服務器響應是由該證書不再有效簽名。妳想暫時信任它呢

,加密技術加密技術是認證技術及其他許多安全技術的基礎."加密",簡單地說,就是使用數學的方法將原始信息(明文)重新組織與變換成只有授權用戶才能解讀的密碼形式(密文).而"解密"就是將密文重新恢復成明文.對稱密碼體制非對稱密碼體制加密密鑰與解密密鑰是相同的.密鑰必須通過安全可靠的途徑傳遞.由於密鑰管理成為影響系統安全的關鍵性因素,使它難以滿足系統的開放性要求.把加密過程和解密過程設計成不同的途徑,當算法公開時,在計算上不可能由加密密鑰求得解密密鑰,因而加密密鑰可以公開,而只需秘密保存解密密鑰即可.2. 認證技術認證的功能采用認證技術可以直接滿足身份認證,信息完整性,不可否認和不可修改等多項網上交易的安全需求,較好地避免了網上交易面臨的假冒,篡改,抵賴,偽造等種種威脅.用戶所知道的某種秘密信息用戶持有的某種秘密信息(硬件)用戶所具有的某些生物學特征身份認證:用於鑒別用戶身份報文認證:用於保證通信雙方的不可抵賴性和信息完整性實現方式驗證內容證實報文是由指定的發送方產生的證實報文的內容沒有被修改過確認報文的序號和時間是正確的數字簽名數字摘要數字證書CA安全認證體系廣泛使用的認證技術3. 安全電子交易協議目前有兩種安全在線支付協議被廣泛采用SSL協議(Secure Sockets Layer,安全套接層)SET協議(Secure Electronic Transaction,安全電子交易)4. 黑客防範技術(1)安全評估技術通過掃描器發現遠程或本地主機所存在的安全問題.掃描器的壹般功能:發現壹個主機或網絡發現什麽服務正運行在這臺主機上通過測試這些服務,發現漏洞掃描器的種類基於服務器的掃描器基於網絡的掃描器(2)防火墻防火墻是壹種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照壹定的安全策略進行檢查,從而決定網絡之間的通信是否被允許.防火墻能有效地控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的.(3)入侵檢測技術入侵檢測系統(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統.包括來自系統外部的入侵行為和來自內部用戶的非授權行為.它從計算機網絡系統中的若幹關鍵點收集信息,並分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象.在發現入侵後,會及時作出響應,包括切斷網絡連接,記錄事件和報警等.5. 虛擬專用網技術虛擬專用網(VPN)技術是壹種在公用互聯網絡上構造專用網絡的技術.將物理上分布在不同地點的專用網絡,通過公***網絡構造成邏輯上的虛擬子網,進行安全的通信.5. 虛擬專用網技術VPN具體實現是采用隧道技術,將企業內的數據封裝在隧道中進行傳輸.6. 反病毒技術主要包括預防病毒,檢測病毒和消毒等3種技術:預防病毒技術,它通過自身常駐系統內存優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞.這類技術有加密可執行程序,引導區保護,系統監控與讀寫控制(如防病毒卡)等;檢測病毒技術,它是通過對計算機病毒的特征來進行判斷的技術,如自身校驗,關鍵字,文件長度的變化等;消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟件.2,電子商務安全機制1 ,數據完整性機制2 ,加密機制3 ,數字簽名機制4 ,訪問控制機制1,數據完整性機制數據在傳輸的過程中,有可能被篡改,為保證數據的完整性和真實性,需要采取相應的措施.加密雖然能在壹定程度上保障數據安全,但加密本身可能受到比特交換攻擊,無法保障數據的真實完整,所以需要結合采用其他完整性機制.數字摘要技術數字摘要技術就是利用hash函數把任意長度的輸入映射為固定長度的輸出.這個固定長度的輸出就叫做消息摘要.hash函數是把任意長的輸入串x變化成固定長的輸出串y的壹種函數,並滿足下述條件:1)已知哈希函數的輸出,求解它的輸入是困難的,即已知y=Hash(x),求x是困難的;2)已知x1,計算y1=Hash(x1),構造x2使Hash(x2)=y1是困難的;3)y=Hash(x),y的每壹比特都與x的每壹比特相關,並有高度敏感性.