《电子商务的安全技术课件》由会员分享,可在线阅读,更多相关《电子商务的安全技术课件(104页珍藏版)》请在金锄头文库上搜索。
1、第4章 电子商务的安全技术n电子商务安全要求与安全内容n防火墙等网络安全技术n加密技术和认证技术nSSL与SET协议nPKI2024/7/241电子商务的安全技术4.1 电子商务安全要求n4.1.1电子商务所面临的安全问题v电子商务中的安全隐患可分为如下几类:n 1.信息的截获和窃取n 2.信息的篡改n 3.信息假冒n 4.交易抵赖2024/7/242电子商务的安全技术计算机安全分类l实体安全机房、线路及主机等的物理安全l网络与信息安全包括网络的畅通、准确,网上系统、程序和数据安全,电子商务安全。l应用安全包括程序开发运行、输入输出、数据库等安全。2024/7/243电子商务的安全技术为什么网
2、络安全如此重要Web ServerThe InternetEncryption线路安全线路安全客户安全客户安全连接安全连接安全 The IntranetWebServerWeakness: External access now granted. Are applications and network secure?信息资本信息资本Enterprise Networku没有边界没有边界u没有中央管理没有中央管理u是开放的、标准的是开放的、标准的u没有审计记录没有审计记录INTERNETINTERNET2024/7/244电子商务的安全技术网络侵袭的主要种类l外部与内部入侵非授权访问、冒充合法
3、用户等。l拒绝服务部分或彻底地阻止计算机或网络正常工作。l盗窃信息指无须利用你的计算机就可获取数据信息。2024/7/245电子商务的安全技术网络侵袭者的主要种类l间谍(商业间谍及其他间谍)。l盗窃犯。l破坏者。l寻求刺激者。l“记录”追求者。l低级失误和偶然事件。2024/7/246电子商务的安全技术网络安全不单是技术问题n机构与管理:交易流程管理、人员管理、交易技术管理n法律与法规法律法规不健全,网上交易可能会承担法律滞后,无法保证合法交易的权益的风险;法律完善后的风险。n经济实力n技术与人才事件2024/7/247电子商务的安全技术安全性需要代价l安全性与方便性l安全性与性能l安全性与成
4、本2024/7/248电子商务的安全技术减少安全威胁的主要策略l修补系统漏洞系统l病毒检查系统l直接安全管理l空闲机器安全管理l废品处理安全管理l口令安全管理l加密系统l认证、授权系统lInternet防火墙系统l捕捉闯入者系统政策、法律、守则、管理政策、法律、守则、管理Internet防火墙防火墙授权、认证授权、认证加密加密审计、监控审计、监控2024/7/249电子商务的安全技术4.1.2 电子商务安全要求n机密性n完整性n认证性n不可抵赖性n有效性2024/7/2410电子商务的安全技术电电子子商商务务系系统统对对信信息息安安全全的的要要求求主主要要包包括括以以下下几几个个方面:方面:1
5、.信信息息的的保保密密性性:电电子子商商务务系系统统应应该该对对主主要要信信息息进进行保护,阻止非法用户获取和理解原始数据。行保护,阻止非法用户获取和理解原始数据。2.数数据据完完整整性性:电电子子商商务务系系统统应应该该提提供供对对数数据据进进行行完完整整性性认认证证的的手手段段,确确保保网网络络上上的的数数据据在在传传输输过过程中没有被篡改。程中没有被篡改。2024/7/2411电子商务的安全技术3.用户身份验证:电子商务系统应该提供通讯双方用户身份验证:电子商务系统应该提供通讯双方进行身份鉴别的机制。进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方一般可以通过数字签名和数字证
6、书相结合的方式实现用户身份的验证,证实他就是他所声称的式实现用户身份的验证,证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构签那个人。数字证书应该由可靠的证书认证机构签发,用户申请数字证书时应提供足够的身份信息,发,用户申请数字证书时应提供足够的身份信息,证书认证机构在签发证书时应对用户提供的身份证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。信息进行真实性认证。2024/7/2412电子商务的安全技术4.授授权权:电电子子商商务务系系统统需需要要控控制制不不同同的的用用户户,谁谁能能够够访访问问网网络络上上的的信信息息并并且且能能够够进进行行何何种操作。种操作。5.
7、数数据据原原发发者者鉴鉴别别:电电子子商商务务系系统统应应能能提提供供对对数数据据原原发发者者的的鉴鉴别别,确确保保所所收收到到的的数数据据确确实实来来自自原原发发者者。这这个个要要求求可可以以通通过过数数据据完整性及数字签名相结合的方法来实现。完整性及数字签名相结合的方法来实现。2024/7/2413电子商务的安全技术6.数数据据原原发发者者的的不不可可抵抵赖赖和和不不可可否否认认性性:电电子子商商务务系系统统应应能能提提供供数数据据原原发发者者不不能能抵抵赖赖自自己己曾曾做做出出的的行行为为,也也不不能能否否认认曾曾经经接接到到对对方方的的信信息息,这在交易系统中十分重要。这在交易系统中十
8、分重要。7.合合法法用用户户的的安安全全性性:合合法法用用户户的的安安全全性性是是指指合合法法用用户户的的安安全全性性不不受受到到危危害害和和侵侵犯犯,电电子子商商务务系系统统和和电电子子商商务务的的安安全全管管理理体体系系应应该该实实现现系系统统对对用用户户身身份份的的有有效效确确认认、对对私私有有密密匙匙和和口口令令的有效保护、对非法攻击的有效防范等,的有效保护、对非法攻击的有效防范等,2024/7/2414电子商务的安全技术8.网网络络和和数数据据的的安安全全性性:电电子子商商务务系系统统应应能能提提供供网网络络和和数数据据的的安安全全,保保护护硬硬件件资资源源不不被被非非法法占占有有,
9、软软件件资资源源免免受受病病毒毒的的侵害。侵害。2024/7/2415电子商务的安全技术4.1.3 电子商务安全内容v 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全,两者相辅相成,缺一不可。v 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。2024/7/2416电子商务的安全技术 商务交易安全紧紧围绕传统商务在互商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,
10、如何保障电子计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。和不可抵赖性。2024/7/2417电子商务的安全技术电子商务安全构架交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安安全全管管理理体体系系网络安全技术网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代理服分组过滤和代理服务等务
11、等法律、法规、政策法律、法规、政策2024/7/2418电子商务的安全技术4.2 计算机网络安全技术4.2.1计算机网络的潜在安全隐患企业内部计算机系统面临的风险Internet本身的不安全性对企业内部信息系统带来的潜在风险从纯技术角度上来看,存在着薄弱性。2024/7/2419电子商务的安全技术 4.2.2 计算机网络安全体系n在实施网络安全防范措施时要考虑以下几点:nq加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;q用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;q从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管
