《电子商务安全培训通用课件》由会员分享,可在线阅读,更多相关《电子商务安全培训通用课件(92页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全培训课件电子商务安全培训课件2024/8/512024/8/522000年2月,互联网最为严重的黑客事件 “电子珍珠港”事件v 2月7日,美国雅虎网站(Yahoo)遭到攻击,大部分网络服务陷于瘫痪;v 2月8日,电子商务网站遭到攻击:当天股市的网络销售公司购买网站死机,随后世界最著名的网络拍卖行网站(eBay)、著名电子商务网站亚马逊(Amazon)也被迫关闭多个小时。 v 2月9日,电子商务网站再度遭殃,电子交易网站遭到攻击,科技新闻网站ZDNet中断2个小时。2024/8/53相关的数据和统计: 截至2002年底,全球Internet用户超过6.55亿。 CNNIC中国互联网络
2、发展状况统计最新统计显示,截至2008年12月31日,中国网民规模达到2.98亿人,世界第一,普及率达到22.6%,超过全球平均水平;2007年增长率为41.9%最高。学生网民20%,美国60% CNNIC统计指出,我国超过40%的网站存在严重的安全漏洞。 美国金融时报报道,世界上平均每20秒就发生一起黑客入侵事件。 2000年1月,黑客从CD Universe网站窃取了35万个信用卡号码,这是向公众报道的最大规模的信用卡失窃案件。2024/8/54案例:携程被曝存案例:携程被曝存“支付漏洞支付漏洞”携携程程的的ITIT系系统统完完全全自自建建,20092009年年以以前前,携携程程服服务务器
3、器并并不不留留存存用用户户CVVCVV码码,用用户户每每次次购购买买机机票票,预预订订酒酒店店都都需需要要输输入入CVVCVV码码;20092009年年后后,为为了了简简化化操操作作流流程程,优优化化客客户户体体验验,携携程服务器上开始留存程服务器上开始留存CVVCVV码,也为支付安全留下隐患。码,也为支付安全留下隐患。20142014年年3 3月月2222日日乌乌云云漏漏洞洞平平台台发发布布消消息息称称,携携程程将将用用于于处处理理用用户户支支付付的的服服务务接接口口开开启启了了调调试试功功能能,使使部部分分向向银银行行验验证证持持卡卡所所有有者者接接口口传传输输的的数数据据包包直直接接保保
4、存存在在本本地地服服务务器器,有有可可能能被被黑黑客客所所读读取取。对对此此,携携程程在在声声明明中中称称,公公司司已已经经展展开开技技术术排排查查,并并在在两两小小时时内内修修复复了了这这个个漏漏洞洞。经经查查,携携程程的的技技术术开开发发人人员员之之前前是是为为了了排排查查系系统统疑疑问问,留留下下了了临临时时日日志志,因因疏疏忽未及时删除,目前,这些信息已被全部删除。忽未及时删除,目前,这些信息已被全部删除。 事件陈述事件陈述当当时时正正处处于于央央行行对对于于第第三三方方支支付付表表示示质质疑疑的的关关口口,加加上上安安全全漏漏洞洞关关乎乎携携程程数数以以亿亿计计的的用用户户财财产产安
5、安全全,所所以以这这一一消消息息引引起起了了了了极极大大的的关关注注。有有用用户户称称,携携程程“官官方方信信息息完完全全在在瞎瞎扯扯”,并并附附上上信信用用卡卡记记录录为为证证。作作为为携携程程的的钻钻石石卡卡会会员员,他他早早于于2 2月月2525日日就就曾曾致致电电携携程程,他他的的几几张张绑绑定定携携程程的的信信用用卡卡被被盗盗刷刷了了十十几几笔笔外外币币,但但当当时时携携程程居居然然回回复复“系系统统安安全全正正常常”。有种有种 “闭着眼睛撒谎闭着眼睛撒谎”的感觉。的感觉。案例:当当网存安全漏洞案例:当当网存安全漏洞用户资料被篡改用户资料被篡改事件陈述事件陈述广广州州的的消消费费者者
6、常常先先生生20142014年年2 2月月2525日日发发现现, ,自自己己当当当当网网的的上上千千元元余余额额被被盗盗走走了了。常常先先生生曾曾在在当当当当网网分分两两次次充充值值总总价价20002000元元的的礼礼品品卡卡。被被刷刷走走当当天天, ,常常先先生生突突然然发发现现自自己己的的账账户户里里有有一一个个新新订订单单, ,订订单单显显示示是是一一条条价价值值15781578元元的的千千足足金金链链子子, ,而而收收件件人人的的地地址址来来自自湖湖北北武武汉汉。“收收件件人人姓姓名名是是我我自自己己, ,但但是是联联系系地地址址和和联联系系电电话话都都不不是是我我的的”。常常先先生生
7、告告诉诉记记者者, ,自自己己当当当当网网账账号号的的验验证证邮邮箱箱、密密码码、手手机机号号都都被被篡篡改改, ,可可自自己己事事先先并并不知情。不知情。今今年年3 3月月左左右右,有有多多名名消消费费者者在在当当当当网网的的账账户户被被不不明明人人士士篡篡改改,购购买买的的千千元元礼礼品品卡卡余余额额被被盗盗刷刷。而而受受害害者者则则面面临临着着投投诉诉无无果果,被被盗盗款款无无法法追追回回等等问问题题。对对此此,当当当当网网曾曾发发布布公公告告称,针对被盗号用户的赔偿事宜,当当网可先行赔付。称,针对被盗号用户的赔偿事宜,当当网可先行赔付。支付宝存漏洞支付宝存漏洞嫌犯伪造执照嫌犯伪造执照盗
8、刷网店盗刷网店20余万余万20142014年年3 3月月初初,有有媒媒体体爆爆出出支支付付宝宝存存在在安安全全漏漏洞洞。张张某某、刘刘某某一一起起在在淘淘宝宝上上开开网网店店。在在开开店店过过程程中中,二二人人发发现现修修改改其其网网店店的的支支付付宝宝用用户户名名和和密密码码时时,只只需需在在网网上上向向支支付付宝宝客客服服提提交交电电子子版版营营业业执执照照即即可可;支支付付宝宝客客服服对对电电子子版版营营业业执执照照的的审审核核不不严严,很很容容易易受受理理通通过过。二二人人利利用用此此漏漏洞洞,盗盗刷刷数数家家企企业业支支付付宝宝内的资金共内的资金共2020余万元。余万元。1、支付宝大
9、面积瘫痪无法进行操作面积瘫痪无法进行操作2015年5月,拥有将近3亿活跃用户的支付宝出现了大面积瘫痪,全国多省市支付宝用户出现电脑端和移动端均无法进行转账付款、出现余额错误等问题。而今年十一长假之后,则有“资深”支付宝用户爆料称在登录支付宝官网后无意间发现,自己的实名认证信息下多出了5个未知账户,而这些账号都没有经过他本人的认证。2、财付通用户账号遭冻结余额不翼而飞、财付通用户账号遭冻结余额不翼而飞2015年8月10日,腾讯一用户财付通账号无故被冻结,财付通客服解释为账户异常,但并未给出具体解释。从11日开始,该用户反复提交材料并与客服要求解冻未果。直至26日,账户终于解冻,但发现账户余额内2
