《助理电子商务师培训课件-安全与支付》由会员分享,可在线阅读,更多相关《助理电子商务师培训课件-安全与支付(75页珍藏版)》请在金锄头文库上搜索。
1、,电子商务安全基础知识,电子商务安全基础知识,电子商务安全的主要内容 电子商务系统硬件安全:是指保护系统硬件和外部设备的安全,保证自身的可靠性和为系统提供基本的安全机制。 电子商务系统软件安全:保护软件和数据不被篡改、破坏和非法复制,使计算机系统逻辑上安全。关键问题是电子商务信息安全。 电子商务系统运行安全:保护系统能连续和正常的运行。 电子商务安全立法:对电子商务犯罪的约束。不属于技术上的系统设计问题。2004年8月28日,中华人民共和国电子签名法,2005年4月1日实施,电子商务信息安全要求,信息的保密性:是指信息在传输过程或存储中不被他人窃取。 信息的完整性:从信息的传输和存储两个方面体
2、现出来,在存储时防止非法篡改和破坏;在传输过程中保证信息的完整性,即接收端收到的信息与发送端发送的信息完全一样。 信息的不可否认性:是指信息的发送方不能否认已发送的信息,接收方不能否认已接收到的信息。 交易者身份的真实性:是指交易双方确实是存在的,不是假冒的。 信息的有效性,计算机安全制度,计算机安全控制制度 1994年2月18日,中华人民共和国计算机信息系统安全保护条例 课本P7679(简单了解) 我国新刑法确定计算机犯罪的5种主要形式 课本P79 计算机安全术语 课本P80 浏览器安全设置IE6 以上内容可见文档助理电子商务师基础知识,电子商务安全管理,第七章 电子商务安全管理,第一节 文
3、件加密 一、对本地文件进行加密和解密 二、对邮件进行加密和解密 第二节 交易安全管理 一、交易者身份的确认 二、制定交易安全管理制度 第三节 安全工具使用 一、更新防病毒软件 二、更新防火墙,文件加密,上机操作 P244248 Office文件格式加密 压缩软件加密 Windows 2000/XP的加密,相关知识,加密是指将数据(明文)进行编码,使它成为一种不可理解的形式,即密文。 解密是加密的逆过程,将密文还原成可以理解的形式。 加密、解密依靠两个元素:算法和密钥。算法是加密或解密的过程;密钥是算法中需要的关键数字。,加密 E,明文 M,密文 C,解密 D,明文 M,Kd 解密密钥,Ke 加
4、密密钥,现代密码体制,对于不知道Kd的第三者,要由密文C破解出明文M,实际上几乎是不可能的;或者是无意义的。 根据加密密钥和解密密钥是否相同,可以将密码体制分为两类:通用密钥密码体制和公开密钥密码体制。 通用密钥密码体制又称为私密密钥密码体制和对称密钥密码体制,代表算法:DES 公开密钥密码体制又称为不对称密钥密码体制。代表算法:RSA,通用密钥密码体制,又称为私密密钥加密体制、对称加密体制,即Ke=Kd,二者是通用的。 可以采用各种不同的算法:例如恺撒密码 以明文中字母的位置定为1,以n为间隔进行置换,n即为密钥,1n26 明文:C R Y P T O G R A P H Y 密文:F U
5、B S W R J U D S K B 任何文字都可以通过编码与二进制数字串对应。 恺撒密码的安全性依赖于算法的保密性。,密钥:n=4,DES算法,Des算法(Data Encryption Standard,数据加密标准),是通用密钥密码体系中广泛应用的典型算法。 将明文转换成二进制数据,按64位分组; 密钥同为64位,对明文进行复杂的计算和变换,生成64位的密文。 64位密钥中含8位奇偶校验位,所以有效密钥长度为56位,密钥数量为256,用穷举法进行搜索,运行次数为256。,对称密码算法分为两种类型:分组密码体制(block cipher)和序列密码体制(stream cipher)。 分