12、理和认证;2024/7/2420电子商务的安全技术 利用数据存储技术加强数据备份和恢复措施;利用数据存储技术加强数据备份和恢复措施; 对对敏敏感感的的设设备备和和数数据据要要建建立立必必要要的的物物理理或或逻逻辑隔离措施;辑隔离措施; 对对在在公公共共网网络络上上传传输输的的敏敏感感信信息息要要进进行行数数据据加密;加密; 安安装装防防病病毒毒软软件件,加加强强内内部部网网的的整整体体防防病病毒毒措施;措施; 建建立立详详细细的的安安全全审审计计日日志志,以以便便检检测测并并跟跟踪踪入侵攻击等入侵攻击等2024/7/2421电子商务的安全技术4.2.3 常用的计算机网络安全技术n病毒防范技术n
13、身份识别技术n防火墙技术n虚拟专用网技术 (VirtualPrivateNetwork,VPN)2024/7/2422电子商务的安全技术1病毒防范技术q网络病毒的威胁 n 一是来自文件下载;二是网络化趋势。q措施安装防病毒软件,加强内部网的整体防病毒措施;加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施等2024/7/2423电子商务的安全技术布署和管理防病毒软件布署和管理防病毒软件实际操作一般包括以下步骤:实际操作一般包括以下步骤:1制定计划:制定计划:了了解解在在你你所所管管理理的的网网络络上上存存放放的的是是什什么么类类型型的的数据和信息。数据和信息。2调查:调查
14、:选选择择一一种种能能满满足足你你的的要要求求并并且且具具备备尽尽量量多多的的前面所提到的各种功能的防病毒软件。前面所提到的各种功能的防病毒软件。3测试:测试:在在小小范范围围内内安安装装和和测测试试所所选选择择的的防防病病毒毒软软件件,确确保保其其工工作作正正常常并并且且与与现现有有的的网网络络系系统统和和应应用用软软件相兼容。件相兼容。2024/7/2424电子商务的安全技术4维护:维护:管管理理和和更更新新系系统统确确保保其其能能发发挥挥预预计计的的功功能能,并并且且可可以以利利用用现现有有的的设设备备和和人人员员进进行行管管理理;下下载载病病毒毒特特征征码码数数据据库库更更新新文文件件
15、,在在测测试试范范围围内内进进行行升级,彻底理解这种防病毒系统的重要方面。升级,彻底理解这种防病毒系统的重要方面。5系统安装:系统安装:在在测测试试得得到到满满意意结结果果后后,就就可可以以将将此此种种防防病病毒软件安装在整个网络范围内。毒软件安装在整个网络范围内。2024/7/2425电子商务的安全技术Packet- Packet- SwitchedSwitched LeasedLeased Line LineWorkgroupWorkgroup广域网广域网INTERNETINTERNET局域网局域网PCPC杀毒软件杀毒软件SERVERSERVER杀毒软件杀毒软件杀毒防火墙杀毒防火墙PCPC
16、杀毒软件杀毒软件远程工作站远程工作站网络防毒手段2024/7/2426电子商务的安全技术2身份识别技术n口令n标记方法n生物特征法2024/7/2427电子商务的安全技术认证的主要手段l对用户所知道的进行鉴别,如口令等l对用户拥有的东西进行鉴别,如IC卡等l对用户的生物特征进行鉴别,如指纹、视网膜血管分布等2024/7/2428电子商务的安全技术3防火墙技术v1.基本概念n 防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作.n 防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入
17、网络的信息流,且本身具有较强的抗攻击能力。2024/7/2429电子商务的安全技术什么是防火墙?n防火墙:在被保护网络和Internet之间,n 或者和其它网络之间限制访问的n 软件和硬件的组合。防火墙防火墙2024/7/2430电子商务的安全技术防火墙的主要功能l l能做什么?l安全把关l网络活动统计l内部隔离不能做什么?不能做什么?l不能防范内部入侵不能防范内部入侵l不能防范新的威胁不能防范新的威胁l控制粒度粗控制粒度粗2024/7/2431电子商务的安全技术v关于控制粒度:IT部门遇到一个问题:他们使用SunIdentityManager来进行统一用户身份管理,同时系统会将操作同步到A,
18、B,C等多个应用系统,实现在一个系统中管理多套认证系统账号的方案。但是当它发现一个帐户异常,比如A系统中的账号UserA被锁定的时候,下次从A系统同步数据的时候,就不会再获取UserA这个账号的属性了。这样导致的结果就是如果账号被锁定了,只能在SIM中解锁。因为如果是直接在A系统中解锁,那么解锁操作不会被SIM获知,导致在SIM系统中A系统的UserA账号还是锁定状态,在修改UserA账号的属性的时候,不会将新属性PUSH到A系统中,子认证系统和SIM中部分账号信息不再一致。2024/7/2432电子商务的安全技术v关于控制粒度:这样需要把这个操作授权给桌面支持进行。这样问题就来了,SIM的权
19、限控制粒度比较粗,能对账号做解锁操作,就能进行其它的操作,比如修改密码,修改任意信息等,这样直接授权给桌面支持就会涉及到安全问题,权限过大。2024/7/2433电子商务的安全技术v防火墙的功能保护数据的完整性。 可依靠设定用户的权限和文件保护来控制用户访问敏感性信息,可以限制一个特定用户能够访问信息的数量和种类;保护网络的有效性。 有效性是指一个合法用户如何快速、简便地访问网络的资源;保护数据的机密性。加密敏感数据。2024/7/2434电子商务的安全技术防火墙的基本原理n数据过滤:一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。屏蔽路由器2024/7
20、/2435电子商务的安全技术防火墙的基本原理(续)代理服务:代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。代理服务2024/7/2436电子商务的安全技术设计防火墙的准则n一切未被允许的就是禁止的一切未被允许的就是禁止的l 防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境,但用户使用的方便性、服务范围受到限制。n一切未被禁止的就是允许的一切未被禁止的就是允许的n 防火墙转发所有信息流,然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境,可为用户提供更多的服务。但在日益增多的网络
21、服务面前,网管人员的疲于奔命可能很难提供可靠的安全防护。2024/7/2437电子商务的安全技术4虚拟专用网技术(Virtual Private Network,VPN)n 虚拟专用网是用于虚拟专用网是用于Internet电子交易的一种电子交易的一种专用网络,它可以在两个系统之间建立安全的专用网络,它可以在两个系统之间建立安全的通道,非常适合于电子数据交换(通道,非常适合于电子数据交换(EDI)。)。2024/7/2438电子商务的安全技术 在在虚虚拟拟专专用用网网中中交交易易双双方方比比较较熟熟悉悉,而而且且彼彼此此之之间间的的数数据据通通信信量量很很大大。只只要要交交易易双双方方取取得得一