10、000余元不翼而飞。随后,该用户申请冻结账户,账户在27日下午被冻结后又在28日自动解冻。而客服解释是之前申请过冻结账户。“等于我丢了2000元,他们却不知道。”2024/8/593、翼支付频遭盗刷系统疑存隐患、翼支付频遭盗刷系统疑存隐患 从2014年4月份起至今,翼支付绑定银行卡被盗刷事件就已经出现过7次,盗刷金额从几百到几万不定。多位银行卡被盗刷受害者表示,在持卡人不知情的情况下,银行卡中的资金通过翼支付被盗刷,且翼支付无法查询到被盗刷资金去向。没有开通翼支付的银行卡也被盗刷,并且被盗刷期间没有收到任何消费和支付的短信提醒,这让受害者百思不得其解。2024/8/510第五章第五章 电子商务
11、安全电子商务安全熟悉电子商务安全的含义熟悉电子商务安全的含义了解目前常见的电子商务安全威胁了解目前常见的电子商务安全威胁掌握电子商务安全的需求掌握电子商务安全的需求了解电子商务安全常见的技术了解电子商务安全常见的技术了解电子商务安全协议了解电子商务安全协议2024/8/511 学学习习目目标标5.1 电子商务安全概述电电子子商商务务的的一一个个重重要要技技术术特特征征是是利利用用IT技技术术来来传传输输和和处处理理商商业业信信息息。因因此此,电电子子商商务务安安全全从从整整体体上上可可分分为为两两大大部部分分:计计算机网络安全和商务交易安全。算机网络安全和商务交易安全。 计计算算机机网网络络安
12、安全全的的内内容容包包括括:计计算算机机网网络络设设备备安安全全、计计算算机机网网络络系系统统安安全全和和数数据据库库安安全全等等。其其特特征征是是针针对对计计算算机机网网络络本本身身可可能能存存在在的的安安全全问问题题,实实施施网网络络安安全全增增强强方方案案,以以保保证证计计算算机网络自身的安全性。机网络自身的安全性。2024/8/5122024/8/5135.1 电子商务安全概述电电子子商商务务活活动动的的交交易易安安全全紧紧紧紧围围绕绕传传统统商商务务在在互互联联网网上上应应用用时时产产生生的的各各种种安安全全问问题题,在在计计算算机机网网络络安安全全的的基基础础上上,保保障障电电子子
13、商商务务过过程程的的顺顺利利进进行行,即即实实现现电电子子商商务务的的保保密密性性、完完整整性性、可鉴别性、不可伪造性和不可抵赖性。可鉴别性、不可伪造性和不可抵赖性。以下几种情况:以下几种情况:(1)窃取信息)窃取信息;(2)篡改信息)篡改信息;(3)身份仿冒)身份仿冒;(4)抵赖)抵赖;(5)网络病毒)网络病毒;(6)其他安全威胁)其他安全威胁。5.1 电子商务安全概述5.1.1 电子商务安全要素电子商务安全要素由由于于电电子子商商务务是是在在互互联联网网环环境境下下进进行行的的商商务务活活动动,交交易易的的安安全全性性、可可靠靠性性和和匿匿名名性性一一直直是是人人们们在在交交易易活活动动中
14、中最最为为关关注注的的问问题题。因因此此,为为了了保保证证电电子子商商务务整整个个交交易易活活动动的的顺顺利利进进行,电子商务系统必须具备以下几个安全要素:行,电子商务系统必须具备以下几个安全要素: (1)信息保密性需求)信息保密性需求(2)信息完整性需求)信息完整性需求 (3)不可否认性)不可否认性(4)交易者身份鉴别需求)交易者身份鉴别需求(5)系统有效性)系统有效性(系统有效性关系个人、企业、国家)(系统有效性关系个人、企业、国家)(6)可审查性需求)可审查性需求(7)操作合法性需求)操作合法性需求2024/8/5145.1 电子商务安全概述5.1.2 电子商务的安全威胁及主要的安全技术
15、电子商务的安全威胁及主要的安全技术 电电子子商商务务的的安安全全威威胁胁包包括括:信信息息在在网网络络的的传传输输过过程程中中被被截截获获、传传输输的的文文件件被被篡篡改改、假假冒冒他他人人身身份份、不不承承认认已已经经做做过过的交易、抵赖、非法访问和计算机病毒等。的交易、抵赖、非法访问和计算机病毒等。 电电子子商商务务的的主主要要安安全全技技术术包包括括:加加密密技技术术、认认证证技技术术、数数字字签签名名、安安全全套套接接字字协协议议(SSL)和和安安全全电电子子交交易易规规范范(SET)。)。2024/8/515【案例案例】开发理财软件留开发理财软件留“后门后门”2009年年7月月,某某
16、金金融融机机构构委委托托某某公公司司开开发发一一个个银银行行理理财产品的计算机程序,该公司便让其员工邹某负责研发。财产品的计算机程序,该公司便让其员工邹某负责研发。邹邹某某在在未未告告知知公公司司和和该该金金融融机机构构的的情情况况下下私私自自在在程程序序中中加加入入了了一一个个后后门门程程序序。之之后后程程序序研研发发顺顺利利完完成成并并交交付付至至该金融机构投入运行。该金融机构投入运行。自自2009年年11月月至至今今年年6月月期期间间,邹邹某某又又先先后后多多次次通通过过后后门门程程序序进进入入上上述述系系统统,并并采采用用技技术术手手段段非非法法获获取取了了70多多名名客客户户的的客客
17、户户资资料料、密密码码,非非法法查查询询了了多多名名客客户户的的账账户户余余额额,同同时时将将23名名客客户户的的账账户户资资金金在在不不同同的的客客户户账账户户上上相相互互转入转出,涉及金额共计转入转出,涉及金额共计1万余元。万余元。 自自2009年年9月月起起,该该金金融融机机构构就就陆陆续续接接到到客客户户投投诉诉,于于是是于于2010年年6月月联联系系上上述述研研发发公公司司进进行行检检测测,终终于于发发现现了了这这个个秘秘密密的的“后后门门程程序序”,立立即即向向公公安安机机关关报报案案。公公安安机关于当月将犯罪嫌疑人邹某抓获归案。机关于当月将犯罪嫌疑人邹某抓获归案。 触发安全问题的
18、原因触发安全问题的原因1黑客的攻击目前,世界上有20多万个黑客网站,攻击方法成千上万。 2管理的欠缺网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。3网络的缺陷因特网的共享性和开放性使网上信息安全存在先天不足。4软件的漏洞或“后门”操作系统和应用软件往往存在漏洞或“后门”。冲击波病毒win20005人为的触发基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。2024/8/518棱镜门棱镜计划(棱镜计划(PRISM)是一项由美国国家安全局()是一项由美国国家安全局(NSA)自)自2007年小布什时期起开始实施的绝密电子监听计划。年小布什时期起开始实施的绝密电子监听
