《电子商务的安全管理PPT课件》由会员分享,可在线阅读,更多相关《电子商务的安全管理PPT课件(57页珍藏版)》请在金锄头文库上搜索。
1、电子商务的安全管理目目 录录 11.2 11.2 电子商务安全管理制度电子商务安全管理制度2 11.3 11.3 电子商务安全协议和证书电子商务安全协议和证书 3 11.4 11.4 数字证书获取与管理实验数字证书获取与管理实验 4目目 录录本章要点本章要点本章要点本章要点 电子商务的安全管理制度电子商务的安全管理制度 电子商务安全协议和证书电子商务安全协议和证书 电子商务安全管理电子商务安全管理解决方案解决方案教学目标教学目标教学目标教学目标 了解电子商务安全技术的了解电子商务安全技术的概念概念 理解理解电子商务安全管理制度制定的电子商务安全管理制度制定的原则原则 掌握掌握基本安全协议基本安
2、全协议IPSec、SSL、SET和和3-D SECURE 学会运用安全管理解决方案学会运用安全管理解决方案重点重点重点重点n11.1.1 11.1.1 电子商务概述电子商务概述 n1. 1. 电子电子商务的概念商务的概念 在对电子商务认知识的发展和完善过程中,各国政府,学者和企业对在对电子商务认知识的发展和完善过程中,各国政府,学者和企业对 其基本概念给出了不同的其基本概念给出了不同的诠释诠释。 全球信息基础设施委员会的定义全球信息基础设施委员会的定义是:是:电子商务是以电子通信为手段的经电子商务是以电子通信为手段的经济活动济活动,通过这种方式对带有经济价值的产品和服务进行宣传,购买和,通过这
3、种方式对带有经济价值的产品和服务进行宣传,购买和结算。结算。 IBM公司对公司对电子商务的解释电子商务的解释是,电子商务是在是,电子商务是在Internet的广泛联系的广泛联系与传统信息技术系统丰富资源相结合的背景下产生的一种与传统信息技术系统丰富资源相结合的背景下产生的一种在互联网上在互联网上展展开的互相关联的开的互相关联的动态商务活动动态商务活动。 “全球电子商务纲要全球电子商务纲要”是美国政府电子商务发展政策的纲领性文件,其是美国政府电子商务发展政策的纲领性文件,其中把电子商务定义为中把电子商务定义为“通过通过Internet进行的各项商务活动,包括广告、交进行的各项商务活动,包括广告、
4、交易、支付和服务等易、支付和服务等”。 11.1 电子商务安全管理概述电子商务安全管理概述 n电子商务概念电子商务概念的的总结总结 政府、企业和个人利用现代计算机设备与网络技术政府、企业和个人利用现代计算机设备与网络技术实现商业活动的全过程。是一种实现商业活动的全过程。是一种基于互联网基于互联网,以,以交易交易双方双方为主体,以为主体,以银行电子支付和结算银行电子支付和结算为手段,以为手段,以客户客户数据数据为依托的商务模式。电子商务是集为依托的商务模式。电子商务是集企业管理信息企业管理信息化化、金融电子化金融电子化和和商贸信息网络化商贸信息网络化为一体,旨在实现为一体,旨在实现信息流信息流、
5、现金流现金流和和物流物流的流动成本最小化,效率和效的流动成本最小化,效率和效益最大化的现代贸易方式。益最大化的现代贸易方式。11.1 电子商务安全管理概述电子商务安全管理概述n11.1.1 11.1.1 电子商务概述电子商务概述 n2 2. . 电子电子商务的交易模式商务的交易模式 (1) (1) 按照参与交易的对象划分按照参与交易的对象划分 2) 企业对消费者企业对消费者(Business to Customer,B2C)模式,是指商业企模式,是指商业企业与个体消费者间进行的商业活动。以网络零售业为主线,目前业与个体消费者间进行的商业活动。以网络零售业为主线,目前有有当当网当当网,卓越网卓越
6、网等成功案例。等成功案例。3) 消费者对消费者消费者对消费者(Customer to Customer,C2C)模式,也称网模式,也称网上拍卖模式。其中代表有上拍卖模式。其中代表有淘宝网淘宝网。1) 企业对企业企业对企业(Business to Business,B2B)模式,是指商业企业模式,是指商业企业之间产生的商业活动。例如,国内著名电子商务网站之间产生的商业活动。例如,国内著名电子商务网站“阿里巴巴阿里巴巴”。11.1 电子商务安全管理概述电子商务安全管理概述n11.1.1 11.1.1 电子商务概述电子商务概述 n2 2. . 电子电子商务的交易模式商务的交易模式 (2) (2) 按
7、照交易产品的类型划分按照交易产品的类型划分 2) 无形商品交易模式无形商品交易模式,是指,是指以信息载体形式出现的商品以信息载体形式出现的商品,以网上,以网上订阅、付费浏览、广告支持和网上赠与的方式来实现交易。订阅、付费浏览、广告支持和网上赠与的方式来实现交易。1) 实物商品交易模式实物商品交易模式,是指,是指传统的有形商品和劳务传统的有形商品和劳务,通过互联网,通过互联网进行交易撮合,而交付时通过传统物流来实现交易进行交易撮合,而交付时通过传统物流来实现交易 。11.1 电子商务安全管理概述电子商务安全管理概述n3 3. . 电子电子商务的交易流程商务的交易流程 消费者消费者物流中心物流中心
8、商家商家银行或银行或金融机构金融机构企业或政府企业或政府认证机构认证机构电子商务交易电子商务交易涉及相关部门涉及相关部门 11.1 电子商务安全管理概述电子商务安全管理概述n电子电子商务的交易流程分为五个环节商务的交易流程分为五个环节 交易前期准备交易前期准备 交易商谈和签订合同交易商谈和签订合同 正式交易前的手续办理正式交易前的手续办理 交易合同的履行交易合同的履行 索赔和复议索赔和复议 买卖双方和参加交易的各方在互联网的平台上随时随地进行签约前的准备活动。买卖双方通过网络平台对相关交易细节进行谈判,在必要的确认和核实的基础上,将双方磋商的结果确定为电子贸易合同。买卖双方签订合同后到合同开始
9、履行前办理各种手续的过程。 卖方要备货,组货,包装,起运和发货。双方通过物流跟踪系统掌握货物的流转,金融机构按照合同记录和保存应付款项,当买方确认后,完成放款。受损方向违约方提出索赔和复议请求,并履行其商定方案。 11.1 电子商务安全管理概述电子商务安全管理概述n11.1.211.1.2 电子商务安全问题的特征电子商务安全问题的特征 1. 1. 电子商务系统电子商务系统自身自身的安全问题的安全问题 2. 2. 交易交易传输传输过程中的信息安全过程中的信息安全 3. 3. 电子商务电子商务企业内部企业内部安全管理安全管理隐患隐患 4. 4. 电子商务安全的电子商务安全的法律保障法律保障 5.