22、一致致,在在虚虚拟拟专专用用网网中中就就可可以以使使用用比比较较复复杂杂的的专专用用加加密密和和认认证证技技术术,这这样样就就可可以以提提高电子商务的安全性。高电子商务的安全性。 VPN可可以以支支持持数数据据、语语音音及及图图像像业业务务,其其优优点点是是经经济济、便便于于管管理理、方方便便快快捷捷地地适适应应变变化化,但但也也存存在在安安全全性性低低,容容易易受受到到攻攻击击等等问问题。题。2024/7/2439电子商务的安全技术4.3 加密技术n加密技术加密技术q防火墙是一种被动的防卫技术防火墙是一种被动的防卫技术q加密技术是一种主动的防卫技术加密技术是一种主动的防卫技术q加密包含两个基
23、本要素:算法和密钥加密包含两个基本要素:算法和密钥q加密技术主要分为两大类:对称与非对称加密技术主要分为两大类:对称与非对称2024/7/2440电子商务的安全技术什么是加密?加密:加密是指对数据进行编码使其看起来毫无意义,同时仍保持可恢复的形式。2024/7/2441电子商务的安全技术单字母加密方法例:明文(记做m)为“important”,Key=3,则密文(记做C)则为“LPSRUWDQW”。2024/7/2442电子商务的安全技术例:如果明文m为“important”,则密文C则为“RNKLIGZMZ”。2024/7/2443电子商务的安全技术2024/7/24444.3.1 对称加密
24、技术对称加密技术q概念:概念:n对称密钥加密体制属于传统密钥加密系统,对称密钥加密体制属于传统密钥加密系统,q指在对信息的加密和解密过程中使用相同的密钥指在对信息的加密和解密过程中使用相同的密钥q加加密密和和解解密密的的密密钥钥虽虽然然不不同同,但但可可以以由由其其中中一一个个推导出另一个。推导出另一个。 n对称密码体制也称为私钥加密法。对称密码体制也称为私钥加密法。q 这这种种方方法法已已经经使使用用几几个个世世纪纪了了,收收发发加加密密信信息息双双方方使用同一个私钥对信息进行加密和解密。使用同一个私钥对信息进行加密和解密。 2024/7/2444电子商务的安全技术举例:对对对对一一一一组组
25、组组身身身身份份份份证证证证号号号号码码码码用用用用最最最最简简简简单单单单的的的的对对对对称称称称加加加加密密密密算算算算法法法法示示示示意意意意如下如下如下如下: :加密加密加密加密: :明文明文明文明文32083208密钥密钥密钥密钥 +888888888888888+888888888888888密文密文密文密文13861386将将将将密密密密文文文文通通通通过过过过一一一一定定定定途途途途径径径径传传传传送送送送到到到到收收收收信信信信人人人人, ,收收收收信信信信人人人人进进进进行行行行解解解解密密密密, ,得到明文信息。得到明文信息。得到明文信息。得到明文信息。2024/7/24
26、45电子商务的安全技术解密解密: :密文密文13861386密钥密钥 -888888888888888-888888888888888明文明文32083208在这个例子中密钥是数字在这个例子中密钥是数字“8 8”。原原理理:加加密密时时在在每每个个明明码码数数字字上上加加上上8,8,超超过过9 9的的只只保保留个位留个位, ,就得到了密文就得到了密文; ; 解解密密时时, ,将将密密文文的的每每个个数数字字减减去去8,8,对对于于小小于于8 8的的密密文文数数字字在在做做减减法法时时给给它它加加上上1010然然后后再再减减去去8,8,就得到了明文。就得到了明文。2024/7/2446电子商务的
27、安全技术n常用算法:常用算法:DES美国标准美国标准,运用最广泛的一种算法运用最广泛的一种算法qDES:Data Encryption Standard数数据据加加密密标标准准n有有三三个个参参数数:密密钥钥KeyKey、数数据据DataData、工工作作模模式式ModeModenDESDES将将数数据据分分成成长长度度为为6464位位的的数数据据块块,DESDES的的密密钥钥长长度度也也为为6464位位,其其中中8 8位位为为奇奇偶偶校校验验,有有效长度为效长度为5656位位n加密过程:加密过程:q将将明明文文数数据据进进行行初初始始置置换换,以以一一定定的的规规则则打乱明文的排列顺序打乱明
28、文的排列顺序q分为两段,每段分为两段,每段3232位位q乘积变换,在密钥控制下做乘积变换,在密钥控制下做1616次迭代次迭代q逆初始变换得到密文逆初始变换得到密文2024/7/2447电子商务的安全技术4.3.1 对称加密技术对称加密技术n对称加密技术加密流程对称加密技术加密流程源信息(明文)加密后的信息(密文)密钥(加密)Internet加密后的信息(密文)解密后的信息(明文)密钥(解密)2024/7/2448电子商务的安全技术优优点点:在在对对称称密密钥钥密密码码体体制制中中,使使用用的的加加密密算算法法比比较较简便高效,密钥简短,破译极其困难简便高效,密钥简短,破译极其困难缺点:缺点:密
29、钥难于安全传递密钥难于安全传递 密密钥钥量量太太大大,难难以以进进行行管管理理:网网络络通通信信时时,如如果果网网内内的的所所有有用用户户都都使使用用同同样样的的密密钥钥,那那就就失失去去了了保保密密的的意意义义。但但如如果果网网内内任任意意两两个个用用户户通通信信时时都都使使用用互互不不相相同同的的密密钥钥,N个个人人就就要要使使用用N(N一一1)/2个个密密钥钥。因此,密钥量太大,难以进行管理。因此,密钥量太大,难以进行管理。无无法法满满足足互互不不相相识识的的人人进进行行私私人人谈谈话话时时的的保保密密性性要要求求。在在Internet中中,有有时时素素不不相相识识的的两两方方需需要要传
30、传送送加加密信息。密信息。不能提供信息完整性的鉴别。不能提供信息完整性的鉴别。2024/7/2449电子商务的安全技术4.3.2公开密钥体制公开密钥体制(不对称密钥密码体制不对称密钥密码体制)为为解解决决密密钥钥管管理理问问题题,Diffie和和He11man于于1976年年提提出出一一种种密密钥钥交交换换协协议议,允允许许在在不不安安全全的的媒媒体体上上通通信信双双方方交交换换信信息息,安安全全地地达达成成一一致致的的密密钥。钥。在在此此新新思思想想的的基基础础上上,很很快快出出现现公公开开密密钥钥加加密体制。密体制。2024/7/2450电子商务的安全技术公开密钥体制公开密钥体制(不对称密
31、钥密码体制不对称密钥密码体制)公公开开密密钥钥密密码码体体制制是是现现代代密密码码学学的的最最重重要要的的发发明和进展。明和进展。它它是是将将加加密密密密钥钥和和解解密密密密钥钥分分开开,加加密密和和解解密密分分别别由由两两个个密密钥钥来来实实现现,并并使使得得由由加加密密密密钥钥推推导导出出解解密密密密钥钥(或或由由解解密密密密钥钥推推导导出出加加密密密密钥钥)在计算上是不可行的。在计算上是不可行的。 采采用用公公开开密密钥钥密密码码体体制制的的每每一一个个用用户户都都有有一一对对选选定定的的密密钥钥,其其中中加加密密密密钥钥不不同同于于解解密密密密钥钥,加加密密密密钥钥公公之之于于众众,谁
32、谁都都可可以以用用,称称为为“公公开开密密钥钥”(public-key);解解密密密密钥钥只只有有解解密密人人自自己己知道,称为知道,称为“私密密钥私密密钥”(private-key)。)。 2024/7/2451电子商务的安全技术|一个公钥,一个私钥,不能从其中一个密钥推出一个公钥,一个私钥,不能从其中一个密钥推出另一个密钥;另一个密钥;|公钥用于加密,私钥用于签名:公钥用于加密,私钥用于签名:|多用户加密,一用户解读(多对一):用于保多用户加密,一用户解读(多对一):用于保密通信;密通信;|一用户加密,多用户解读(一对多):用于数一用户加密,多用户解读(一对多):用于数字签名;字签名;4.
