電商交易安全(加密解密算法)

第5章電子商務(wù)交易平安12/15/20231電子商務(wù)概論第5章電子商務(wù)交易平安教學(xué)目的和要求：〔1〕掌握電子商務(wù)面臨的平安問題與平安控制要求〔2〕掌握現(xiàn)代加密技術(shù)中的私有密鑰加密法和公開密鑰加密法〔3〕理解數(shù)字簽名、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書和認(rèn)證中心的含義及其使用方法〔4〕理解防火墻的定義、功能、組成、分類和優(yōu)缺點〔5〕了解常見的計算機病毒及其防治方法教學(xué)重點：〔1〕電子商務(wù)面臨的平安問題與平安控制要求〔2〕數(shù)字簽名、數(shù)字摘要、數(shù)字時間戳的含義難點：現(xiàn)代加密技術(shù)中的私有密鑰加密法和公開密鑰加密法2案例網(wǎng)上購物后，銀行卡和身份證都未曾離身，但帳戶里的錢卻神秘消失。到底誰在幕后轉(zhuǎn)移了這筆錢？湖北的蘇先生怎么也沒有想到，自己招商銀行卡里的一萬余元，竟然會為了買一本《教父》不翼而飛。07年3月30日，喜歡網(wǎng)上購物的蘇先生為買一本《教父》小說，在“淘寶網(wǎng)〞上發(fā)布一條求購信息。不久，一個名叫“雪碧貿(mào)易〞的人便通過“淘寶旺旺〞跟他聯(lián)系，稱有《教父》一書出售，并表示可以先發(fā)貨，待蘇先生收到書后再行結(jié)帳。之后，“雪碧貿(mào)易〞告訴蘇先生，由于是網(wǎng)上統(tǒng)一發(fā)貨，交易前蘇先生首先要到他的公司網(wǎng)站“新世紀(jì)購物網(wǎng)〞下一份訂單，支付0.01元，生成一個訂單號后才能發(fā)貨。3蘇先生于是按照賣家的指示，登陸了“新世紀(jì)購物網(wǎng)〞，點擊網(wǎng)頁上的“在線支付〞。隨后，電腦跳出一個顯示有“招商銀行〞、“建設(shè)銀行〞等多家銀行字樣的頁面，蘇先生選擇了“招行〞，并在“招行支付頁面〞上輸入了自己銀行卡號、密碼及金額0.01元?？墒?，就在蘇先生點擊“提交〞按鈕后發(fā)現(xiàn)，系統(tǒng)顯示的并非預(yù)想的“交易成功〞，而是“系統(tǒng)正在維護中，請稍后再試〞，但系統(tǒng)同時又自動生成了一個訂單號。這讓蘇先生頗感納悶，當(dāng)他向“雪碧貿(mào)易〞詢問原因時，被告知“系統(tǒng)可能交易繁忙，并不影響發(fā)貨〞。蘇先生信以為真，然而就在當(dāng)天晚上，當(dāng)他查詢卡內(nèi)資金余額時，猛然發(fā)現(xiàn)卡內(nèi)少了1萬余元！此時，蘇先生方才想起問題很可能就出在“雪碧貿(mào)易〞身上。他再次翻開了“雪碧貿(mào)易〞所提供的所謂“招行支付頁面〞，細(xì)看之后才恍然發(fā)現(xiàn)，這個頁面根本就是偽造的。4

