《电子商务概论 教学课件 ppt 作者 张涛§4 电子商务安全 §4 电子商务安全2》由会员分享,可在线阅读,更多相关《电子商务概论 教学课件 ppt 作者 张涛§4 电子商务安全 §4 电子商务安全2(39页珍藏版)》请在金锄头文库上搜索。
1、广东纺织职业技术学院 经济管理系,电子商务精品课程,编写:郑绮萍 ,电子商务安全,主要内容 (*重点内容),电子商务安全 2,4 电子商务安全管理制度,3 电子商务的安全技术(下)*,实训6 查杀病毒+CtoC模拟,?,? ?,? ? ?,解密与破译有何不同?,3 电子商务的安全技术,二、加密技术 P129 1、基本概念 P129 加密包含两个元素:加密算法和密钥,缺一不可。 加密算法 就是用基于数学计算方法与一串数字(密钥)对原始的文本信息(称为明文)进行编码,产生一些不可理解的信息(称为密文)的一系列步骤。 密钥 是用来对文本进行编码和解码的数字。 加密程序 对明文进行编码使其转成密文的程
2、序。 解密程序 对密文进行解码使其转成明文的程序。是加密的逆过程。合法接收者将密文解码出明文的过程称为解密。非法接收者将密文解码出原明文的过程称为破译。,?,? ?,? ? ?,信息是如何进行加密和解密的?,3 电子商务的安全技术,在电子商务中获得广泛应用的主要有对称加密和非对称加密技术。 2、对称加密技术 P129 对称加密技术 又称私钥或单钥加密,即信息的发送方和接收方用都使用同一个密钥去加密和解密数据。双方在首次通信时只要商定一个共同密钥,就可以在网络上加密通信。 在网上购物环境中,商家要与成千上万的客户交易,则成千上万的密钥保管与安全传送的难度非常大。所以对称加密技术难以大力使用。 小
3、知识 4-1 一种简单的加密方法 P85,3 电子商务的安全技术,3、非对称加密 P130 非对称加密技术 又称公开密钥加密,它需要用一对密钥分别来加密和解密。 通信一方任选的给自己用且自己秘密保存的密钥称为私有密钥(Private-Key),简称私钥; 给别人用的公开发布告诉其他用户的密钥称为公开密钥(Public-Key),简称公钥。 (1)加密与解密原理 这对密钥可以互相并且只有为对方加密或解密,如果甲向乙发信息,用乙的公钥对数据加密传送,则乙收到加密后的信息只有用自己对应的私钥才能解密;若用私钥对数据加密,则只有用对应的公钥才能解密,反之亦然,3 电子商务的安全技术,(2)对称与非对称
4、加密体制对比,?,? ?,? ? ?,电子商务的安全技术还有哪些?,3 电子商务的安全技术,三、认证技术 P131 在网络中完成的电子商务,交易各方互相之间是不见面的,为了保证交易各方自真实性,这就需要进行身份认证。 (一)认证的目的 P131 1、确认信息的发送者的身份; 2、验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。 (二)认证中心 P131 电子商务认证授权机构也称为电子商务认证中心(CA)。CA 就是承担网上安全电子交易的认证服务,能签发数字证书,并能确认用户身份的服务机构。,?,? ?,? ? ?,常用的安全认证技术有哪些?,3 电子商务的安全技术,(三)常用的安全认
5、证技术 P131 1、数字信封技术 P132 数字信封技术是结合对称加密和非对称加密的优点的一种加密技术,它用加密技术来保证只有规定的特定收信人才能阅读信息内容,克服了对称加密中密钥分发困难和非对称加密中加密时间长的缺点。 加密信息被分成密文和信封两部分,对文件进行加密传输的过程如图所示。,数字信封主要用于实现对信息的保密传送。 图中:Key会话密钥(对称密钥), Kpb接收方公钥, Ksb接收方私钥,3 电子商务的安全技术,2、数字摘要技术 P132 数字摘要用于验证通过网络传输收到的文件是否是原始的、未被篡改的文件原文。它利用了著名的Hash函数的特性:即任意大小的信息经Hash函数变换后
