《精编》电子商务的安全体系培训讲义

资源描述

《《精编》电子商务的安全体系培训讲义》由会员分享，可在线阅读，更多相关《《精编》电子商务的安全体系培训讲义（89页珍藏版）》请在金锄头文库上搜索。

1、电子商务的安全体系胡桃 hutao666 教学目的通过本节学习使学生了解电子商务安全技术在专业课程学习中的位置体会电子商务安全的重要性了解常见的计算机安全问题掌握电子商务安全的基本概念原理技术及应用教学要求掌握以下概念电子商务系统安全系统硬件安全软件安全运行安全风险管理模型安全策略认证审计访问控制日志信息的保密性信息的完整性信息的不可否认性交易者身份的真实性系统的可靠性加密解密算法密钥密钥长度防火墙对称密钥非对称密钥公钥和私钥消息摘要数字时间戳数字签名认证中心数字证书S HTTP S MIME SSL SET 理解和掌握以下原理风险管理

2、模型分析原理加解密原理各种加密技术工作原理及其实现的信息安全性包括防火墙对称密钥非对称密钥公钥和私钥消息摘要数字时间戳数字签名认证中心数字证书各种安全协议工作原理包括S HTTP S MIME SSL SET认证中心的数形结构理解和掌握以下应用能用风险管理模型分析系统风险程度并制定合理安全策略申请下载安装数字证书发送数字签名邮件和加密邮件教学重点和难点各种加密技术工作原理数字证书的应用应用风险管理模型分析系统风险的方法各种安全协议工作原理电子商务的安全策略确保在因特网上用户和商家的身份认证保护因特网上的交易保护站点及企业网抵抗黑客的攻击电子商务安全问题的类型物理

3、安全问题网络安全问题数据的安全性对交易不同方表现的不同安全问题网络交易的风险源信息风险冒名偷窃篡改数据信息丢失信用风险管理方面的风险法律方面的风险买方面临的安全威胁 1 虚假订单一个假冒者可能会以客户的名字来订购商品而且有可能收到商品而此时客户却被要求付款或返还商品 2 付款后不能收到商品在要求客户付款后销售商中的内部人员不将订单和钱转发给执行部门因而使客户不能收到商品 3 机密性丧失客户有可能将秘密的个人数据或自己的身份数据如PIN 口令等发送给冒充销售商的机构这些信息也可能会在传递过程中被窃听 4 拒绝服务攻击者可能向销售商的服务器发送大量的虚假定单

4、来挤占它的资源从而使合法用户不能得到正常的服务卖方面临的安全威胁 1 系统中心安全性被破坏入侵者假冒成合法用户来改变用户数据如商品送达地址解除用户订单或生成虚假订单 2 竞争者的威胁恶意竞争者以他人的名义来订购商品从而了解有关商品的递送状况和货物的库存情况 3 商业机密的安全客户资料被竞争者获悉 4 假冒的威胁不诚实的人建立与销售者服务器名字相同的另一个www服务器来假冒销售者虚假订单获取他人的机密数据比如某人想要了解另一人在销售商处的信誉时他以另一人的名字向销售商订购昂贵的商品然后观察销售商的行动假如销售商认可该定单则说明彼观察者的信誉高否则则说明被观察

5、者的信誉不高 5 信用的威胁买方提交订单后不付款解决电子商务安全问题的策略技术保障法律控制社会道德规范完善的管理政策的制度安全电子交易的基本要求互联网开放性成员多样性位置分散性推动电子商务安全技术安全认证手段数字摘要数字签名数字信封 CA体系安全应用协议SET SSL S HTTP S MIME 基本加密算法非对称密钥加密对称密钥加密 DES RSA 电子商务业务系统电子商务支付系统电子商务安全交易体系信息加密技术对称密钥加密体制私钥加密体制非对称密钥加密体制公钥加密体制对称密钥加密体制是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算这时