19、计划。棱镜棱镜监控的主要有监控的主要有10类信息:电邮、即时消息、视频、照片、类信息:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被政府监控。通过棱镜项目,国安社交网络资料的细节都被政府监控。通过棱镜项目,国安局甚至可以实时监控一个人正在进行的网络搜索内容。局甚至可以实时监控一个人正在进行的网络搜索内容。反病毒技术反病毒技术2024/8/519计计算算机机病病毒毒(Computer Virus)是是编编制制者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算机机功功能能或或者者数数据
20、据的的代代码码,能能影影响响计计算算机机使使用用,能能自自我我复复制制的的一一组组计计算算机机指指令令或者程序代码。或者程序代码。计计算算机机病病毒毒的的生生命命周周期期:开开发发期期传传染染期期潜潜伏伏期期发作期发作期发现期发现期消化期消化期消亡期。消亡期。计计算算机机病病毒毒是是一一个个程程序序,一一段段可可执执行行码码。就就像像生生物物病病毒毒一一样样,具具有有自自我我繁繁殖殖、互互相相传传染染以以及及激激活活再再生生等等生生物物病病毒毒特特征征。计计算算机机病病毒毒有有独独特特的的复复制制能能力力,它它们们能能够够快快速速蔓蔓延延,又又常常常常难难以以根根除除。它它们们能能把把自自身身
21、附附着着在在各各种种类类型型的的文文件件上上,当当文文件件被被复复制制或或从从一一个个用用户户传传送送到到另另一一个个用用户户时时,它它们们就就随随同同文文件件一一起起蔓延开来。蔓延开来。2024/8/520 现在所谓的特洛伊木马正是指那些表面上是有用的软现在所谓的特洛伊木马正是指那些表面上是有用的软件,实际上却会危害计算机安全并导致严重破坏的计算件,实际上却会危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的,但事机程序。它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和
22、非授权性的特点。有隐蔽性和非授权性的特点。2024/8/521WannaCry是是一一种种蠕蠕虫虫式式的的勒勒索索病病毒毒,它它利利用用了了Windows SMB服服务务漏漏洞洞,攻击电脑并加密硬盘中的文件,向用户勒索赎金。攻击电脑并加密硬盘中的文件,向用户勒索赎金。由由于于它它主主要要利利用用TCP 445端端口口传传播播(运运营营商商通通常常会会关关闭闭个个人人用用户户的的445端端口口),大大量量企企业业、政政府府和和教教育育机机关关的的网网站站中中招招。国国内内受受影影响响最最大大的的是是教教育网,很多实验室数据和毕业论文都被加密了。育网,很多实验室数据和毕业论文都被加密了。2024/
23、8/522感染熊猫烧香后,感染熊猫烧香后,exe文件会被破坏导致很多软件无法正常使用;另外文件会被破坏导致很多软件无法正常使用;另外它启动后会将用户电脑上的杀毒软件进程杀掉;它还会破坏磁盘和外接它启动后会将用户电脑上的杀毒软件进程杀掉;它还会破坏磁盘和外接U盘等,造成它们无法正常使用;此外作者建立了服务器对病毒不断更盘等,造成它们无法正常使用;此外作者建立了服务器对病毒不断更新,速度直逼杀毒软件;熊猫烧香还会感染网页文件,从而导致浏览部新,速度直逼杀毒软件;熊猫烧香还会感染网页文件,从而导致浏览部分网站的用户中招。分网站的用户中招。计算机病毒特点计算机病毒特点1. 繁殖性繁殖性计计算算机机病病
24、毒毒可可以以像像生生物物病病毒毒一一样样进进行行繁繁殖殖,当当正正常常程程序序运运行行时时,它它也也进进行行运运行行自自身身复复制制,是是否否具具有有繁繁殖殖、感感染染的特征是判断某段程序为计算机病毒的首要条件。的特征是判断某段程序为计算机病毒的首要条件。2. 破坏破坏性性计计算算机机中中毒毒后后,可可能能会会导导致致正正常常的的程程序序无无法法运运行行,把把计计算算机机内内的的文文件件删删除除或或受受到到不不同同程程度度的的损损坏坏。破破坏坏引引导导扇扇区及区及BIOS,硬件环境破坏,硬件环境破坏3.传染性传染性计计算算机机病病毒毒传传染染性性是是指指计计算算机机病病毒毒通通过过修修改改别别
25、的的程程序序将将自自身身的的复复制制品品或或其其变变体体传传染染到到其其它它无无毒毒的的对对象象上上,这这些些对象可以是一个程序也可以是系统中的某一个部件。对象可以是一个程序也可以是系统中的某一个部件。计算机病毒特点计算机病毒特点4. 潜伏性潜伏性计计算算机机病病毒毒潜潜伏伏性性是是指指计计算算机机病病毒毒可可以以依依附附于于其其它它媒媒体体寄寄生生的的能能力力,侵侵入入后后的的病病毒毒潜潜伏伏到到条条件件成成熟熟才才发发作作, 会会使电脑变慢。使电脑变慢。5. 隐蔽性隐蔽性计计算算机机病病毒毒具具有有很很强强的的隐隐蔽蔽性性,可可以以通通过过病病毒毒软软件件检检查查出出来来少少数数,隐隐蔽蔽
26、性性计计算算机机病病毒毒时时隐隐时时现现、变变化化无无常常,这这类病毒处理起来非常困难。类病毒处理起来非常困难。6. 可触发性可触发性编编制制计计算算机机病病毒毒的的人人,一一般般都都为为病病毒毒程程序序设设定定了了一一些些触触发发条条件件,例例如如,系系统统时时钟钟的的某某个个时时间间或或日日期期、系系统统运运行行了了某某些些程程序序等等。一一旦旦条条件件满满足足,计计算算机机病病毒毒就就会会“发发作作”,使系统遭到破坏。使系统遭到破坏。病毒对计算机造成的破坏病毒对计算机造成的破坏 破坏文件分配表破坏文件分配表 删除文件删除文件 修改或破坏重要数据修改或破坏重要数据 减少磁盘空间减少磁盘空间
27、 显示非正常信息和图像显示非正常信息和图像 系统不能正常存储系统不能正常存储 造成写错误造成写错误 破坏磁盘文件目录破坏磁盘文件目录 降低计算机工作速度降低计算机工作速度 非法格式化非法格式化 打印机故障打印机故障 文件增长文件增长 改变系统正常运行过程改变系统正常运行过程 造成屏幕和键盘死锁造成屏幕和键盘死锁 计算机病毒的防范计算机病毒的防范1、备备份份:对对所所有有的的软软件件(甚甚至至操操作作系系统统)进进行行备备份份,并制定应付突发情况的应急方案;并制定应付突发情况的应急方案;2、预预防防:提提高高用用户户的的警警惕惕性性,实实行行安安全全卫卫生生制制度度,例如使用正版软件等;例如使用
28、正版软件等;3、检测:使用杀病毒软件来检测,报告并杀死病毒;、检测:使用杀病毒软件来检测,报告并杀死病毒;4、隔离:确认并隔离携带病毒的部件;、隔离:确认并隔离携带病毒的部件;5、恢复:杀毒或清除被病毒感染的文件。、恢复:杀毒或清除被病毒感染的文件。2024/8/5271 1、确确保保你你的的电电脑脑没没有有病病毒毒木木马马,安安装装并并且且及及时时更新杀毒软件;更新杀毒软件;2. 2.下载网购保镖;下载网购保镖;3 3、支支付付账账户户的的密密码码要要复复杂杂一一点点;此此外外,尽尽量量不不要在公共场合进行支付,如网吧等场所。要在公共场合进行支付,如网吧等场所。网络支付安全保护常见的杀毒软件
