《电子商务应用》课程教学课件格式-第三章：电子商务应用安全

《《电子商务应用》课程教学课件格式-第三章：电子商务应用安全》由会员分享，可在线阅读，更多相关《《电子商务应用》课程教学课件格式-第三章：电子商务应用安全（42页珍藏版）》请在金锄头文库上搜索。

1、第三章电子商务应用安全 第三章电子商务应用安全 应知目标通过本模块的学习 了解电子商务面临的安全威胁与安全需求 了解并掌握电子商务的安全技术 数字机密技术 数字摘要技术 数字签名技术 数字时间戳的工作机理 了解数字证书的基本概念与CA中心的功能 了解并掌握SSL和SET安全协议的基本原理与工作程序 第三章电子商务应用安全 应会目标通过本模块的学习 会识别电子商务中存在的安全威胁 会分析保障电子商务安全的各种对策 会申请与配置数字证书 会使用数字证书对信息进行加密与签名 第三章电子商务应用安全 导入案例2012年5月29日 北京大学互联网安全技术北京市实验室联合中国软件评测中心召开媒体发布会 对

2、外发布了 网站用户口令处理安全性外部测评报告 报告显示 国内网站对用户口令的处理方式存在很大的差异 在安全性方面问题十分突出 此次评测选取的100个流行网站中 仅有8个网站采取了充分的安全措施 有59个网站没有采取任何安全措施 更有85个网站直接拿到了用户的口令原文 第三章电子商务应用安全 导入案例 第三章电子商务应用安全 导入案例本次测评抽取了门户 邮箱 电子商务 招聘类 婚恋类 游戏类 论坛 博客 微博共9大类100个网站 在一定程度上客观地反映了当前互联网公共网站对于用户口令处理的现状和问题 本次报告的发布 希望能够引起网民用户 网站开发者 网站运营者 政府主管部门等对于用户口令处理安全

3、性的重视 并通过各方面努力 来共同加强个人信息保护 营造一个健康有序的互联网环境 电子商务类网站用户口令处理情况如图3 1所示 问题 1 电子商务的安全威胁有哪些 2 电子商务通过哪些方法来防范各种安全威胁 3 1电子商务安全问题概述 3 1 1电子商务面临的安全性问题一 物理设备的安全问题设备的安全主要是指物理设备即硬件设施是否安全 能否正常运行 二 软件漏洞操作系统的安全漏洞网络协议的安全漏洞网络服务软件的安全漏洞 3 1电子商务安全问题概述 3 1 1电子商务面临的安全性问题三 黑客的攻击系统的中断与瘫痪信息被窃取信息被篡改信息被伪造信息被否认或抵赖 3 1电子商务安全问题概述 3 1

4、1电子商务面临的安全性问题四 计算机病毒的危害五 安全管理不完善 3 1电子商务安全问题概述 3 1 2电子商务的安全需求一 保密性二 完整性三 不可抵赖性四 真实性五 可靠性 3 2数字机密性技术 机密技术是保护信息安全的主要手段之一 它是结合数学 计算机科学 电子与通信等诸多学科于一身的交叉学科 它不仅具有保证信息机密性的信息加密功能 而且可以利用其他基本原理进行数字签名 身份验证 系统安全等功能 使用密码技术不仅可以保证信息的机密性 可以保证信息的完整性和确切性 防止信息被篡改 伪造和假冒 3 2数字机密性技术 加密就是使用加密密钥通过加密设备或数学算法来重新组织数据 将某些重要信息和数

5、据从一个可以理解的明文形式变换成一种复杂错乱的 不可理解的形式 这种不可理解的内容叫做密文 这个过程就是即加密 解密是加密的逆过程 即合法接收者用解密密钥将密文还原成原来的可以理解的明文 3 2数字机密性技术 3 2 1对称密钥加密法一 对称密钥加密法的定义与应用原理对称密钥加密 SymmetrickeyCryprography 也称单密钥加密或私有密钥加密 就是指在计算机网络甲 乙两用户之间通信时 发送方甲为了保护传输的明文信息不被第三方窃取 采用密钥A对信息进行加密而形成密文M并且发送给接收方乙 接受方乙用同样的一把密钥A对收到的密文M进行解密 得到明文信息 从而完成密文通信目的的方法 这

