《电子商务安全技术》由会员分享,可在线阅读,更多相关《电子商务安全技术(41页珍藏版)》请在金锄头文库上搜索。
1、第4章 电子商务安全技术目 录l 4.1电子商务安全概述 l 4.2认证技术 l 4.3电子商务安全协议 l 4.4其他电子商务安全技术 l 4.5电子商务安全技术案例 实践训练 数字证书的使用与电子支付4.1.1安全问题的提出 4.1.2电子商务涉及的安全问题4.1电子商务安全概述目前,影响电子商务广泛应用的首要的也是最大的 问题就是安全问题。 电子商务是利用计算机通过网络 来实现的。大量的事实说明,要保证电子商务的正常运 作,就必须高度重视安全问题。电子商务的安全涉及方 方面面,不是一堵防火墙或一个电子签名就能简单解决 的问题。安全问题是电子商务成功与否的关键所在,也 是致命所在。4.1.
2、1安全问题的提出1.信息安全问题 (1)冒名偷窃“黑客”为了获取重要的商业秘密、资 源和信息,常常采用源 IP 地欺骗攻击。 (2)篡改数据攻击者未经授权进入电子商务系统, 使用非法手段删除、修改、重发某些重要信息,破坏 数据的完整性 (3)信息丢失交易信息的丢失 (4)数据在传递过程中泄露,从而威胁电子商务交 易的安全。4.1.2电子商务涉及的安全问题2.信用的安全问题 (1)来自买方的信用安全问题对于个人消费者来说, 可能存在在网络上使用信用卡进行支付时恶意透支,或 使用伪造的信用卡骗取卖方的货物行为;对于集团购买 者来说,存在拖延货款的可能,卖方需要为此承担安全 风险。 (2)来自卖方的
3、信用安全问题卖方不能按质、按量、 按时送寄消费者购买的货物,或者不能完全履行与集团 购买者签订的合同,造成买方的安全风险。 (3)买卖双方都存在抵赖的情况买卖双方都有可能会 抵赖曾经发生过的交易。 3.安全的管理问题 4.安全的法律保障问题4.2.1数字签名 4.2.2数字证书 4.2.3认证中心4.2认证技术1.数字摘要 数字摘要是采用单向Hash函数对文件中若干重要元 素进行某种变换运算得到固定长度的摘要码(数字指纹 Finger Print),并在传输信息时将之加入文件一同送 给接收方,接收方收到文件后,用相同的方法进行变换 运算,若得到的结果与发送来的摘要码相同,则可断定 文件未被篡改
4、,反之亦然。4.2.1数字签名2.数字信封 数字信封是用加密技术来保证只有规定的特定收信人 才能阅读信的内容。在数字信封中,信息发送方采用对称 密钥来加密信息,然后将此对称密钥用接收方的公开密钥 来加密(这部分称为数字信封)之后,将它和信息一起发 送给接收方,接收方先用相应的私有密钥打开数字信封, 得到对称密钥,然后使用对称密钥解开信息。这种技术的 安全性相当高。3.数字签名 被发送文件用安全Hash编码法SHA(Secure Hash Algorithm)编码加密产生128bit的数字摘要; 发送方用自己的私用密钥对摘要再加密,这就形 成了数字签名; 将原文和加密的摘要同时传给对方; 对方用
5、发送方的公共密钥对摘要解密,同时对收 到的文件用SHA编码加密产生又一摘要; 将解密后的摘要和收到的文件在接收方重新加密 产生的摘要相互对比。如两者一致,则说明传送过程 中信息没有被破坏或篡改过。否则不然。4. 数字时间戳(Digital Time-Stamp) 数字时间戳服务(DTS-Digital Time-stamp Service)能提供电子文件发表时间的安全保护。数字 时间戳服务(DTS)是网络安全服务项目,由专门的机 构提供。 时间戳(time-stamp)是一个经加密后形成的凭证 文档,它包括三个部分: 需加时间戳的文件的摘要(digest); DTS收到文件的日期和时间; DT
6、S的数字签名。1. 数字证书概述 数字证书是一个经证书认证中心(CA)数字签名的 包含公开密钥拥有者信息以及公开密钥的文件。数字证 书实质上就是一系列密钥,用于签名和加密数字信息。 认证中心(CA)作为权威的、可信赖的、公正的第三方 机构,专门负责为各种认证需求提供数字证书服务,即 专门解决公钥体系中公钥的合法性问题。CA为每个使用 公开密钥的用户发放一个数字证书,数字证书的作用是 证明证书中列出的用户名称与证书中列出的公开密钥相 对应。4.2.2数字证书2. 应用数字证书的必要性 (1)身份验证 (2)访问控制 (3)数据完整性 (4)数据机密性 (5)不可否认性3. 数字证书内容及格式1.