29、常见的杀毒软件2024/8/528世界级:2024/8/529常见的杀毒软件常见的杀毒软件国内:2024/8/530防火墙技术防火墙技术防防火火墙墙:防防火火墙墙(Firewall),也也称称防防护护墙墙。它它是是一一种种位位于于内内部部网网络络与与外外部部网网络络之之间间的的网网络络安安全全系系统统。一一项项信信息息安安全全的的防防护护系系统统,依依照照特特定定的的规规则则,允允许许或或是是限限制制传传输输的的数据通过。数据通过。 防火墙主要包括:防火墙主要包括:1. 限限制制外外部部网网对对内内部部网网的的访访问问,从从而而保保护护内内部部网网特特定定资资源免受非法侵犯;源免受非法侵犯;2
30、. 限限制制内内部部网网对对外外部部网网的的访访问问,主主要要针针对对不不健健康康信信息息及及敏感信息的访问。敏感信息的访问。2024/8/531防火墙五大基本功能:防火墙五大基本功能:1. 过滤进出网络的数据包过滤进出网络的数据包2. 管理进出网络的访问行为管理进出网络的访问行为3. 封堵某些禁止的访问行为封堵某些禁止的访问行为4. 记录通过防火墙的信息内容和活动记录通过防火墙的信息内容和活动5. 对网络攻击进行检测和警告对网络攻击进行检测和警告防火墙的安全策略:防火墙的安全策略:1. 凡未列为允许访问都是被禁止的。凡未列为允许访问都是被禁止的。2. 凡未列为禁止访问都是被允许的。凡未列为禁
31、止访问都是被允许的。2024/8/532按软硬件形式分类按软硬件形式分类 :软件防火墙软件防火墙硬件防火墙硬件防火墙按技术分类:按技术分类:包过滤防火墙包过滤防火墙应用层防火墙应用层防火墙按结构形式分类按结构形式分类 :单一主机防火墙单一主机防火墙 路由器集成式防火墙路由器集成式防火墙 分布式防火墙分布式防火墙 防火墙在网络中的位置 安装防火墙以前的网网络 安装防火墙后的网网络 硬件防火墙2024/8/536软件防火墙密码学历史Phaistos(Phaistos(费斯托斯圆盘) )圆圆盘盘,一一种种直直径径约约为为160160mmmm的的Cretan-MnoanCretan-Mnoan粘粘土土
32、圆圆盘盘,始始于于公公元元前前1717世世纪纪。表面有明显字间空格的字母,至今还没有破解。表面有明显字间空格的字母,至今还没有破解。5.2 信息加密技术密码学历史(续)希腊密码 二维字母编码查表 公元前2世纪 例:Zhejiang University55 23 15 24 24 11 33 22 54 33 24 51 15 42 43 24 44 54密码学历史(续)恺撒密码:将字母循环前移k位明文:Zhejiang University密文:Emjonfsl Zsnajwxnyd例如k=5时对应关系如下:2024/8/540I LOVE YOU L ORYH BRX后移3位前移3位I L
33、OVE YOUEg:密码学历史(续)二战中美国陆军和海军使用的条形密码设备M-138-T4。根据1914年Parker Hitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用,主要用于低级的军事通信。 密码学概念密码编码学(cryptography):使消息保密的技术和科学密码分析学(cryptanalysis):破译密文的技术和科学密码学(cryptology)密码学=密码编码学+密码分析学 密码学的发展1949年之前(基于算法的保密) 密码学是一门艺术 古典密码19491975年(基于密钥保密) 密码学成为科学 Shannon1976年以后 密码学的新方向公钥密码学 加密和解
34、密钥分开Diffie、Hellman 三个阶段:对称密钥的管理要求高数字签名,证书公开单向函数质数因子分解5.2 信息加密技术 为为保保证证数数据据和和交交易易的的安安全全、防防止止欺欺骗骗,确确认认交交易易双双方方的的真真实实身身份份,电电子子商商务务必必须须采采用用加加密密技技术术,加加密密技技术术是是指指通通过过使使用用代代码码或或密密码码来来保保障障数数据据的的安安全全性性。欲欲加加密密的的数数据据称称为为明明文文,明明文文经经过过某某种种加加密密算算法法作作用用后后,转转换换成成密密文文,我我们们将将明明文文转转换换为为密密文文的的这这一一过过程程称称为为加加密密,将将密密文文经经解
35、解密算法作用后形成明文输出的这一过程称为密算法作用后形成明文输出的这一过程称为解密解密。加加密密算算法法中中使使用用的的参参数数称称为为密密钥钥,密密钥钥长长度度越越长长,密密钥钥的的空空间间就就越越大大,遍遍历历密密钥钥空空间间所所花花的的时时间间就就越越多多,破破译译的的可可能能性性就就越越小小。以以密密钥钥类类型型划划分分,可可将将密密钥钥系系统统分分为为对对称密钥系统称密钥系统和和非对称密钥系统非对称密钥系统。 5.2 信息加密技术5.2.1 密码学概述密码学概述 一一般般的的数数据据加加密密模模型型如如图图5-1所所示示,它它是是采采用用数数学学方方法法对对原原始始信信息息(明明文文
36、)进进行行再再组组织织,使使得得加加密密后后在在网网络络上上公公开开传传输输的的内内容容对对于于非非法法者者来来说说成成为为无无意意义义的的文文字字(密密文文),而而对对于于合合法法的的接接收收者者,由由于于掌掌握握正正确确的的密密钥钥,可可以以通通过过访问解密过程得到原始数据。访问解密过程得到原始数据。 密码学分为两类:密码编码学和密码分析学。密码学分为两类:密码编码学和密码分析学。 5.2 信息加密技术5.2.1 密码学概述密码学概述图5-1 数据加密模型5.2 信息加密技术对称密钥系统对称密钥系统 对对称称密密钥钥系系统统,又又称称单单钥钥密密钥钥系系统统或或密密钥钥系系统统,是是指指在
37、在对对信信息息的的加加密密和和解解密密过过程程中中使使用用相相同同的的密密钥钥。也也就就是是说说,私私钥钥密密钥钥就就是是将将加加密密密密钥钥和和解解密密密密钥钥作作为为一一把把密密钥钥。对对称称加密、解密的过程如图加密、解密的过程如图5-2所示。所示。 图 5-2 对称加密、解密过程5.2 信息加密技术对称密钥系统对称密钥系统对对称称密密钥钥系系统统的的安安全全性性依依赖赖于于两两个个因因素素:第第一一,加加密密算算法法必必须须是是足足够够强强的的,仅仅仅仅基基于于密密文文本本身身去去解解密密信信息息在在实实践践上上是是不不可可能能的的;第第二二,加加密密方方法法的的安安全全性性依依赖赖于于
