第4章-電子商務的安全技術

2023/9/281第4章電子商務的安全技術電子商務安全要求與安全內(nèi)容防火墻等網(wǎng)絡安全技術加密技術和認證技術SSL與SET協(xié)議PKI4.1電子商務安全要求4.1.1電子商務所面臨的安全問題電子商務中的安全隱患可分為如下幾類：

1.信息的截獲和竊取

2.信息的篡改

3.信息假冒

4.交易抵賴計算機安全分類實體安全機房、線路及主機等的物理安全網(wǎng)絡與信息安全包括網(wǎng)絡的暢通、準確，網(wǎng)上系統(tǒng)、程序和數(shù)據(jù)安全，電子商務安全。應用安全包括程序開發(fā)運行、輸入輸出、數(shù)據(jù)庫等安全。為什么網(wǎng)絡安全如此重要WebServerTheInternetEncryption線路安全客戶安全連接安全TheIntranetWebServerWeakness:Externalaccessnowgranted.Areapplicationsandnetworksecure?信息資本EnterpriseNetwork沒有邊界沒有中央管理是開放的、標準的沒有審計記錄INTERNET網(wǎng)絡侵襲的主要種類外部與內(nèi)部入侵非授權訪問、冒充合法用戶等。拒絕服務部分或徹底地阻止計算機或網(wǎng)絡正常工作。盜竊信息指無須利用你的計算機就可獲取數(shù)據(jù)信息。網(wǎng)絡侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者?！坝涗洝弊非笳?。低級失誤和偶然事件。網(wǎng)絡安全不單是技術問題機構與管理：交易流程管理、人員管理、交易技術管理法律與法規(guī)法律法規(guī)不健全，網(wǎng)上交易可能會承擔法律滯后，無法保證合法交易的權益的風險；法律完善后的風險。經(jīng)濟實力技術與人才事件安全性需要代價安全性與方便性安全性與性能安全性與成本減少安全威脅的主要策略

修補系統(tǒng)漏洞系統(tǒng)病毒檢查系統(tǒng)直接安全

管理空閑機器安全管理廢品處理安全管理口令安全管理加密系統(tǒng)認證、授權系統(tǒng)

Internet防火墻系統(tǒng)捕捉闖入者系統(tǒng)政策、法律、守則、管理Internet防火墻授權、認證加密審計、監(jiān)控

4.1.2電子商務安全要求機密性完整性認證性不可抵賴性有效性電子商務系統(tǒng)對信息安全的要求主要包括以下幾個方面：信息的保密性：電子商務系統(tǒng)應該對主要信息進行保護，阻止非法用戶獲取和理解原始數(shù)據(jù)。2.

數(shù)據(jù)完整性：電子商務系統(tǒng)應該提供對數(shù)據(jù)進行完整性認證的手段，確保網(wǎng)絡上的數(shù)據(jù)在傳輸過程中沒有被篡改。

用戶身份驗證：電子商務系統(tǒng)應該提供通訊雙方進行身份鑒別的機制。一般可以通過數(shù)字簽名和數(shù)字證書相結合的方式實現(xiàn)用戶身份的驗證，證實他就是他所聲稱的那個人。數(shù)字證書應該由可靠的證書認證機構簽發(fā)，用戶申請數(shù)字證書時應提供足夠的身份信息，證書認證機構在簽發(fā)證書時應對用戶提供的身份信息進行真實性認證。4.授權：電子商務系統(tǒng)需要控制不同的用戶，誰能夠訪問網(wǎng)絡上的信息并且能夠進行何種操作。5.數(shù)據(jù)原發(fā)者鑒別：電子商務系統(tǒng)應能提供對數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實來自原發(fā)者。這個要求可以通過數(shù)據(jù)完整性及數(shù)字簽名相結合的方法來實現(xiàn)。6.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認性：電子商務系統(tǒng)應能提供數(shù)據(jù)原發(fā)者不能抵賴自己曾做出的行為，也不能否認曾經(jīng)接到對方的信息，這在交易系統(tǒng)中十分重要。7.合法用戶的安全性：合法用戶的安全性是指合法用戶的安全性不受到危害和侵犯，電子商務系統(tǒng)和電子商務的安全管理體系應該實現(xiàn)系統(tǒng)對用戶身份的有效確認、對私有密匙和口令的有效保護、對非法攻擊的有效防范等，8.網(wǎng)絡和數(shù)據(jù)的安全性：電子商務系統(tǒng)應能提供網(wǎng)絡和數(shù)據(jù)的安全，保護硬件資源不被非法占有，軟件資源免受病毒的侵害。4.1.3電子商務安全內(nèi)容