即每改變x的壹比特,都將對y產生明顯影響.數字摘要技術消息摘要數字摘要技術消息驗證2 ,加密機制數據加密就是通過某種函數進行變換,把正常的數據報文(稱為明文或明碼)轉換為密文(也稱密碼).愷撒算法――古老而簡單的加密技術CHINAHMNSF每個字符後移5位明文M密鑰K密文C加密算法E加密過程可以表示為:C=EK(M)解密過程可以表示為:M=DK(C)維吉利亞(Vigenere)加密方法設M=data security,k=best,求C(1)制作維吉利亞方陣如下:維吉利亞(Vigenere)加密方法設M=data security,k=best,求C(2)按密鑰的長度將M分解若幹節:維吉利亞(Vigenere)加密方法設M=data security,k=best,求C(3)對每壹節明文,用密鑰best進行變換Ee密文atad明文Eee密文atad明文lee密文atad明文EL維吉利亞(Vigenere)加密方法設M=data security,k=best,求C(3)對每壹節明文,用密鑰best進行變換結果為C=EELT TIUN SMLR如何進行解密本質上說,有兩種加密機制:對稱加密機制公鑰加密機制1. 對稱加密機制加密與解密變換是平等的,使用相同的密鑰,而且很容易從壹個推導出另壹個.EK(M)=C,DK(C)=M註意:由於加密,解密的密鑰相同,因此必須妥善保管,防止發送者與接收者之外的其他人獲得,又稱秘密密鑰.特點:密鑰使用壹段時間就要更換,加密方需經過某種秘密渠道把密鑰傳給對方,而密鑰在此過程中可能會泄漏同壹網內使用相同的密鑰,就失去了保密的意義,如果網內任意兩個人都使用不同的密鑰,密鑰量就很大,難以管理無法滿足互不相識的人之間進行私人談話時的保密性要求難以解決數字簽名2. 公鑰加密機制(非對稱密鑰加密)公鑰密碼系統的思想在公鑰密碼系統中,加密密鑰與解密密鑰不同,並且從其中壹個密鑰推出另壹個密鑰在計算上非常困難.其中壹個密鑰稱為私鑰,必須保密.而另壹個密鑰稱為公鑰,應該公開.這樣就不必考慮如何安全地傳輸密鑰.Epuk(M)=CDprk(C)=Dprk(Epuk(M))=M(註:puk表示公鑰,prk表示私鑰)特點:密鑰分配簡單密鑰的保存量少可以滿足互不相識的人之間進行私人談話時的保密性要求可以完成數字簽名和數字鑒別公鑰加密機制根據不同的用途有兩種基本的模型:(1)加密模型:發方公鑰加密,收方私鑰解密公鑰加密機制根據不同的用途有兩種基本的模型:(2)認證模型:發方私鑰加密,收方公鑰解密RSA是最有名也是應用最廣的公鑰系統.由Rivest,Shamir和Adleman於1978年提出的,曾被ISO/TC97的數據加密委員會SC20推薦為公開數據加密標準.RSA的原理是數論的歐拉定理:尋求兩個大的素數容易,但將它們的乘積分解開極其困難.RSA中的密鑰RSA中的加密與解密RSA中密鑰中參數的選擇RSA密碼體制算例RSA算法的安全性RSA安全性取決於對模n因數分解的困難性.1999年8月,荷蘭國家數學與計算機科學研究所家們的壹組科學家成功分解了512bit的整數,大約300臺高速工作站與PC機並行運行,整個工作花了7個月.1999年9月,以色列密碼學家Adi Shamir設計了壹種名叫"TWINKLE"的因數分解設備,可以在幾天內攻破512bit的RSA密鑰.(但要做到這壹點,需要300-400臺設備,每臺設備價值5000美圓).現有的RSA密碼體制支持的密鑰長度有512,1024,2048,4096等.兩種密鑰體制的優缺點比較對稱加密體制的編碼效率高對稱密碼體制在密鑰分發與管理上存在困難,而非對稱密碼體制可以很好的解決這個問題3 ,數字簽名機制數字簽名機制的目的是使人們可以對數字文檔進行簽名.數字簽名在與簽名相關的同時也與發送的消息相關.所以數字簽名能夠實現以下功能:1)收方能夠證實發送方的真實身份;2)發送方事後不能否認所發送過的報文;3)收方或非法者不能偽造,篡改報文.