由于網(wǎng)絡(luò)購物越來越受人們喜愛，而享受高科技帶來的便捷的同時，也給不法分子留下了可乘之機。通過該案，警方發(fā)現(xiàn)嫌疑人是利用大局部人不懂得網(wǎng)上交易的根本常識以及自我防范意識差，從而導(dǎo)致不法分子作案得逞的。與此同時，銀行業(yè)內(nèi)人士也表示，該類網(wǎng)站支付頁面具有極強的偽裝性和欺騙性。網(wǎng)民在交易時一定要看清域名，確保進(jìn)入真實的網(wǎng)址。此外，當(dāng)網(wǎng)民發(fā)現(xiàn)交易出現(xiàn)異常等可疑情況時，要立即與銀行聯(lián)系，以便盡早做好應(yīng)對措施，防止損失。一旦網(wǎng)民發(fā)現(xiàn)資金被盜，要盡快到公安機關(guān)報案。5電子商務(wù)與網(wǎng)絡(luò)平安的現(xiàn)狀美國每年因電子商務(wù)平安問題所造成的經(jīng)濟損失達(dá)75億美元。1997年美國出現(xiàn)了兩次大的企業(yè)網(wǎng)站癱瘓事件，甚至連美國中央情報局的效勞器在1999年也受到過黑客的攻擊。在中國，僅就中科院網(wǎng)絡(luò)中心而言，在1993年至1998年期間，屢次遭到中外“黑客〞的入侵。1997年7月，上海某證券系統(tǒng)被黑客入侵，同期西安某銀行系統(tǒng)被黑客入侵后，被提走80.6萬元現(xiàn)金。1997年9月，揚州某銀行被黑客攻擊，利用虛擬帳號提走26萬元現(xiàn)金。1999年4月26日的CIH病毒的爆發(fā)，使我國4萬臺計算機不能正常運行，大多數(shù)計算機的硬盤數(shù)據(jù)被毀。65.1電子商務(wù)平安概述一、電子商務(wù)的平安問題1、賣方面臨的問題中央系統(tǒng)平安性被破壞競爭對手檢索商品遞送狀況被他人假冒而損害公司的信譽買方提交訂單后不付款獲取他人的機密數(shù)據(jù)2、買方面臨的問題付款后不能收到商品機密性喪失拒絕效勞73．信息傳輸問題冒名偷竊篡改數(shù)據(jù)信息喪失信息傳遞過程中的破壞虛假信息4．信用問題來自買方的信用問題來自賣方的信用風(fēng)險買賣雙方都存在抵賴的情況8二、電子商務(wù)平安體系1、電子商務(wù)系統(tǒng)硬件和軟件平安物理實體的平安：設(shè)備的被盜和被毀、電源故障、由于電磁泄漏引起的信息失密、搭線竊聽、人為操作失誤或錯誤、電磁干擾等自然災(zāi)害的威脅：各種自然災(zāi)害、風(fēng)暴、泥石流、建筑物破壞、火災(zāi)、水災(zāi)、空氣污染等黑客的惡意攻擊軟件的漏洞和“后門〞計算機病毒的攻擊2、電子商務(wù)系統(tǒng)運行平安3、電子商務(wù)平安立法9中美海底光纜屢次中斷2001年2月9日，跨太平洋的中美海底光纜在上海崇明島段受損中斷，導(dǎo)致國內(nèi)用戶無法訪問國外網(wǎng)站。2001年3月9日，剛剛修復(fù)的中美海底電纜在另一處發(fā)生斷裂，臺灣的互聯(lián)網(wǎng)一時間出現(xiàn)嚴(yán)重?fù)矶?，?00萬互聯(lián)網(wǎng)用戶受到影響。2006年12月26日晚至27日凌晨，我臺灣南部恒春外海發(fā)生的里氏7.2級地震以及隨后的強烈余震，造成附近9條海底通信光纜全部中斷，阻斷了我國大陸至歐洲、北美、東南亞等方面的國際通話、數(shù)據(jù)和互聯(lián)網(wǎng)業(yè)務(wù)，也攪亂了不少中國網(wǎng)民的生活和工作。斷網(wǎng)事故直至2007年1月中旬才全部修復(fù)。據(jù)了解，1999年中國海域海底光纜被阻斷達(dá)18次之多。10物理平安防盜：上鎖，報警器防毀：接地保護，外殼防電磁信息泄漏：屏蔽，吸收，干擾防止線路截獲：預(yù)防，探測，定位，對抗抗電磁干擾：對抗外界，消除內(nèi)部干擾環(huán)境平安工作場地：配電與接地、環(huán)境干擾、環(huán)境破壞運行條件：溫度、濕度、電源人為影響：誤操作、盜竊、破壞等自然影響：災(zāi)害、雷擊、火災(zāi)、鼠害等11三、電子商務(wù)的平安控制要求信息傳輸?shù)谋Ｃ苄浴畔⒓用芙灰孜募耐暾浴獢?shù)字摘要、數(shù)字簽名、數(shù)字時間戳信息的不可否認(rèn)性——數(shù)字簽名交易者身份的真實性——數(shù)字證書效勞的不可拒絕性——保證授權(quán)用戶在正常訪問信息和資源時不被拒絕效勞的訪問控制性——防火墻12請