《电子商务》安全第五章剖析.ppt

2、安全电子交易协议SET 为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（Secure Electronic Transaction，SET）协议。 在SET中采用了双重签名技术，支付信息（用银行公钥加密）和订单信息（用商家公钥加密）是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的必威体育官网网址数据对支付网关是不必威体育官网网址的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。 3、SSL与SET对比（安全角度）： SSL：1、所有信息都加密；（如亚马逊） 2、只对客户认证，对商家有利，而不利客户。 SET：1、只对敏感(如支付)信息加密； 2、使用双重加密,既保护客户又保护了商家，对双方都有利。 3、SET比SSL安全,但复杂，推行难度大。 提出问题： （1）什么是电子签名？ （2）它能否起到手写签名同样的作用？ （3）它是怎样综合运用多项加密技术以达到应有的作用？ 2、手写签名的功能： 1）不可抵赖性 2）不可修改性 电子签名要代替手写签名，至少应达到这两项功能。 使用EB安全技术实现这两项功能理论上并不难： 1）不可抵赖性（非对称加密的第二种应用） 2）不可修改性（加密技术； 数字摘要） 3、电子签名及其使用方法 看下图 首先，从技术的角度看，电子签名是如何形成的？ 接受方公钥 接受方私钥 密钥对 哈希函数 对称密钥密文 对称密钥密文 对称密钥 哈希函数 对称密钥 3加密 4解密 数字摘要 发送方私钥 1加密 密 文 2加密 密 文 传输 传输 发送方公钥 6解密 7对比 5解密 密钥对 发送方 接受方 原 文 件 电子 签名 (密文) 原文件 电子签名 数字摘要 数字摘要 从图中所示可见： 电子签名采用了三重加密。第一重目的是为防止发送方抵赖；第二重快速加密、机密传输；第三重目的是为保证机密的传给特定的接收方。 此外，数字摘要还保障（验证）数据在传输途中是否完整和未被修改。 因此其过程较为复杂，我们看分解图。 接受方公钥 接受方私钥 密钥对 哈希函数 对称密钥密文 对称密钥密文 对称密钥 哈希函数 对称密钥 3加密 4解密 数字摘要 发送方私钥 1加密 密 文 2加密 密 文 传输 传输 发送方公钥 6解密 7对比 5解密 密钥对 发送方 接受方 原 文 件 电子 签名 (密文) 原文件 电子签名 数字摘要 数字摘要 小结：前面的分析讲解过程实际上已经回答了我们之前提出的三个问题。 1）电子签名的概念（技术角度） 电子签名（Digital Signature）技术是将数字摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 2）电子签名的使用过程（方法）： （1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。 （2）发送方选择一个对称密钥对文件加密，然后通过网络传输到接收方，最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。 （3）发送方用接收方的公钥给对称密钥加密，并通过网络把加密后的对称密钥传输到接收方。 （4）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥。 （5）接收方用对称密钥对文件进行解密，得到经过加密的电子签名。 （6）接收方用发送方的公钥对数字签名进行解密，得到电子签名的明文。 3）电子签名技术可起到手写签名同样的作用。 即它与书面签名一样能确认两点： （1）信息是签名者发送的（不可抵赖） （2）信息自签发后到收到止（传输途中）未作任何修改 4、电子签名的优点 事实上，除具备手工签名的全部功能外，电子签名还具有可（利用互联网）远程传递、传输速度快、更难伪造等优点。 因此，电子签名技术在电子商务安全必威体育官网网址系统中，有特别重要的地位。《电子签名法》也赋予电子签名与手工签名同等法律效力。 思考： 如果电子合同中要用此技术，如何保证双方都不可抵赖，且任一方在收到后不可任意修改合同中的内容？电子签名技术能否实现这些要求？如何实现呢？ 5.2.5认证技术