7、 CA作用 数字证书认证解决了网上交易和结算中的安全问题, 其中包括建立电子商务各主体之间的信任关系,即建立 安全认证体系(CA);选择安全标准(如SET、SSL); 采用高强度的加、解密技术。其中安全认证体系的建立 是关键,它决定了网上交易和结算能否安全进行4.2.3认证中心2. CA功能 (1)接收验证最终用户数字证书的申请 (2)确定是否接受最终用户数字证书的申请 (3)向申请者颁发、拒绝颁发数字证书 (4)接收、处理最终用户的数字证书更新请求 (5)接收最终用户的数字证书查询 (6)产生和发布黑名单(CRL)以及品牌黑名单标识(BCI) (7)数字证书归 (8)密钥归档 (9)历史数据
8、归档 (10)CA与RA之间的数据交换安全 (11)CA内部管理4.3.1 SSL协议 4.3.2 安全电子交易协议SET 4.3.3 SET与SSL的比较4.3电子商务安全协议1. 协议简介 SSL协议(Security Socket Layer, 安全套接层协 议)是网景(Netscape)公司提出的基于Web应用的安全 协议,该协议向基于TCP/IP的客户/服务器应用程序提供 了客户端和服务器的鉴别、数据完整性及信息机密性等 安全措施。该协议通过在应用程序进行数据交换前交换 SSL初始握手信息,来实现有关安全特性的审查。在SSL 握手信息中采用了DES、MD5等加密技术来实现机密性和 数
9、据完整性,并采用X.509的数字证书实现鉴别。4.3.1 SSL协议2. SSL协议的作用l客户对服务器的身份确认l服务器对客户的身份确认l建立起服务器和客户之间安全的数据通道3. SSL的安全性 SSL协议存在着不容忽视的缺点: (1)系统不符合中国国务院最新颁布的商用密码 管理条例中对商用密码产品不得使用国外密码算法 的规定,要通过国家密码管理委员会的审批会遇到相 当困难。 (2)系统安全性差。4. 双向认证SSL协议的具体过程 (1)浏览器发送一个连接请求给安全服务器 (2)服务器将自己的证书,以及同证书相关的信息发 送给客户浏览器。 (3)客户浏览器检查服务器送过来的证书是否是由自 己
10、信赖的CA中心所签发的。如果是,就继续执行协议; 如果不是,客户浏览器就给客户一个警告消息:警告客 户这个证书不是可以信赖的,询问客户是否需要继续。 (4)接着客户浏览器比较证书里的消息,例如域名和 公钥,与服务器刚刚发送的相关消息是否一致,如果是 一致的,客户浏览器认可这个服务器的合法身份。(5)服务器要求客户发送客户自己的证书。收到后,服 务器验证客户的证书,如果没有通过验证,拒绝连接;如 果通过验证,服务器获得用户的公钥。 (6)客户浏览器告诉服务器自己所能够支持的通讯对称 密码方案。 (7)服务器从客户送发送过来的密码方案中,选择一种 加密程度最高的密码方案,用客户的公钥加过密后通知浏
11、览 器。 (8)浏览器针对这个密码方案,选择一个通话密钥,接 着用服务器的的公钥加过密后发送给服务器。 (9)服务器接收到浏览器送过来的消息,用自己的私钥 解密,获得通话密钥。 (10)服务器,浏览器接下来的通讯都用是经过对称密 码方案,对称密钥加过密的。1. SET概述 电子商务在提供机遇和便利的同时,也面临着一个最大 的挑战,即交易的安全问题。在网上购物的环境中,持卡人 希望在交易中保密自己的帐户信息,使之不被人盗用;商家 则希望客户的定单不可抵赖,并且,在交易过程中,交易各 方都希望验明其他方的身份,以防止被欺骗。 针对这种情况,由美国Visa和MasterCard两大信用卡组 织联合国