10、5. 电子商务的电子商务的信用安全问题信用安全问题 6. 6. 电子商务的电子商务的支付安全问题支付安全问题 11.1 电子商务安全管理概述电子商务安全管理概述n11.1.311.1.3 电子商务安全的概念电子商务安全的概念 1. 1. 物理层物理层的安全管理的安全管理 电子商务应用系统电子商务应用系统实体设备实体设备的安全管理的安全管理 2.2.软件层软件层的安全管理的安全管理 电子商务应用电子商务应用系统和数据系统和数据的安全管理的安全管理 3. 3.人事层人事层的安全管理的安全管理 在电子商务交易过程中涉及到在电子商务交易过程中涉及到人员人员的安全管理的安全管理 4. 4.信用安全信用安
11、全的管理的管理 在电子商务交易过程中建立安全可靠的在电子商务交易过程中建立安全可靠的信用管理体制信用管理体制 5. 5.电子商务电子商务安全立法安全立法 逐步逐步推进推进和和制定制定相关电子商务的相关电子商务的法律法规法律法规 11.1 电子商务安全管理概述电子商务安全管理概述n11.1.411.1.4 电子商务安全管理的要素电子商务安全管理的要素 11.1 电子商务安全管理概述电子商务安全管理概述数据有效性管理数据有效性管理 数据完整性管理数据完整性管理 不可否认性管理不可否认性管理 系统可靠性管理系统可靠性管理 信息保密性管理信息保密性管理 n11.1.511.1.5 电子商务安全管理的体
12、系结构电子商务安全管理的体系结构 11.1 电子商务安全管理概述电子商务安全管理概述 课堂讨论课堂讨论课堂讨论课堂讨论1.什么是电子商务?你应用过哪些电子商务产品什么是电子商务?你应用过哪些电子商务产品?2.分析一下电子商务安全管理的几大要素。分析一下电子商务安全管理的几大要素。3.电子商务的交易流程一般分几个步骤?电子商务的交易流程一般分几个步骤?11.1 电子商务安全管理概述电子商务安全管理概述 n11.2.111.2.1 电子商务安全管理的原则电子商务安全管理的原则 1. 1. 安全责任到人的管理原则安全责任到人的管理原则 2. 2. 专职安全管理原则专职安全管理原则 3. 3. 减少人
13、为因素原则减少人为因素原则 4. 4. 多人或交叉负责原则多人或交叉负责原则 5. 5. 人员轮岗原则人员轮岗原则 6. 6. 最小权限原则最小权限原则11.2 电子商务的安全管理制度电子商务的安全管理制度n11.2.211.2.2 电子商务安全管理制度的内涵电子商务安全管理制度的内涵 n应用系统集成安全管理制度应用系统集成安全管理制度 n数据存储和管理制度数据存储和管理制度 n网络传输系统安全管理制度网络传输系统安全管理制度 n人员安全管理制度人员安全管理制度 11.2 电子商务的安全管理制度电子商务的安全管理制度 一些新的一些新的IT技术在电子商务系统中的应用,如无线网络、技术在电子商务系
14、统中的应用,如无线网络、移动存储、远程办公等,使电子商务网络面临的风险更加复移动存储、远程办公等,使电子商务网络面临的风险更加复杂化。威胁电子商务安全的因素涉及电子商务应用系统集成、杂化。威胁电子商务安全的因素涉及电子商务应用系统集成、数据存储和管理、网络传输系统和人员安全管理四方面的内数据存储和管理、网络传输系统和人员安全管理四方面的内容。因此,电子商务安全管理制度的内涵也主要针对这四方容。因此,电子商务安全管理制度的内涵也主要针对这四方面做出具体的规范和制约。面做出具体的规范和制约。n1.1.应用系统集成安全管理制度应用系统集成安全管理制度11.2 电子商务的安全管理制度电子商务的安全管理
15、制度 应用系统集成安全管理制度是从软件开发过程就已经应用系统集成安全管理制度是从软件开发过程就已经渗透的,对安全问题考虑不周或缺乏整体的规划会给应用渗透的,对安全问题考虑不周或缺乏整体的规划会给应用系统的使用带来无法弥补的硬伤,所以必须在系统的使用带来无法弥补的硬伤,所以必须在概要设计阶概要设计阶段段就专题规划安全管理的就专题规划安全管理的策略策略;其次,承载着应用系统的;其次,承载着应用系统的操作系统的管理操作系统的管理也是不可忽视的重要组成部分。操作系统也是不可忽视的重要组成部分。操作系统的的动态连接模式动态连接模式,文件交互功能文件交互功能,系统进程等待和为系统,系统进程等待和为系统开发
