《电子商务安全》由会员分享,可在线阅读,更多相关《电子商务安全(154页珍藏版)》请在金锄头文库上搜索。
1、电子商务概论电子商务概论电子商务专业本科生课程电子商务专业本科生课程电子商务概论电子商务网站建设规划与维护电子商务网站建设规划与维护电子商务网站建设规划与维护电子商务网站建设规划与维护07电子货币与网络支付电子货币与网络支付电子货币与网络支付电子货币与网络支付09电子商务物流配送与管理电子商务物流配送与管理电子商务物流配送与管理电子商务物流配送与管理1008电子商务安全电子商务安全电子商务安全电子商务安全电子商务概论 环境永远不会十全十美,消极的人受环境控制,积极的人却环境永远不会十全十美,消极的人受环境控制,积极的人却控制环境。控制环境。 索普(中国)有限公司常务副总裁姜涟索普(中国)有限公
2、司常务副总裁姜涟电子商务概论本章学习目标:本章学习目标:掌握电子商务对网络安全的需求;掌握电子商务对网络安全的需求;了解网络病毒的防范方法;了解网络病毒的防范方法;了解电子商务安全常用的认证技术;了解电子商务安全常用的认证技术;掌握个人数字证书的申请、安装与使用;掌握个人数字证书的申请、安装与使用;了解防火墙的功能与使用;了解防火墙的功能与使用;掌握掌握SETSET与与SSLSSL协议之间的区别;协议之间的区别;掌握电子商务中的信用安全及解决措施;掌握电子商务中的信用安全及解决措施;了解电子商务面临的安全风险及管理对策。了解电子商务面临的安全风险及管理对策。第第8章章 电子商务安全电子商务安全
3、8.1 电子商务系统安全概述电子商务系统安全概述 8.2 电子商务网络安全电子商务网络安全8.3 电子商务交易安全电子商务交易安全8.4 电子商务信用安全电子商务信用安全8.5 电子商务安全电子商务安全风险管理风险管理电子商务概论案案 例例v国外国外2000年2月7日9日,Yahoo,ebay,Amazon等著名网站被黑客攻击,直接和间接损失10亿美元。2003年,易趣用户收到“网络钓鱼”邮件v国内国内2000年春天,有人利用普通的技术,从电子商务网站窃取到8万个信用卡号和密码,标价26万元出售。2009年QQ交谈中以网上购物打折为诱饵电子商务概论CNNIC调查结果(调查结果(2003年年1月
4、)月)用户认为目前网上交易存在的最大问题是:用户认为目前网上交易存在的最大问题是: 安全性得不到保障:安全性得不到保障: 23.4% 付款不方便:付款不方便: 10.8% 产品质量、售后服务及厂商信用得不到保障:产品质量、售后服务及厂商信用得不到保障:39.3% 送货不及时:送货不及时: 8.6% 价格不够诱人:价格不够诱人: 10.8% 网上提供的信息不可靠:网上提供的信息不可靠: 6.4% 其它:其它: 0.7%电子商务概论CNNIC调查结果(2004年1月)电子商务概论8.1电子商务系统安全概述1.电子商务的安全,从整体上可分为两部分:(1)计算机网络安全:包括计算机网络设备、网络系统、
5、数据库等的安全。(2)商务交易安全:即实现电子商务的保密性、信息的完整性、可鉴别性、不可伪造性和不可抵赖性,保证电子商务过程的顺利进行。电子商务概论2.电子商务安全构架网络安全技术网络安全技术病毒防范身份识别技术分组过滤和代理技术防火墙技术交易安全技术交易安全技术电子商务业务系统电子商务支付系统安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法非对称密钥加密、对称密钥加密DES、RSA安全认证手段消息摘要、数字签名、数字信封、CA体系安安全全管管理理体体系系法律、法规和政策电子商务概论 注意: 1)网络安全是商务交易安全的基础;而法律、法规和相关政策是整个电子商务安全的基础。
6、2)技术保障、法律控制、社会道德规范、完善的管理政策和制度共同构成电子商务的安全体系。电子商务概论3.国际通用电子商务安全协议(1)安全套接层协议SSL(2)安全电子交易协议SET(3)安全超文本传输协议S-HTTP(4)Internet电子邮件安全协议电子商务概论(1)安全套接层协议SSL1)安全套接层协议的概念 安全套接层协议(安全套接层协议(Secure Sockets Layer),是由网景公司设计开发的,向基于基于TCP/IPTCP/IP协议协议的客户/服务器应用程序提供客户端和服务器之间的安全连接技术,实现兼容浏览器和服务器(通常是WWW服务器)之间安全通信安全通信的协议,主要用于
7、提高应用程序之间的数据安全系数。电子商务概论 SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号,双方确定将要使用的安全级别并交换数字证书。每个计算机都要正确识别对方。在SSL对SSL所支持的客户机和服务器间的所有通讯都加密后,窃听者得到的是无法识别的信息。电子商务概论2)安全套接层协议SSL的工作原理SSL安安全全加加密密机机制制主主要要是是使使用用数数字字证证书书来来实实现现的的。当采用了SSL加密机制后,客户机首先要与IIS服务器建立通信连接,IIS服务器会把数字证书和公开密钥发送给客户机,与客户机交换密码,一般选用的是RSA密码算法(也有选用Diffie-Hellman