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元13四、電子商務(wù)平安的特點電子商務(wù)平安是一個系統(tǒng)的概念電子商務(wù)平安是相對的電子商務(wù)平安是有代價的電子商務(wù)平安是開展的、動態(tài)的14五、電子商務(wù)平安體系結(jié)構(gòu)155.2電子商務(wù)平安技術(shù)—數(shù)據(jù)加密技術(shù)早在公元前2000年前，古埃及人為了保障信息平安，使用特別的象形文字作為信息編碼；羅馬帝國時代，凱撒大帝使用信息編碼，以防止敵方了解自己的戰(zhàn)爭方案；一戰(zhàn)期間，德國間諜曾依靠字典編寫密碼，美國情報部門搜集了所有的德文字典，只用了幾天時間就破譯了密碼，給德軍造成了巨大損失；二戰(zhàn)期間，德國人創(chuàng)立了加密信息的機器-Enigma編碼機，英國情報部門在波蘭人的幫助下，于1940年破譯了德國直至1944年還自認(rèn)為可靠的密碼系統(tǒng)，使德方遭受重大損失；隨著計算機互聯(lián)網(wǎng)技術(shù)的普及，一個新興產(chǎn)業(yè)正在迅猛興起—互聯(lián)網(wǎng)保密技術(shù)產(chǎn)業(yè)。16一、數(shù)據(jù)加密技術(shù)1、加密和解密信息加密技術(shù)是指采用數(shù)學(xué)方法對原始信息進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為無意義的文字。加密和解密包含三個要素：信息：明文和密文密鑰：用于加密和解密的一些特殊信息，是控制明文與密文之間變換的關(guān)鍵，可以是數(shù)字、詞匯或語句，通常是借助數(shù)學(xué)算法生成。密鑰包括加密密鑰和解密密鑰算法：加密和解密的數(shù)學(xué)函數(shù)，包括加密算法和解密算法，強的加密算法很難破解。172、密碼系統(tǒng)的構(gòu)成18密碼學(xué)在計算機的信息平安中，解決信息的機密性和完整性問題的根底是現(xiàn)代密碼學(xué)。在信息加密、解密過程中，產(chǎn)生了密碼學(xué)，它屬于保密學(xué)的研究范疇，重點研究消息的變形及合法復(fù)現(xiàn)，涉及數(shù)學(xué)、物理、計算機、電子學(xué)、系統(tǒng)工程、語言學(xué)等學(xué)科內(nèi)容。密碼學(xué)密碼分析學(xué)：研究如何在不知道密鑰的情況下，從密文退出明文或密鑰，即研究如何破譯密文。密碼編碼學(xué)：設(shè)計平安的密碼體制，防止密文被破譯。19密碼技術(shù)的分類1〕按應(yīng)用技術(shù)分手工密碼機械密碼電子機內(nèi)亂密碼計算機密碼2〕按密鑰方式分對稱式密碼非對稱式密碼3〕按編制原理分移位代替置換203、通用密鑰密碼體制信息發(fā)送方與信息接收方采用相同的密鑰進(jìn)行加密和解密，因此又稱為“對稱密碼體制〞或“傳統(tǒng)密碼體制〞特點：密鑰只有一個常用算法凱撒密碼多表式密碼DES算法：“數(shù)據(jù)加密標(biāo)準(zhǔn)〞，密鑰長度為64位三重DES算法：密鑰長度為112位IDEA算法：國際數(shù)據(jù)加密算法，密鑰長度為128位21Alice和Bob協(xié)商用同一密碼系統(tǒng)〔比方凱撒密碼〕Alice和Bob協(xié)商同一密鑰Alice用加密算法和選取的密鑰加密她的明文消息，得到了密文消息Alice發(fā)送密文消息給BobBob用同樣的算法和密鑰解密密文通用密碼體制舉例22通用密鑰密碼體制加密密鑰密鑰安全通道23凱撒密碼——古老而簡單的加密技術(shù)愷撒密碼24維吉尼亞〔Vigenere〕密碼這是一種多表替代密碼，它把26個英文字母循環(huán)移位，再排列在一起，形成了26*26的方陣。使用時先把一個易記的單詞作為密鑰，再把它反復(fù)寫在明文下面，每個明文字母下面的密鑰字母就表示了該明文字母應(yīng)用列表的那一行加密。例如：假設(shè)以RED為密鑰，把“LETUSGO〞加密寫下明文：LETUSGO重復(fù)密鑰：REDREDR在表中找到L行，R列，得到L的替換字母，再用E行E列的字母替代E，用T行D列的字母替代T，如此類推，最終得到密文：CIWMWJG如何進(jìn)行解密？252.2加密機制26明文M：itcanallowstudentstogetcloseupviews