16、人员预留的开发人员预留的无口令登录无口令登录,都需要得到有效的管理和限,都需要得到有效的管理和限制。最后,制。最后,应用系统本身的维护和操作应用系统本身的维护和操作管理更是重中之重,管理更是重中之重,直接关系到电子商务系统的安全性和可靠性。直接关系到电子商务系统的安全性和可靠性。n2. 2. 数据存储和管理制度数据存储和管理制度 11.2 电子商务的安全管理制度电子商务的安全管理制度 电子商务系统中的数据库和其它计算机系统一样,是电子商务系统中的数据库和其它计算机系统一样,是系统的系统的灵魂灵魂和和核心核心所在,所在,数据存储和管理制度数据存储和管理制度是保证数是保证数据库在极端情况下也能维持
17、正常功能,而且不被非法入据库在极端情况下也能维持正常功能,而且不被非法入侵和蓄意破坏。比如当数据库中存在侵和蓄意破坏。比如当数据库中存在不符合语义的数据不符合语义的数据和由于和由于错误信息的输入错误信息的输入而造成无效操作和错误结果的情而造成无效操作和错误结果的情况。或者在多个用户况。或者在多个用户并行地存取共享数据并行地存取共享数据资源时,就可资源时,就可能造成取出时的数据和存入时的数据不一致的结果。这能造成取出时的数据和存入时的数据不一致的结果。这就需要采用具备良好的就需要采用具备良好的自身保护机制自身保护机制和和并发处理机制并发处理机制的的分布式数据库管理系统来完成,使得外部用户无法破解
18、分布式数据库管理系统来完成,使得外部用户无法破解存储在单元表中的信息。并利用系统自身的存储在单元表中的信息。并利用系统自身的加密功能加密功能防防御外来程序的攻击。御外来程序的攻击。n3.3.网络传输系统安全管理制度网络传输系统安全管理制度 11.2 电子商务的安全管理制度电子商务的安全管理制度 电子商务系统的流转必须通过电子商务系统的流转必须通过网络传输网络传输完成,在信息完成,在信息中心没有找到入侵缺口的攻击者就会将网络传输定为攻中心没有找到入侵缺口的攻击者就会将网络传输定为攻击的下一个重要目标。国际标准化(击的下一个重要目标。国际标准化(ISO)把网络管理制)把网络管理制度划分为五个领域,
19、分别是:度划分为五个领域,分别是:故障、性能,配置,记账故障、性能,配置,记账和安全和安全。“故障管理故障管理”负责检测或发现异常的网络运转,负责检测或发现异常的网络运转,隔离并控制网络问题。隔离并控制网络问题。“性能管理性能管理”负责分析网络出错负责分析网络出错率及网络吞吐率,以建立合理、优化的网络运行状态。率及网络吞吐率,以建立合理、优化的网络运行状态。“记账管理记账管理”负责搜集资源、处理资源和利用数据。负责搜集资源、处理资源和利用数据。“配置管理配置管理”负责检测网络的物理和逻辑配置负责检测网络的物理和逻辑配置,把握和控制把握和控制网络状态。网络状态。 “安全管理安全管理”负责控制各种
20、对网络的访问。负责控制各种对网络的访问。通过对这五个领域的网络管理制度的细化,可以更有效通过对这五个领域的网络管理制度的细化,可以更有效地防范在网络传输环节上的系统风险。地防范在网络传输环节上的系统风险。n4.4.人员安全管理制度人员安全管理制度 11.2 电子商务的安全管理制度电子商务的安全管理制度 计算机网络犯罪,往往具备计算机网络犯罪,往往具备智能型智能型、隐蔽性隐蔽性和和连续性连续性的特点。一些所谓精英,抓住系统漏洞,自以为技高一的特点。一些所谓精英,抓住系统漏洞,自以为技高一筹,可以做到不露蛛丝马迹,而铤而走险。结果从企业筹,可以做到不露蛛丝马迹,而铤而走险。结果从企业的骨干力量嬗变
21、成可悲的犯罪分子。所以需要有效的安的骨干力量嬗变成可悲的犯罪分子。所以需要有效的安全管理制度才能全管理制度才能约束和纠正约束和纠正人员的行为,做到人员的行为,做到预防为主预防为主。安全制度的制定实施,首先要增强人员的整体安全意识,安全制度的制定实施,首先要增强人员的整体安全意识,提高提高安全手段安全手段和和策略实施策略实施的技巧,并区分不同对象,制的技巧,并区分不同对象,制定针对不同类型对象的不同安全管理制度。定针对不同类型对象的不同安全管理制度。n11.2.3 11.2.3 电子商务系统的日常维护制度电子商务系统的日常维护制度 1. 1. 执行严格的执行严格的出入管理出入管理制度制度 2.