電子商務安全從整體上可分為兩大部分：計算機網(wǎng)絡安全和商務交易安全,兩者相輔相成，缺一不可。計算機網(wǎng)絡安全的內(nèi)容包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。

商務交易安全緊緊圍繞傳統(tǒng)商務在互聯(lián)網(wǎng)絡上應用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。電子商務安全構架交易安全技術安全應用協(xié)議SET、SSL安全認證手段數(shù)字簽名、CA體系基本加密算法對稱和非對稱密算法安全管理體系網(wǎng)絡安全技術病毒防范身份識別技術防火墻技術分組過濾和代理服務等法律、法規(guī)、政策4.2計算機網(wǎng)絡安全技術4.2.1計算機網(wǎng)絡的潛在安全隱患企業(yè)內(nèi)部計算機系統(tǒng)面臨的風險Internet本身的不安全性對企業(yè)內(nèi)部信息系統(tǒng)帶來的潛在風險從純技術角度上來看，存在著薄弱性。4.2.2計算機網(wǎng)絡安全體系在實施網(wǎng)絡安全防范措施時要考慮以下幾點：

加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；

用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡系統(tǒng)進行掃描分析，找出可能存在的安全隱患，并及時加以修補；

從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證；

利用數(shù)據(jù)存儲技術加強數(shù)據(jù)備份和恢復措施；

對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；

對在公共網(wǎng)絡上傳輸?shù)拿舾行畔⒁M行數(shù)據(jù)加密；

安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；

建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等4.2.3常用的計算機網(wǎng)絡安全技術病毒防范技術身份識別技術防火墻技術虛擬專用網(wǎng)技術（VirtualPrivateNetwork，VPN）1．病毒防范技術網(wǎng)絡病毒的威脅

一是來自文件下載；二是網(wǎng)絡化趨勢。措施安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；加強數(shù)據(jù)備份和恢復措施；對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等布署和管理防病毒軟件實際操作一般包括以下步驟：1．制定計劃：了解在你所管理的網(wǎng)絡上存放的是什么類型的數(shù)據(jù)和信息。2．調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。3．測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡系統(tǒng)和應用軟件相兼容。4．維護：管理和更新系統(tǒng)確保其能發(fā)揮預計的功能，并且可以利用現(xiàn)有的設備和人員進行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進行升級，徹底理解這種防病毒系統(tǒng)的重要方面。5．系統(tǒng)安裝：在測試得到滿意結果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡范圍內(nèi)。Packet-Switched

Leased

LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠程工作站網(wǎng)絡防毒手段2．身份識別技術

口令標記方法生物特征法認證的主要手段對用戶所知道的進行鑒別，如口令等

對用戶擁有的東西進行鑒別，如IC卡等對用戶的生物特征進行鑒別，如指紋、視網(wǎng)膜血管分布等3．防火墻技術1.基本概念防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護的網(wǎng)絡與互聯(lián)網(wǎng)絡之間，或者與其他網(wǎng)絡之間進行的信息存取、傳遞操作.防火墻可以作為不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。什么是防火墻？防火墻：在被保護網(wǎng)絡和Internet之間，或者和其它網(wǎng)絡之間限制訪問的軟件和硬件的組合。防火墻防火墻的主要功能