6、都能形成固定长度(128bit)的“摘要”,也称数字指纹。 使用数字摘要保证信息完整性的过程如下: (1)采用单向Hash函数将原文变换后形成固定长度(128 bit)的“摘要”,连同原文一同发送。 (2)接收方在收到原文和摘要后,将收到的原文使用Hash函数再次生成摘要,并与收到的摘要比较,如果一致即可判定收到的文件是未被篡改的文件原文。,3 电子商务的安全技术,3、数字签名技术 P132 数字签名 技术是用数个字符串来代替书写签名或印章,将编码加密所产生的数字摘要用发送者的私钥加密,与原文一起传送给接收者。目前的数字签名建立在公钥加密体制基础上,是非对称加密技术的另一类应用。数字签名广泛应
7、用的方法主要有:RSA签名、Hash签名等。 (1) Hash签名 这是最主要的数字签名方法,亦称电子摘要法。它是将数字签名与要发送的信息捆在一起。 通过数字签名能够实现对原始报文的鉴别和不可抵赖性。将Hash函数和公钥算法有机结合起来就可以产生出数字签名技术。Hash签名原理见后图。,3 电子商务的安全技术,(2)数字签名可防止以下行为:P133 电子商务信息作伪; (完整性) 冒用他人名义发送信息;(身份认证) 发出(收到)信件后又加以否认。(防抵赖) (3)数字签名能确认以下信息: 信息是由签名者发送的; 信息自签发后到收到为止未曾作过任何修改。,3 电子商务的安全技术,(4) 数字签名
8、的优缺点 P133 数字签名易更换、难伪造、可进行远程线路传递。 数字签名也具有手工签名的全部功能。 在电子支付系统中,电子签名起到代替传统银行业务中在支票等纸面有价证券上进行真实签名的作用,用来保证报文等信息的真实性。 注意:数字签名不能保证文件在公开网络上传输的保密性。,3 电子商务的安全技术,4、 数字证书 P134 数字证书是一种担保个人、计算机系统或者组织的身份和密钥所有权的电子文档和用来唯一确认安全电子商务交易双方身份的工具。由于它在证书管理中心做了数字签名,任何第三方都无法修改证书的内容。 (1)数字证书的种类 客户证书 证实客户(个人)身份和密钥所有权。 安全邮件证书 证实电子
9、邮件用户的身份和公钥。 CA机构证书 证实认证中心身份和认证中心的签名密钥。 企业(服务器)证书 证实企业站点(服务器)的身份和公钥。,3 电子商务的安全技术,(2)数字证书的内容 证书包括申请证书个体的信息和发放证书CA的信息。 包括以下几点: 证书的版本号; 证书序列号. 每个由CA发放的证书必须只有唯一的序列号; 证书拥有者的名称; 证书拥有者公钥信息,包括公钥算法、公钥的位字符串表示; 证书的有效期限; 办理数字证书的单位名称; CA所使用的签名算法; 发放证书CA的名称; 发放证书CA的数字签名。,?,? ?,? ? ?,安全认证协议有哪些?有何作用?,3 电子商务的安全技术,四、安
10、全认证协议 P135 为保证电子商务在线支付的安全,需要采用数据加密和身份认证技术。目前主要有安全套接层(SSL)协议和安全电子交易(SET)协议。 1、安全套接层(SSL)协议 P135 安全套接层协议可以对信用卡和个人信息提供较强的安全保护。 (1)SSL协议采用了公开密钥和专有密钥两种加密 在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。两者资料传输以对方公钥加密后传输,收到资料方以私钥解密。,3 电子商务的安全技术,(2)SSL协议包括了两个子协议,即SSL握手协议和SSL记录协议。 (3)SSL协议提供如下的三种基本的安全服务: 保证信息的完整性 所有经SSL协议处理的业务能
11、全部确无误地到达目的地。 认证用户的服务器 客户机和服务器都有各自识别号以验证用户是否合法,SSL协议在握手交换要求数据进行数字认证,以确保用户的合法性。 加密处理 客户机与服务器进行数据交换前,交换SSL初始握手信息并在其中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。,3 电子商务的安全技术,(4)SSL协议的缺点: 商家可认证客户,但缺乏客户对商家的认证。 只能保证资料传递过程的安全,无法保证传递过程是否有人截取。 只能提供通信中客户与服务器间的双方认证,未能多方互相认证。,3 电子商务的安全技术,2、SET(安全电子交易)协议 P136 针对SSL协