8、和Fortezza-KEA密码算法),当身份验证确认后,这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器,IIS服务器接到这个会话密钥后会对会话密钥进行解密,这时用户就和IIS服务器建立了一条加密通信通道。电子商务概论SSL 协议协议既既用用到了到了公钥加密技术公钥加密技术又用到了又用到了对对称加密技术称加密技术,对称加密技术虽然比公钥加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份的速度快,可是公钥加密技术提供了更好的身份认证技术。认证技术。 电子商务概论SSL协协议议对对基基于于TCPIP网网络络的的客客户户机机/服服务务器器提提供供下下列安
9、全服务列安全服务:认证用户和服务器:用服务器端证书认证Web服务器的资格(在电子商务中就是认证网上商店的资格),用客户端证书认证客户身份,以能确信数据被发送到正确的客户机和服务器上。对通信数据进行加密:SSL协议采用了对称加密技术(DES)和公、私钥加密技术(RSA)。维护数据的完整性:使用消息摘要技术确保数据在传输过程中不被改变。3)SSL协议提供的安全服务协议提供的安全服务电子商务概论(1)客户机向服务器打招呼,并将本机可支持的安全模块告诉服务器。(2)服务器回应客户机,向客户机发送本机的服务器数字证书、公钥,如果服务器需要双方认证,还要向对方提出认证请求。(3)客户机用服务器公钥加密向服
10、务器发送自己的公钥,根据服务器是否需要认证客户身份,发送客户端数字证书。4)SSL协议的通信过程协议的通信过程电子商务概论(4)双方根据前面联络的情况,确定专门用于本次会话的专用密钥。(5)双方使用专用密钥进行会话。(6)会话结束时双方交换结束信息。在电子商务交易中,客户、商家和银行之间都遵从SSL协议进行通信。客户信息先发送到商家,商家再将信息发送到银行,银行验证客户信息(如信用卡信息)的合法性后,通知商家付款成功,商家再通知客户交易成功,并将商品配送给客户。电子商务概论首先,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证;第二,SSL只能保证资料传递过程的安全性,而传递
11、过程是否有人截取就无法保证了;第三,系统安全性差,SSL协议的数据安全性其实就是建立在RSA等算法的安全性之上,因此,从本质上来讲,攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制,因此,目前进入我国的实现了SSL的产品(Web浏览器和服务器)的公钥和对称密钥的比特位位数有限。目前已有攻破此协议的例子。5)5)SSL协议的缺点协议的缺点电子商务概论(2 2)安全电子交易协议)安全电子交易协议SETSET 为了克服SSL安全协议的缺点,更为了达到交易安全及合乎成本效益之市场要求,VISA和MasterCard联合其他国际组织,共同制定了安全电子交易(Secure Electronic
12、Transaction,SET)协议。 电子商务概论 在SET中采用了双重签名技术,支付信息支付信息和订订单信息单信息是分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息,这些涉及到与银行业务相关的保密数据对支付网关是不保密的,因此支付网关必须由收单银行或其委托的信用卡组织来担当。电子商务概论(1) SET协议提供如下安全保障协议提供如下安全保障:所有信息在Internet上加密安全传输,保证数据不被他人窃取。数字签名保证信息的完整性和不可否认性。订单信息和个人信用卡信息的隔离,商家看不到客户的信用卡信息。参与交易各方的身份认证,
13、保证各方身份不可假冒。电子商务概论(2) 采用采用 SET协议的交易有如下对象协议的交易有如下对象:消费者(持卡人):持信用卡在网上购物的人。网上商店:网上构建的符合SET协议要求的商店。发卡银行:发行信用卡给持卡人的银行,网上交易时负责查验持卡人的有关卡的信息。收单银行:网上商店的开户银行,交易时接收商店传送来的付款数据,向发卡银行查验信用卡,请求转账清算。支付网关:银行内部网与Internet的连接设备,负责将商店传送的付款信息转送到内部网络进行处理。认证中心CA:第三方权威机构,提供持卡人、商店、银行、支付网关的身份认证服务。电子商务概论SET协议的参与对象协议的参与对象电子商务概论(3
14、) SET协议的工作程序协议的工作程序:消费者利用自己的PC通过因特网浏览网上商店,选定所要购买的物品,并在计算机上输入订单。订单上需包括网上商店、购买物品名称及数量、交货时间及地点等相关信息。消费者选择付款方式,确认订单,签发付款指令,此时SET开始介入。在SET中,客户端软件自动对订单和付款指令进行数字签名,将信息加密传送给网上商店,同时利用双重签名技术保证商家看不到消费者的账号信息。电子商务概论网上商店接受加密订单后,只能对订单解密,信用卡信息则传送到收单银行请求支付认可。信用卡信息通过支付网关到收单银行,再到发卡银行确认。批准交易后,返回确认信息给网上商店。网上商店发送订单确认信息给消
15、费者。消费者端软件可记录交易日志,以备将来查询。网上商店发送货物或提供服务,并通知收单银行将款项从消费者的账号转到商店账号,或通知发卡银行请求支付。电子商务概论在上述处理过程中,SET对通信协议、请求信息的格式、数据类型的定义等都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA来验证通信主体的身份,以确保通信的对方不是冒名顶替。所以,也可以简单地认为,SET规格充分发挥了认证中心的作用,维护了在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。电子商务概论(4) SET协议的不足之处:协议的不足之处:协议没有说明收单银行给商家付款前,是否必须收到客户的货物接受证书。如