22、2. 网络系统网络系统的的日常维护日常维护制度制度 3 3对对支撑软件支撑软件的日常维护制度的日常维护制度 4 4严格执行严格执行密码管理密码管理规定和规定和保密制度保密制度 5 5认真执行认真执行病毒防范病毒防范制度制度 6 6运行中心和开发调试机房运行中心和开发调试机房隔离制度隔离制度 7 7操作日志操作日志制度制度 8 8检查考核检查考核制度制度 11.2 电子商务的安全管理制度电子商务的安全管理制度n11.2.511.2.5 备份、审计和应急管理备份、审计和应急管理n软硬件的备份管理软硬件的备份管理 n网络交易日志审计据存储和管理制度网络交易日志审计据存储和管理制度 n应急预案与应急措
23、施应急预案与应急措施 11.2 电子商务的安全管理制度电子商务的安全管理制度n11.2.411.2.4 备份、审计和应急管理备份、审计和应急管理n软硬件的备份管理软硬件的备份管理 n网络交易日志审计据存储和管理制度网络交易日志审计据存储和管理制度 n应急预案与应急措施应急预案与应急措施 课堂讨论课堂讨论课堂讨论课堂讨论1.如何减少人为因素对电子商务安全的干扰?如何减少人为因素对电子商务安全的干扰?2. 结合具体单位,制定本单位的机房安全管理细则。结合具体单位,制定本单位的机房安全管理细则。3. 电子商务中的灾难事件是指什么?电子商务中的灾难事件是指什么?11.3.111.3.1 电子商务安全协
24、议概述电子商务安全协议概述表表11-1 11-1 常用安全协议概要常用安全协议概要 协议名称协议名称 层次层次 协协 议议 概概 要要 S-HTTP 应用层 EIT公司开发的基于HTTP协议的安全协议,仅适用于HTTP连接,可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等功能。 S/MIME应用层 应用层邮件传输协议MIME上实现的邮件传输安全协议,可以实现邮件加密和数字署名。常见的Outlook Express和Netscape Messenger等通信软件都实装此协议。SET 应用层 Visa 和Master信用卡组织共同开发的在网上利用信用卡进行安全支付的协议。 3-D SEC
25、URE 应用层 Visa 信用卡组织为克服SET协议复杂难用的缺点推出的支付用新的安全协议。比SET的安全性稍弱,但是大大提高了易用性。 SSL/TLS 传输层 SSL是Netscape公司开发的用于对互联网上数据进行加密传输的一个协议。IETF在SSL 3.0的基础上进行了标准化,被称为TLS协议。 IPsec 网络层 IETF制定的一组基于IP网络的安全通讯协议,包括数据格式协议、密钥交换和加密算法等。 PPTP 链路层 由微软公司开发的安全协议,除了是建立在数据链路层上之外,功能和IPsec基本相同,这使得它在一些不能使用IPsec的网络里也可以用该协议来建立VPN。 11.3 电子商务
26、安全协议和证书电子商务安全协议和证书n11.3.2 11.3.2 基于网络层的安全协议基于网络层的安全协议-IPSec-IPSec IPsecIPsec是一系列协议的总称,下面介绍其中核心的三个协议:是一系列协议的总称,下面介绍其中核心的三个协议:nIKEIKE(Internet Key ExchangeInternet Key Exchange)协议)协议 nESPESP(Encapsulating Security PayloadEncapsulating Security Payload)协议)协议 nAHAH(Authentication HeaderAuthentication He
27、ader)协议)协议11.3 电子商务安全协议和证书电子商务安全协议和证书 IPsec协议是由国际标准化组织协议是由国际标准化组织IETF制定的加密通信协制定的加密通信协议,议,IPsec的特征是不仅仅针对某种应用程序提供加密功能,的特征是不仅仅针对某种应用程序提供加密功能,而且是提供把主机间的所有通信都加密的一种通信方式。而且是提供把主机间的所有通信都加密的一种通信方式。IPsec并没有指定特定的加密算法,因为随着计算机计算能并没有指定特定的加密算法,因为随着计算机计算能力的增强,原来安全的加密算法将变得不再安全,可以灵力的增强,原来安全的加密算法将变得不再安全,可以灵活变更加密算法的设计使
28、得活变更加密算法的设计使得IPsec能够有更长久的生命力。能够有更长久的生命力。 1. 1. 密码交换协议密码交换协议-IKE-IKE IKE加密通信由两个阶段构成,第一阶段在决定第二阶段的加密算法的同时,生成密钥。这时利用Diffie-Hellman密钥交换方式,通信双方互送一个随机数,并根据这个随机数生成一个双方共用的密钥,而网络窃密者即使得到了同样的随机数,也不能在短时间内生成这个密钥。在生成了这个密钥后,就进入第二阶段,变成IKE密码通信。在这个阶段双方交涉完成加密算法确定,密钥交换工作,为以后的数据通信做好准备。在这个阶段,SPI(Security Pointer Index)也被确
29、定下来,SPI是一个32位的整数,包含有通信中使用的加密算法和密钥信息,在以后的数据通信中SPI被插入到每个通信的数据包中。11.3 电子商务安全协议和证书电子商务安全协议和证书 2. 2. 数据传送协议数据传送协议-ESP-ESP 图11-2 数据传送协议ESP构造示意图图11-2 数据传送协议ESP构造示意图11.3 电子商务安全协议和证书电子商务安全协议和证书 3.3.安全性和认证协议安全性和认证协议-AH-AH AH协议为IP通信提供数据源认证、数据完整性和反重播确保,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据,它可以在一些不允许使用加密通信的场合保证最低限度的安全性
30、和认证能力。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的MAC数据,和上一节讲述的一样,这个MAC数据根据整个数据包来计算,对数据的任何更改将导致MAC数据无效,这样就提供了完整性保护。11.3 电子商务安全协议和证书电子商务安全协议和证书n11.3.3 11.3.3 基于传输层的安全协议基于传输层的安全协议-SSL-SSL 1.1.SSLSSL安全协议的原理和构造安全协议的原理和构造2.2. SSL(Secure Socket Layer) SSL(Secure Socket Layer)协议是加密、认证以及完整协议是加密、认证以及完整性保证的协议。该协议位于