38、密密钥钥的的秘秘密密性性,而而不不是是算算法法的的秘秘密密性性。密密码码学学的的一一个个原原则则是是“一一切切秘秘密密寓寓于于密密钥钥之之中中”,算算法法可可以以公公开开,因因此此,我我们们没没有有必必要要确确保保算算法法的的秘秘密密性性,而而需需要要保保证证密密钥钥的的秘秘密密性性。对对称称密钥系统的这些特点使其有着广泛的应用。密钥系统的这些特点使其有着广泛的应用。对对称称密密钥钥加加密密的的特特点点是是加加密密和和解解密密使使用用的的是是同同一一个个密密钥,其典型的代表是美国国家安全局的钥,其典型的代表是美国国家安全局的DES。对称加密的要求:对称加密的要求:(1)需要强大的加密算法。)需
39、要强大的加密算法。(2)发发送送方方和和接接收收方方必必须须用用安安全全的的方方式式来来获获得得保保密密密密钥钥的的副副本本,必必须须保保证证密密钥钥的的安安全全。如如果果有有人人发发现现了了密密匙匙,并并知知道了算法,则使用此密匙的所有通信便都是可读取的。道了算法,则使用此密匙的所有通信便都是可读取的。2024/8/5515.2 信息加密技术对称密钥系统对称密钥系统DES算算法法大大致致可可以以分分成成四四个个部部分分:初初始始置置换换、迭迭代代过过程、逆置换和子密钥生成。程、逆置换和子密钥生成。 图5-4 DES加密算法过程RSA非对称密钥加密技术非对称密钥加密技术 发送者加密和接受者解密
40、使用不用密钥的加密方法。发送者加密和接受者解密使用不用密钥的加密方法。 非非对对称称加加密密算算法法需需要要两两个个密密钥钥:公公开开密密钥钥(publickey)和和私私有有密密钥钥(privatekey)。公公开开密密钥钥与与私私有有密密钥钥是是一一对对,如如果果用用公公开开密密钥钥对对数数据据进进行行加加密密,只只有有用用对对应应的的私私有有密密钥钥才才能能解解密密;如如果果用用私私有有密密钥钥对对数数据据进进行行加加密密,那那么么只只有有用用对对应应的公开密钥才能解密。的公开密钥才能解密。 因因为为加加密密和和解解密密使使用用的的是是两两个个不不同同的的密密钥钥,所所以以这这种种算算法
41、法叫叫作作非非对对称称加加密密算算法法。非非对对称称加加密密算算法法实实现现机机密密信信息息交交换换的的基基本本过过程程是是:甲甲方方生生成成一一对对密密钥钥并并将将其其中中的的一一把把作作为为公公用用密密钥钥向向其其它它方方公公开开;得得到到该该公公用用密密钥钥的的乙乙方方使使用用该该密密钥钥对对机机密密信信息息进进行行加加密密后后再再发发送送给给甲甲方方;甲甲方方再再用用自自己己保保存存的的另另一一把专用密钥对加密后的信息进行解密。把专用密钥对加密后的信息进行解密。非对称加密算法主要有非对称加密算法主要有RSA、DSA、DIFFIE等等2024/8/5535.2 信息加密技术非对称密钥系统
42、非对称密钥系统图 5-5 非对称加密、解密过程5.2 信息加密技术 两两种种加加密密方方法法各各有有优优缺缺点点,对对称称加加密密体体制制的的编编码码效效率率高高,但但在在密密钥钥分分发发与与管管理理上上存存在在困困难难,而而非非对对称称密密码码体体制制可可以以很很好好地地解解决决这这个个问问题题。因因此此,可可以以组组合合使使用用这这两两种种加加密方法,如图密方法,如图5-6所示。所示。 图5-6 两种加密组合使用对称数据加密技术对称数据加密技术非对称数据加密技术非对称数据加密技术密码个数密码个数1 1个个2 2个个算法速度算法速度较快较快较慢较慢算法对称性算法对称性对称,解密密钥可以从对称
43、,解密密钥可以从加密密钥中推算出来加密密钥中推算出来不不对对称称,解解密密密密钥钥不不能能从加密密钥中推算出来从加密密钥中推算出来主要应用领域主要应用领域数据的加密和解密数据的加密和解密对数据进行数字签名、对数据进行数字签名、确认、鉴定、密钥管理确认、鉴定、密钥管理和数字封装等和数字封装等典型算法实例典型算法实例DESDES等等RSARSA等等对称和非对称加密技术比较对称和非对称加密技术比较5.3 信息认证技术在在电电子子商商务务中中,由由于于参参与与的的各各方方往往往往是是素素未未谋谋面面的的,身身份份认认证证成成了了必必须须解解决决的的问问题题,即即在在电电子子商商务务中中,必必须须解解决
44、决不不可可抵抵赖赖性性问问题题。交交易易抵抵赖赖包包括括多多个个方方面面,如如发发言言者者事事后后否否认认曾曾经经发发送送过过某某条条信信息息或或内内容容,收收信信者者事事后后否否认认曾曾经经收收到到过过某某条条消消息息或或内内容容,购购买买者者做做了了订订货货单单不不承承认认,商商家家卖卖出出的的商商品品因因价价格格差差而而不不承承认认原原有有的的交交易易等等。电电子子商商务务关关系系到到贸贸易易双双方方的的商商业业交交易易,如如何何确确定定要要进进行行交交易易的的贸贸易易方方正正是是所所期期望望的的贸贸易易伙伙伴伴这这一一问问题题则则是是保保证证电电子子商商务务顺顺利利进进行的关键。行的关
45、键。 5.3 信息认证技术5.3.1 身份认证身份认证 身身份份认认证证是是指指计计算算机机及及网网络络系系统统确确认认操操作作者者身身份份的的过过程程。计计算算机机和和计计算算机机网网络络组组成成了了一一个个虚虚拟拟的的数数字字世世界界。在在数数字字世世界界中中,一一切切信信息息(包包括括用用户户的的身身份份信信息息)都都是是由由一一组组特特定定的的数数据据表表示示的的,计计算算机机只只能能识识别别用用户户的的数数字字身身份份,给给用用户户的的授授权权也也是是针针对对用用户户数数字字身身份份进进行行的的。而而我我们们的的生生活活从从现现实实世世界界到到一一个个真真实实的的物物理理世世界界,每
46、每个个人人都都拥拥有有独独一一无二的物理身份。无二的物理身份。 5.3 信息认证技术5.3.1 身份认证身份认证1.密码方式密码方式 密码方式是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者是合法用户。由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此密码方式是一种不安全的身份认证方式。5.3 信息认证技术5.3.1 身份认证身份认证2.生物学特征生物学
47、特征 生物学特征认证是指采用每个人独一无二的生物学特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物学特征认证是最可靠的身份认证方式,因为它直接使用人的生理特征来表示每个人的数字身份,不同的人具有不同的生物学特征,因此几乎不可能被仿冒。5.3 信息认证技术5.3.1 身份认证身份认证3. 动态口令动态口令 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份
