电子商务课件第2章.pptVIP

数字签名并非“手书签名”类型的图形标志，它采用了双重加密的方法来实现防伪造、防抵赖。其原理为：　 (1)被发送文件用SHA编码加密产生128bit的数字摘要。 SHA编码加密方法也称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash 函数将需加密的明文“摘要”成一串128bit的密文，这一串密文被称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。 (2)发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。 (3)将原文和加密的摘要同时传给对方。 (4)对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生一新的摘要。 (5)将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。 4.数字时间戳 数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档，它包括三个部分： 1) 需加时间戳的文件的摘要(digest)； 2) DTS收到文件的日期和时间； 3) DTS的数字签名。 2.2.2身份认证 1.数字证书 数字证书(digital certificate，digital ID)又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： ??????? 证书的版本信息； ??????? 证书的序列号，每个证书都有一个唯一的证书序列号； ??????? 证书所使用的签名算法； ??????? 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； ??????? 证书所有人的名称，命名规则一般采用X.500格式； ??????? 证书所有人的公开密钥； 证书发行者对证书的签名。 数字证书有三种类型：　 ·个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。　 ·企业（服务器）凭证(Server ID)：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。　 ·软件（开发者）凭证(Developer ID)：它通常为因特网中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。 2.认证中心 图2-8 CA 认证 2.2.3 网络防火墙 防火墙是第一道防线，可防止非法用户的访问。防火墙（firewall）是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道（因特网）之间，具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是加强因特网与内部网之间安全防范的一个或一组系统。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪。 防火墙提供的外围防护是任何部门网络安全结构必不可少的重要组成部分。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则。网络是动态发展的，制定的安全目标也应是动态的。如果将计算机的安全规则加入到固定的物理安全模式中，其结果是一旦网络结构调整，其先