12、议的缺陷,产生了SET (安全电子交易)协议。SET是针对使用信用卡支付的网上交易而设计的支付规范。 (1)SET协议的主要目标 1)保证信息在Internet上安全传输,防止网上传输的数据被黑客和内部人员截获窃取; 2)保证电子商务参与者信息的隔离,商家只能看到定货信息,而看不到客户的银行账户和密码信息,银行也不能看到客户的购物清单。 3)解决多方认证的问题,确定通信双方身份,对客户信用卡,商家信誉都作相互认证。,3 电子商务的安全技术,4)效仿EDI贸易形式、规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,可运行在不同的硬件和操作系统平台上。 5)保证网上交易的实时性,使
13、所有的支付过程都是在线的。 (2)SET协议的核心技术及证书 1)文件组成:SET业务描述、程序员指南和SET协议描述。 2)核心技术:对称加密、非对称加密、电子签名、电子信封、数字摘要、认证等技术。 3)证书:持卡人证书、商家证书、支付网关证书、收单者证书和颁发者证书。,3 电子商务的安全技术,(3)SET协议规范所涉及的角色 1)消费者 SET可保证消费者通过计算机的信用卡结算的个人账号不被泄漏给商家。 2)发卡机构 为每一个建立了账户的顾客颁发付款卡,发卡的金融机机构根据不同品牌卡的规定和政策,保证对每一笔认证交易的付款。 3)商家 即提供商品或服务的企业组织。 4)银行 在线交易的商家
14、在银行开立账号,并且处理支付卡的认证和支付。 5)支付网关 是一个Internet服务器,即Internet和银行内部网络接口。 (4) SET协议的工作原理 P137-138,3 电子商务的安全技术,(5)SET协议的不足 1)没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接收证书。 2)没有担保“非拒绝行为”,在线商店无法证明订购是由签署证书讲信用的消费者发出的; 3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据与数据应保存在消费者、在线商店或收单银行的计算机里。 4)利用SET协议实施电子支付,交易过程复杂,使用成本高。,4 电子商务安全管理制度 P1
15、38,电子商务安全技术一般只能挡住来自外部的攻击,而对于内部的攻击则软弱无力。要抵御某些安全技术尚不能解决的威胁,就必须建立安全管理制度。 一、安全管理制度的内涵 P138 1、安全管理制度 就是用文字和书面的形式对企业内部的人员和日常事务等各项工作提出安全的要求及规定,它是企业内部电子商务工作人员的安全准则和行为规范。,4 电子商务安全管理制度,2、安全管理制度的制定一般依据: (1)国家有关信息保密、互联网的使用的法令、法规及相关的法律条文。 (2)企业为保证安全和合理的对安全投资,而在风险评估的基础上制定的安全性规划。 (3)当企业内部网络遭受攻击或发生意外事故时产生的危害程度。 (4)企业内部网对入侵者的吸引程度及他们可利用系统资源的各种方法。,?,? ?,? ? ?,电子商务安全管理制度有哪些?,4 电子商务安全管理制度,二、电子商务安全管理制度 P139 电子商务安全管理制度是电子商务专业人员工作的规范和准则。其包括: 1、人事管理制度 P139 从事电子商务的企业应对两类人员进行重点安全管理。一是从事网络营销的人员,二是企业内部的网络维护人员。其基本管理措施有: 1)严格选拔电子商务专业人员。 2)落实工作责任制。不仅要求网络营销人员和网络管理人员完成各自
