【正文】 客戶機 IE瀏覽器向銀行服務器發(fā)送客戶端 SSL相關信息 (如 SSL版本號、密碼設置、隨機生成的數(shù)據(jù)等 )。目前，一些主流瀏覽器和 Web服務器均提供了對 SSL協(xié)議的支持。 SSL協(xié)議綜合運用了對稱加密、非對稱加密及數(shù)字簽名等技術，提供三種基本的安全服務，即保證信息的機密性、完整性以及進行身份認證。 在上述各安全協(xié)議中，電子商務系統(tǒng)中采用較為廣泛的是 SSL協(xié)議和 SET協(xié)議。 ③ 安全交易技術協(xié)議 (STT) 由 Microsoft公司提出， STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。目前一般用OpenSSH 來代替 SSH。但相信隨著我國于 2022年 8月電子簽名法的通過，這一情況將會得到有效的改善。該管理中心 (網址 : )是中國第一家專業(yè)的 CA認證服務機構，由上海市政府授權建立，是上海市目前惟一從事數(shù)字證書的簽發(fā)和管理業(yè)務的權威性認證中心。該認證中心的網址為 : 。 ③ 中國金融認證中心。中國電信 CA安全認證系統(tǒng) (CTCA)有一套完善的證書發(fā)放體系和管理制度，采用三級管理結構，為參與電子商務的不同用戶提供個人證書、企業(yè)證書和服務器證書。該認證中心的網址為 : 。該公司成立于 1995年 4月，位于美國的加利福尼亞州，是世界上較早的數(shù)字證書認證中心。在進行交易時，可以通過出示由某個 CA簽發(fā)的證書來證明自己的身份。來自于兩個方向，一個是上級的主動撤銷，另一個是下級主動申請證書的撤銷。證書持有者必須定期到 CA中心更新證書，才能使證書不過期作廢。指受理電子商務中各交易實體的申請，核實情況，批準或拒絕申請，簽發(fā)數(shù)字證書。 (2) CA的職能 CA首先必須生成公鑰體系中自己的根密鑰對，并在此基礎上生成根證書，從而才能為各級 CA和客戶生成、管理證書。 目前，幾乎所有的認證系統(tǒng)均采用公鑰體系結構(PKI)框架來管理密鑰和證書。它是普通用戶和 CA直接交流的界面。 RA一般可由能夠認定用戶身份的單位擔任，主要用于對證書的審核注冊。CA的功能是在收到來自 RA的證書請求時，頒發(fā)證書。CA具有權威性、公證性和可信賴性。 2. 認證系統(tǒng) 在電子商務交易中，無論是數(shù)字時間戳服務還是數(shù)字證書的發(fā)送，都需要有一個稱之為CA(Certificate Authority)的具有權威性和公正性的第三方來完成。這樣做的優(yōu)點是 : 第一，直接利用計算機的 USB接口，不再需要安裝額外的讀取設備。 (3) 數(shù)字證書的存儲 數(shù)字證書一般可以存儲在硬盤、 USB Key 、 IC卡等介質中。 ④ 代碼簽名數(shù)字證書。 ③ 設備數(shù)字證書。 ② 企業(yè)數(shù)字證書。個人數(shù)字證書也稱客戶證書，主要為用戶提供憑證，以證實其身份和密鑰所有權。 (1) 數(shù)字證書的內容 按 ，數(shù)字證書一般應包含證書擁有者 (即交易方 )的名稱；頒發(fā)數(shù)字證書的單位的名稱；頒發(fā)數(shù)字證書單位的數(shù)字簽名；證書的序列號、版本號及有效期；證書擁有者的公鑰及所使用的加密算法等有關信息。 。交易伙伴間可使用數(shù)字證書來交換公開密鑰。與物理身份證不同的是，數(shù)字證書還具有安全、保密、防篡改的特性，可以對網上傳輸?shù)男畔⑦M行有效保護和安全的傳遞。