能做什么？安全把關網(wǎng)絡活動統(tǒng)計內(nèi)部隔離不能做什么？不能防范內(nèi)部入侵不能防范新的威脅控制粒度粗關于控制粒度：

IT部門遇到一個問題：他們使用SunIdentityManager來進行統(tǒng)一用戶身份管理，同時系統(tǒng)會將操作同步到A，B，C等多個應用系統(tǒng)，實現(xiàn)在一個系統(tǒng)中管理多套認證系統(tǒng)賬號的方案。但是當它發(fā)現(xiàn)一個帳戶異常，比如A系統(tǒng)中的賬號UserA被鎖定的時候，下次從A系統(tǒng)同步數(shù)據(jù)的時候，就不會再獲取UserA這個賬號的屬性了。這樣導致的結果就是如果賬號被鎖定了，只能在SIM中解鎖。因為如果是直接在A系統(tǒng)中解鎖，那么解鎖操作不會被SIM獲知，導致在SIM系統(tǒng)中A系統(tǒng)的UserA賬號還是鎖定狀態(tài)，在修改UserA賬號的屬性的時候，不會將新屬性PUSH到A系統(tǒng)中，子認證系統(tǒng)和SIM中部分賬號信息不再一致。關于控制粒度：

這樣需要把這個操作授權給桌面支持進行。這樣問題就來了，SIM的權限控制粒度比較粗，能對賬號做解鎖操作，就能進行其它的操作，比如修改密碼，修改任意信息等，這樣直接授權給桌面支持就會涉及到安全問題，權限過大。

防火墻的功能保護數(shù)據(jù)的完整性?？梢揽吭O定用戶的權限和文件保護來控制用戶訪問敏感性信息，可以限制一個特定用戶能夠訪問信息的數(shù)量和種類；保護網(wǎng)絡的有效性。有效性是指一個合法用戶如何快速、簡便地訪問網(wǎng)絡的資源；保護數(shù)據(jù)的機密性。加密敏感數(shù)據(jù)。防火墻的基本原理數(shù)據(jù)過濾：一個設備采取的有選擇地控制來往于網(wǎng)絡的數(shù)據(jù)流的行動。數(shù)據(jù)包過濾可以發(fā)生在路由器或網(wǎng)橋上。屏蔽路由器防火墻的基本原理（續(xù)）代理服務：代理服務是運行在防火墻主機上的應用程序或服務器程序。它在幕后處理所有Internet用戶和內(nèi)部網(wǎng)之間的通訊以代替直接交談。代理服務設計防火墻的準則一切未被允許的就是禁止的防火墻應封鎖所有信息流，然后對希望提供的服務逐項開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務范圍受到限制。一切未被禁止的就是允許的防火墻轉(zhuǎn)發(fā)所有信息流，然后逐項屏蔽有害的服務。這種方法構成了更為靈活的應用環(huán)境，可為用戶提供更多的服務。但在日益增多的網(wǎng)絡服務面前，網(wǎng)管人員的疲于奔命可能很難提供可靠的安全防護。4．虛擬專用網(wǎng)技術

（VirtualPrivateNetwork，VPN）

虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡，它可以在兩個系統(tǒng)之間建立安全的通道，非常適合于電子數(shù)據(jù)交換（EDI）。

在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)中就可以使用比較復雜的專用加密和認證技術，這樣就可以提高電子商務的安全性。

VPN可以支持數(shù)據(jù)、語音及圖像業(yè)務，其優(yōu)點是經(jīng)濟、便于管理、方便快捷地適應變化，但也存在安全性低，容易受到攻擊等問題。2023/9/28404.3加密技術加密技術防火墻是一種被動的防衛(wèi)技術加密技術是一種主動的防衛(wèi)技術加密包含兩個基本要素：算法和密鑰加密技術主要分為兩大類：對稱與非對稱什么是加密？加密：加密是指對數(shù)據(jù)進行編碼使其看起來毫無意義，同時仍保持可恢復的形式。單字母加密方法例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。2023/9/28444.3.1對稱加密技術概念：對稱密鑰加密體制屬于傳統(tǒng)密鑰加密系統(tǒng)，指在對信息的加密和解密過程中使用相同的密鑰加密和解密的密鑰雖然不同，但可以由其中一個推導出另一個。