6、种信息加密传输方式就称为对称密钥加密法 3 2数字机密性技术 3 2 1对称密钥加密法 3 2数字机密性技术 3 2 1对称密钥加密法二 对称密钥加密法的常用算法DES算法及其各种变形 国际数据加密算法IDEA以及RC4 RC5等三 对称密钥加密法的优缺点优点 加密和解密速度快缺点 对称密钥难于满足开放式计算机网络环境的需求 若用户与多方通信时 不便于密钥的分配与管理 不能进行用户身份的认定 3 2数字机密性技术 3 2 2非对称密钥加密法一 非对称密钥加密法的定义与应用原理非对称密钥加密 AsymmetrickeyCryptography 也称双密钥加密或公开密钥加密 是指在计算机网络甲 乙

7、两用户之间进行通信时 发送方甲为了保护传输的明文信息不被第三方窃取 采用密钥A对信息进行加密 形成密文M并且发送给接收方乙 接收方乙用另一把密钥B对收到的密文M进行解密 得到明文信息 完成密文通信目的的方法 3 2数字机密性技术 3 2 2非对称密钥加密法一 非对称密钥加密法的定义与应用原理加密模型 3 2数字机密性技术 3 2 2非对称密钥加密法一 非对称密钥加密法的定义与应用原理认证模型 3 2数字机密性技术 3 2 2非对称密钥加密法二 非对称密钥加密法的常用算法RSA算法 ECC算法 DSA算法三 非称密钥加密法的优缺点优点 认证较为方便 分配简单 支持对传输信息的数字签名 解决数据的

8、否认与抵赖问题缺点 运算速度较慢 3 3数字摘要技术 3 3 1数字摘要的定义所谓数字摘要 DigitalDigest 是发送者对被传送的一个信息报文根据某种数学算法算出一个信息报文的摘要值 并将此摘要值与原始信息报文一起通过网络传送给接收者 接收者应用此摘要值检验信息报文在网络传送过程中有没有发生改变 以此判断信息报文的真实与否 3 3数字摘要技术 3 3 2数字摘要的应用原理 3 3数字摘要技术 3 3 3常用的Hash算法报文摘要算法 MD4 MD5 安全散列算法 SHA1 3 4数字签名技术 3 4 1数字签名定义数字签名 DigitalSignature 指在要发送的信息报文上附加一

9、个特殊的唯一代表发送者个人身份的标记 数字标签 要来证明信息报文是由发送者发来的 可以在提供数据完整性的同时 保证数据的真实性与不可否认性 完整性是指传输的数据没有被修改 真实性是指确实由合法者产生的Hash函数而不是由其他人假冒 数字签名类似于文档的签名 以防止其抵赖行为 3 4数字签名技术 3 4 2数字签名的应用原理对原文使用Hash算法得到信息摘要 发送者用自己的私钥对信息摘要加密 发送者将加密后的信息摘要与原文一起发送 接收者用发送者的公钥对收到的加密摘要进行解密 接收者对收到的原文用Hash算法得到接收方的信息摘要 将解密后的摘要与接收方摘要进行对比 相同说明信息完整且发送者身份是

10、真实的 否则说明信息被修改或不是该发送者发送的 3 4数字签名技术 3 4 2数字签名的应用原理 3 5数字时间戳 数字时间戳是一个经加密后形成的凭证文档 包括三个部分 时间戳的文件摘要 DTS收到文件的日期和时间 DTS的数字签名 3 6电子商务认证技术 3 6 1数字证书一 数字证书的基本概念数字证书 DigitalCertificate或DigitalID 就是网络通信中标志通信各方身份信息的一系列数据 提供了一种在Internet上验证身份的方式 其作用类似于现实生活中的身份证 数字证书是由权威公正的第三方机构 即CA中心签发的 3 6电子商务认证技术 3 6 1数字证书二 数字证书的