將其按順序分為5個字符的字符串：

Itcan、allow、stude、ntsto

再將其按先列后行的順序排列，就形成了密文：C=IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS

如果將每一組的字母倒排，也形成一種密文：C=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV在替換加密法中，原文的順序沒被改變，而是通過各種字母映射關(guān)系把原文隱藏了起來。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。如：轉(zhuǎn)換加密法27通用密鑰密碼體制的優(yōu)缺點1〕優(yōu)點：加解密速度快，效率較高，適合于在專線網(wǎng)絡(luò)中對數(shù)據(jù)量較大的文件的傳送；2〕缺點：由于算法公開，其平安性完全依賴于對私有密鑰的保護，因此，密鑰使用一段時間后需要更換，而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰，即需要一個傳遞私有密鑰的平安通道，且分發(fā)密鑰不容易；當(dāng)網(wǎng)絡(luò)中用戶增加時，密鑰的數(shù)量龐大，不利于Internet這樣的大型、公眾網(wǎng)絡(luò)使用；難以進(jìn)行用戶身份的認(rèn)定284、公開密鑰密碼體制1〕概念：信息發(fā)送方與信息接收方采用不同的密鑰進(jìn)行加密和解密，因此又稱為“非對稱密碼體制〞。私鑰：需要保密公鑰：完全公開，由同一系統(tǒng)的人公用，用來檢驗信息及其發(fā)送者的真實性和身份。任何人都可以用公鑰加密信息，但只有擁有私鑰的人才可解密信息。29302〕公開密鑰密碼體制的使用過程公鑰加密機制根據(jù)不同的用途有兩種根本的模型：A、加密模型：收方公鑰加密，收方私鑰解密31B、認(rèn)證模型：發(fā)方私鑰加密，發(fā)方公鑰解密數(shù)字簽名的原理32公開密碼體制舉例