對稱密碼體制也稱為私鑰加密法。這種方法已經(jīng)使用幾個世紀了，收發(fā)加密信息雙方使用同一個私鑰對信息進行加密和解密。

2023/9/2845舉例：對一組身份證號碼用最簡單的對稱加密算法示意如下:加密:明文320902650816508

密鑰+888888888888888

密文108780438694386將密文通過一定途徑傳送到收信人,收信人進行解密,得到明文信息。2023/9/2846解密:密文108780438694386

密鑰-888888888888888

明文320902650816508在這個例子中密鑰是數(shù)字“8”。原理：加密時在每個明碼數(shù)字上加上8,超過9的只保留個位,就得到了密文;

解密時,將密文的每個數(shù)字減去8,對于小于8的密文數(shù)字在做減法時給它加上10然后再減去8,就得到了明文。2023/9/2847常用算法：DES美國標準,運用最廣泛的一種算法DES：DataEncryptionStandard數(shù)據(jù)加密標準有三個參數(shù)：密鑰Key、數(shù)據(jù)Data、工作模式ModeDES將數(shù)據(jù)分成長度為64位的數(shù)據(jù)塊，DES的密鑰長度也為64位，其中8位為奇偶校驗，有效長度為56位加密過程：將明文數(shù)據(jù)進行初始置換，以一定的規(guī)則打亂明文的排列順序分為兩段，每段32位乘積變換，在密鑰控制下做16次迭代逆初始變換得到密文2023/9/28484.3.1對稱加密技術對稱加密技術加密流程源信息（明文）加密后的信息（密文）密鑰（加密）Internet加密后的信息（密文）解密后的信息（明文）密鑰（解密）2023/9/2849優(yōu)點：在對稱密鑰密碼體制中，使用的加密算法比較簡便高效，密鑰簡短，破譯極其困難缺點：密鑰難于安全傳遞密鑰量太大，難以進行管理：網(wǎng)絡通信時，如果網(wǎng)內(nèi)的所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果網(wǎng)內(nèi)任意兩個用戶通信時都使用互不相同的密鑰，N個人就要使用N（N一1）/2個密鑰。因此，密鑰量太大，難以進行管理。無法滿足互不相識的人進行私人談話時的保密性要求。在Internet中，有時素不相識的兩方需要傳送加密信息。不能提供信息完整性的鑒別。2023/9/28504.3.2公開密鑰體制(不對稱密鑰密碼體制)

為解決密鑰管理問題，Diffie和He11man于1976年提出一種密鑰交換協(xié)議，允許在不安全的媒體上通信雙方交換信息，安全地達成一致的密鑰。在此新思想的基礎上，很快出現(xiàn)公開密鑰加密體制。2023/9/2851公開密鑰體制(不對稱密鑰密碼體制)公開密鑰密碼體制是現(xiàn)代密碼學的最重要的發(fā)明和進展。它是將加密密鑰和解密密鑰分開，加密和解密分別由兩個密鑰來實現(xiàn)，并使得由加密密鑰推導出解密密鑰（或由解密密鑰推導出加密密鑰）在計算上是不可行的。采用公開密鑰密碼體制的每一個用戶都有一對選定的密鑰，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，稱為“公開密鑰”（public-key）；解密密鑰只有解密人自己知道，稱為“私密密鑰”（private-key）。

2023/9/2852一個公鑰，一個私鑰，不能從其中一個密鑰推出另一個密鑰；公鑰用于加密，私鑰用于簽名：多用戶加密，一用戶解讀（多對一）：用于保密通信；一用戶加密，多用戶解讀（一對多）：用于數(shù)字簽名；4.3.2公開密鑰體制(不對稱密鑰密碼體制)公開密匙/私有密匙加密、鑒別老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息2023/9/2854常用標準公開密鑰加密方法的典型代表是RSA算法。