31、性保证的协议。该协议位于OSIOSI模型的第五层会话层和第四层模型的第五层会话层和第四层传输层之间,从应用层来看是完全透明的,可以方便地应用于传输层之间,从应用层来看是完全透明的,可以方便地应用于HTTPHTTP、FTPFTP、TELNETTELNET等协议之下。等协议之下。11.3 电子商务安全协议和证书电子商务安全协议和证书11.3 电子商务安全协议和证书电子商务安全协议和证书11.3 电子商务安全协议和证书电子商务安全协议和证书11.3.4 11.3.4 基于应用层的安全协议基于应用层的安全协议-SET-SET和和3-D SECURE3-D SECURE1.1.SETSET协议协议 n
32、SETSET协议协议是用于网上信用卡支付的协议,由美国是用于网上信用卡支付的协议,由美国VisaVisa组织和组织和MasterMaster组织共同开发,微软、网景、组织共同开发,微软、网景、IBMIBM等公司联合进行了标等公司联合进行了标准化的一个协议。它的加密算法采用准化的一个协议。它的加密算法采用DESDES或或RSARSA,数字签名采用,数字签名采用RSARSA方式方式。为了能够进行安全的交易,该协议规定会员(消费。为了能够进行安全的交易,该协议规定会员(消费者),加盟店(网上商店),支付金融机关(信用卡公司、银者),加盟店(网上商店),支付金融机关(信用卡公司、银行等)这三者都必须取
33、得行等)这三者都必须取得证书证书,并为他们制定了严格的,并为他们制定了严格的交易流交易流程程。n 利用利用SETSET协议前,首先要在客户端安装的协议前,首先要在客户端安装的电子钱包软件电子钱包软件,另外还要按照规定手续,取得数字证书。取得证书后就可以进另外还要按照规定手续,取得数字证书。取得证书后就可以进行交易。行交易。 11.3 电子商务安全协议和证书电子商务安全协议和证书11.3 电子商务安全协议和证书电子商务安全协议和证书11.3.4 11.3.4 基于应用层的安全协议基于应用层的安全协议-SET-SET和和3-D SECURE3-D SECURE2. 3-D SECURE 2. 3-
34、D SECURE 协议协议 VisaVisa组组织织于于20012001年年5 5月月推推出出了了新新一一代代的的互互联联网网的的结结算算用用协协议议3-D 3-D SECURESECURE(3-Domain 3-Domain SecureSecure)。国国际际上上的的另另外外两两大大信信用用卡卡组组织织MasterMaster和和JCBJCB也也宣宣布布支支持持这这个个协协议议。和和SETSET相相比比,消消费费者者不不用用事事先先安安装装证证书书或或其其他他软软件件,加加盟盟店店也也能能够够以以较较低低廉廉的的费费用用导导入该系统,因此近年来得到了一定程度的普及。入该系统,因此近年来得到
35、了一定程度的普及。 3-D 3-D SecureSecure是是把把SSLSSL交交易易分分为为发发卡卡行行域域、收收单单行行域域以以及及它它们们之之间间的的互互操操作作域域三三个个领领域域、每每次次进进行行信信用用卡卡交交易易都都由由发发卡卡行行域域和和收收单单行行域域独独立立进进行行消消费费者者和和加加盟盟店店的的认认证证,认认证证通通过过后后,再再进行正常的信用卡授信过程。进行正常的信用卡授信过程。11.3 电子商务安全协议和证书电子商务安全协议和证书11.3 电子商务安全协议和证书电子商务安全协议和证书11.3.5 11.3.5 数字证书的原理和概念数字证书的原理和概念 数字证书数字证
36、书就是由具有公信力的认证机构(就是由具有公信力的认证机构(CACA)发行的用来)发行的用来证明其中包含的证明其中包含的公开键公开键的真实有效性的一组数据。这组数据中的真实有效性的一组数据。这组数据中包含有包含有公开键公开键、加密算法信息加密算法信息、所有者的数据所有者的数据、证明机关的数证明机关的数字签名字签名和和证明书证明书的有效期间等信息。的有效期间等信息。n 国国内内首首批批获获得得信信息息产产业业部部颁颁发发的的电电子子认认证证服服务务许许可可证证书书,成成为为取取得得国国家家电电子子认认证证服服务务资资格格的的8 8家家机机构构有有山山东东省省数数字字证证书书认认证证中中心心、银银联
37、联金金融融认认证证中中心心、北北京京天天威威诚诚信信电电子子商商务务服服务务和和上海市数字证书认证中心等上海市数字证书认证中心等 。11.3 电子商务安全协议和证书电子商务安全协议和证书nX509X509证书证书是最为广泛使用的证书,是是最为广泛使用的证书,是ISOISO组织制定的标准规格。内容组织制定的标准规格。内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。这里就以公钥、证书颁发者的数字签名等。这里就以X509X509证书为例来说明数证书为例来说明数字证书的构造,证书的每一项内容解释如
38、下:字证书的构造,证书的每一项内容解释如下:nVersionVersion:版本,该项是可选项,默认是:版本,该项是可选项,默认是v1v1。nSerial NumberSerial Number:认证机构发行的唯一的序列号,有了这个序列号,:认证机构发行的唯一的序列号,有了这个序列号,即使给同一个被认证者发行过多次证书,也可以予以区别。即使给同一个被认证者发行过多次证书,也可以予以区别。nSignature AlgorithmSignature Algorithm:数字署名用的算法。:数字署名用的算法。nIssuerIssuer:证书发行者的别名。:证书发行者的别名。nValidityVali
39、dity:证书的有效日期(开始日,结束日)。:证书的有效日期(开始日,结束日)。nSubjectSubject:证明对象的识别名。:证明对象的识别名。nSubject Public Key InfoSubject Public Key Info:公开键信息(算法,键值)。:公开键信息(算法,键值)。nX509v3 extensionsX509v3 extensions:可选项,版本:可选项,版本3 3的扩展内容的扩展内容nSignatureSignature:数字签名部分:数字签名部分11.3 电子商务安全协议和证书电子商务安全协议和证书 课堂讨论课堂讨论课堂讨论课堂讨论1. 总结总结Ipse
40、c协议的功能和特点。协议的功能和特点。2. 试分析试分析SSL协议的原理和构造?协议的原理和构造?3. 尝试在现有的系统上加载客户证书的实验。尝试在现有的系统上加载客户证书的实验。11.3 电子商务安全协议和证书电子商务安全协议和证书 n11.4.1 11.4.1 电子支付的概念电子支付的概念 所谓所谓电子支付电子支付,是指从事电子商务交易的当事人,包括消,是指从事电子商务交易的当事人,包括消费者、商家和金融机构等,通过计算机信息网络,使用安费者、商家和金融机构等,通过计算机信息网络,使用安全的信息传输手段,采用全的信息传输手段,采用数字化方式数字化方式进行的进行的货币支付货币支付或资或资金流
