑦ 在線商家發(fā)送訂單確認(rèn)信息給客戶 ， 客戶端記錄交易日志 ， 以備日后查考； ? ⑧ 在線商家發(fā)送商品或提供服務(wù) ， 并通知收單銀行將貨款從客戶賬號轉(zhuǎn)移到商家賬號 ， 或通知發(fā)卡銀行請求支付 。 雙重簽名的實現(xiàn)步驟 ? (1) 發(fā)送方對發(fā)給甲的信息 1生成數(shù)字摘要 1。 最大的挑戰(zhàn)在于定期進(jìn)行網(wǎng)上購物的消費者極少，原因主要是 SET協(xié)議為了保證安全性而犧牲了簡便性、操作過于復(fù)雜、成本較高、具有較大競爭力的 SSL協(xié)議的廣