Alice從數(shù)據(jù)庫中得到Bob的公開密鑰

Alice用Bob的公開密鑰加密消息，然后發(fā)送給BobBob用自己的私人密鑰解密Alice發(fā)送的消息。333〕常用算法RSA算法：大整數(shù)因子分解系統(tǒng)，密鑰長度從40-2048位可變；ECC算法：橢圓曲線離散對數(shù)系統(tǒng)DSA算法：離散對數(shù)系統(tǒng)344〕公開密鑰加密法的優(yōu)缺點A、優(yōu)點：身份認(rèn)證較為方便密鑰分配簡單能很好地支持?jǐn)?shù)字簽名以解決數(shù)據(jù)的否認(rèn)與抵賴問題B、缺點：加解密速度慢，RSA算法最快的情況也比DES慢上100倍，因此，一般適用于少量數(shù)據(jù)加密，例如向客戶傳送信用卡或網(wǎng)絡(luò)銀行的密碼。35私有密鑰加密法公開密鑰加密法加解密的處理效率快慢密鑰的分發(fā)與管理①加解密使用同一密鑰和同一算法②發(fā)送方和接收方必須共享密鑰和算法③密鑰必須秘密分配傳遞，密鑰變更困難①用同一算法進(jìn)行加密和解密，而密鑰有一對，其中一個用于加密，而另一個用于解密②發(fā)送方和接收方各自擁有一對密鑰中的一個③采用公開形式分配加密密鑰，密鑰更新容易簽名和認(rèn)證從原理上不能實現(xiàn)數(shù)字簽名和身份認(rèn)證能夠方便地進(jìn)行數(shù)字簽名和身份認(rèn)證私有密鑰加密在加解密速度方面有較大優(yōu)勢，公開密鑰加密在簽名認(rèn)證方面功能強大。366〕非數(shù)學(xué)的加密理論與技術(shù)A、信息隱藏信息隱藏不同于傳統(tǒng)的密碼學(xué)技術(shù)，它主要研究如何將某一機密信息秘密隱藏于另一公開的信息中，然后通過公開信息的傳輸來傳遞機密信息。信息隱藏技術(shù)的應(yīng)用舉例：數(shù)字水印技術(shù)3738B、生物識別傳統(tǒng)的身份識別方法主要基于以下兩點：身份標(biāo)識物品：鑰匙、證件、自動取款機的銀行卡等身份標(biāo)識知識：用戶名、密碼等由于標(biāo)識物品容易喪失或被偽造，而標(biāo)識知識容易遺忘或記錯，更為嚴(yán)重的是，傳統(tǒng)身份識別系統(tǒng)往往無法區(qū)分標(biāo)識物品真正的擁有者和取得標(biāo)識物品的冒充者。生物識別技術(shù)是以生物技術(shù)為根底、以信息技術(shù)為手段，將生物和信息這兩大熱門技術(shù)交匯融合為一體的一種技術(shù)。它利用了生物特征的惟一性、可測量性、可識別性的特點。39生物特征有：手型、指紋、臉型、虹膜、視網(wǎng)膜、脈搏、耳廓、DNA等行為特征有：簽字、聲音、按鍵力度等原理：生物識別系統(tǒng)對生物特征進(jìn)行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，并進(jìn)一步將這些代碼組成特征模板，人們同識別系統(tǒng)交互進(jìn)行身份認(rèn)證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進(jìn)行比較，以確定是否匹配，從而決定接受或拒絕。目前人體特征識別技術(shù)市場上占有率最高的是指紋機和手形機。40二、數(shù)字簽名技術(shù)引例：中國首例電子郵件案1996年7月9日，北京市海淀區(qū)法院審理國內(nèi)第一起電子郵件侵權(quán)案。原告、被告均為北京大學(xué)心理學(xué)系93級女研究生。原告薛某于4月9日收到美國密執(zhí)安大學(xué)教育學(xué)院通過互聯(lián)網(wǎng)發(fā)給她的電子郵件，內(nèi)容是該學(xué)院將給她提供1.8萬美元金額獎學(xué)金的時機。此后，她久等正式通知，但一直杳無音信，便委托在美國的朋友查詢，結(jié)果被告知，密執(zhí)安大學(xué)收到一封北京時間4月12日10時16分發(fā)出的署名是薛某的電子郵件，表示拒絕該校的邀請，于是，密執(zhí)安大學(xué)已將原準(zhǔn)備給薛某的獎學(xué)金轉(zhuǎn)給他人……411、數(shù)字摘要〔DigitalDigest〕1〕定義與應(yīng)用原理數(shù)字摘要也稱為平安Hash〔散列〕編碼法或MD5，它由單向Hash函數(shù)將需要加密的明文“摘要〞成一串密文，且不同的明文摘要成的密文是不相同的，而同樣的明文其摘要必定是相同的，由此可以成為檢驗明文是否為“真身〞的“指紋〞。數(shù)字摘要又稱數(shù)字指紋或數(shù)字手印。42Hash函數(shù)是一種能夠把任意長的輸入串x變化成固定長的輸出串y的函數(shù)，采用單向的不可逆的數(shù)學(xué)算法，從而保證生成的數(shù)字摘要不能再復(fù)原為原來的信息報文，從而保證信息報文的完整性，即：哈希函數(shù)的輸出，求解它的輸入是困難的，x1,計算y1=Hash(x1)，構(gòu)造x2使Hash(x2)=y1是困難的；哈希算法是公開的，接收者收到信息報文和數(shù)字摘要后，可用同樣的哈希算法得到一個數(shù)字摘要，只要比較兩條數(shù)字摘要是否相同，就可以驗證信息報文在傳送過程中的完整性。43利用Hash函數(shù)生成數(shù)字摘要44利用數(shù)字摘要驗證消息452、數(shù)字簽名〔DigitalSignature〕手書簽名的特點在書面文件上簽名是確認(rèn)文件的一種手段，其作用有三：因為簽名難以否認(rèn)，從而可確認(rèn)文件已簽署這一事實因為簽名不易仿冒，從而可確定文件是真的這一事實如果對簽名有爭議，可以請專家分析識別筆記的真?zhèn)?61〕數(shù)字簽名的定義與應(yīng)用原理數(shù)字簽名也叫電子簽名，是指利用電子信息加密技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送信息報文時，附加一個特殊的能唯一代表發(fā)送者個人身份的標(biāo)記，完成傳統(tǒng)上手書簽名或印章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手、真實等?；蛘哒f數(shù)字簽名是在要發(fā)送的信息報文上附加一小段只有信息發(fā)送者才能產(chǎn)生而別人無法偽造的特殊個人數(shù)據(jù)標(biāo)記。47數(shù)字簽名的原理：數(shù)字簽名技術(shù)以加密技術(shù)為根底，其核心是采用加密技術(shù)的加、解密算法體制和數(shù)字摘要來實現(xiàn)對報文的數(shù)字簽名。48數(shù)字信封加密對稱密鑰用戶A明文密文用戶B的公鑰數(shù)字信封解密用戶B密文明文用戶B的私鑰對稱密鑰49數(shù)字簽名舉例