6、的密钥称为对称密钥最典型的对称密钥加密算法美国数据加密标准 DES DataEncryptStandard 优点加密速度快适于大量数据的加密处理缺点密钥需传递给接受方原信息 1101101100101001加密信息0110000010010010还原密钥 1011 1011 非对称密钥加密体制信息加密和解密使用的是不同的两个密钥称为密钥对一个是公开密钥一个是私用密钥如果用公开密钥对数据进行加密则只有用对应的私有密钥才能解密反之若用私有密钥对数据进行加密则须用相应的公开密钥才能解密缺点加密速度较慢代表性加密技术 RSA技术 RSA的算法 1 选取两个足够大

7、的质数P和Q 如 P 101 Q 1132 计算P和Q相乘所产生的乘积n P Q 如 n 114133 找出一个小于n的数e 使其符合与 P 1 Q 1 互为质数如取e 35334 另找一个数d 使其满足 e d mod P 1 Q 1 1 其中mod为相除取余如取d 65975 n e 即为公开密钥 n d 即为私用密钥 6 将明文X分组 X X1X2 Xr Xi n 7 加密 Yi Xie modn 得密文Y Y1Y2 Yr如明文c 5761 密文m 92268 密文c me modn 明文m cd modn 即无论哪一个质数先与原文加密均可由另一个质数解密但要用一个质数来求

8、出另一个质数则是非常困难的安全电子交易认证技术数字摘要数字信封数字签名数字时间戳数字证书生物统计学身份识别数字摘要采用单向Hash函数对文件进行变换运算得到摘要码并把摘要码和文件一同送给接收方接收方接到文件后用相同的方法对文件进行变换计算用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改数字信封发送方采用对称密钥加密信息然后将此对称密钥用接收方的公开密钥加密之后将它和信息一起发送给接收方接收方先用相应的私有密钥打开数字信封得到对称密钥然后使用对称密钥解开信息安全性能高保证只有规定的接收方才能阅读信的内容数字签名用发送方的私有密钥对数字摘要进行加密

9、得的数字签名因此数字签名是只有信息的发送者才能产生而别人无法伪造的一段数字串有确认对方的身份防抵赖的作用接收方用发送方的公开密钥对数字签名进行解密用数字摘要原理保证信息的完整和防篡改性数字时间戳数字时间戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术它是由专门的认证机构来加的并以认证机构收到文件的时间为依据数字证书 digitalID 所谓数字证书就是用电子手段来证实一个用户的身份及用户对网络资源的访问的权限 CCITTX 509国际标准数字证书必须包含以下几点证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期

10、签名算法颁发数字证书的单位颁发数字证书单位的数字签名一般数字证书类型客户证书商家证书网关证书 CA系统证书生物统计学身份识别生物统计学技术包指纹隔膜和视网膜扫描字体的分析也是一中常用的生物统计学识别方法由于已经开始显示出有前途声音和手纹辩认也会成为未来的技术选择未来安全电子交易中常见的将是使用多种技术来识别用户指纹扫描和声音识别会比只使用一种技术更可靠需用高价位计算机来才能支持大量用户的环境指纹认证虹膜认证步态识别认证手工签名认证生物认证技术手工签名认证认证中心CA CA是承担网上安全电子交易认证服务能签发数字证书并能确认用户身份的服务机构具有

11、权威性和公正性 CA具有四大职能证书发放证书更新证书撤销和证书验证电子商务CA体系包括两大部分即符合SET标准的SETCA认证体系和其他基于X 509的CA认证体系国际权威VeriSign认证中心上海电子商务安全证书管理中心认证中心CA CFCA的功能 1 证书的申请离线申请方式在线申请方式2 证书的审批离线审核方式在线审核方式3 证书的发放离线方式发放在线方式发放4 证书的归档5 证书的撤销 6 证书的更新人工密钥更新自动密钥更新7 证书废止列表的管理功能 CRL 证书废止原因编码CRL的产生及其发布企业证书及CRL的在线服务功能8 CA的管理功能9 CA自身密钥的管理功能