33、3.2公开密钥体制公开密钥体制(不对称密钥密码体制不对称密钥密码体制)2024/7/2452电子商务的安全技术公开密匙/私有密匙加密、鉴别老张老张小李的公开小李的公开密匙密匙小李小李老张老张密文密文小李小李小李的私有小李的私有密匙密匙老张的私有老张的私有密匙密匙老张的公开老张的公开密匙密匙密文密文鉴鉴别别保保密密用用RSA鉴别鉴别, ,只有老张能发出该信息只有老张能发出该信息用用RSA保密保密, ,只有小李能解开该信息只有小李能解开该信息2024/7/2453电子商务的安全技术常用标准公开密钥加密方法的典型代表是公开密钥加密方法的典型代表是RSA算法。算法。 RSA算算法法是是1978年年由由
34、美美国国的的RonRivest,AdiShamir和和Leonard Adleman三三人人发发明明的的,所所以该算法以三个发明者名字的首字母命名为以该算法以三个发明者名字的首字母命名为RSA。 RSA是是第第一一个个既既能能用用于于数数据据加加密密也也能能用用于于数数字字签签名名的的算算法法,是是目目前前应应用用最最广广泛泛的的公公钥钥密密码体制。码体制。4.3.2公开密钥体制公开密钥体制(不对称密钥密码体制不对称密钥密码体制)2024/7/2454电子商务的安全技术n例甲、乙双方利用该方案实现机密信息交换的基本例甲、乙双方利用该方案实现机密信息交换的基本过程:过程:q甲方生成一对密钥并将其
35、中的一把作为公开密钥甲方生成一对密钥并将其中的一把作为公开密钥向乙方公开;向乙方公开;q乙方使用该公钥对机密信息加密后发送给甲方;乙方使用该公钥对机密信息加密后发送给甲方;q甲方收到信息后用自己保存的私钥解密。甲方收到信息后用自己保存的私钥解密。从而解决了信息传输中的保密问题。从而解决了信息传输中的保密问题。另一方面由于每个人都可以知道甲方的公钥,另一方面由于每个人都可以知道甲方的公钥,他们都能给甲方发送信息。他们都能给甲方发送信息。甲方需要确认的确是乙方发送的信息,这就产生甲方需要确认的确是乙方发送的信息,这就产生了了认证的问题认证的问题,这时候就要用到数字签名。,这时候就要用到数字签名。n
36、RSA公钥体系的特点使它非常适合用来满足上述公钥体系的特点使它非常适合用来满足上述两个要求:保密性两个要求:保密性(privacy)和认证性和认证性(authentication)2024/7/2455电子商务的安全技术优点:密密钥钥分分配配简简单单。由由于于加加密密密密钥钥与与解解密密密密钥钥不不同同,且且不不能能由由加加密密密密钥钥推推导导出出解解密密密密钥钥,因因此此,加加密密密密钥钥表表可可以以像像电电话话号号码码本本一一样样分分发发给给各各用用户户,而而解解密密密密钥钥则则由用户自己掌握。由用户自己掌握。密密钥钥的的保保存存量量少少。网网络络中中的的每每一一通通信信成成员员只只需需秘
37、秘密密保保存存自自己己的的解解密密密密钥钥,N个个通通信信成成员员只只需需产产生生N对对密密钥钥,便于密钥管理。便于密钥管理。可可以以满满足足互互不不相相识识的的人人之之间间进进行行私私人人谈谈话话时时的的保保密密性性要求。要求。 可可以以完完成成数数字字签签名名和和数数字字鉴鉴别别。发发信信人人使使用用只只有有自自己己知知道道的的密密钥钥进进行行签签名名,收收信信人人利利用用公公开开密密钥钥进进行行检检查查,既方便又安全。既方便又安全。2024/7/2456电子商务的安全技术2024/7/2457缺点: 计计算算量量大大,不不适适用用于于对对信信息息量量大大、速速度度要要求求快快的的信信息息
38、进行加密进行加密2024/7/2457电子商务的安全技术对称与非对称加密体制对比特特 性性对对 称称非非 对对 称称密钥的数密钥的数目目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单不好管理简单不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者相对速度相对速度非常快非常快慢慢用途用途用来做大量资料用来做大量资料的加密的加密用来做加密小文件或对信息签用来做加密小文件或对信息签字等不太严格保密的应用字等不太严格保密的应用2024/7/2458电子商务的安全技术两种方法的混合使用 对对称称密密码码体体制制
39、算算法法比比公公钥钥密密码码体体制制算算法法快快;另另一一方方面面,后后者者比比前前者者易易传传递递,因因而而在在电电子子商商务务交交易易系系统统的的安安全全协协议议中中,两两种种体体制制均均得得到到了了应应用用。这样,既提供了保密又提高了通信速度。这样,既提供了保密又提高了通信速度。 电电子子商商务务的的安安全全加加密密系系统统,一一般般倾倾向向于于组组合合应用对称密码算法和非对称密码算法。应用对称密码算法和非对称密码算法。 对对称称密密码码算算法法用用于于信信息息加加密密,非非对对称称密密码码算算法用于密码分发、数字签名及身份鉴别。法用于密码分发、数字签名及身份鉴别。 这这种种加加解解密密
40、方方式式,既既有有RSA体体系系的的保保密密性性,又有又有DES或或IDEA算法的算法的快捷性。快捷性。 2024/7/2459电子商务的安全技术4.4 认证技术n安全认证技术q安全认证技术是为了满足电子商务系统的安全安全认证技术是为了满足电子商务系统的安全性要求而采取的一种常用而且必须的安全技术。性要求而采取的一种常用而且必须的安全技术。它主要包括:它主要包括:n数字摘要数字摘要n数字信封数字信封n数字签名数字签名n数字时间戳数字时间戳n数字证书数字证书2024/7/2460电子商务的安全技术4.4.1数字摘要(数字摘要(digitaldigest)技术)技术采用单向采用单向Hash函数对文
41、件中若干重要元素进函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(也叫数行某种变换运算得到固定长度的摘要码(也叫数字指纹字指纹FingerPrint),并在传输信息时将之加),并在传输信息时将之加入文件一同送给接收方,接收方接到文件后,用入文件一同送给接收方,接收方接到文件后,用相同的方法进行变换计算,若得出的结果与发送相同的方法进行变换计算,若得出的结果与发送来的摘要码相同,则可断定文件未被篡改,反之来的摘要码相同,则可断定文件未被篡改,反之亦然。亦然。2024/7/2461电子商务的安全技术安全安全Hash编码法(编码法(SHA:Secure Hash Algorithm)采
