-3电子商务安全下协议

《-3电子商务安全下协议》由会员分享，可在线阅读，更多相关《-3电子商务安全下协议（41页珍藏版）》请在金锄头文库上搜索。

1、第第3 3章章 电子商务安全技术电子商务安全技术 学习目的与要求学习目的与要求l1.复习：计算机病毒l 防火墙技术l2.本次课目标：理解SSL、SET和S-HTTP等 电子商务交易安全措施和安全协议l3.应用目标：掌握计算机病毒防范措施和数字 证书技术 第一节 电子商务安全问题概述n电子商务面临的安全问题n（一）计算机安全问题 保密：防止数据暴露，确保数据源安全 完整：防止数据别修改 即需：防止延迟或拒绝服务电子商务面临的安全问题n（二）网络安全问题 1）中断 2）介入 3）篡改 4）假造网络安全隐患n开放性：资源共享带来的问题n传输协议：TCP/IP是包交换协议，数据包 透明传输。经由不同网

2、络，不同路由。 Telnet 和 FTP,甚至使用明文n操作系统：木马，伪造登陆，窃取账号 ，密码。n信息电子化：正确性，完整性难以保证电子商务对安全的基本要求n（1）有效性：信息和实体的真实性和有效性n（2）机密性：n（3）数据的完整性：信息的丢失与重复，信 息传送顺序n（4）不可抵赖性：白纸黑字n（5）可控性:对贸易双方均有约束电子商务安全对策n完善各项安全管理制度n技术对策常用的计算机网络安全技术n病毒防范n身份识别n防火墙技术n专用网VPN病毒种类n蠕虫、脚本、木马、即时通讯n安装防病毒软件n数据备份、恢复n敏感数据与设备，物理，逻辑隔离措施身份识别技术n口令 不足： 输入 传输 存储

3、 多级口令，安全级别低 单向认证身份识别技术n标记法n标记是个人持有物，类似于钥匙n智能卡代替磁介质，与安全协议配套使 用。身份识别技术n生物特征法 指纹、眼睛等，未来发展趋势，研究热点第二节 防火墙技术n计算机网络的防火墙用来防止来自互联 网的损坏。n有软件与硬件设备组合而成。n在内网与外网，专用网与公网之间构造 保护屏障。防火墙的作用n能控制对网点系统的访问n集中安全性：将口令系统和身份认证软 件放在防火墙系统中，而不是放在用户 计算机上n增强保密性、强化私有权：防止finger 探测，隐藏站点名和IP地址。nFINGER可以用在WIN2000里它是一个 自带的小工具nfinger 0对方

4、主机IP 的方法来获得对 方主机当前的在线用户列表二、防火墙技术1）网络级防火墙（包过滤技术） 路由不能判断IP包来自何方，去往何处 防火墙可以判断这一点 同意或者拒绝IP包的通过n无用户使用记录n定义包过滤复杂n规则配置好，不容易验证二、防火墙技术2）应用级网关（代理服务器） 内外不能直接交换数据 外面只能看到代理服务器 禁止内部主机访问非法站点二、防火墙技术n3）电路级网关n4）规则检查防火墙n具有网络级防火墙特点，在OSI网络层 上检查IP和端口号。n像电路级网关一样，检查SYN和ACK标 记n向应用级网关一样，在应用层检查数据 包的内容。三、防火墙的局限性n拨号上网n内部攻击n错误配置

5、n人为或自然损坏nTCP/IP漏洞n对合法开放端口的攻击n本身的安全漏洞第三节 安全交易技术n一、加密技术加密的分类n（1）散列编码。用散列算法求出某个消息 的散列值的过程。n（2）对称加密技术。又称私有密钥加密， 它只用一个密钥对信息进行加密和解密。n（3）非对称加密技术。也叫公开密钥加密 。加密技术是最基本的安全技术，它是一种主动的信息安全防 范措施，原理是利用加密算法，将明文转换成为无意义的密 文，阻止非法用户理解原始数据，从而确保数据的保密性。 明文变为密文的过程称为加密，由密文还原为明文的过程称 为解密，加密和解密的规则称为密码算法或体制，由加密者 和解密者使用的加解密可变参数叫做密