41、转。与传统的支付方式相比,电子支付具有方便、快金流转。与传统的支付方式相比,电子支付具有方便、快捷、高效、捷、高效、经济经济的优势。只要能够的优势。只要能够连接到互联网连接到互联网,用户可,用户可以利用电脑、手机等通信终端设备,足不出户,在短时间以利用电脑、手机等通信终端设备,足不出户,在短时间内完成整个内完成整个支付过程支付过程。而支付的费用和所需的时间却要比。而支付的费用和所需的时间却要比传统支付要低得多。传统支付要低得多。11.4 电子商务安全解决方案电子商务安全解决方案n11.4.2 11.4.2 第三方支付概述及解决方案第三方支付概述及解决方案 第三方支付第三方支付,是指一些,是指一
42、些独立独立于电子商务中于电子商务中买方和卖方买方和卖方的的第三方机构设立的为买方和卖方顺利实现交易提供支付第三方机构设立的为买方和卖方顺利实现交易提供支付中介服务的支付方式。第三方机构往往是中介服务的支付方式。第三方机构往往是信誉良好信誉良好的大的大企业或者企业或者银行银行等。在买方和卖方看来,通过第三方独立等。在买方和卖方看来,通过第三方独立机构提供的机构提供的交易支持平台交易支持平台,交易更,交易更方便快捷方便快捷,更有安全,更有安全保障。在交易中,买方选购商品后,使用第三方平台进保障。在交易中,买方选购商品后,使用第三方平台进行行货款支付货款支付,这时货款并没有实际支付给卖方,而是由,这
43、时货款并没有实际支付给卖方,而是由第三方予以第三方予以临时保管临时保管;此时第三方通知卖家货款已到达,;此时第三方通知卖家货款已到达,可以进行发货;买方检验物品后,就可以通知第三方付可以进行发货;买方检验物品后,就可以通知第三方付款给卖家,第三方再将款项真正转至款给卖家,第三方再将款项真正转至卖家账户卖家账户。11.4 电子商务安全解决方案电子商务安全解决方案11.4 电子商务安全解决方案电子商务安全解决方案n11.4.3 11.4.3 移动支付概述及解决方案移动支付概述及解决方案 移动支付移动支付(又称手机支付)是指用户使用(又称手机支付)是指用户使用移动手持移动手持设备,设备,通过通过无线
44、网络无线网络(包括移动通信网络和广域网)购买实体(包括移动通信网络和广域网)购买实体或虚拟物品以及各种服务的一种新型支付方式。随着手或虚拟物品以及各种服务的一种新型支付方式。随着手机的普及和网上购物等机的普及和网上购物等小额支付小额支付的巨大市场需求,的巨大市场需求,移动移动支付支付的产业化初露端倪,移动支付正逐渐被越来越多的的产业化初露端倪,移动支付正逐渐被越来越多的人接受。移动支付的方式大体上可以分为两大类,一类人接受。移动支付的方式大体上可以分为两大类,一类是是利用手机利用手机的移动通信功能的的移动通信功能的远程支付远程支付方式,另一类是方式,另一类是在手机中利用在手机中利用NFC、RF
45、ID等技术实现的非接触式支付方等技术实现的非接触式支付方式。式。11.4 电子商务安全解决方案电子商务安全解决方案n11.2.511.2.5 备份、审计和应急管理备份、审计和应急管理n软硬件的备份管理软硬件的备份管理 n网络交易日志审计据存储和管理制度网络交易日志审计据存储和管理制度 n应急预案与应急措施应急预案与应急措施 11.4 电子商务安全解决方案电子商务安全解决方案11.4.4 11.4.4 电子商务安全技术发展趋势电子商务安全技术发展趋势n1. 1. 生物认证技术生物认证技术n2. 2. 量子加密技术量子加密技术n3. IPV63. IPV6技术技术 课堂讨论课堂讨论课堂讨论课堂讨论
46、1. 讨论关于电子支付的现在和未来。讨论关于电子支付的现在和未来。2. 试分析日本的钱包手机在中国实施的可行性。试分析日本的钱包手机在中国实施的可行性。3. 讨论哪一种生物认证技术最有可能在未来五十年占讨论哪一种生物认证技术最有可能在未来五十年占有市场有市场。11.5 数字证书的获取与管理实验数字证书的获取与管理实验 在上一节了解了数字证书的原理的基础上,本节来学习如何获在上一节了解了数字证书的原理的基础上,本节来学习如何获取证书和对证书的管理。为了更好地理解取证书和对证书的管理。为了更好地理解证书证书的生成过程,将自己的生成过程,将自己动动手建立手建立一个一个CACA认证中心,通过这个认证中
47、心,通过这个CACA来发放证书。来发放证书。 n1 11 1. .5 5.1 .1 实验目的实验目的 进行如何获取证书和对证书的管理实验进行如何获取证书和对证书的管理实验 ,主要具有,主要具有3 3个个目的目的:1)学习利用开源软件建立学习利用开源软件建立自我认证中心自我认证中心,发行客户端,发行客户端,2) 服务器端证书服务器端证书的过程。的过程。(2) 学习学习Win32OpenSSL-0.98k,ActivePerl-5.10.1等等 开源软件开源软件的安装和使用。的安装和使用。(3) 学习电子商务网站中使用证书认证时的学习电子商务网站中使用证书认证时的配置方式配置方式。11.5 数字证
48、书的获取与管理实验数字证书的获取与管理实验n1 11 1. .5 5.2.2 实验要求及方法实验要求及方法n1. 1. 实验设备实验设备n本试验使用一台安装有本试验使用一台安装有Windows XPWindows XP操作系统的计算机,在网上下载并操作系统的计算机,在网上下载并事先安装下列软件,事先安装下列软件,WEBWEB服务器服务器tomcat6.0.20tomcat6.0.20,JDK6, JDK6, 发行证书用的发行证书用的Win32OpenSSL-0.98kWin32OpenSSL-0.98k,另外为了在,另外为了在win32win32下运行下运行PerlPerl脚本,还需要安脚本,
49、还需要安装装ActivePerl-5.10.1ActivePerl-5.10.1。n2. 2. 注意事项注意事项n(1) (1) 预习准备预习准备n提前对这些软件的功能和使用方式做一些了解,以利于对于试验内容提前对这些软件的功能和使用方式做一些了解,以利于对于试验内容的更好理解。的更好理解。n(2) (2) 注意注意弄懂实验原理弄懂实验原理、理解各步骤的含义、理解各步骤的含义n对于操作的每一步要着重理解其原理,对于证书制作过程中的各种中对于操作的每一步要着重理解其原理,对于证书制作过程中的各种中间文件、最终生成的证书、证书导入操作等要充分理解其作用和含义。间文件、最终生成的证书、证书导入操作等