42、用采用Hash函数将需加密的信息函数将需加密的信息“摘要摘要”成一串成一串1281024bit的密文。的密文。 目目 的:的: 解决所传送信息的完整性解决所传送信息的完整性 特特 点:点: “一致一致”性,即同样的信息其摘要必定一致。性,即同样的信息其摘要必定一致。 “单向单向”性,即信息只能被加密,不能被解密。性,即信息只能被加密,不能被解密。2024/7/2462电子商务的安全技术数字摘要工作过程数字摘要工作过程2024/7/2463电子商务的安全技术4.4.2 数字签名(digital signature) 只有信息的发送者才能产生的,而别人无法伪造的一段数字串,这段只有信息的发送者才能
43、产生的,而别人无法伪造的一段数字串,这段数字串同时也是对发送者发送信息的真实性的一个有效证明。数字串同时也是对发送者发送信息的真实性的一个有效证明。完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。传统的在书面文件上签名是确认文件的一种前能够验证真伪的能力。传统的在书面文件上签名是确认文件的一种手段,其作用有两点:手段,其作用有两点:因为自己的签名难以否认,从而确认了文件已签署这一事实因为自己的签名难以否认,从而确认了文件已签署这一事实因为签名不易仿冒,从而确定了文件是真的这一事实。因为签名不易仿冒,从
44、而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,能确认以下两点:数字签名与书面文件签名有相同之处,能确认以下两点:信息是由签名者发送的;信息是由签名者发送的;信息自签发后到收到为止未曾作过任何修改。信息自签发后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;用冒用这样数字签名就可用来防止电子信息因易被修改而有人作伪;用冒用别人的名义发送信息;或发出(收到)信件后又加以否认等情况发生。别人的名义发送信息;或发出(收到)信件后又加以否认等情况发生。签名能够实现对原始报文的鉴别和不可抵赖性。签名能够实现对原始报文的鉴别和不可抵赖性。数字签名技术广泛应用
45、于鉴别发方不可否认服务中,收方不可否认服数字签名技术广泛应用于鉴别发方不可否认服务中,收方不可否认服务也需结合数字签名技术予以实现。务也需结合数字签名技术予以实现。2024/7/2464电子商务的安全技术数字签名能够保证以下三点:数字签名能够保证以下三点: 证明数据来源证明数据来源证明数据来源证明数据来源 接收者能够核实发送者对报文的签名,但接收者能够核实发送者对报文的签名,但只只只只能证明具有此私钥的用户发来的数据。不能证能证明具有此私钥的用户发来的数据。不能证能证明具有此私钥的用户发来的数据。不能证能证明具有此私钥的用户发来的数据。不能证明私钥拥有者的合法性。明私钥拥有者的合法性。明私钥拥
46、有者的合法性。明私钥拥有者的合法性。 证实证实证实证实数据是否被篡改数据是否被篡改数据是否被篡改数据是否被篡改 接收者能确认数据在传输过程中是否被更改。接收者能确认数据在传输过程中是否被更改。 数据发出者无法否认发送过数据数据发出者无法否认发送过数据数据发出者无法否认发送过数据数据发出者无法否认发送过数据目的:目的:目的:目的: 解决所传送信息的解决所传送信息的唯一性、不可仿冒和不可唯一性、不可仿冒和不可否认三大特征。否认三大特征。2024/7/2465电子商务的安全技术4.3.3 数字签名数字签名图图数字签名过程数字签名过程2024/7/2466电子商务的安全技术数字信封的工作过程分为四步:
47、数字信封的工作过程分为四步:(1 1)发发送送方方产产生生一一个个对对称称密密钥钥,然然后后用用接接受受方方的的公公用用密密钥钥对它加密,通过网络传输到接收方;对它加密,通过网络传输到接收方;(2 2)发发送送方方用用对对称称密密钥钥对对要要传传输输的的文文件件进进行行加加密密,然然后后再再将其通过网络传到接受方;将其通过网络传到接受方;(3 3)接接受受方方收收到到经经过过加加密密的的密密钥钥后后, ,用用自自己己的的专专用用密密钥钥对对其进行解密,得到对称密钥;其进行解密,得到对称密钥;(4 4)接接受受方方收收到到经经过过加加密密的的文文件件后后, ,用用对对称称密密钥钥对对其其解解密密
48、得到文件的原文。得到文件的原文。4.4.3 4.4.3 数字信封数字信封2024/7/2467电子商务的安全技术明文明文明文明文接收者公钥接收者公钥加密加密加密加密 密文密文密文密文1 1发送端发送端接收端接收端接收者私钥接收者私钥数字信封的工作过程 密文密文密文密文1 1解密解密解密解密明文明文明文明文对称密钥对称密钥对称密钥对称密钥加密加密加密加密 密文密文密文密文2 2Internet 密文密文密文密文2 2对称密钥对称密钥对称密钥对称密钥解密解密解密解密数字信封工作流程:2024/7/2468电子商务的安全技术发送端接收端明文明文明文明文接收者公钥接收者公钥加密加密加密加密 密文密文密
49、文密文1 1 1 1接收者私钥接收者私钥 密文密文密文密文1 1 1 1解密解密解密解密明文明文明文明文对称密钥对称密钥对称密钥对称密钥加密加密加密加密 密文密文密文密文2 2 2 2 密文密文密文密文2 2 2 2对称密钥对称密钥对称密钥对称密钥解密解密解密解密摘要摘要摘要摘要1 1 1 1H H H Ha a a as s s sh h h h数字签名数字签名数字签名数字签名数字签名数字签名数字签名数字签名发送者公钥发送者公钥加密加密加密加密摘要摘要摘要摘要1 1 1 1发送者私钥发送者私钥H H H Ha a a as s s sh h h h摘要摘要摘要摘要2 2 2 2解密解密解密解
50、密比较比较比较比较I I I In n n nt t t te e e er r r rn n n ne e e et t t t数字信封和数字签名技术的组合应用:2024/7/2469电子商务的安全技术 在在电电子子商商务务中中,时时间间和和签签名名一一样样是是十十分分重重要要的的证证明明文文件有效性的内容。件有效性的内容。数数字字时时间间戳戳(DTSDTS:Digital Digital Time-StampTime-Stamp)技技术术就就是是对对电电子子文文件件签签署署的的日日期期和和时时间间进进行行安安全全性性保保护护和和有有效效证证明明的的技技术。术。数数字字时时间间戳戳的的签签署