48、是可靠的。而用户每次使用的密码都不同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。5.3 信息认证技术5.3.1 身份认证身份认证4.USB Key认证认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要USB Ke
49、y本身不被盗用即安全。黑客如果想要通过破解加密狗的方法破解USB Key,那么需要先偷到用户USB Key的物理硬件,而这几乎是不可能的。5.3 信息认证技术5.3.2 数字摘要与数字签名数字摘要与数字签名1.数字摘要数字摘要数数字字摘摘要要简简要要地地描描述述了了一一份份较较长长的的信信息息或或文文件件,它它可可以以被被看看作作一一份份长长文文件件的的“数数字字指指纹纹”。信信息息摘摘要要用用于于创创建建数数字字签签名名,对对于于特特定定的的文文件件而而言言,信信息息摘摘要要是是唯唯一一的的。信信息摘要可以被公开,它不会透露相应文件的任何内容。息摘要可以被公开,它不会透露相应文件的任何内容。
50、数数字字摘摘要要就就是是采采用用单单向向散散列列函函数数将将需需要要加加密密的的明明文文“摘摘要要”成成一一串串固固定定长长度度(128位位)的的密密文文,这这一一串串密密文文又又称称为为数数字字指指纹纹,它它有有固固定定的的长长度度,而而且且不不同同的的明明文文摘摘要要成成密文,其结果总是不同的,而同样的明文其摘要必定一致。密文,其结果总是不同的,而同样的明文其摘要必定一致。5.3 信息认证技术5.3.2 数字摘要与数字签名数字摘要与数字签名2.数字签名数字签名 在在传传统统的的交交易易中中,我我们们是是用用书书面面签签名名来来确确定定身身份份的的。在在书书面面文文件件上上签签名名的的作作用
51、用有有两两点点,一一是是确确定定为为自自己己所所签签署署难难以以否否认认;二二是是因因为为签签名名不不易易仿仿冒冒,从从而而判判断断文文件件是是否否为为非非伪伪造造签签署署文文件件。随随着着电电子子商商务务的的应应用用,人人们们希希望望通通过过数数字字通通信信网网络络迅迅速速传传递递贸贸易易合合同同,这这就就出出现现了了合合同同真真实实性性认认证的问题,数字签名就应运而生了。证的问题,数字签名就应运而生了。5.3 信息认证技术5.3.2 数字摘要与数字签名数字摘要与数字签名图5-7 生成数字签名流程5.3 信息认证技术5.3.2 数字摘要与数字签名数字摘要与数字签名图5-8 数字签名的过程示意
52、5.3 信息认证技术5.3.3 数字信封与数字时间戳数字信封与数字时间戳1. 数字信封数字信封 数数字字信信封封是是用用加加密密技技术术来来保保证证只只有有特特定定的的收收信信人人才才能能阅阅读读信信的的内内容容。在在数数字字信信封封中中,信信息息发发送送方方采采用用对对称称密密钥钥来来加加密密信信息息,为为了了能能安安全全地地传传输输对对称称密密钥钥,将将对对称称密密钥钥使使用用接接收收方方的的公公开开密密钥钥来来加加密密(这这部部分分称称为为“数数字字信信封封”)之之后后,将将它它和和对对称称加加密密信信息息一一起起发发送送给给接接收收方方,接接收收方方先先用用相相应应的的私私有有密密钥钥
53、打打开开数数字字信信封封,得得到到对对称称密密钥钥,然然后后使使用用对对称称密密钥钥解解开开信信息息。采采用用数数字字信信封封技技术术后后,即即使使加加密密文文件件被被他他人人非非法法截截获获,截截获获者者由由于于无无法法得得到到发发送送方方的的通通信信密密钥,也不可能对文件进行解密。钥,也不可能对文件进行解密。 5.3 信息认证技术5.3.3 数字信封与数字时间戳数字信封与数字时间戳图5-9 数字信封的生成 5.3 信息认证技术5.3.3 数字信封与数字时间戳数字信封与数字时间戳5-10 数字信封的解除 5.3 信息认证技术5.3.3 数字信封与数字时间戳数字信封与数字时间戳2.数字时间戳数
54、字时间戳 在在电电子子交交易易中中,需需对对交交易易文文件件的的日日期期和和时时间间采采取取安安全全措措施施,而而数数字字时时间间戳戳就就能能提提供供电电子子文文件件发发表表时时间间的的安安全全保保护护。数数字字时时间间戳戳服服务务(DTS)是是网网络络安安全全服服务务项项目目,由由专专门门的的机机构构提提供供。时时间间戳戳是是一一个个经经加加密密后后形形成成的的凭凭证证文文档档,它它包包括括3个个部部分分:需需加加时时间间戳戳的的文文件件的的摘摘要要、DTS收收到到文文件件的的日日期期和和时时间间、DTS的的数数字字签签名名。DTS的的过过程程为为:用用户户将将需需要要加加上上时时间间的的文
55、文件件生生成成文文件件摘摘要要,然然后后将将摘摘要要传传给给DTS服服务务机机构构;DTS将将收收到到的的摘摘要要加加上上时时间间,再再用用自自己己的的私私钥钥进进行行加加密密;最最后后将将加加有有时时间间和和数数字字签签名名的的文文件件发发回回给给客户,完成数字时间戳的服务过程。客户,完成数字时间戳的服务过程。 5.3 信息认证技术5.3.3 数字信封与数字时间戳数字信封与数字时间戳图5-11 数字时间戳的使用5.3 信息认证技术5.3.4 数字证书数字证书1. 数字证书的含义数字证书的含义 数数字字证证书书就就是是网网络络通通信信中中标标志志各各通通信信方方身身份份信信息息的的一一系系列列
56、数数据据,其其作作用用类类似似于于现现实实生生活活中中的的身身份份证证。它它是是由由权权威威机机构构发发行行的的,人人们们可可以以在在交交往往中中用用它它来来识识别别对对方方的的身身份。份。 数数字字证证书书的的内内容容由由6个个部部分分组组成成:用用户户的的公公钥钥、用用户户名名、公公钥钥的的有有效效期期、CA颁颁发发者者(颁颁发发数数字字证证书书的的CA)、数字证书的序列号、颁发者的数字签名。数字证书的序列号、颁发者的数字签名。5.3 信息认证技术5.3.4 数字证书数字证书2.数字证书的应用数字证书的应用 数数字字证证书书由由CA颁颁发发,并并利利用用CA的的私私钥钥签签名名。CA中中心
57、心所所发发放放的的数数字字安安全全证证书书可可以以应应用用于于公公众众网网络络上上的的商商务务和和行行政政作作业业活活动动,包包括括支支付付型型和和非非支支付付型型电电子子商商务务活活动动,其其应应用用范范围围涉涉及及需需要要身身份份认认证证及及数数据据安安全全的的各各个个行行业业,包包括括传传统统的的商商业业、制制造造业业、流流通通业业的的网网上上交交易易,以以及及公公共共事事业业、金金融融服服务务业业、科科研研单单位位和和医医疗疗等等网网上上作作业业系系统统。它它主主要要应应用用于于网网上上购购物物、企企业业与与企企业业的的电电子子贸贸易易、网网上上证证券券交交易易和和网网上上银银行行等等