RSA算法是1978年由美國的RonRivest，AdiShamir和LeonardAdleman三人發(fā)明的，所以該算法以三個發(fā)明者名字的首字母命名為RSA。RSA是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法，是目前應用最廣泛的公鑰密碼體制。4.3.2公開密鑰體制(不對稱密鑰密碼體制)2023/9/2855例甲、乙雙方利用該方案實現(xiàn)機密信息交換的基本過程：甲方生成一對密鑰并將其中的一把作為公開密鑰向乙方公開；乙方使用該公鑰對機密信息加密后發(fā)送給甲方；甲方收到信息后用自己保存的私鑰解密。從而解決了信息傳輸中的保密問題。另一方面由于每個人都可以知道甲方的公鑰，他們都能給甲方發(fā)送信息。甲方需要確認的確是乙方發(fā)送的信息，這就產(chǎn)生了認證的問題，這時候就要用到數(shù)字簽名。RSA公鑰體系的特點使它非常適合用來滿足上述兩個要求：保密性(privacy)和認證性(authentication)2023/9/2856優(yōu)點：◆密鑰分配簡單。由于加密密鑰與解密密鑰不同，且不能由加密密鑰推導出解密密鑰，因此，加密密鑰表可以像電話號碼本一樣．分發(fā)給各用戶，而解密密鑰則由用戶自己掌握?！裘荑€的保存量少。網(wǎng)絡中的每一通信成員只需秘密保存自己的解密密鑰，N個通信成員只需產(chǎn)生N對密鑰，便于密鑰管理?！艨梢詽M足互不相識的人之間進行私人談話時的保密性要求。

◆可以完成數(shù)字簽名和數(shù)字鑒別。發(fā)信人使用只有自己知道的密鑰進行簽名，收信人利用公開密鑰進行檢查，既方便又安全。2023/9/2857缺點：

計算量大，不適用于對信息量大、速度要求快的信息進行加密對稱與非對稱加密體制對比特

性對

稱非

對

稱密鑰的數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對速度非常快慢用途用來做大量資料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖栏癖Ｃ艿膽?023/9/2859兩種方法的混合使用

對稱密碼體制算法比公鑰密碼體制算法快；另一方面，后者比前者易傳遞，因而在電子商務交易系統(tǒng)的安全協(xié)議中，兩種體制均得到了應用。這樣，既提供了保密又提高了通信速度。電子商務的安全加密系統(tǒng)，一般傾向于組合應用對稱密碼算法和非對稱密碼算法。對稱密碼算法用于信息加密，非對稱密碼算法用于密碼分發(fā)、數(shù)字簽名及身份鑒別。這種加解密方式，既有RSA體系的保密性，又有DES或IDEA算法的快捷性。

2023/9/28604.4認證技術安全認證技術安全認證技術是為了滿足電子商務系統(tǒng)的安全性要求而采取的一種常用而且必須的安全技術。它主要包括：數(shù)字摘要數(shù)字信封數(shù)字簽名數(shù)字時間戳數(shù)字證書2023/9/28614.4.1數(shù)字摘要（digitaldigest）技術

采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼（也叫數(shù)字指紋FingerPrint），并在傳輸信息時將之加入文件一同送給接收方，接收方接到文件后，用相同的方法進行變換計算，若得出的結果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。2023/9/2862安全Hash編碼法（SHA：SecureHashAlgorithm）采用Hash函數(shù)將需加密的信息“摘要”成一串128～1024bit的密文。目的：解決所傳送信息的完整性特點：

“一致”性，即同樣的信息其摘要必定一致。

“單向”性，即信息只能被加密，不能被解密。數(shù)字摘要工作過程

2023/9/28644.4.2數(shù)字簽名（digitalsignature）

只有信息的發(fā)送者才能產(chǎn)生的，而別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者發(fā)送信息的真實性的一個有效證明。完善的數(shù)字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰?。傳統(tǒng)的在書面文件上簽名是確認文件的一種手段，其作用有兩點：因為自己的簽名難以否認，從而確認了文件已簽署這一事實因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面文件簽名有相同之處，能確認以下兩點：信息是由簽名者發(fā)送的；信息自簽發(fā)后到收到為止未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽；用冒用別人的名義發(fā)送信息；或發(fā)出（收到）信件后又加以否認等情況發(fā)生。簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。數(shù)字簽名技術廣泛應用于鑒別發(fā)方不可否認服務中，收方不可否認服務也需結合數(shù)字簽名技術予以實現(xiàn)。2023/9/2865數(shù)字簽名能夠保證以下三點：