51、署与与由由签签署署人人自自己己写写上上的的书书面面文文件件的的时时间间不同:不同:-它它是是由由专专门门的的认认证证机机构构(第第3 3方方)签签署署的的,并并以以认认证证机机构收到文件的时间为依据。构收到文件的时间为依据。DTSDTS是一个经加密后形成的凭证文档,它包括三个部分:是一个经加密后形成的凭证文档,它包括三个部分:-需加时间戳的文件的摘要;需加时间戳的文件的摘要;-DTSDTS收收到到文文件件的的日日期期和和时时间间,时时间间是是由由认认证证单单位位(DTSDTS)以收到文件的时间为依据;)以收到文件的时间为依据;-DTSDTS的数字签名。的数字签名。 4.4.4 数字时间戳202
52、4/7/2470电子商务的安全技术数字时间戳工作原理HashHash原原信信息息发送端发送端数字时间戳服务商数字时间戳服务商数数字字时时间间戳戳加加密密 摘要摘要1 1 摘要摘要1 1时间时间数数字字时时间间戳戳加时间加时间HashHash摘要摘要1 1 摘要摘要1 1时间时间I I I In n n nt t t te e e er r r rn n n ne e e et t t tDTSDTS私钥加密私钥加密加加了了时时间间后后的的数数字字摘摘要要摘要摘要2 2数字时间戳工作过程:2024/7/2471电子商务的安全技术 1数字证书(数字证书(Digital Certificate 或或
53、Digital ID)(1)概念)概念亦数字凭证、数字标识。它亦数字凭证、数字标识。它数字证书是一个经证书数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,用电子手段来证实一个用户的身份和对网密钥的文件,用电子手段来证实一个用户的身份和对网络资源访问的权限,是各实体络资源访问的权限,是各实体(买方买方,商户企业商户企业,银行等银行等)在网上进行信息交流及商务活动的电子身份证。在网上进行信息交流及商务活动的电子身份证。 数字证书可用于:发送安全电子邮件、访问安全站数字证书可用于:发送安全电子邮件、访问安全站点、网上证券
54、交易、网上采购招标、网上办公、网上保点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。理和安全电子交易活动。 4.4.5 数字证书与数字证书与CA认证认证2024/7/2472电子商务的安全技术4.4.5 数字证书与数字证书与CA认证认证(2)数字证书()数字证书(Digital ID)原理)原理l证书格式遵循证书格式遵循ITUT.509(国际信息联盟国际信息联盟)国际国际标准。标准。l数字证书采用公钥体系,即利用一对互相匹数字证书采用公钥体系,即利用一对互相匹配的密钥进行加密、
55、解密。配的密钥进行加密、解密。 每个用户拥有一把仅为本人所掌握的私每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;钥,用它进行信息解密和数字签名; 同时拥有一把公钥,并可以对外公开,同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。用于信息加密和签名验证。 2024/7/2473电子商务的安全技术 内部格式是由(国际电信联盟)制定的内部格式是由(国际电信联盟)制定的数字证书标准数字证书标准.609.609所规定的,证书包括以下所规定的,证书包括以下内容:内容:n.509.509的版本号的版本号n证书拥有者的名称证书拥有者的名称n证书拥有者的公钥证书拥有者的公钥n颁发证
56、书的单位的名称颁发证书的单位的名称n颁发证书的单位的数字签名颁发证书的单位的数字签名n证书的有效期限证书的有效期限n证书序列号证书序列号(3) 数字证书的内容数字证书的内容2024/7/2474电子商务的安全技术(1)客户证书(2)服务器证书(3)安全邮件证书(4)CA机构证书(4 4 4 4)数字证书的类型)数字证书的类型)数字证书的类型)数字证书的类型2024/7/2475电子商务的安全技术nCA,又又称称为为证证书书授授权权中中心心,作作为为电电子子商商务务交交易易中中受受信信任任的的第第三三方方,承承担担公公钥钥体体系系中中公公钥钥的的合合法法性性检检验验的的责责任任,是是一一个个负负
57、责责发发放放和和管管理理数数字字证证书书的的权权威威机构。机构。nCA中中心心为为每每个个使使用用公公开开密密钥钥的的用用户户发发放放一一个个数数字字证书,证明其合法性证书,证明其合法性nCA机机构构的的数数字字签签名名使使得得攻攻击击者者不不能能伪伪造造和和篡篡改改证证书书n参加电子商务的主体必须获得参加电子商务的主体必须获得CA颁布的电子证书颁布的电子证书2. 2. 认证中心(认证中心(认证中心(认证中心( Certificate Authority, CA Certificate Authority, CA )2024/7/2476电子商务的安全技术CA的选择qCA中中心心是是一一个个公
58、公证证机机构构,其其管管理理和和维维护护工工作作应应该该由由专专门门的的机机构构负负责责,该该机机构构应应独独立立于于电电子子商务业务的主题之外商务业务的主题之外q认认证证是是电电子子商商务务中中的的一一个个核核心心问问题题,认认证证机机构构的的建建立立必必须须考考虑虑权权威威性性、安安全全性性、考考虑虑高高效效、快捷,并注意投入产出比快捷,并注意投入产出比q注注意意几几个个问问题题:身身份份认认证证、资资信信认认证证、企企业业税税收情况收情况q成立对应的认证(工商、银行、税务)成立对应的认证(工商、银行、税务)q行业认证中心、第三方认证中心行业认证中心、第三方认证中心2024/7/2477电
59、子商务的安全技术国内外国内外CA中心简介中心简介国国外外常常见见的的CA有有VeriSign、GTE Cyber Trust、Thawte等。等。国内常见的国内常见的CA有有中国商务在线中国商务在线 中国数字认证网中国数字认证网(),数字认证,数字签名,(),数字认证,数字签名,CA认证,认证,CA证书,数字证书,安全电子商务。证书,数字证书,安全电子商务。 北北京京数数字字证证书书认认证证中中心心 (),为为网网上上电电子子政政务务和电子商务活动提供数字证书服务和电子商务活动提供数字证书服务2024/7/2478电子商务的安全技术CA解决的问题:安全保障、防窃听、防冒充、防篡改、防抵赖认证中