數字簽名技術以加密技術為基礎,其核心是采用加密技術的加,解密算法體制來實現對報文的數字簽名.RSA是最常用的數字簽名機制簽名算法:S=D(h(M))=h(M)d mod n驗證簽名算法:需要知道M與S,以及簽名者的公鑰(e,n),以及所使用的hash函數,然後判斷 h(M)=Se mod n 是否成立成立,簽名有效;不成立,簽名無效.RSA是最常用的數字簽名機制4,訪問控制機制不是所有的參與方(請求者)都擁有對全部資源(對象)相同的訪問權限.因此,必須給參與方直接地或隱含地分配訪問對象的權限.通常表示成訪問控制矩陣的形式:3,電子商務安全認證1,數字證書數字證書是各類終端實體和最終用戶在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方數字證書的有效性,從而解決相互間的信任問題.1. 數字證書概述數字證書是壹個經證書認證中心(CA)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件.數字證書實質上就是壹系列密鑰,用於簽名和加密數字信息.數字證書由專門的機構(CA)負責發放和管理,Q其作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應.CA的數字簽名使得攻擊者不能偽造和篡改數字證書.1. 數字證書概述數字信息的安全要求身份驗證信息保密性(存儲與交易)信息完整性交易的不可否認性解決方案數字證書與數字簽名加密數字簽名數字簽名2.數字證書內容認證中心所頒發的數字證書均遵循X.509 V3標準,根據這項標準,數字證書包括證書申請者的信息和發放證書CA的信息.3.對數字證書的驗證對數字證書的驗證包括以下幾個步驟:CA簽名真實證書在有效期內證書在CA發布的證書撤消列表內Y偽造的證書N失效的證書NY失效的證書YN有效的證書CA簽名真實4. 數字證書的類型認證中心1. 什麽是認證中心在網絡上,什麽樣的信息交流才是安全的呢只有收件實體才能解讀信息,即信息保密性.收件實體看到的信息確實是發件實體發送的信息,其內容未被篡改或替換,即信息真實完整性.發件實體日後不能否認曾發送過此信息,即不可抵賴性.加密!還差什麽建立信任和信任驗證機制數字證書認證中心電子交易的各方都必須擁有合法的身份,即由數字證書認證中心(CA)簽發的數字證書,在交易的各個環節,交易的各方都需檢驗對方數字證書的有效性,從而解決了用戶信任問題.電子商務安全認證體系是壹套融合了各種先進的加密技術和認證技術的安全體系,它主要定義和建立自身認證和授權規則,然後分發,交換這些規則,並在網絡之間解釋和管理這些規則.電子商務安全認證體系的核心機構就是CA認證中心.認證中心(Certificate Authority,CA)是網上各方都信任的機構,主要負責產生,分配並管理所有參與網上交易的個體所需的身份認證數字證書.各級CA認證機構的存在組成了整個電子商務的信任鏈.根CA各級CA2. CA功能認證中心的核心功能就是發放和管理數字證書.(1)接收驗證最終用戶數字證書的申請(2)確定是否接受最終用戶數字證書的申請(3)向申請者頒發,拒絕頒發數字證書(4)接收,處理最終用戶的數字證書更新請求(5)接收最終用戶的數字證書查詢(6)產生和發布黑名單(7)數字證書歸檔(8)密鑰歸檔(9)歷史數據歸檔(10)CA與RA之間的數據交換安全2. CA功能認證中心的核心功能就是發放和管理數字證書.(11)CA內部管理①向上級CA申請自身CA數字證書②向上級CA要求廢除自身CA數字證書③簽發/拒絕下級CA數字證書申請④同意/拒絕下級CA數字證書廢除請求⑤查詢自身數字證書擁有情況⑥查詢黑名單情況⑦查詢操作日誌⑧管理員信息維護⑨統計報表輸出⑩CA的安全審計4,電子商務安全協議為了保障電子商務的安全性,壹些公司和機構制定了電子商務的安全協議,來規範在Internet上從事商務活動的流程.目前,典型的電子商務安全協議有:SSL(安全套接層)協議SET(安全電子交易)協議SSL協議SSL協議(Security Socket Layer, 安全套接層協議)是Netscape公司提出的基於Web應用的安全協議,該協議向基於TCP/IP的C/S應用程序提供了客戶端和服務器的鑒別,數據完整性及信息機密性等安全措施.SSL采用對稱密碼技術和公開密碼技術相結合,提供了如下三種基本的安全服務:秘密性.SSL客戶機和服務器之間通過密碼算法和密鑰的協商,建立起壹個安全通道.