在電子商務系統(tǒng)中，身份認證主要通過數(shù)字證書技術來實現(xiàn)，數(shù)字證書的發(fā)放與管理則由值得信賴的第三方認證機構 CA通過一套完整的認證系統(tǒng)來完成；信息認證主要通過數(shù)字簽名來實現(xiàn)。 圖 36 加蓋數(shù)字時間戳的流程 認證技術分實體認證和信息認證。時間戳是一個經加密后形成的憑證文檔，它包括三個部分 : 需加時間戳的文件的摘要、 DTS收到文件的日期和時間、 DTS的數(shù)字簽名。 (2) 數(shù)字時間戳 在電子交易中，需對交易文件的日期和時間信息采取安全措施，這種安全措施可通過數(shù)字時間戳服務來實現(xiàn)。 ② 數(shù)字簽名與公鑰加密的異同 數(shù)字簽名也是采用了非對稱加密的技術，因此兩者的實現(xiàn)原理是相同的。 只要 Hash函數(shù)不發(fā)生碰撞，接收者就能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。由于數(shù)字簽名的眾多優(yōu)點，目前已經在電子商務中得到廣泛應用。 5. 加密技術的應用 (1) 數(shù)字簽名 數(shù)字簽名技術是實現(xiàn)交易安全的核心技術之一，它的實現(xiàn)基礎就是加密技術。 這一成果預示著所有利用 MD 5算法的應用均將面臨嚴峻的挑戰(zhàn)，特別是在電子商務的安全技術體系，以及電子簽名的法律效力等相關方面。 MD 5就是這樣一個在國內外有著廣泛應用的一種Hash函數(shù)算法，它曾一度被認為是非常安全的。 現(xiàn)在所使用的計算機安全協(xié)議，如 SSL， PGP都采用 Hash函數(shù)來進行簽名。經過這些算法的處理，即使只改變原始信息中的一個字母，對應的壓縮信息也會變?yōu)榻厝徊煌摹?指紋 ” ，這就保證了經過處理信息的惟一性，也為電子商務提供了數(shù)字認證的可能性。 ② MD 5算法分析 在網絡安全協(xié)議中， Hash函數(shù)用來處理電子簽名，將冗長的簽名文件壓縮為一段獨特的數(shù)字信息，像指紋鑒別身份一樣保證原來數(shù)字簽名文件的合法性和安全性。 利用 MD 5進行加密的過程如圖 34所示。 ① MD 5算法的基本思想 MD 5的典型應用是對一段信息 (message)產生信息摘要 (messagedigest)， 以防止被篡改。 (2) MD 5 MD 5(MessageDigest algorithm 5: 信息摘要算法 )，是經 MD MD 3和 MD 4發(fā)展而來。 RSA算法解決了大量網絡用戶密鑰管理的難題。由于 RSA的加密速度較慢，為減少計算量，在傳送信息時，常采用傳統(tǒng)加密方法與公開密鑰加密方法相結合的方式，即信息采用DES(一般是改進的 DES算法 )加密，然后使用 RSA加密對話密鑰和信息摘要。 RSA主要適用于數(shù)字簽名和密鑰交換。 ⅲ ) 在計算機上可以很容易地產生成對的公鑰 Ke和私鑰 Kd。 ② RSA特點 ⅰ ) 解密密鑰是私鑰，對其他人都保密；加密密鑰為公鑰，對外公開。從而得到 (33， 3)為公鑰； (33， 7)為私鑰。 假定 P ＝3， Q ＝ 11， 則 n = P Q ＝ 33， 選擇 e =3， 因為 3和 20沒有公共因子。具體算法如下 : ⅰ ) 選取兩個足夠大的質數(shù) P和 Q； ⅱ ) 計算 P和 Q相乘所產生的乘積 n ＝ P Q； ⅲ ) 找出一個小于 n的數(shù) e， 使其符合與 (P－ 1) (Q－ 1)互為質數(shù)； ⅳ ) 另找一個數(shù) d， 使其滿足 (e d)mod［ (P－ 1) (Q－ l)］＝ 1其中 mod(模 )為相除取余；則 (n， e)即為公鑰； (n， d)為私鑰。