60、心的作用:(1)证书的颁发(2)证书的更新(3)证书的查询(4)证书的作废(5)证书的归档2024/7/2479电子商务的安全技术图图CA的树形结构的树形结构CACA的树形验证结构的树形验证结构2024/7/2480电子商务的安全技术4.5 SSL与SET协议(了解)n4.5.1 安全套接层协议,安全套接层协议,Secure Sockets LayerqNetscape公司公司1995年推出的一种安全通信协议。年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输。会话进行了加密,从而保证了安全传输。qSS
61、L协议建立在可靠的协议建立在可靠的TCP传输控制协议之上,传输控制协议之上,并且与上层协议无关,各种应用层协议能通过并且与上层协议无关,各种应用层协议能通过SSL协议进行透明传输。协议进行透明传输。2024/7/2481电子商务的安全技术nSSL保证了保证了Web站点间通信信道的安全,面向网站点间通信信道的安全,面向网络协议栈的低层通道进行安全监控。络协议栈的低层通道进行安全监控。nSSL提供三种基本安全服务:提供三种基本安全服务: (1)加密处理)加密处理 (2)保证信息的完整性)保证信息的完整性 (3)提供较完善的认证服务)提供较完善的认证服务nSSL协议包括两个子协议:协议包括两个子协议
62、: SSL记录协议和记录协议和SSL握手协议。握手协议。 SSL记录协议建立在可靠的传输协议上(如记录协议建立在可靠的传输协议上(如TCP) ,用来封装高层协议。,用来封装高层协议。 SSL握手协议准许服务器端与客户端在开始握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。传输数据前,能够通过特定的加密算法相互鉴别。 2024/7/2482电子商务的安全技术SSL服务器证书工作原理介绍第一步:身份验证第一步:身份验证发证机构发证机构 CA CA服务器身份证服务器身份证你你 是是 谁谁?我是卓越服务器我是卓越服务器身份验证身份验证?服务器服务器卓越服务器卓越服务器20
63、24/7/2483电子商务的安全技术SSLSSL服务器证书工作原理介绍服务器证书工作原理介绍第二步:发明密语规则第二步:发明密语规则密语规则密语规则发发 明明规则规则A A1 1、2 2、3 35 5、8 8、9 9原原 文文密语密语2024/7/2484电子商务的安全技术SSLSSL服务器证书工作原理介绍服务器证书工作原理介绍第三步:密语规则共享第三步:密语规则共享规则规则A A信息保险箱信息保险箱打开保险箱打开保险箱规则规则A A获得规则获得规则2024/7/2485电子商务的安全技术SSLSSL服务器证书工作原理介绍服务器证书工作原理介绍第四步:进行安全通信第四步:进行安全通信规则规则A
64、 A规则规则A A1 1、2 2、3 3原原 文文1 1、2 2、3 3原原 文文5 5、8 8、9 9无意义文字无意义文字2024/7/2486电子商务的安全技术4.5.2安全电子交易协议(Secure Electronic Transaction,SET协议)n是一个通过开放网络进行安全资金支付的技术标是一个通过开放网络进行安全资金支付的技术标准,由准,由VISA和和Mastercard组织共同制定,组织共同制定,1997年年5月联合推出。月联合推出。n参与的公司:参与的公司:Microsoft、IBM、Netscape、RSA等等n组成:组成:SET业务描述、业务描述、SET程序员指南、
65、程序员指南、SET协协议描述。议描述。2024/7/2487电子商务的安全技术2. SET的目标 信息在信息在Internet上安全传输,保证网上传输的数据不被黑上安全传输,保证网上传输的数据不被黑客窃取。客窃取。 订单信息和个人账号信息的隔离。在将包括持卡人账号订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时,商家只能看到订货信息,而看信息的订单送到商家时,商家只能看到订货信息,而看不到持卡人的账户信息。不到持卡人的账户信息。 持卡人和商家通过持卡人和商家通过CA颁发数字证书相互认证,以确定通颁发数字证书相互认证,以确定通信双方的身份。信双方的身份。 不同厂家开发的不同厂
66、家开发的SET软件要求具有兼容性和互操作性,并软件要求具有兼容性和互操作性,并且可运行在不同的硬件和操作系统平台上。且可运行在不同的硬件和操作系统平台上。 3. SET协议中的角色:协议中的角色: 持卡人、发卡机构、商家、银行、支付网关。持卡人、发卡机构、商家、银行、支付网关。 2024/7/2488电子商务的安全技术 4.SET协议的工作流程图36SET协议的工作流程持卡人商家银行发卡机构支付网关审核确认订单确认协商认证机构认证认证认证批准审核2024/7/2489电子商务的安全技术SSL与与SET的区别的区别n功能功能qSSL是基于传输层的通用安全协议,不具备是基于传输层的通用安全协议,不
67、具备商务性、服务性、协调性和集成性;商务性、服务性、协调性和集成性;qSET位于应用层,对网络的其它层也有所涉位于应用层,对网络的其它层也有所涉及,具备以上特性。及,具备以上特性。n安全安全qSET具有机密性、可鉴别性和信息一致性;具有机密性、可鉴别性和信息一致性;SSL不具备可鉴别性不具备可鉴别性qSSL对信用卡信息的管理必须信任商家对信用卡信息的管理必须信任商家2024/7/2490电子商务的安全技术SSL与与SET的区别的区别n加密机制加密机制qSSL全部加密;全部加密;SET选择加密选择加密q攻击手段:攻击手段:SSL有明文攻击有明文攻击(ClearText Attack)、重复攻击、