11、内容证书的版本信息 证书的序列号 每个证书都有一个唯一的证书序列号 证书所使用的签名算法 证书的发行机构名称 证书的有效期 现在通用的证书一般采用UTC时间格式 它的计时范围为1950 2049 证书主题或使用者 证书所有人的公开密钥信息 其他额外的特别扩展信息 证书发行者对证书的数字签名 3 6电子商务认证技术 3 6 1数字证书三 数字证书分类个人身份证书 客户证书 企业身份证书服务器数字证书 站点证书 CA证书安全电子邮件证书 3 6电子商务认证技术 3 6 2认证机构认证机构 CertificateAuthority CA 也称认证中心 是一个负责发放和管理数字证书的权威机构 是电子商

12、务体系中的核心环节 是电子交易中信赖的基础 3 6电子商务认证技术 3 6 3数字证书的申请用户需携带有效证件 身份证件或执照等 及其复印件到CA认证中心申请证书 填写申请表 也可以从网站直接下在证书申请表 填好后交予CA认证中心 CA认证中心录入申请表数据 审核用户身份是否属实 身份审核可能需要一点时间 如果审核未通过 则CA认证中心拒绝发证 CA认证中心进行身份审核 审核通过后 签发证书 用户获取证书 3 7常用的电子商务安全协议 3 7 1安全套接层协议SSL一 SSL协议简介SSL协议是一种在持有数字证书的客户端浏览器和远程的www服务器之间 构造安全通信通道并且传输数据的协议 二 S

13、SL协议的特点三 建立SSL安全连接的过程 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET一 SET协议简介SET SecureElectronicTransaction即安全电子交易协议 是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范 其实质是一种应用在Internet上 以信用卡为基础的电子付款系统规范 目的是为了保证网络交易的安全 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET二 SET协议的特点机密性 保护隐私 多方认证性 标准性三 SET协议的参与方SET支付系统主要由持卡客户 CardHol

14、der 商家 Merchant 发卡银行 IssuingBank 收单银行 AcquiringBank 支付网关 PaymentGateway 认证中心 CertificateAuthority 等六个部分组成 对应地 基于SET协议的网上购物系统至少包括电子钱包软件 商家软件 支付网关软件和签发证书软件 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET四 SET协议的工作流程客户利用自己的PC机通过因特网选定所要购买的物品 并在计算机上输入订货单 订货单上需包括在线商店 购买物品名称及数量 交货时间及地点等相关信息 通过电子商务服务器与有关网上商家联系 网上商家作出应答 告诉客

15、户所填订货单的货物单价 应付款数 交货方式等信息是否准确 是否有变化 客户选择付款方式 确认订单签发付款指令 此时SET开始介入 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET四 SET协议的工作流程在SET中 客户必须对订单和付款指令进行数字签名 同时利用双重签名技术保证商家看不到客户的帐号信息 网上商家接受订单后 向客户所在发卡银行请求支付认可 信息通过支付网关到收单银行 再到客户的发卡银行确认 批准交易后 返回确认信息给网上商家 网上商家发送订单确认信息给客户 客户端软件可记录交易日志 以备将来查询 网上商家发送货物或提供服务并通知收单银行将钱从客户的帐号转移到商店帐号

16、或通知发卡银行请求支付 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET四 SET协议的工作流程 3 7常用的电子商务安全协议 3 7 2安全电子交易协议SET五 SET协议的优缺点优点 安全缺点 协议复杂 使用成本高 客户端必须安装 电子钱包 软件 才能适用 同时在SET交易过程中 需验证数字证书9次 验证数字签名6次 传递证书7次 进行5次签名 4次对称加密和4次非对称加密 整个交易过程花费时间1 5 2分钟 交易效率低 总结 目前电子商务面临的安全问题主要是有物理设备的安全问题 软件漏洞 黑客的攻击 计算机病毒的危害等 因此在一个安全的电子商务交易系统中 必须做到保密性 身份认证 信息完整性 不可抵赖性和信息可靠性的安全要求 总结 电子商务中信息网络安全技术有 加密技术和认证技术 可以用来解决电子商务的安全问题 其中机密技术用来保护信息的机密性 不可抵赖性和信息的完整性 认证技术则解决身份认证问题 SSL SET等安全协议则是将电子商务的各参与方与信息网络安全技术充分地结合起来 并规范各方的行为与各种技术的运用 随着电子商务安全技术的进步与信用机制的完善 电子商务一