12、际上多家科技机构,共同制定了应用于Internet上 的以银行卡为基础进行在线交易的安全标准,这就是 “安全电子交易”(Secure Electronic Transaction,简 称SET)。它采用公钥密码体制和X.509数字证书标准,主要 应用于保障网上购物信息的安全性。4.3.2安全电子交易协议SET2. SET协议的目标 (1)信息在公共因特网上安全传输,保证网上传输 的数据不被黑客窃取。 (2)订单信息和个人账号信息隔离。 (3)持卡人和商家相互认证,以确保交易各方的真 实身份。 (4)要求软件遵循相同协议和消息格式,使不同厂 家开发的软件具有兼容性和互操作性,并且可以运行 在不同
13、的硬件和操作系统平台上。3. SET协议的购物流程4. SET交易的安全性(1)信息的机密性(Confidentiality):SET系统中,敏感信息(如 持卡人的帐户和支付信息)是加密传送的,不会被未经许可的一方访 问。(2)数据的完整性(Integrity):通过数字签名,保证在传送者和接 收者传送消息期间,消息的内容不会被修改。(3)身份的验证(Authentication):通过使用证书和数字签名,可 为交易各方提供认证对方身份的依据,即保证信息的真实性。(4)交易的不可否认性(None-repudiation):通过使用数字签名, 可以防止交易中的一方抵赖已发生的交易。(5)互操作性
14、(Interoperability): 通过使用特定的协议和消息格 式,SET系统可提供在不同的软硬件平台操作的同等能力。SET 是一个多方的消息报文协议,SET 定义了银行、商 户、持卡人之间必需的报文规范,而 SSL只是简单地在两方 之间建立了一条安全连接。SSL是面向连接的,SET 报文能 够在银行内部网或者其他网络上传输,而SSL之上的卡支付 系统只能与Web浏览器捆绑在一起。 SET协议的缺陷在于:SET要求在银行网络、商户服务 器、顾客的PC上安装相应的软件。这给顾客、商家和银行增 加了许多附加的费用,成了SET被广泛接受的阻碍。另外, SET还要求必须向各方发放证书,这也成为阻碍
15、之一。所有 这些使得使用SET要比使用SSL昂贵得多。 SET 的优点在于:它可以用在系统的一部分或者全部。4.3.3 SET与SSL的比较4.4.1数据加密技术 4.4.2防火墙技术 4.4.3虚拟专用网和反病毒 4.4.4 WWW和网络安全4.4其他电子商务安全技术1.对称加密系统 (1)对称加密对称 (2)对称加密算法 数据加密标准(DES) 高级加密标准(AES) 三重 DES (3)消息验证码 基于散列函数的方法 基于对称加密的方法4.4.1数据加密技术2.不对称加密系统 (1)公开密钥加密 (2)RSA 算法 (3)加密与验证模式的结合3.两种加密方法的联合使用 在实际运用中,用户
16、如果要对数据进行加密,需要生成一对 自己的密钥对。密钥对中的公开密钥是公开的,但私有密钥则由 密钥的主人妥善保管。发送方和接收方在对文件进行加密和解密 时的实际过程如下: (1)发送方生成一个私有密钥,并对要发送的信息用自己 的私有密钥进行加密; (2)发送方用接收方的公开密钥对自己的私有密钥进行加 密; (3)发送方把加密后的信息和加密后的私有密钥通过网络 传输到接收方; (4)接收方用自己的私有密钥对发送方传送过来的私有密 钥进行解密,得到发送方的私有密钥; (5)接收方用发送方的私有密钥对接收到的加密信息进行 解密,得到信息的明文。1.防火墙的基本概念 目前关于防火墙的定义有很多,其中最典型的是:防 火墙是在两个网络之间强制实施访问控制策略的一个系统 或一组系统。4.4.2防火墙技术2.防火墙的基本原理 (1)包过滤型防火墙 (2)应用网关型防火墙 (3)代理服务型防火墙3.防火墙的实现方式 (1)包过滤路由器 (2)双穴防范网关 (3)过滤主机网关 (4)过滤子网防火墙1. 虚拟专用网技术 虚拟专用网(VPN