16、果在客户没收到货款前,收单银行已把货款付给了商家,一旦客户对货物的质量标准提出疑义,责任由谁承担。协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。电子商务概论SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据,是否应当将数据保存在客户、商家或收单银行的计算机里。协议复杂,使用成本高,且只适用于客户安装了“电子钱包”的场合。根据统计,在一个典型的SET交易过程中,需验证数字证书9次,验证数字签名6次,传递证书7次,进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能需要花费1.52分钟。电子商务概论(3)S-HTTP安全超文本传输
17、协议S-HTTP是HTTP的扩展,它提供了多种安全功能,包括客户机与服务器认证、加密、请求/响应的不可否认等。SHTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需(Required)、可选(Option)还是拒绝(Refused)。当其中一方确定了某个安全特性为“必需”时,只有另一方(客户机或服务器)同意执行同样的安全功能时才能开始连接,否则不能建立安全通讯。电子商务概论 SHTTP是通过其交换包的特殊头标志来建立安全通讯的。头标志定义了安全技术的类型,包括使用私有密码加密、服务器认证、客户机认证和消息的完整性。一旦客户机和服务器同意彼此之
18、间安全措施的实现,那么在此会话中的所有信息都将封装在安全信封里。电子商务概论(4)Internet电子邮件安全协议电子邮件是电子商务应用的主要途径之一,但它的安全措施不是很强。相关的安全规范主要有:1)PEM是通过Internet传输安全性商务邮件的非正式标准,允许使用公开密钥和专用密钥的加密方式。2)S/MIME(安全的多功能电子邮件协议扩充):MIME是正式的Internet电子邮件扩充标准格式,S/MIME是在MIME上定义安全服务措施的实施方式。3)PEM-MIME对象安全服务(MOSS):将PEM和MIME两者的特性进行结合。电子商务概论4. 电子商务安全的特性(1)电子商务安全是一
19、个系统的概念(2)电子商务安全是相对的(3)电子商务安全是有代价的(4)电子商务安全是发展的、动态的电子商务概论5. 安全威胁与防护措施安全威胁与防护措施v所谓安全威胁:是指人、物、事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。某种攻击就是某种威胁的具体实现。v所谓防护措施:是指保护资源免受威胁的一些物理的控制、机制和过程。电子商务概论(1)安全威胁的分类)安全威胁的分类1)基本的威胁:-信息泄露;-完整性破坏;-非法使用;-渗入威胁;-植入威胁;2)潜在威胁:-窃听;-操作人员不谨导致信息泄露;-人员安全。电子商务概论(2)在电子商务活动中,消费者面临的威胁有: 1)虚假订单
20、。 2)付款后不能收到商品。 3)机密性丧失。 4)拒绝服务。 5)电子货币丢失。电子商务概论(3)电子商务服务器面临的安全威胁: 1)系统中心安全性被破坏。 2)竞争者的威胁。 3)商业机密的安全。 4)假冒的威胁。 5)信用的威胁。电子商务概论6.电子商务的安全需求电子商务的安全需求电子商务除了以上六个主要方面的安全需求外,还有匿名性服务(隐匿参与者身份、保护个人或组织隐私)等需求。机密性完整性真实性不可抵赖性可靠性内部网的严密性电子商务安全需求核心(认证性)(不可拒绝性)(访问控制性)电子商务概论 系统互联与网络互联数量的增加,使任何系统都潜在地存在着已知或未知用户对网络进行非法访问的可
21、能性。 人们越来越多地使用网络传递安全敏感信息。 对攻击者来说,可以得到的技术是越来越先进了,并且这些技术的成本在下降,从而使密码分析技术的实现变得越来越容易。 网络安全的根本在于保护网络中的信息免受各种攻击。网络安全的根本在于保护网络中的信息免受各种攻击。电子商务概论7.安全业务安全业务在网络中,主要的安全防护措施被称为安全业务。以下是五种通用的安全业务:1)认证业务(对业务访问者提供身份认证); 2)访问控制业务; 3)保密业务(提供对信息的保密); 4)数据完整性业务(防止未经授权修改数据); 5)不可否认业务。电子商务概论对付典型安全威胁的安全业务对付典型安全威胁的安全业务安全威胁安全
22、业务假冒攻击认证业务授权攻击访问控制业务窃听攻击保密业务完整性攻击完整性业务业务否认不可否认业务业务拒绝认证业务、访问控制业务、完整性业务电子商务概论8电子商务系统安全的管理对策电子商务系统安全的管理对策v企业在参与电子商务初期,就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)系统的日常维护制度。(5)病毒防范制度。(6)应急措施。电子商务概论9网络安全的技术对策网络安全的技术对策网络安全技术主要有如下对策:(1)网络安全检测设备,实施安全监控。(2)开发各种具有较高安全性的访问设备,用于支持身份认证、