證明數(shù)據(jù)來源

接收者能夠核實發(fā)送者對報文的簽名，但只能證明具有此私鑰的用戶發(fā)來的數(shù)據(jù)。不能證明私鑰擁有者的合法性。

證實數(shù)據(jù)是否被篡改接收者能確認數(shù)據(jù)在傳輸過程中是否被更改。

數(shù)據(jù)發(fā)出者無法否認發(fā)送過數(shù)據(jù)目的：解決所傳送信息的唯一性、不可仿冒和不可否認三大特征。4.3.3數(shù)字簽名

圖數(shù)字簽名過程2023/9/2867數(shù)字信封的工作過程分為四步：（1）發(fā)送方產(chǎn)生一個對稱密鑰，然后用接受方的公用密鑰對它加密，通過網(wǎng)絡傳輸?shù)浇邮辗剑唬?）發(fā)送方用對稱密鑰對要傳輸?shù)奈募M行加密，然后再將其通過網(wǎng)絡傳到接受方；（3）接受方收到經(jīng)過加密的密鑰后,用自己的專用密鑰對其進行解密，得到對稱密鑰；（4）接受方收到經(jīng)過加密的文件后,用對稱密鑰對其解密得到文件的原文。4.4.3數(shù)字信封2023/9/2868明文接收者公鑰加密

密文1發(fā)送端接收端接收者私鑰數(shù)字信封的工作過程

密文1解密明文對稱密鑰加密

密文2Internet

密文2對稱密鑰解密數(shù)字信封工作流程：2023/9/2869發(fā)送端接收端明文接收者公鑰加密

密文1接收者私鑰

密文1解密明文對稱密鑰加密

密文2

密文2對稱密鑰解密摘要1Hash數(shù)字簽名數(shù)字簽名發(fā)送者公鑰加密摘要1發(fā)送者私鑰Hash摘要2解密比較Internet數(shù)字信封和數(shù)字簽名技術的組合應用：2023/9/2870在電子商務中，時間和簽名一樣是十分重要的證明文件有效性的內(nèi)容。數(shù)字時間戳（DTS：DigitalTime-Stamp）技術就是對電子文件簽署的日期和時間進行安全性保護和有效證明的技術。數(shù)字時間戳的簽署與由簽署人自己寫上的書面文件的時間不同：它是由專門的認證機構（第3方）簽署的，并以認證機構收到文件的時間為依據(jù)。DTS是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要；DTS收到文件的日期和時間，時間是由認證單位（DTS）以收到文件的時間為依據(jù)；DTS的數(shù)字簽名。

4.4.4數(shù)字時間戳2023/9/2871數(shù)字時間戳工作原理Hash原信息發(fā)送端數(shù)字時間戳服務商數(shù)字時間戳加密

摘要1

摘要1時間數(shù)字時間戳加時間Hash摘要1

摘要1時間InternetDTS私鑰加密加了時間后的數(shù)字摘要摘要2數(shù)字時間戳工作過程：

1．數(shù)字證書（DigitalCertificate或DigitalID）（1）概念亦數(shù)字憑證、數(shù)字標識。它數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用電子手段來證實一個用戶的身份和對網(wǎng)絡資源訪問的權限，是各實體(買方,商戶／企業(yè),銀行等)在網(wǎng)上進行信息交流及商務活動的電子身份證。

數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上采購招標、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務處理和安全電子交易活動。4.4.5數(shù)字證書與CA認證4.4.5數(shù)字證書與CA認證（2）數(shù)字證書（DigitalID）原理證書格式遵循ITUT.509(國際信息聯(lián)盟)國際標準。數(shù)字證書采用公鑰體系，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰，用它進行信息解密和數(shù)字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。

2023/9/2874

內(nèi)部格式是由ＩＴＵＴ（國際電信聯(lián)盟）制定的數(shù)字證書標準Ｘ.609所規(guī)定的，證書包括以下內(nèi)容：Ｘ.509的版本號證書擁有者的名稱證書擁有者的公鑰頒發(fā)證書的單位的名稱頒發(fā)證書的單位的數(shù)字簽名證書的有效期限證書序列號（3）

數(shù)字證書的內(nèi)容（1）客戶證書（2）服務器證書（3）安全郵件證書（4）CA機構證書（4）數(shù)字證書的類型2023/9/2876CA，又稱為證書授權中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發(fā)放和管理數(shù)字證書的權威機構。CA中心為每個使用公開密鑰的