68、重复攻击(Replay Attack)、Man in the middle、Hand shaken负载能力负载能力q验证和公钥加密量大验证和公钥加密量大n平台开放性平台开放性qSSL受到广泛支持,受到广泛支持,SET由于低效率、高系由于低效率、高系统要求,其支持度低。统要求,其支持度低。2024/7/2491电子商务的安全技术4.6公钥基础设施公钥基础设施PKI(了解)(了解) PKI(Public Key Infrastructure),称为公钥基称为公钥基础设施。即为管理用户的数字证书、公钥以及安全础设施。即为管理用户的数字证书、公钥以及安全政策的一系列安全服务的集合。政策的一系列安全服务
69、的集合。 PKI是一种遵循标准的利用公钥加密技术为电是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。子商务的开展提供一套安全基础平台的技术和规范。用户可利用用户可利用PKI平台提供的服务进行安全通信。平台提供的服务进行安全通信。 PKI组成:组成:PKI由公钥密码技术、数字证书、由公钥密码技术、数字证书、证书发放机构(证书发放机构(CA)和关于公钥的安全策略等成)和关于公钥的安全策略等成分组成。分组成。2024/7/2492电子商务的安全技术nPKI的功能的功能q证书与证书与CAq密钥备份及恢复证书、密钥对的自动更换密钥备份及恢复证书、密钥对的自动更换q交交叉
70、叉签签证证:每每个个CA只只可可能能覆覆盖盖一一定定的的作作业业范范围围,即即CA的的域域,当当隶隶属属于于不不同同的的CA的的用用户户需需要要交交换信息时,就需要引入交叉证书和交叉验证。换信息时,就需要引入交叉证书和交叉验证。q加密密钥和签名密钥的分隔加密密钥和签名密钥的分隔q支持对数字签名的不可抵赖支持对数字签名的不可抵赖q密钥的历史管理密钥的历史管理2024/7/2493电子商务的安全技术nPKI的性能要求的性能要求q透透明明性性和和易易用用性性:向向用用户户屏屏蔽蔽密密码码服服务务的的实实现现细细节节和和复复杂杂的的安安全全解解决决方方案案,使使其其简简单单易易用用,同同时时便于单位、
71、企业完全控制其信息资源;便于单位、企业完全控制其信息资源;q可扩展性:证书库与可扩展性:证书库与CRL的可扩展性的可扩展性q互互操操作作性性:针针对对不不同同应应用用,PKI必必须须建建立立在在标标准准上上,有有加加密密标标准准、数数字字签签名名标标准准、HASH标标准准、密密钥钥管管理理标标准准、证证书书格格式式、目目录录标标准准、文文件件信信封封格式、安全会话格式、程序接口规范等格式、安全会话格式、程序接口规范等q支持多应用支持多应用q支持多平台支持多平台2024/7/2494电子商务的安全技术Digital Signature加密加密私钥与数字签名私钥与数字签名应用授权应用授权数字证书数
72、字证书PKI与现实世界对比John Hancock保密性保密性身份鉴证身份鉴证访问控制授权访问控制授权完整性完整性抗抵赖抗抵赖2024/7/2495电子商务的安全技术软件下载的安全问题n不明身份的代码的威胁q是谁发布的这个代码?Microsoft或Hackerq发布后这代码被修改过么?病毒或木马n文件下载的安全警告2024/7/2496电子商务的安全技术代码的身份认证n公正第三方CA认证中心为软件开发商签发数字证书n软件开发商用自己的证书为自己的代码进行数字签名n客户端验证代码签名证书,并验证代码签名,确认代码发布后未篡改。nMicrosoftsAuthenticode;Netscapesob
73、jectsigning;SunJAVA2024/7/2497电子商务的安全技术软件下载策略n依然需要手工的过程q用户确认是否接受软件开发商的证书q用户确认是否下载该软件q用户确认是否将来也相信该软件开发商2024/7/2498电子商务的安全技术PKI/CA应用安全电子邮件安全安全 领先领先 值得信赖值得信赖 2024/7/2499电子商务的安全技术E-Mail: 安全的需求一个公司一个公司60%60%的的信息资产以电子数据的的信息资产以电子数据的形式保留在它的的形式保留在它的E-mailE-mail系统中。系统中。60%一个公司的一个公司的68%68%信息是商业机密,是不信息是商业机密,是不可
74、传播的。可传播的。68%2024/7/24100电子商务的安全技术作为企业决策者,网管人员.n作为企业决策者,可以q通过电子邮件向下属发送命令、批示q下属用邮件向您汇报n黑客、网管q可以看到所有你们来往的电子邮件q可以篡改你的信q甚至假冒你发信n究竟谁的权力最大?2024/7/24101电子商务的安全技术什么是安全的企业邮箱?n没有人能偷看到我信件的内容(加密)q被人可以截取我的信,但是他无法阅读n没有人可以篡改我的信件(签名)q他可以篡改我的信件,但是我会知道n没有人可以冒充我的身份给别人发信(签名)n这封信的确是他发出的,他不可以抵赖(签名)n使用简单q常用邮件应用程序都紧密支持nOutL
75、ookExpress,OutLooknNetscapeMessengernFoxmailn其它qWebmail2024/7/24102电子商务的安全技术什么是安全电子邮件证书?n电子身份证q一种特殊的密码文件q将一段128位密钥与现实身份绑定q由国家认可得公证第三方签发q遵循国际标准x.509q广泛的应用支持n应用程序能自动用它处理电子邮件q支持S/MINE协议2024/7/24103电子商务的安全技术2024/7/24104本章实验题:(上交作业说明整个过程,复制下相关的操作页:(上交作业说明整个过程,复制下相关的操作页面,面,11月月4日由学习委员收齐上交)日由学习委员收齐上交)1、安装并
76、使用一个安装并使用一个Internet上网代理软件。上网代理软件。2、查询各认证中心的信息,寻找免费的个人电子邮件证书、查询各认证中心的信息,寻找免费的个人电子邮件证书并安装使用。并安装使用。参考:(参考:(1)(2)个人安全电子邮件数字证书实验.ppt本章复习题:本章复习题:名词解释:名词解释: 防火墙防火墙 加密加密 对称加密技术对称加密技术 公开密码体制公开密码体制 安全认证技术安全认证技术 数字证书数字证书 CA认证中心认证中心问答题:问答题:1、电子商务系统对信息安全的要求包括哪几个方面?、电子商务系统对信息安全的要求包括哪几个方面?2、简述布署和管理防病毒软件的五个步、简述布署和管理防病毒软件的五个步 骤。骤。3、常用的网络安全技术有哪些,请简述之。、常用的网络安全技术有哪些,请简述之。2024/7/24104电子商务的安全技术