23、小批量购买授权及实际和虚拟访问控制,如安全磁盘、智能卡等。(3)建立安全的防火墙体系。(4)加强数据加密的工作。(5)数据完整性的控制,包括数据是否来自正确的发送方而非假冒者,接收的内容与发送时是否一致,数据有无重复接收等。保护数据完整性的措施是增加敌方所不能控制的冗余信息。(6)建立认证中心,并建立证书的认证与发放。(7)建立合理的鉴别机制。(8)通信流的控制。除此之外,还有保护传输线路安全、访问控制、路由选择机制、端口保护、安全检测、审查和跟踪等措施。电子商务概论10电子商务安全的法律保护电子商务安全的法律保护电子商务安全法律制度是电子交易安全的又一道防线。主要涉及的法律要素有:(1)有关
24、认证(CA)中心的法律。(2)有关保护个人隐私、个人秘密的法律。(3)有关电子合同的法律。(4)有关电子商务的消费者权益保护法。(5)有关网络知识产权保护的法律。电子商务概论8.2电子商务网络安全1.网络安全概述2.防火墙技术3.身份识别技术4.虚拟专用网VPN技术5.病毒防范技术电子商务概论1.网络安全概述网络安全概述(1)开放的网络环境:)开放的网络环境:所谓开放系统是指计算机和计算机通信环境根据行业标准的接口所建立起来的计算机系统。电子商务概论开放系统的特征:开放系统的特征: -符合各类标准; -技术公开; -可移植性; -兼容性; -互操作性; -可延伸性。 开放的Internet使得
25、无穷的资源访问成为可能,因此它带来了无限商机。 开放系统是人们渴望的,但是开放也会带来一些问题。开放系统是人们渴望的,但是开放也会带来一些问题。电子商务概论Internet与与IntranetvInterneta)全球性的网络,唯一; b)资源共享,开放; c)安全机制松散,没有统一的管理。vIntraneta)企业内部网络; b)大量单位内容敏感信息,安全保密至关重要; c)集中管理。 如何解决Internet与Intranet之间的连通,为用户提供应有的服务,同时又能保证内部资源和信息的安全性,这是网络中一个非常关键的技术,也是一个难点。电子商务概论2.2.防火墙技术防火墙技术(1)防火墙
26、的基本概念(2)防火墙的组成(3)防火墙的主要功能(4)实现防火墙的主要技术(5)防火墙类型(6)防火墙应用策略(7)防火墙局限性与自身安全电子商务概论(1 1)防火墙的基本概念)防火墙的基本概念: : 防火墙(Firewall)是在Internet与Intranet之间构筑的一道屏障,用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯。 电子商务概论 防火墙控制Internet和 Intranet之间的所有数据流量,既控制和防止Intranet中有价值数据流向Internet,也控制和防止来自Internet的无用垃圾流入Intranet.电子商务概论(2)防火
27、墙的组成 不同站点的防火墙构造大都是不相同的,通常由一套硬件和适当软件组成,主要包括五部分:安全操作系统、过滤器、网关、域名服务器和Email处理。 防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者的攻击。电子商务概论防火墙的构成防火墙的构成 电子商务概论(3)防火墙的主要功能1)过滤进出网络的数据包,是网络安全的屏障。2)管理进出网络的访问行为,强化网络安全策略。3)封堵某些禁止的访问行为,对网络存取和访问进行监控审计。4)记录通过防火墙的信息内容和行为,防止内部信息的外泄。5)对网络攻击进行检测和告警。电子商务概论(4)实现防火墙的主要技
28、术 防火墙可由硬件实现,也可由软件实现,一般是软件、硬件结合的产物。实现防火墙的主要技术: 1 1)包过滤技术)包过滤技术(Packet filter) 2 2)应用级网关)应用级网关(application gateway) 3 3)代理服务器技术)代理服务器技术(proxy server)电子商务概论1 1)包过滤技术)包过滤技术(Packet filterPacket filter): : 在网络层对通过的数据包进行过滤,把满足过滤规则的数据包都发送到目的地址端口,把不满足规则的数据包从数据流中除掉。电子商务概论2 2)应用级网关()应用级网关(application gateway)a
29、pplication gateway): 建立在网络应用层上的协议过滤技术,它在内部网络和外部网络之间设置一个代理主机,并针对特定的网络应用服务采取特定的数据过滤规则或逻辑,同时还对数据包进行统计分析,形成数据报告。电子商务概论3 3)代理服务器技术)代理服务器技术(proxy server): 利用一个应用级网关作为代理服务器,防止Internet上的非法用户直接获取Intranet中的情况。电子商务概论(5 5)防火墙类型)防火墙类型按实现技术可分为(按实现技术可分为(4 4类):类): a)数据包过滤型防火墙:在网络层对数据包进行选择,可以动态地检测流过的TCP/IP报文头。 b)应用网