算法的基本原理是基于數(shù)論中一個大數(shù)可以分解為兩個素數(shù)之積，將其中一個素數(shù)作為公鑰，另外一個素數(shù)作為私鑰。 4. 常用的公鑰加密算法 (1) RSA RSA加密算法是目前應用最廣泛的公鑰加密算法，特別適用于加密通過 Inter 傳送的數(shù)據(jù)。 ④ 網絡銀行 Y用自己的私鑰 Key A對支付確認消息進行加密，然后同樣通過網絡將該密文發(fā)送給 X。 ② 網絡銀行 Y收到該密文后，用自己的私鑰 Key A進行解密獲得了支付明文，由于私鑰 Key A只有自己擁有，因此該網絡銀行可以斷定該支付信息的確是發(fā)送給自己的。假設 : 網絡銀行 Y已運用密鑰生成程序產生了一對密鑰 (Key A， Key B)， 并將 Key A視為私鑰， Key B分發(fā)給自己的所有客戶 (當然包括客戶 X)。下面以 “ 某客戶 X欲向某網絡銀行 Y發(fā)送支付信息 ”為例說明公鑰加密方法的具體使用。 圖 32 在非對稱加密系統(tǒng)中發(fā)送加密信息 如果要對信息發(fā)送者進行確認，則由發(fā)送者用自己的私鑰對約定的可公開信息進行加密，接收者用發(fā)送者的公鑰進行解密，由于別人不知道發(fā)送者的私鑰，無法發(fā)出能用其公鑰解得的信息，因此發(fā)送者無法抵賴，其過程如圖 33所示。這一加密體系解決了對稱加密方法下密鑰的傳輸安全性問題。 (2) 非對稱加密 非對稱加密又稱為公鑰加密，主要特點是加密和解密使用不同的密鑰，即 Ke≠Kd。衡量對稱算法優(yōu)劣的主要標準是其密鑰的長度。 DES使用 64位長的密鑰 (實際密鑰長度只有 56位，其余 8位是用于奇偶校驗 )，對二進制序列的明文也分成每 64位一組，對這些明文進行 16輪代換和置換加密，最后形成密文。例如，如何將新密鑰安全地發(fā)送給授權雙方；如何對數(shù)量龐大的密鑰進行分發(fā)、傳輸和存儲。 2. 加密方法分類 (1) 對稱加密 對稱加密又稱單鑰加密，是指加密和解密使用相同的密鑰，即 Ke=Kd。 圖 31 數(shù)據(jù)加／解密系統(tǒng)模型 一般而言，加密算法是不變的，但密鑰卻可以視情況而改變，因此加密技術的關鍵是密鑰。該過程的逆過程稱為解密，即將該密文轉化為明文的過程。 電子交易安全技術 加密技術 1. 加密相關概念 一個數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，一個加密系統(tǒng)的全部安全性是基于密鑰的，而不是基于算法，所以加密系統(tǒng)的密鑰管理是一個非常重要的問題。 加密技術是實現(xiàn)電子商務安全所采用的一種最常用也是最重要的手段之一。 在實際的防火墻技術中，通常是采用多種解決不同問題的技術的組合。狀態(tài)監(jiān)測防火墻能監(jiān)測無連接狀態(tài)的遠程過程調用 RPC和 UDP之類的端口信息，而包過濾防火墻和應用級網關均不支持該應用。 然而，由于需要代理服務，因此當內部網絡終端機較多時，這種防火墻措施的效率必然會受到影響，代理服務器負擔過重，進而導致網絡的不正常。 (2) 應用級防火墻 應用級防火墻是在應用層實現(xiàn)的防火墻，其實現(xiàn)方式有許多種，其中最常見的方法是通過代理服務器來實現(xiàn)，這樣的代理服務器也稱為應用網關。然而其缺點也是很明顯的，就是沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)非法入侵的攻擊記錄，因此也就不能鑒別不同的用戶和防止 IP地址盜用，因此黑客常會利用 IP地址欺騙等方式攻擊事欺騙包過濾防火墻。過濾器的主要功能就是在網絡層中對數(shù)據(jù)包實施有選擇的通過，依照 IP 包信息為基礎，根據(jù) IP 源地址、