58、方方面面。CA中中心心还还可可以以与与企企业业代代码码中中心心合合作作,将将企企业业代代码码证证和和企企业业数数字字安安全全证证书书一一体体化化,为为企企业业网网上上交交易易、网网上上报报税税和和网网上上作作业业奠奠定定基基础础。数数字字证证书书广广泛泛应应用用,对网络经济活动有非常重要的意义。对网络经济活动有非常重要的意义。5.3.5 认证中心认证中心CA(Certification Authority)是是认认证证机机构构的的国国际际通通称称,主主要要对对数数字字证证书书进进行行管管理理,负负责责证证书书的的申申请请、审审批批、发放、归档、撤销、更新和废止等。发放、归档、撤销、更新和废止等
59、。 CA的的作作用用是是检检查查证证书书持持有有者者身身份份的的合合法法性性,并并签签发发证证书书(在在证证书书上上签签字字),以以防防证证书书被被伪伪造造或或篡篡改改。CA是是权权威威的的、公公正正的的提提供供交交易易双双方方身身份份认认证证的的第第三三方方机机构构,在在电电子子商商务务体体系系中中起起着着举举足足轻轻重重的的作作用用。数数字字证证书书实实际际上上是是存存放放在在计计算算机机上上的的一一个个记记录录,是是由由CA签签发发的的一一个个声声明明,证证明明证证书书主主体体(“证证书书申申请请者者”被被发发放放证证书书后后即即成成为为“证证书书主主体体”)与与证证书书中中所所包包含含
60、的的公公钥钥的的唯唯一一对对应应关关系系。证证书书包包括括证证书书申申请请者者的的名名称称及及相相关关信信息息、申申请请者者的的公公钥钥、签签发发证证书书的的CA的的数数字字签签名名及及证证书书的的有有效效期期限限等等内内容容。数数字字证证书书的的作作用用是是使使网网上上交交易易的的双双方方互互相相验验证证身身份份,保保证证电电子子商商务务的正常进行。的正常进行。5.3 信息认证技术5.3.5 认证中心认证中心一个一个CA系统主要包括以下几大组成部分:系统主要包括以下几大组成部分:认证中心(CA)负责产生和确定用户实体数字证书审核部门(RA)负责对证书申请者进行资格审查证书操作部门(CP)为已
61、被授权的申请者制作、发放和管理证书密钥管理部门(KM)负责产生实体的加密密匙(托管服务)证书存储地(DIR)包括网上所有的证书目录2024/8/576作用:作用: 验证网站是否可信(针对验证网站是否可信(针对HTTPS) 验证某文件是否可信(是否被篡改)验证某文件是否可信(是否被篡改)在很多情况下,安装在很多情况下,安装CA证书并不是必要的。大多数操证书并不是必要的。大多数操作系统的作系统的CA证书是默认安装的。这些默认的证书是默认安装的。这些默认的CA证书由证书由GoDaddy或或VeriSign等知名的商业证书颁发机构颁发等知名的商业证书颁发机构颁发。【案例5】广东省电子商务认证中心5.4
62、 电子商务安全协议5.4.1 SSL协议协议 SSL(Secure Socket Layer,安安全全套套接接层层)协协议议是是由由Netscape公公司司研研究究制制定定的的安安全全协协议议,该该协协议议向向基基于于TCP/IP的的客客户户端端/服服务务器器应应用用程程序序提提供供客客户户端端和和服服务务器器的的鉴鉴别别、数数据据完完整整性性及及信信息息机机密密性性等等安安全全措措施施。它它是是指指通通信信双双方方在在通通信信前前约约定定使使用用的的一一种种协协议议方方法法,该该方方法法能能够够在在双双方方计计算算机机之之间间建建立立一一个个秘秘密密信信道道,凡凡是是一一些些不不希希望望被被
63、他他人人知知道道的的机机密密数数据据都都可可以以通通过过公开的通路传输,不用担心数据会被别人偷窃公开的通路传输,不用担心数据会被别人偷窃。只只保保证证信信息息传传输输过过程程中中不不被被窃窃取取、篡篡改改,但但不不提提供供其其他他安安全保证。全保证。2024/8/579SSL提供的服务:提供的服务:1)认证用户和服务器,确保数据发送到正确的客)认证用户和服务器,确保数据发送到正确的客户机和服务器;户机和服务器;2)加密数据以防止数据中途被窃取;)加密数据以防止数据中途被窃取;3)维护数据的完整性,确保数据在传输过程中不)维护数据的完整性,确保数据在传输过程中不被改变。被改变。SSL协议提供的安
64、全通道有以下三个特性:协议提供的安全通道有以下三个特性:机密性:机密性:SSL协议使用密钥加密通信数据。协议使用密钥加密通信数据。可靠性:服务器和客户都会被认证,客户的认可靠性:服务器和客户都会被认证,客户的认证是可选的。证是可选的。完整性:完整性:SSL协议会对传送的数据进行完整性检协议会对传送的数据进行完整性检查。查。安全套接层安全套接层(SSL)(SSL)协议协议安全套接层安全套接层(SSL)(SSL)协议协议2024/8/581SSL协议的握手过程协议的握手过程开始加密通信之前,客户端和服务器首先必须建立连接和交换参数,这个过程叫做握手(handshake)。假定客户端叫做爱丽丝,服务
65、器叫做鲍勃,整个握手过程可以用下图说明(点击看大图)。2024/8/582工作流程工作流程5.4 电子商务安全协议5.4.2 SET协议协议 SET(Secure Electronic Transaction)协议,即安)协议,即安全电子交易协议,是由全电子交易协议,是由MasterCard和和Visa联合联合Netscape、Microsoft等公司,于等公司,于1997年年6月月1日推出的一种电子支日推出的一种电子支付模型。它采用公钥密码体制和付模型。它采用公钥密码体制和X.509数字证书标准,主数字证书标准,主要应用于要应用于保障网上购物信息保障网上购物信息的安全性。的安全性。SET协议
66、是协议是B2C上上基于信用卡支付模式而设计的,它保证了在开放网络上使基于信用卡支付模式而设计的,它保证了在开放网络上使用信用卡进行在线购物的安全。用信用卡进行在线购物的安全。SET主要是为了解决用户、主要是为了解决用户、商家、银行之间通过信用卡的交易而设计的。不仅具有加商家、银行之间通过信用卡的交易而设计的。不仅具有加密机制,可通过数字签名,数字信封等实现身份鉴别和不密机制,可通过数字签名,数字信封等实现身份鉴别和不可否认性。可否认性。SET协议运行的主要目标:协议运行的主要目标:1. 防防止止数数据据被被非非法法用用户户窃窃取取,保保证证信信息息在在互互联联网网上上安安全全传输。传输。2.