30、关型防火墙:通过对特定的网络应用服务协议使用指定的数据过滤逻辑。 数据包过滤和应用网关型防火墙有个共同特点,都是依靠特定的逻辑判定是否允许数据包通过。电子商务概论 c)代理服务型防火墙:针对数据包过滤和应用网关技术存在的缺点,将所有跨越防火墙的网络链路分为两段,外部计算机的网络链路只能到达代理服务器,与内部计算机的网络链路的所有通信都通过代理完成,从而起到隔离防火墙内外计算机系统的作用。 d)复合型防火墙:常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。电子商务概论(6 6)防火墙应用策略)防火墙应用策略 为使防火墙发挥更好的安全作用,应用防火墙时要考虑合适的应用策略。
31、 1)每一个与互联网的连接处都要有防火墙,保证整个网络有一个安全的边界。 2)对于同一个被保护网络应遵循同样的安全策略,避免出现漏洞。 电子商务概论 3)安装防火墙的计算机应当专用,并且只保留系统软件和防火墙软件。 4)把对防火墙的访问控制在直接连到防火墙的控制台上,不允许远程访问。 5)防火墙需要积极地维护和升级(保护网络安全是动态的过程)。电子商务概论(7)防火墙局限性与自身安全 防火墙只是网络安全策略中的一个组成部分,它也有自身的局限性,主要表现在其无法理解数据内容和无法控制绕过它的数据流两种情况。 首先,防火墙主要是保护网络系统安全的,不能保证数据安全,缺乏一整套身份认证和授权管理系统
32、。 电子商务概论 其次,它无法防范来自防火墙以外的通过其它途径刻意进行的人为攻击,无法防范来自内部用户的攻击,或内部用户因误操作而造成口令失密受到的攻击,以及病毒或者受病毒感染的文件的传输入,都可能使防火墙的安全防范失效。 电子商务概论 其三,数据在防火墙之间更新是一个难题,如果延迟太大将无法支持实时系统;防火墙采用过滤技术,常会使系统性能降低50%以上。 (防火墙常作为辅助安全策略)电子商务概论3.身份识别技术常用身份识别技术:(1)口令(2)标记法(3)生物特征法基本思想: 通过验证被识别对象的属性来确认被识别对象是否真实有效。电子商务概论(1)口令:是传统的认证技术。要求被认证对象提交口
33、令,认证方(提供服务方)将其与系统中存储的用户口令进行比较,以确认是否为合法的访问者。口令以明文方式输入,易泄密,或被截获,被盗用。3.身份识别技术电子商务概论(2)标记法: 标记:是记录着用于机器识别的个人信息的介质,其作用类似于钥匙,用于启动电子设备。 由于易被修改和转录,逐渐被智能卡代替。电子商务概论(3)生物特征法: 采用模式识别技术,基于物理特征和行为特征自动识别人员。 每个人都有唯一且稳定的特征,如指纹、眼睛以及说话和书写等做事的标准方法,这些特征非常难以伪造并且几似一直可用。 是数字证书和智能卡未来的选择。电子商务概论4.虚拟专用网技术(VPN)(1)VPN的定义虚拟专用网(Vi
34、rtual Private Network,VPN)是在公用的网络中建立专用的数据通信网络技术。VPN利用开放、公共、不设防的Internet作为基本传输介质,通过安全网络协议,形成专用的虚拟链路,在网上传送IP数据包,能够为最终用户提供类似于通常专用网络性能的网络服务技术。电子商务概论 在VPN中任意两个节点之间并没有端到端的物理连接,它是逻辑专用网络,并不是物理上的专用网络。非常适合于EDI。电子商务概论(2)VPN的特点在虚拟引用网中交易双方比较熟悉,而且彼此之间的数据通信量、很大。只要交易双方取得一致在虚拟专用完整能够中就可以使用比较复杂的加密和认证技术,从而大大提高电子商务的安全性。
35、例:原料供应商生产厂产品批发商(降低成本、提高效率、比Internet安全性更强)电子商务概论5.病毒防范技术(1)网络反病毒技术 1)预防病毒技术 2)检测病毒技术 3)消除病毒技术电子商务概论(2)计算机病毒的防范措施 1)给自己的电脑安装防病毒软件 2)认真执行病毒定期清理制度 3)控制权限 4)高度警惕网络陷阱 5)不打开陌生地址的电子邮件6)加强数据备份和恢复措施7)对敏感设备和数据要建立物理或逻辑隔离措施等电子商务概论小小 结结 本节主要介绍了电子商务的安全体系结构和计算机网络安全技术,着重介绍了防火墙技术。 有关商务交易安全技术将在后面的课程教学中陆续介绍。电子商务概论思考题思考
36、题1.计算机网络安全的关键技术有哪些?2.防火墙的主要功能是什么?防火墙可以完成的安全业务有哪些?3.当前许多病毒是通过网络感染的,你认为通过购置防火墙或者VPN产品能有效地预防病毒吗?为什么?电子商务概论WELCOME TO WELCOME TO 谢谢 谢谢 !电子商务概论8.3 电子商务交易安全电子商务交易安全在计算机网络安全的基础上,如何实现电子商务的保密性、完整性,可鉴别性、不可伪造性和不可抵赖性,这是安全交易必须解决的问题。电子商务概论本节主要教学内容:本节主要教学内容:1.加密技术加密技术(1)加密技术简介(2)单钥密码体制(3)双钥密码体制3.认证中心认证中心CA 2.安全认证技
37、术安全认证技术(1)数字摘要(2)数字信封(3)数字时间戳(4)数字签名(5)数字证书4.交易安全技术应用交易安全技术应用(1)安全电子邮件证书(2)常用安全工具PGP(选修)电子商务概论1. 加密技术加密技术加密技术是保护信息安全的主要手段之一,它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。采用密码的方法可以隐蔽和保护需要保密的信息,使未授权者不能提取信息。电子商务概论1. 加密技术加密技术(1)密码学概述:)密码学概述:密码学包括编码学和密码分析学,是编码和破码的学问。密码编码技术和密码分析技术是相互依存、密不可分的两个方面。加密学有着悠久而灿烂的历史。关于完整的加密学史