50、要充分理解其作用和含义。n实验用时实验用时:3 3学时(学时(120-150120-150分钟)分钟)11.5 数字证书的获取与管理实验数字证书的获取与管理实验n1 11 1. .5 5. .3 3 实验内容及步骤实验内容及步骤n 证书的发行管理及使用需要如下几个步骤证书的发行管理及使用需要如下几个步骤n(1)(1)建立建立CACA;n(2)(2)发行服务器端证书;发行服务器端证书;n(3)(3)发行客户端证书;发行客户端证书;n(4)(4)修改修改TomcatTomcat设置;设置;n(5)(5)向浏览器导入证书;向浏览器导入证书;n(6)(6)使用证书访问网站。使用证书访问网站。n下面将分
51、步进行详细说明。下面将分步进行详细说明。n准备工作准备工作:首先在:首先在C C盘下建立一个盘下建立一个C:/web/sslC:/web/ssl目录,在这个目目录,在这个目录下建录下建ca,server,clientca,server,client三个子目录,分别用来存放三个子目录,分别用来存放CACA信息信息, ,服务器端证书信息,客户端证书信息。服务器端证书信息,客户端证书信息。11.5 数字证书的获取与管理实验数字证书的获取与管理实验n(1)(1)建立建立CACA; 首先把首先把OpenSSLOpenSSL的的binbin目录中的目录中的CA.plCA.pl、openssl.cfgope
52、nssl.cfg文件拷文件拷贝到贝到C:/web/ssl/caC:/web/ssl/ca下,并把下,并把openssl.cfgopenssl.cfg文件中文件中 CA_default CA_default 下的下的dirdir变量作如下修改:变量作如下修改:dir = c:/web/ssl/cadir = c:/web/ssl/ca 修改完成后,运行下面的修改完成后,运行下面的PerlPerl脚本:脚本:nCA.pl -newcaCA.pl -newca 按照提示依次输入国名、省市名称、公司部门名称等信息,如按照提示依次输入国名、省市名称、公司部门名称等信息,如图图11-1011-10所示。所
53、示。 图图11-10 CA 11-10 CA 注册信息注册信息11.5 数字证书的获取与管理实验数字证书的获取与管理实验n上述命令执行完后会在上述命令执行完后会在C:/web/ssl/caC:/web/ssl/ca下生成一系列文件和目下生成一系列文件和目录,其中录,其中cacert.pemcacert.pem是是CACA的证书,的证书,privateprivate下的文件是下的文件是CACA的私的私钥。钥。n把把CACA的证书转换成的证书转换成TomcatTomcat能够识别的二进制格式的证书能够识别的二进制格式的证书nopenssl x509 -in cacert.pem -outform
54、DER -out openssl x509 -in cacert.pem -outform DER -out cacert.dercacert.der(2) (2) 发行服务器端证书发行服务器端证书n建立建立TomcatTomcat用密钥仓库用密钥仓库(keystore)(keystore),使用,使用RSARSA算法,密钥仓库算法,密钥仓库放在放在c:websslkeystorec:websslkeystore中,执行下述命令:中,执行下述命令:n%JAVA_HOME%binkeytool -genkey -alias server -keyalg %JAVA_HOME%binkeytool
55、 -genkey -alias server -keyalg RSA -keystore c:websslkeystore. RSA -keystore c:websslkeystore. 如图如图11-1111-11所示。所示。 11.5 数字证书的获取与管理实验数字证书的获取与管理实验图图11-11 11-11 发行服务器端证书发行服务器端证书11.5 数字证书的获取与管理实验数字证书的获取与管理实验n建立证书发行申请,文件名为建立证书发行申请,文件名为serverreq.csrserverreq.csrn%JAVA_HOME%binkeytool -certreq -keyalg RSA
56、 -alias %JAVA_HOME%binkeytool -certreq -keyalg RSA -alias server -file serverreq.csr -keystore server -file serverreq.csr -keystore c:websslkeystorec:websslkeystoren利用上面生成的申请来发行证书,证书文件名为利用上面生成的申请来发行证书,证书文件名为server.pemserver.pem,随后把证书转换成二进制格式的随后把证书转换成二进制格式的server.derserver.der,这里使用的,这里使用的openssl_serv
57、er.cfgopenssl_server.cfg是配置文件,把是配置文件,把CACA使用的使用的openssl.cfgopenssl.cfg拷拷贝到贝到c:websslserverc:websslserver下,命名为下,命名为openssl_client.cfgopenssl_client.cfg,去,去掉掉nsCertType = servernsCertType = server行的注释,然后执行下面两个命令。行的注释,然后执行下面两个命令。nopenssl ca -config openssl_server.cfg -in openssl ca -config openssl_serv
58、er.cfg -in serverreq.csr -out server.pemserverreq.csr -out server.pemnopenssl x509 -in server.pem -outform DER -out openssl x509 -in server.pem -outform DER -out server.derserver.der 11.5 数字证书的获取与管理实验数字证书的获取与管理实验n下一步是把上面生成的服务器端证书导入下一步是把上面生成的服务器端证书导入TomcatTomcat密钥仓库,首先是密钥仓库,首先是CACA证书,然后是服务器证书。证书,然后是服
59、务器证书。n%JAVA_HOME%binkeytool -import -alias root -file %JAVA_HOME%binkeytool -import -alias root -file ./ca/cacert.der -keystore c:websslkeystore./ca/cacert.der -keystore c:websslkeystoren显示类似下面的画面后,询问是否信任这个认证,回答显示类似下面的画面后,询问是否信任这个认证,回答“y”y”后,后,CACA的根证书被正确加入到密钥仓库中。如图的根证书被正确加入到密钥仓库中。如图11-1211-12所示。所示。