6、钥，如图密码系统的模 型对称密钥加密，又称私钥加密，指信息的发送方和接收方 用一个密钥K去加密和解密数据。即只用一个密钥对信息进 行加密和解密。见图 对称密钥加密 非对称加密技术 非对称加密技术也叫公开密钥加密，是1976年由Diffie和 Hellmann提出的。基本思想是：每个用户有一个公开密钥PK和 一个私人密钥SK，公开密钥PK由认证中心公布，象电话号码一 样。私人密钥SK只有用户本人知道，每个用户的公开密钥和私 有密钥具有唯一性。如果有n个用户参与通信，则只需产生n对 密钥，便于密钥的管理。图 2.密码技术字母ABCZ空格,./：？明文01020326272829303132密文18

7、192043444546474849信息Thisisacup.明文2008091927091927012703211629密文37252636442636441844203833463.数字签名 n数字签名（Digital Signature）技术是将摘要 用发送者的私钥加密，与原文一起传送给接 收者。接收者只有用发送者的公钥才能解密 被加密的摘要。 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收 者。接收者只有用发送者的公钥才能解密被加密的摘要。其原理如下： （1）发送方用一个单向散列函数对明文信息m进行运算，形成信息摘要MD（Messag

8、e Digest），采用信息摘要能够加快数字签名的速度。 （2）发送方用自己的私人密钥S对信息摘要进行加密得到Es（MD）。 （3）将加密后的信息摘要和明文信息m一起发送出去。即：c=m+Es(MD)B。 （4）接收方用同样的单向散列函数对明文信息m进行计算，形成另一信息摘要MD。 （5）接收方把接收到的信息摘要用发送方的公开密钥P解密，恢复出加密前信息摘要MD， 并与步骤（4）形成的信息摘要MD进行比较，若两者完全一样，即MDMD，则证明 信息是完整的，并且数字签名是有效的。 数字签名定义（1）发送方首先用哈希函数从明文文件中生成一个数 字摘要，用自己的私钥对这个数字摘要进行加密来形成 发送

9、方的数字签名。 （2）发送方选择一个对称密钥对文件加密，然后通过 网络传输到接收方，最后通过网络将该数字签名作为附 件和报文密文一起发送给接收方。 （3）发送方用接收方的公钥给对称密钥加密，并通过 网络把加密后的对称密钥传输到接收方。 （4）接收方使用自己的私钥对密钥信息进行解密，得 到对称密钥。 （5）接收方用对称密钥对文件进行解密，得到经过加 密的数字签名。 （6）接收方用发送方的公钥对数字签名进行解密，得 到数字签名的明文。 （7）接收方用得到的明文和哈希函数重新计算数字签 名，并与解密后的数字签名对比。如果两个数字签名是 相同的，说明文件在传输过程中没有被破坏。 数字签名过程数字证书也

10、叫数字标识 (Digital Certificate，Digital ID)， 是一种应用广泛的信息安全技术，它是由权威公正的第 三方机构即CA中心（Certificate Authority，即证书授权 中心）签发，是各类终端实体和最终用户在网上进行信 息交流及商务活动的身份证明，其实质上就是一系列密 钥，即一段包含用户身份信息、用户公钥信息以及身份 验证机构数字签名的数据，用于签名和加密数字信息， 以解决交易的各方相互间的信任问题。 目前主要数字证书有：安全电子邮件证书、个人和企业 身份证书、服务器证书和代码签名证书等几种类型，分 别应用于不同的场合。如代码签名证书主要用于给程序 签名；安

11、全电子邮件证书，用于给邮件数字签名；而个 人数字证书用途则很广，可以用来给Office文档、软件代 码、XML文件、Email等文件数字签名。数字证书可以存 放在计算机的硬盘、随身U盘、IC卡或CUP卡中，也可以 放在自己的E-mail中。数字证书概述域含义Version证书 版本号，图4.5中V3表示该证书 是X.509 V3版本，不同版本的证 书格式不同Serial Number序列号，同一身份验证 机构签发 的证书 序列号唯一Algorithm Identifier证书 所使用的签名算法，包括必要的参数Issuer身份验证 机构的标识 信息，即证书 的发行机构名称，命名规则 一般 采用X