6、组密码体制是在数据的固定长度的小分组上进行运算的,分组的长度一般是64位。分组密码有很多种,包括DES,3DES,RC2,RC5,RC6以及Rijndael(也被称做AES)。 序列密码体制与分组密码体制的区别在于加密后的密文除了与算法和密钥有关外,是否还与被处理的明文数据段在整个明文中的位置有关。,通用密钥加密体制的优缺点,优点: 对信息编码和解码的速度快,效率高,安全度高; 缺点: 密钥管理难度大,由于加密、解密密钥相同,如何安全传递密钥非常关键; 每两个想要交换保密信息的用户都需要一个密钥,密钥量大,难以分发、传输、存储,如:N个人的群体中,彼此之间进行保密通信需要N(N-1)/2个密钥
7、,数量很大。,公开密钥密码体制,又称为不对称密钥加密体制,即KeKd; 每个用户有一对密钥,一个是公开的叫公钥,一个是只有本人知道的,叫私钥。1.公钥和私钥成对出现 2.公开的密钥叫公钥,只有自己知道的叫私钥 3.用公钥加密的数据只有对应的私钥可以解密 4.用私钥加密的数据只有对应的公钥可以解密 5.如果可以用公钥解密,则必然是对应的私钥加的密 6.如果可以用私钥解密,则必然是对应的公钥加的密公钥公开,供别人查找、加密;私钥保密,供用户解密和签名。,公开密钥加密体制加密过程,发送方可以从密钥中心查找接收方公钥进行信息加密; 接收方用自己的私钥解密得到明文; 信息截取者没有接收方私钥,所以无法获
8、得明文。,加密算法,解密算法,明文,Internet,密文,密文,明文,接收方公钥,接收方私钥,信息截取者,发送端,接收端,在公开密钥加密体制中 对信息发送者进行身份验证,加密算法,解密算法,可公开信息,Internet,密文,密文,发送方私钥(签名),发送方公钥(验证),信息截取者,发送端,接收端,可公开信息,公开密钥加密体制的优缺点,优点: N个人彼此之间传输保密信息只需要N对密钥,方便管理、发布、查询; 加密安全,效果好; 缺点: 加密和解密的速度慢,效率不高。 代表算法:RSA,数字摘要,也称为安全Hash(散列)编码法,哈希算法; 将需加密的明文转换成一定长度的密文摘要(128bit
9、); 该密文摘要又称为数字指纹,长度固定; 不同的明文生成的摘要不同;同样的明文其摘要必定一致; 通过摘要无法推导出明文; 保证交易信息的完整性(不可修改性)。,数字摘要,21,数字签名的基本原理 P261,数字签名与传统的书面文件签名有相似之处,数字签名就是在以计算机文件为基础的事务处理中采用了电子形式的签名。 数字签名技术以加密技术为基础,采用公钥密码体制对整个明文进行变换,得到一个作为核实签名的值。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则证明对方的身份是真实的。,数字签名,书面签名的作用有两点: 签名难以否认,从而确认了文件以签署这一事实; 签名不易模仿,从而确定
10、了文件是真实的这一事实。数字签名的作用: 信息是由签名者发送的; 信息自签发后到收到为止未曾作过任何修改。,数字签名流程,信 息,SHA 加密,摘要,发送方 私钥加密,数字 签名,发送,数字 签名,摘要1,发送方 公钥解密,信 息,SHA加密,摘要2,比较二者 若一致,信 息 被 确 认,接收方,发送方,数字证书,数字证书解决了交易者身份确定性的问题,是用来证明交易者的真实身份的有效手段。 数字证书(digital ID),又称为数字凭证、数字标识,是一个经数字证书认证机构(CA)数字签名的包含用户身份信息以及公开密钥信息的电子文件。 通过电子手段来证实一个用户的身份和对网络资源访问的权限,是
11、各实体在网上进行信息交流以及商务活动的电子身份证。 在网上交易中,若双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可以不必为对方的身份真伪担心。 数字证书采用公开密钥密码体制,数字证书类型(简单了解),个人证书:仅为某一用户提供的数字证书,以帮助其在网上进行安全交易操作,分为个人身份证书和个人Email证书。 单位证书:为网上的某个企业提供的数字证书。分为单位身份证书、单位Email证书、部门证书和职位证书。 设备证书:为Internet中的设备提供的数字证书。分为 应用服务器证书、Web服务器证书、VPN网关证书、VPN客户端证书。 代码签名证书:用于提供软件开发人员、软件开发商