38、,Kahn的著作(1967)仍值得一读;对于加密学现状的全面了解,可参见Kaufman等(1995)、Schneier1996、Stinson1995。电子商务概论1.加密技术加密技术(1)密码学概述:密码学需要高深的数学知识支持,但加密的概念本身却很简单。1)几个基本概念:被传递的消息称为明文。经过以密钥(key)为参数的函数加以转换,将明文换成另一种隐蔽的形式输出,称为密文。由明文到密文的变换过程称为加密;而其逆过程就称为解密。加密时用一个算法,即通过一个加密密钥K,将明文转换成不可辨识的密文,使收发双方之外的人无法懂得其含义;当密文到到达目的地后,收信人用一个解密算法通过一个解密过程密钥
39、H,将密文再来转变为明文。电子商务概论2)加、解密过程模型发信人加密方法解密方法密文收信人明文明文被动侵犯者只能监听主动侵犯者可以修改消息加密密钥K解密密钥HC=EK(P)侵犯者密文密文电子商务概论3)加密和解密的示范 以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为17,加密算法为将明文加上密钥17,就得到一个密码表。 表1 一个简单的密码表字母ABCZ空格,./:?明文 01020326272829303132密文 18192043444546474849电子商务概论4)加密的分类)加密的分类传统的加密方法可分为两类:替换密码和位移
40、密码。现代密码学采用的基本思想和古典密码学相同:替换和变位,但侧重点不同。旧时使用的算法简单,靠长密钥保密;今天恰恰相反,使用的算法设计得十分复杂。按密钥和相关加密程序类型可把加密分为:散列编码、对称加密和非对称加密。 散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变,原散列值就会与由接收者所收消息计算出的散列值不匹配。电子商务概论(2)对称加密(单钥密码体制)对称加密(单钥密码体制)对称加密又称私有密钥加密,它用且只用一个密钥对信息进行加密和解密,加密密钥和解密密钥相同,即K=H。对称加密技术可参见下图:对称加密技术示意图电子商务
41、概论(2)对称加密(单钥密码体制)对称加密(单钥密码体制)这种体制中,系统的保密性主要取决于系统的安全性。必须通过安全可靠的途径(如信使递送)将密钥送至接收端。如果不能有效地传递密钥,其应用将大大地受到限制。单钥体制目前常用算法是DES、IDEA等。DES是美国数据加密标准,是一种分组加密(即将明文消息分组逐组进行加密)算法。DES采用矩阵运算,其密钥长度是56位。IDEA是欧洲数据加密标准,采用128位加密,即密钥长度是128bit。电子商务概论(2)对称加密(单钥密码体制)对称加密(单钥密码体制)DES的最大缺陷是它的密钥长度只有56bit(较短),强力攻击的代价低于100万美元。1990
42、年S.Biham和A.Shamir提出了差分攻击的方法,采用选择明文247次攻击,最终找到了可能的密钥。目前,安全强度高于DES的算法有IDEA、RC2、RC4、SKIPJACK等。电子商务概论(2)对称加密(单钥密码体制)对称加密(单钥密码体制)单钥体制的缺点是:1)在进行保密通信之前,双方必须通过安全信道传递所用的密钥,这对于相距较远的用户可能要付出较大的代价,甚至难以实现。2)在有众多用户的网络通信下,为了使N个用户之间相互进行保密通信,将需要N(N-1)/2个密钥,当N值很大时,会占用系统很大的开销,代价也会很高。电子商务概论(3)非对称加密(双钥密码体制)非对称加密(双钥密码体制)在
43、数学的指数运算中,顺着运算容易,而反过来计算难,这种特性叫做非对称性。1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发明了RSA公开密钥密码系统,其原理就是利用指数运算难度的非对称性。在此系统中有一对密码,给别人用(可以公开)的就叫公钥,给自己用(秘密)的,就叫私钥,由收信人保管理。双钥密码体制又叫公钥密码体制。电子商务概论(3)非对称加密(双钥密码体制)非对称加密(双钥密码体制)收信人先公开一把自己的密钥,发信人用收信人的公钥加密;而收件人用自己的私钥解密。用公钥加密后的密文,只有私钥能解。公钥体制解决了密钥的发布与管理问题。商家可以公开公钥,而保留私钥。购物
44、者用公钥对发送者的信息加密,安全地传递给商家,然后由商家用自己的私钥解密。公钥体制克服了单钥体制的缺点,特别适合多用户的网络环境。因特网上使用最广泛的公钥体制是RSA。电子商务概论(3)非对称加密(双钥密码体制)非对称加密(双钥密码体制)RSA的算法如下: 选取两个足够大的质数P和Q ; 计算nPQ和z=(P1)(Q 1) ; 找出一个小于n的数e,使其符合与z互为质数; 另找一个数d,使其满足(ed) MODz1,其中MOD(模)为相除取余。 加密和解密的运算方式为: 加密过程:密文CMe(MODn);(其中M为明文,C为密文) 解密过程:明文MCd(MODn)。(n,e)为公钥;(n,d)