Alice用她的私人密鑰對文件加密，從而對文件簽名

Alice將簽名的文件傳給BobBob用Alice的公開密鑰解密文件，從而驗證簽名502〕數(shù)字簽名的功能：收方能夠證實發(fā)送方的真實身份，即確認(rèn)信息是由簽名者發(fā)送的—身份認(rèn)證；發(fā)送方事后不能否認(rèn)所發(fā)送過的報文，如果發(fā)送方否認(rèn)對信息的簽名，可以通過仲裁解決雙方之間的爭議—不可抵賴；收方或非法者不能偽造、篡改報文，即信息自簽發(fā)后到收到為止未曾做過任何修改—信息完整完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?13〕特殊數(shù)字簽名方法A、雙聯(lián)簽名：例如，持卡人給商家發(fā)送訂購信息和自己的付款帳戶信息，但不愿讓商家看到自己的付款帳戶信息，也不愿讓處理持卡人付款信息的銀行看到訂貨信息，這時，可采用雙聯(lián)簽名技術(shù)。B、盲簽名C、團體簽名D、不可爭辯簽名E、多重簽名523、數(shù)字時間戳效勞〔DigitalTime-stampService，DTS〕是數(shù)字簽名的變種應(yīng)用，是網(wǎng)上電子商務(wù)平安效勞工程之一，能提供電子文件的日期和時間信息的平安保護，由專門的機構(gòu)提供。內(nèi)容包括三個局部：需加時間戳的文件的摘要DTS效勞機構(gòu)收到文件的日期和時間DTS效勞機構(gòu)的數(shù)字簽名53時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在參加了收到文件摘要的日期和時間信息后再對該文件加密〔數(shù)字簽名〕，然后送回用戶。注意，書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳那么是由認(rèn)證單位DTS來加的，以DTS收到文件的時間為依據(jù)。因此，時間戳也可作為科學(xué)家的科學(xué)創(chuàng)造文獻(xiàn)的時間認(rèn)證。54三、數(shù)字證書引例：認(rèn)證的信任危機一：