12、.500格式Period of Validity证书 的有效期，通用的证书 一般采用UTC时间 格式，它的计时 范围 为19502049；Subject证书 持有人的标识 信息，即证书 所有人的名称，命名规则 一般采用 X.500格式Subjects Public Key证书 持有人的公钥Signature身份验证 机构对证书 的签名物理隔离技术 在电子商务系统建设中，外部网络连接着广大消费者，内 部网络连接着企业内部的桌面办公系统，专网连接着各部 门的信息系统，在外网、内网、专网之间交换信息是基本 要求。如何在保证内网和专网资源安全的前提下，实现从 消费者到企业的网络畅通、资源共享、方便快捷

13、是电子商 务系统建设中必须解决的技术问题。 一般采取的方法是在内网与外网之间实行防火墙的逻辑隔 离，在内网与专网之间实行物理隔离。 物理隔离网闸（GAP）技术是一种通过专用硬件使两个或 者两个以上的网络在不连通的情况下，实现安全数据传输 和资源共享的技术。它采用独特的硬件设计，能够显著地 提高内部用户网络的安全强度。背景知识网上传输的任何信息都有可能被恶意截获。尽管 如此，我们仍然在网上保存着很多重要的资料， 比如私人邮件、银行交易。这是因为，有一个叫 着 SSL/TLS/HTTPS 的东西在保障我们的信息安 全，它将我们和网站服务器的通信加密起来。如果网站觉得它的用户资料很敏感，打算使用 S

14、SL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一 个证书。有 CA 权限的公司/组织都是经过全球审 核，值得信赖的。安全套接层协议 （SSL：Secure Sockets Layer）网景（Netscape）公司于1994年提出的 主要用于提高应用程序之间的数据安全系数 ，实现兼容浏览器和服务器（通常是WWW服 务器）之间安全通信的协议，位于TCPIP和 HTTP或其他协议如SNMP或FTP之间，能提 供保密性、鉴别和数据完整性。 目前是Internet网上安全通讯与交易的标准。 SSL支持许多加密算法。SSL分为两层，一

15、是 握手层，二是记录层。SSL握手协议描述建立 安全连接的过程，在客户和服务器传送应用 层数据之前，完成诸如加密算法和会话密钥 的确定，通信双方的身份验证等功能；SSL记 录协议则定义了数据传送的格式。SSL提供的安全服务（1）用户和服务器的合法性认证。为使得用户和服务器 能够确信数据将被发送到正确的客户机和服务器上，客户 机和服务器都有各自的识别号，由公开密钥编排。为了验 证用户，SSL要求在握手交换数据中做数字认证，以此来 确保用户的合法性 （2）加密数据以隐藏被传送的数据。SSL采用的加密技 术既有对称密钥，也有公开密钥。具体来说，就是客户机 与服务器交换数据之前，先交换SSL初始握手信

16、息，在 SSL握手信息中采用了各种加密技术且经数字证书鉴别， 这样就可以防止非法用户破译。 （3）维护数据的完整性。客户机和服务器之间通过密码 算法和密钥的协商，建立起一个安全通道，以后在安全通 道中传输的所有信息都经过了加密处理，网络中的非法窃 听者所获取的信息都将是无意义的密文信息，从而保证其 机密性和数据的完整性，防止非法用户破译。SSL的工作原理客户机的浏览器在登录服务器的安全网站 时，服务器将招呼要求发给浏览器（客户 机），浏览器以客户机招呼来响应。接着 浏览器要求服务器提供数字证书，如同要 求查看有照片的身份证。作为响应，服务 器发给浏览器一个认证中心签名的证书。 浏览器检查服务器证书的数字签字与所存 储的认证中心的公开密钥是否一致。一旦 认证中心的公开密钥得到验证，签名也就 证实了。此动作完成了对商务服务器的认 证。由于客户机和服务器需要在Internet上 传输信用卡号、发票和验证代