45、为私钥。电子商务概论(3)非对称加密(双钥密码体制)非对称加密(双钥密码体制)RSA的算法举例:假定P3,Q11,则n=PQ33,z=(P1)(Q1)=20,选择e =3,因为3和20没有公共因子。(3d)MOD(20)1,得出d7。从而得到(33,3)为公钥;(33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为将密文C的7次方模33得到明文。下表显示了非对称加密和解密的过程。明文 M密文 C解密字母序号M3M3(MOD 33)C7C7(MOD 33)字母A01101101AE0512526803181017605EN142744057812514NS1968592813
46、49292851219SZ125261175762012800000026Z电子商务概论RSA算法解决了大量网络用户密钥管理解决了大量网络用户密钥管理的难题,但是它存在的主要问题是算法的运算速度较慢运算速度较慢,较对称密码算法慢几个数量级慢几个数量级。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用通常用对称加密方法。电子商务概论非对称加密有若干优点:在多人之间进行保密信息传输所需的密钥组合数量很小;公钥没有特殊的发布要求,可以在网上公开;可实现数字签名。 非对称加密技术可参见下图: 但是,非对称性加密算法的指数运算量太大,尤其是在密钥长度
47、长的情况下,所以一般不宜用来直接加密长篇原文。(密钥越长,加密效果越好,但开销也越大)(3)非对称加密(双钥密码体制)非对称加密(双钥密码体制)电子商务概论2.安全认证技术安全认证技术是为了满足电子商务系统的安全性要求而进行的信息认证,其目的主要有:1)确定信息发送者身份;2)验证信息的完整性,确认信息在传递或存储过程中没有被修改过。 常见安全认证技术有:数字摘要、数字签名、数字信封、数字时间戳、数字证书等。电子商务概论(1 1)数字摘要()数字摘要(Digital DigestDigital Digest) 数字摘要:是确保信息完整性的技术,它采用单向散列函数(Hash函数)对文件中若干重要
48、元素进行某种变换运算得到固定长度的摘要码(也称数字指纹Finger Print),并在传输信息时将之加入原文件(明文)一同传给接收方。 不同的明文,其数字摘要不同; 相同的明文,其数字摘要一定相同!电子商务概论(1 1)数字摘要()数字摘要(Digital DigestDigital Digest) 数字摘要的一般过程为: (1) 对原文使用Hash算法得到信息摘要; (2)发送端将消息(明文)和摘要一同发送; (3)接收方收到后,用同样的Hash函数对所收到的消息产生一个摘要; (4) 用接收方产生的摘要与发送方发来的摘要进行对比,若两者相同则表明所收到的消息是完整的,原文在传输过程中没有被
49、修改,否则就说明原文被修改过,不是原消息。 电子商务概论数字摘要过程电子商务概论 数字摘要解决了信息传输的完整性是否被破坏的安全问题,但是没有解决信息的保密问题。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)1)为什么电子交易中要使用数字签名?2)数字签名的概念3)数字签名工作原理4)数字签名应满足的三个条件5)数字签名常用算法6)数字签名的特点电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)1)为什么电子交易中要使用数字签名?数字摘要技术中使用了散列函数(Ha
50、sh函数),由于散列算法是公开的,任何人都可中途拦截交易文件,更改或替换内容后重新生成数字摘要,再与更改或替换后的文件一同发送,接收者会发现摘要完全匹配而无法防止欺诈的发生。所以还需要量对所收到的信息的真实性进行确认。数字签名就是提供对信息发送者的数字签名就是提供对信息发送者的身份进行辨识身份进行辨识的重要的重要手段,同时也能保证信息传输过程中的手段,同时也能保证信息传输过程中的完整性完整性。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)2)数字签名的概念数字签名:是由签名算法和验证算法组成的双重加密的防伪、防赖算法,可以证明
51、电子文件是由签名者发送,并且自签名后到收到为至没有做任何的修改。它是发送者用自己的私钥对欲发送报文的数字摘要进行加密而得到的,并与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。由于私有密钥仅为发送者本人所有,因此,只只要要接接收收者者用用该该私私钥钥对对应应的的公公钥钥解解密密成成功功,就就能能证证明明发发送送者者的的身身份份,发发送送者者不不能否认自己发送了该信息能否认自己发送了该信息。电子商务概论3)数字签名工作原理与过程:(2 2)数字签名()数字签名(Digital SignatureDigital Signature)接收方发送方Hash加密明文加密解密加密发报
52、人私钥发报人公钥Hash信息(明文)信息(明文)报文摘要数字签名数字签名报文摘要报文摘要比较电子商务概论(1)对原文使用Hash算法得到数字摘要;(2)发送者用自己的私钥对数字摘要加密;(3)发送者将加密后的数字摘要与原文一起发送;(4)接收者用发送者的公钥对收到的加密摘要进行解密;(5)接收者对收到的原文用Hash算法得到接收方的数字摘要;(6)将解密后的摘要与接收方摘要进行对比,相同说明信息完整且发送者身份是真实的,否则说明信息被修改或不是该发送者发送的。由于发送者的私钥是自己严密管理的,他人无法仿冒,同时发送者也不能否认用自己的私钥加密发送的信息,所以数字签名解决了信息的完整性和不可否认