67、SET 中中使使用用了了一一种种双双签签名名技技术术保保证证电电子子商商务务参参与与者者信信息息的的相相互互隔隔离离。客客户户的的资资料料加加密密后后通通过过商商家家到到达达银银行行,但但是是商家不能看到客户的帐户和密码信息。商家不能看到客户的帐户和密码信息。3. 解解决决多多方方认认证证问问题题。不不仅仅对对客客户户的的信信用用卡卡认认证证,而而且且要对在线商家认证,实现客户、商家和银行间的相互认证。要对在线商家认证,实现客户、商家和银行间的相互认证。4. 保保证证网网上上交交易易的的实实时时性性,使使所所有有的的支支付付过过程程都都是是在在线线的。的。5. 提提供供一一个个开开放放式式的的
68、标标准准,规规范范协协议议和和消消息息格格式式,促促使使不不同同厂厂家家开开发发的的软软件件具具有有兼兼容容性性和和互互操操作作功功能能。可可在在不不同同的的软硬件平台上执行并被全球广泛接受。软硬件平台上执行并被全球广泛接受。2024/8/585与与实实际际的的购购物物流流程程非非常常接接近近。从从顾顾客客通通过过浏浏览览器器进进入入在在线线商商店店开开始始,一一直直到到所所定定货货物物送送货货上上门门或或所所定定服服务务完完成成,然然后帐户上的资金转移,所有这些都是通过后帐户上的资金转移,所有这些都是通过Internet完成的完成的2024/8/586 其具体流程为:其具体流程为: 持持卡卡
69、人人在在商商家家的的WEBWEB主主页页上上查查看看在在线线商商品品目目录录浏浏览览商品。商品。 持卡人选择要购买的商品。持卡人选择要购买的商品。 持卡人填写定单,定单通过信息流从商家传过来。持卡人填写定单,定单通过信息流从商家传过来。 持卡人选择付款方式,此时持卡人选择付款方式,此时SETSET开始介入。开始介入。 持持卡卡人人发发送送给给商商家家一一个个完完整整的的定定单单及及要要求求付付款款的的指指令令。在在SETSET中中,定定单单和和付付款款指指令令由由持持卡卡人人进进行行数数字字签签名名。同同时时利利用用双双重重签签名名技技术术保保证证商商家家看看不不到到持持卡卡人人的的帐号信息。
70、帐号信息。 商商家家接接受受定定单单后后,向向持持卡卡人人的的金金融融机机构构请请求求支支付付认认可可。通通过过GatewayGateway到到银银行行,再再到到发发卡卡机机构构确确认认,批批准准交易。然后返回确认信息给商家。交易。然后返回确认信息给商家。 商商家家发发送送定定单单确确认认信信息息给给顾顾客客。顾顾客客端端软软件件可可记录交易日志,以备将来查询。记录交易日志,以备将来查询。 商商家家给给顾顾客客装装运运货货物物,或或完完成成订订购购的的服服务务。到到此此为为止止,一一个个购购买买过过程程已已经经结结束束。商商家家可可以以立立即即请请求求银银行行将将货货款款从从购购物物者者的的帐
71、帐号号转转移移到到商商家家帐帐号号,也也可以等到某一时间,请求成批划帐处理。可以等到某一时间,请求成批划帐处理。 商商家家从从持持卡卡人人的的金金融融机机构构请请求求支支付付。在在认认证证操操作和支付操作中间一般会有一个时间间隔。作和支付操作中间一般会有一个时间间隔。 前前三三步步与与SETSET无无关关,从从第第四四步步开开始始SETSET起起作作用用。在在处处理理过过程程中中,通通信信协协议议、请请求求信信息息的的格格式式、数数据据类类型型的的定定义义等等,SETSET都都有有明明确确的的规规定定。在在操操作作的的每每一一步步,持持卡卡人人、商商家家、网网关关都都通通过过CACA来来验验证
72、证通通信信主主体体的身份,以确认对方身份。的身份,以确认对方身份。 SSL协议协议SEL协议协议参与参与方方客户、商家和网上银行客户、商家和网上银行客户、商家、支付网关、认证中心和网客户、商家、支付网关、认证中心和网上银行上银行软软件件费用费用已被大部分已被大部分Web浏览器和浏览器和Web服务器所内置,因此可直服务器所内置,因此可直接投入使用,无需额外的接投入使用,无需额外的附加软件费用附加软件费用必须在银行网络、商家服务器、客户机必须在银行网络、商家服务器、客户机上安装相应的软件,而不是象上安装相应的软件,而不是象SSL协协议可直接使用,因此增加了许多附加议可直接使用,因此增加了许多附加软
73、件费用软件费用便便捷捷性性SSL在使用过程中无需在客户在使用过程中无需在客户端安装电子钱包,因此操端安装电子钱包,因此操作简单;每天交易有限额作简单;每天交易有限额规定,因此不利于购买大规定,因此不利于购买大宗商品;支付迅速,几秒宗商品;支付迅速,几秒钟便可完成支付钟便可完成支付SET协议在使用中必须使用电子钱包进协议在使用中必须使用电子钱包进行付款,因此在使用前,必须先下载行付款,因此在使用前,必须先下载电子钱包软件,因此操作复杂,耗费电子钱包软件,因此操作复杂,耗费时间;每天交易无限额,利于购买大时间;每天交易无限额,利于购买大宗商品;由于存在着验证过程,因此宗商品;由于存在着验证过程,因
74、此支付缓慢,有时还不能完成交易支付缓慢,有时还不能完成交易安安全全性性只有商家的服务器需要认证,只有商家的服务器需要认证,客户端认证则是有选择的;客户端认证则是有选择的;缺少对商家的认证,因此缺少对商家的认证,因此客户的信用卡号等支付信客户的信用卡号等支付信息有可能被商家泄漏息有可能被商家泄漏安全需求高,因此所有参与交易的成员:安全需求高,因此所有参与交易的成员:客户、商家、支付网关、网上银行都客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份;保必须先申请数字证书来认识身份;保证了商家的合法性,并且客户的信用证了商家的合法性,并且客户的信用卡号不会被窃取,替消费者保守了更卡号不会被
75、窃取,替消费者保守了更多的秘密,使其在结购物和支付更加多的秘密,使其在结购物和支付更加放心放心SSL和和SET的比较:的比较:(1)认证机制()认证机制(SET的安全要求较高)的安全要求较高)(2)设设置置成成本本(SET交交易易需需要要安安装装符符合合规规格格的的电电子子钱钱包包软件,软件,SSL不需要另外按照软件)不需要另外按照软件)(3)安全性()安全性(SET安全性较高)安全性较高)(4)基于)基于Web的应用(的应用(SET通用性更高)通用性更高)2024/8/590 【思考】 如何减少和避免网络诈骗?1、给自己的电脑和手机安装杀毒软件,定期杀毒应该成为一种习惯;2、进行网银、支付宝
76、操作时,要确保使用安全的浏览器和登录正确的网址;3、在网上购物,要选择正规、大型电商。设置复杂支付密码,并定期更换,最好选择“密码校验码”双重验证;4、在网站注册账号时,只填带*号的必填项,尽量提供最少的信息;5、不随意打开陌生邮件,尤其是带附件的邮件或者声称中大奖的邮件; 6、尽量别“蹭网”,公共场所的未知WiFi一定不要链接;7、如今在微信上测性格、运势等链接泛滥。这些链接通常会要求你提供姓名、年龄等基本信息,后台还会直接获取你的手机号码等信息;8、不要把个人敏感照片、数据上传到云端;9、尽可能不要再网站上以全部明文方式公开自己的姓名、电话号码和家庭住址等信息。比如,可以写裴先生,但尽量不要写裴智勇。再有,像现在的很多租房网站,都会对用户联系信息隐藏几位。这种放肆就相对安全的多,起码不至于让人随便一搜索就搜到;10、用户如果发现个人信息出现泄漏,希望能够删除相关信息的时候,除了在原网站上要求删除外,还可以通过搜索引擎来查阅自己的信息还在哪些地方存在(不一定是快照,也可能是其他网站)。这样一来,就相对安全多了。2024/8/592