2003年2月初，一名電腦黑客攻破了一家負(fù)責(zé)代表商家處理信用卡交易業(yè)務(wù)的銀行的數(shù)據(jù)庫，超過800萬張信用卡賬號被竊取，構(gòu)成巨大的信用卡資料泄密。認(rèn)證的信任危機二：北京、廣東曾發(fā)生多起股民股票被盜賣盜買事件，一些股民帳戶上的績優(yōu)股被換成了垃圾股，涉及金額達(dá)100多萬元。問題：

基于用戶名+密碼的身份驗證方式的脆弱性！

551、數(shù)字證書原理1〕數(shù)字證書的概念數(shù)字證書〔DigitalID〕又稱為數(shù)字憑證、數(shù)字標(biāo)識，是一個經(jīng)證書授權(quán)中心數(shù)字簽名的，包含公開密鑰擁有者信息和公開密鑰的電子文件。它用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限，是各實體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的電子身份證。數(shù)字證書是模擬傳統(tǒng)證書如個人身份證、企業(yè)營業(yè)證書等的特殊數(shù)字信息文檔。56證書的版本信息證書的序列號證書所使用的簽名算法證書的發(fā)行機構(gòu)名稱證書的有效期證書所有人的名稱證書所有人的公開密鑰證書發(fā)行者對證書的簽名X.509數(shù)字證書包含

2〕數(shù)字證書的內(nèi)容57CA的簽名保證證書的真實性證書以一種可信方式將密鑰“捆綁”到唯一命名持有人:GBFOCUS公開密鑰:9f0a34...序列號:123465有效期:2/9/2001-1/9/2010發(fā)布人:CA-名簽名:CA數(shù)字簽名證書可以存放到文件、軟盤、智能卡、數(shù)據(jù)庫中數(shù)字證書的內(nèi)容583〕工作原理信息接收方在收到發(fā)送方發(fā)來的業(yè)務(wù)信息的同時，還收到發(fā)送方的數(shù)字證書，這時通過對其數(shù)字證書的驗證，可以確認(rèn)發(fā)送方的真實身份。由于公開密鑰包含在數(shù)字證書中，在發(fā)送方與接收方交換數(shù)字證書的同時，雙方都得到了對方的公開密鑰。數(shù)字證書是由社會上公認(rèn)的公正的第三方的可靠組織——數(shù)字證書認(rèn)證中心發(fā)行的。CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。如果由于CA簽發(fā)的證書造成不恰當(dāng)?shù)男湃侮P(guān)系，該組織就要承擔(dān)責(zé)任。592、數(shù)字證書的類型個人身份證書：包含個人身份信息和公鑰，可儲存在硬盤、USBKey、IC卡等介質(zhì)中個人E-mail證書：對重要郵件進(jìn)行加密和簽名單位證書：包含企業(yè)信息、企業(yè)的公鑰和認(rèn)證中心的簽名單位E-mail證書應(yīng)用效勞器證書:包含效勞器信息和公鑰代碼簽名證書：代表軟件開發(fā)者身份，用于對其開發(fā)的軟件進(jìn)行數(shù)字簽名603、認(rèn)證中心的作用1〕認(rèn)證中心的定義認(rèn)證中心〔CertificationAuthority，CA〕是承擔(dān)網(wǎng)上平安電子交易認(rèn)證效勞、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的效勞機構(gòu)。CA是基于Internet平臺建立的一個公正的、有權(quán)威性的、獨立的、廣受信賴的第三方組織機構(gòu)，負(fù)責(zé)受理數(shù)字證書的申請、簽發(fā)數(shù)字證書、管理數(shù)字證書，以保證網(wǎng)上業(yè)務(wù)平安可靠地進(jìn)行。612〕認(rèn)證中心的主要作用證書的頒發(fā)證書的更新證書的查詢證書的作廢證書的歸檔62數(shù)