12、或提供商对其开发的软件代码进行数字签名,可以有效防止该软件代码被篡改使用户可以确认软件的来源是真实的、可靠的,以及软件从签名到下载前为遭到修改或破坏。分为个人代码签名证书和企业代码签名证书。,数字证书的标准和格式,数字证书的国际标准是由国际电信联盟(ITU)制定的X.509标准。 X.509证书通常存放在X.500目录中,X.500目录是一个全球性的信息通信目录,由 不同的国家或组织拥有和管理不同的部分,目录中的数据按树型 分层组织。,数字证书的内容,按X.509数字证书标准,数字证书一般应包括以下内容: 数字证书拥有者的名称,命名规则一般采用X.500格式; 颁发数字证书单位的名称; 颁发数
13、字证书单位的数字签名; 证书的序列号,每个证书都有唯一的证书序列号; 证书的版本号; 证书的有效期,通用的证书一般采用UTC的时间格式,计时范围19502049年。( UTC协调世界时,又称世界标准时间) 证书拥有者的公钥及其所使用的算法等有关信息。,认证中心,数字证书的发放不是靠交易双方自己能完成的,需要有一个具有权威性和公正性的第三方来完成。 认证中心(CA)就是承担网上安全电子交易认证服务、签发数字证书、并能确认用户身份的服务机构。,认证中心的作用,证书的颁发:接受用户的申请颁发正数; 证书的更新:定期或根据用户的请求来更新证书; 证书的查询:证书申请的查询和用户证书的查询; 证书的作废
14、:如私钥泄密用户可申请作废证书,如证书到期,认证中心自动作废证书; 证书的归档:管理作废的证书以备查询以前的交易过程。,明 文,SHA 加密,摘要,RSA 加密,A公司私钥,数字 签名,DES加密,密文,通用 密钥,RSA 加密,已加密的 通用密钥,B公司 公钥,认证中心,数字 签名,密文,已加 密的 通用 密钥,RSA 解密,摘要1,DES解密,明文,RSA 解密,通用 密钥,B公司 私钥,摘要2,SHA加密,比较二者是 否一致,若一致 则信息被确认,认证中心,A公司,B公司,信息加密和数字签名的综合处理流程,A公司公钥,对邮件进行加密和解密,上机操作 Outlook的使用 PGP(Pret
15、ty Good Privacy),是一个基于RSA公钥加密体系和国际数据加密算法(IDEA)的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。,电子邮件系统和服务,电子邮件系统由邮件服务器端与邮件客户端两部分组成;前者相当于邮局,后者相当于纸和笔; 电子邮箱一般是由网络服务供应商为用户建立 电子邮件的格式:用户名主机名(域名) 电子邮件发送过程:,发送方客户端软件,写好的邮件,发送方邮件服务器,根据地址,接收方邮件服务器,接收方电子邮箱, 供接收方随时读取,根据地址,SMTP和POP3,SMTP(简单邮件传输
16、协议)是Internet上传输电子邮件的标准协议,用于提交和传送电子邮件,通常用于把邮件从客户机传到服务器,以及从服务器传到另外一个服务器。 SMTP规定了主机之间传输电子邮件的标准交换格式和邮件在链路层上的传输机制。 POP3(邮局协议)规范了对电子邮件的访问,提供了信息存储功能,负责为用户保存收到的电子邮件,并且从服务器上下载这些文件。3表示版本。,制定交易安全管理制度,病毒防范制度 给电脑安装防病毒软件 不打开陌生电子邮件 认真执行病毒定期清理制度 控制权限 高度警惕网络陷阱 电子商务安全需求 课本 P266-267 电子商务安全隐患 课本P267-268 安全电子商务结构 课本P268 OSI模型,