以後在安全通道中傳輸的所有信息都經過了加密處理.完整性.SSL利用密碼算法和hash函數,通過對傳輸信息特征值的提取來保證信息的完整性.認證性.利用證書技術和可信的第三方CA,可以讓客戶機和服務器相互識別對方的身份.SSL協議的作用SSL協議的關鍵是要解決以下幾個問題:客戶對服務器的身份確認:容許客戶瀏覽器,使用標準的公鑰加密技術和壹些可靠的認證中心(CA)的證書,來確認服務器的合法性.服務器對客戶的身份確認:容許客戶服務器的軟件通過公鑰技術和可信賴的證書,來確認客戶的身份.建立起服務器和客戶之間安全的數據通道:要求客戶和服務器之間的所有的發送數據都被發送端加密,所有的接收數據都被接收端解密,同時SSL協議會在傳輸過程中解查數據是否被中途修改.SSL的安全性目前,幾乎所有操作平臺上的WEB瀏覽器(IE,Netscape)以及流行的Web服務器(IIS,Netscape Enterprise Server等)都支持SSL協議.缺點:(1)系統不符合中國國務院最新頒布的《商用密碼管理條例》中對商用密碼產品不得使用國外密碼算法的規定,要通過國家密碼管理委員會的審批會遇到相當困難.(2)系統安全性方面的缺陷:SSL協議的數據安全性其實就是建立在RSA等算法的安全性上,攻破RSA等算法就等同於攻破此協議.但是總的來講,SSL協議的安全性能是好的,而且隨著SSL協議的不斷改進,更多的安全性能好的加密算法被采用,邏輯上的缺陷被彌補.雙向認證SSL協議的具體過程雙向認證SSL協議的具體通訊過程,要求服務器和用戶雙方都有證書.單向認證SSL協議不需要客戶擁有CA證書.基於SSL協議,雙方的通訊內容是經過加密的數據,這時候的安全就依賴於密碼方案的安全.SET協議SET協議(Secure Electronic Transaction,安全電子交易協議)是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規範.其實質是壹種應用在Internet上,以信用卡為基礎的電子付款系統規範,目的就是為了保證網絡交易的安全.SET協議采用公鑰密碼體制和X.509數字證書標準,提供了消費者,商家和銀行之間的認證,確保了交易數據的機密性,真實性,完整性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準.SET協議的目標SET要達到的最主要目標是:(1)信息在公***因特網上安全傳輸(2)訂單信息和個人賬號信息隔離(3)持卡人和商家相互認證SET協議涉及的當事人包括持卡人,發卡機構,商家,銀行以及支付網關.SET協議的購物流程SET協議的購物流程(1)持卡人通過瀏覽器從商家網站選擇要購買的商品,填寫訂單.選擇付款方式,此時SET開始介入.持卡人通過網絡發送給商家壹個完整的訂單及要求付款的指令.在SET中,訂單和付款指令由持卡人進行數字簽名,同時,利用雙重簽名技術保證商家看不到持卡人的賬號信息.(2),(3)商家接受訂單,通過支付網關向持卡人的金融機構請求支付認可.(4),(5)在銀行和發卡機構確認和批準交易後,支付網關給商家返回確認信息.(6)商家通過網絡給顧客發送訂單確認信息,為顧客配送貨物,完成訂購服務.客戶端軟件可記錄交易日誌,以備將來查詢.(7)―(9)商家請求銀行將錢從購物者的賬號轉移到商家賬號.SET交易的安全性(1) 信息的機密性:SET系統中,敏感信息(如持卡人的帳戶和支付信息)是加密傳送的,不會被未經許可的壹方訪問.(2) 數據的完整性:通過數字簽名,保證在傳送者和接收者傳送消息期間,消息的內容不會被修改.(3) 身份的驗證:通過使用證書和數字簽名,可為交易各方提供認證對方身份的依據,即保證信息的真實性.(4) 交易的不可否認性:通過使用數字簽名,可以防止交易中的壹方抵賴已發生的交易.(5) 互操作性:通過使用特定的協議和消息格式,SET系統可提供在不同的軟硬件平臺操作的同等能力.