12、安全认证协议安全超文本传输协议 S HTTP 电子邮件安全S MIME协议安全套接层SSL SecureSocketsLayer 协议安全电子交易SET SecureElectronicTransaction 协议 S HTTP协议能保证Web信息站点上信息的安全是应用层的协议用对称密钥消息摘要公开密钥加密等来实现建立一个安全会话页面的URL为https 开始 S MIME协议依靠密钥对保证电子邮件的安全传输的协议提供发送方身份识别信息的完整性信息传递过程的机密性等安全功能设计成模块加装在电子邮件软件中如 IE Netscape 要求申请电子邮件数字证书发保密邮件要求

13、有对方的公钥安全电子邮件安全电子邮件就是采用了数字证书认证邮件密钥和数字签名技术如PKI CA技术为企业用户和个人用户提供可以确保电子邮件的保密性完整性和不可否认性的邮件服务国外大部分运营商都在提供安全电子邮件业务如AT T BT KT Verizon MCI JT等目前国外运营商开展的安全电子邮件业务的主要功能有数据加密和数字签名防病毒反垃圾邮件内容过滤冗余检验容错支持等安全功能并根据不同的使用者进行业务的区别定位分为个人用户与企业集团用户对企业用户侧重安全便捷的系统提供对于个人用户侧重引导和宣传等安全电子邮件目前我国主要有四种类安全电子邮件提供

14、商运营商中国电信中国联通各类数字认证中心中国金融认证中心各级数字证书认证中心 com公司网络电子邮件的安全化中华企业网之企业邮局 mailservice 之安全电子邮件 21CN世纪邮箱之商务邮之安全电子邮件等 1999年1月263首都在线国内首家推出中文安全电子邮件认证站点中国邮政于2000年开始建设中国邮政安全认证体系 ChinaPostCertificateAuthority 简称CPCA CPCA依托邮政综合计算机网系统整体安全性较高中国电信安全电子邮件目标用户电子商务经营者尤其是对安全认证有特殊需求的用户包括政府企业个人策略针对个人用户的数

15、字应用业务安全信箱针对企业用户的 e企邮之安全的邮件服务上海电信数据中心针对政府的安全政务浙江电信有限公司安全电子邮件系统的软件结构安全电子邮件系统有B S结构和C S结构两种都基于数字证书完成对邮件内容的加密解密数字签名验证 B S结构的安全电子邮件系统在WEBMail的基础上通过基于IE浏览器的安全插件完成对邮件关键信息的加解密 C S结构的安全电子邮件系统通过安全邮件客户端完成对邮件内容的加解密中国电信采用GCMail安全电子邮件系统黑莓概念黑莓由RIM公司提出的移动电子邮件具有独特PushMail概念可将新的电子如短信一样在后台主动推送到移动终

16、端上黑莓其实是一套系统包括移动终端移动终端客户端软件企业端服务器运营商局端移动邮件网关等设备与软件它使用私钥tripleDES加密处理一个密钥存储在企业防火墙后面一个匹配的密钥存储在终端设备上加密的数据穿过防火墙后只能在终端上被解密对于收发企业邮件相当安全黑莓集成的无线接入能力可以让用户获得对各种商业应用内容的访问包括电子邮件电话企业数据网络短信息服务及管理应用软件黑莓目前在美国加拿大地区相当流行它将软件客户端结合在移动电话 PDA及其他通信终端上用户可以通过其无线装置来安全地访问电子邮件企业数据 Web以及进行企业内部的语音通话黑莓的特点黑莓的特点概括如下 1可以对企业无线信息环境进行安全的无限扩展 2利用上推下拉技术来实现对企业数据的无线安全访问 3能够和企业现有的服务器系统有机集成 4管理简便并且可以对无线网络进行中央控制 5支持多种无线网络和无线设备 6具有可在全球部署的能力 7自动化的桌面软件配置 8提供集成了电话电子邮件企业数据浏览器 SMS以及组织应用程序功能的高级无线手持设备 9功能强大的开发环境同时具有对第三方

展开阅读全文