60、 图图11-12 11-12 证书加载证书加载 11.5 数字证书的获取与管理实验数字证书的获取与管理实验n用如下命令导入服务器证书。用如下命令导入服务器证书。n%JAVA_HOME%binkeytool -import -alias server -file %JAVA_HOME%binkeytool -import -alias server -file server.der -keystore c:websslkeystore server.der -keystore c:websslkeystore n ( (如图如图11-1311-13所示所示) ) 图图11-13 11-13 导入
61、服务器证书导入服务器证书 11.5 数字证书的获取与管理实验数字证书的获取与管理实验(3) (3) 发行客户端证书发行客户端证书n首先把首先把openssl.cfgopenssl.cfg拷贝到拷贝到c:websslclientc:websslclient下,命名为下,命名为openssl_client.cfgopenssl_client.cfg,然后去掉,然后去掉nsCertType = client,emailnsCertType = client,email行的注释。行的注释。n生成客户端用密钥,文件名为生成客户端用密钥,文件名为client.keyclient.key:nOpenssl
62、genrsa -des3 -out client.key 1024Openssl genrsa -des3 -out client.key 1024,如图,如图11-1411-14所所示。示。 图图11-14 11-14 发行客户端证书发行客户端证书 11.5 数字证书的获取与管理实验数字证书的获取与管理实验n生成客户端证书要求,文件名为生成客户端证书要求,文件名为clientreq.pemclientreq.pem:nopenssl req -new -days 365 -key client.key -out openssl req -new -days 365 -key client.k
63、ey -out clientreq.pemclientreq.pemn同上回答完类似图同上回答完类似图11-911-9的国别、城市等注册信息后,生成客户的国别、城市等注册信息后,生成客户端证书请求,然后利用该请求生成证书,文件名为端证书请求,然后利用该请求生成证书,文件名为client.pemclient.pem:nopenssl ca -config openssl_client.cfg -in openssl ca -config openssl_client.cfg -in clientreq.pem -out client.pemclientreq.pem -out client.pe
64、mn客户端证书转换成浏览器可用的客户端证书转换成浏览器可用的PKCS12PKCS12格式,文件名为格式,文件名为client.p12client.p12nopenssl pkcs12 -export -in client.pem -inkey openssl pkcs12 -export -in client.pem -inkey client.key -certfile ./ca/cacert.pem -out client.p12client.key -certfile ./ca/cacert.pem -out client.p12 11.5 数字证书的获取与管理实验数字证书的获取与管理实
65、验(4) (4) 修改修改TomcatTomcat设置设置nTomcatTomcat配置文件配置文件server.xmlserver.xml中关于中关于sslssl的配置设置成下文所示的配置设置成下文所示的格式:的格式:Connector port=443 protocol=HTTP/1.1 SSLEnabled=truetruststorePass=passwd/n其中其中clientAuth=trueclientAuth=true是指定必须要求客户端证书,是指定必须要求客户端证书,keystoreFilekeystoreFile指定密钥仓库的文件名,指定密钥仓库的文件名,keystoreP
66、asskeystorePass是密钥仓是密钥仓库的密码,库的密码,truststoreFiletruststoreFile是指定可信赖的密钥仓库的文件名,是指定可信赖的密钥仓库的文件名,这里和这里和tomcattomcat密钥仓库共用一个文件。密钥仓库共用一个文件。truststorePasstruststorePass是可信是可信赖的密钥仓库的密码。赖的密钥仓库的密码。 11.5 数字证书的获取与管理实验数字证书的获取与管理实验(5) (5) 向浏览器中导入证书向浏览器中导入证书 选择浏览器的工具选择浏览器的工具选项选项内容内容证书证书受信任的根证书颁发机受信任的根证书颁发机构构导入功能导入
67、上面生成的导入功能导入上面生成的CACA的证书的证书cacert.dercacert.der,这样这个,这样这个CACA发行发行的所有证书就都被认为是安全的。导入后显示如图的所有证书就都被认为是安全的。导入后显示如图11-1511-15所示:所示: 图图11-15 11-15 受信任的根证书受信任的根证书 11.5 数字证书的获取与管理实验数字证书的获取与管理实验(5) (5) 向浏览器中导入证书向浏览器中导入证书 选择选择IEIE的工具的工具选项选项内容内容证书证书个人个人导入功能导入客户导入功能导入客户端端client.p12client.p12证书。如图证书。如图11-1611-16所示
68、。所示。 图图11-16 11-16 导入客户端证书导入客户端证书 11.5 数字证书的获取与管理实验数字证书的获取与管理实验(6) (6) 使用证书访问服务器使用证书访问服务器 在完成了上面所有准备工作后,就可以访问服务器了,在完成了上面所有准备工作后,就可以访问服务器了,启动启动TomcatTomcat后,打开浏览器,在浏览器的地址栏里输入后,打开浏览器,在浏览器的地址栏里输入https:/localhost/https:/localhost/, ,就会出现大家熟悉的就会出现大家熟悉的TomcatTomcat初始画面。初始画面。如图如图11-1711-17所示。所示。 图图11-17 11-17 启动设置完成的启动设置完成的TomcatTomcat