53、性问题。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)4)数字签名应满足的三个条件: a)接收方能够验证发送方所宣称的身份(其它人不能伪造签名); b)发送方以后不能否认报文是他发送的(即签名者事后不能否认自己的签名); c) 接收方自己不以伪造该报文(当双方关于签名的真伪性发生争执时,法官或第三方能解决双方之间的争执)。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)5)数字签名常用算法:主要有3种应用广泛的方法:RSA签名、DSS签名和Hash签名。RSA数
54、数字字签签名名源于RSA公开密钥系统,是目前网络上最为流行的一种数字签名方法,签名时使用私钥,验证时使用公钥。签名时使用私钥,验证时使用公钥。DSS(Digital Signature Standard)是在1991年8月由美国NIST公布,1994年12月1日正式采用的美国联邦信息处理标准,由Kravitz设计,这类签字标准具有较大的兼容性和适用性,已成为网络安全体系的基本构件之一。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)Hash签名签名是主要的数字签名方法,也称数字摘要或数字指纹法(digital fingerpri
55、nt)。 它的主要方式是,报文的发送方从明文文件中生成一个128比特的散列值(数字摘要)。发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后将该数字签名作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128比特的散列值(数字摘要),接着用发送方的公钥来对报文附加的数字签名解密。电子商务概论 HashHash签名法将数字签名与要发送的信息签名法将数字签名与要发送的信息紧密联系在一起,它与紧密联系在一起,它与RSARSA数字签名人作为一数字签名人作为一种单独的签名方式不同,具有更高的可信度种单独的签名方式不同,具有更高的可信度和安全性,因此更适合于电子商务
56、活动和安全性,因此更适合于电子商务活动。电子商务概论(2 2)数字签名()数字签名(Digital SignatureDigital Signature)6)数字签名的特点:它代表了文件的特征它代表了文件的特征,文件如果发生了改变,数字签名的值也会发生变化。即:不同的文件将得到不同的数字签名不同的文件将得到不同的数字签名。数字签名能够实现对原始报文的鉴别鉴别、不可抵赖性不可抵赖性和匿名匿名性,具有易更换、难伪造、可进行远程线路传递易更换、难伪造、可进行远程线路传递等优点。数字签名与手工签名的区别在于:手书签名是模拟手书签名是模拟的,且因因人而异人而异;数字签名是数字签名是0和和1的数字串的数字
57、串,因消息而异因消息而异。思考:“数字签名是用发送者私钥进行加密后的消息摘要。”这个表述是否正确?电子商务概论(3 3)数字信封()数字信封(Digital EnvelopDigital Envelop)( (补充补充) )1)什么是数字信封?数字信封? 是采用双重加密技术来保证只有规定的特定收信人才能阅读信息内容的一种安全认证技术。它先采用对称加密技术对信息加密,然后将对称加密密钥用接收者的公开密钥进行封装,并将其和对称加密了的数据一齐传送给接收者,称为消息的“数字信封”。 电子商务概论 接收者先用自己的私钥解密数字信封,得到对称密钥后,再使用对称密钥解开数据。 数字信封把单钥和双钥结合起来
58、使用。电子商务概论(3 3)数字信封()数字信封(Digital EnvelopDigital Envelop)2)数字信封与数字信封与数字签名综合使用的方法:数字签名综合使用的方法:a)发发送送方方首先用哈希函数从明文文件中生成一个数数字字摘摘要要,用自己的私私钥钥对这个数字摘要进进行加密行加密来形成发送方的数字签名数字签名。 b)发送方选择一个对称密钥对文件加密,用接收方的公钥给对称密钥加密,然后通过网络将该报报文文密密文文、加加密密后后的的对对称称密密钥钥和之前生成的数数字签名字签名作为附件一起发送给接收方。 电子商务概论 c)接收方接收方使用自己的私钥私钥对密钥信息进行解密解密,得到对
59、称密钥;再用对称密钥对称密钥对文件进行解密,得到原文件明文明文。 d)接收方接收方用发送方的公钥公钥对数字签名进行解密解密,得到数字签名的明文数字签名的明文。电子商务概论(4 4)数字)数字时间戳时间戳(time-stamptime-stamp)1)数字时间戳的概念:)数字时间戳的概念: 数数 字字 时时 间间 戳戳 (DTS, Digital Time-Stamp)是由专门机构提供的电子商务安全服务项目,用于证明信息的发送时间。它是一个经加密后形成的凭证文档,包括三个部分:时间戳的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。 电子商务概论 数字时间戳服务数字时间戳服务(Digit
60、alTimeStampServiceDTSS)是一种提供确认电子文件发表时间的安全保护,用来证明信息的收发时间。打上时间戳就是将一个可信赖的日期和时间与数据绑定在一起的过程,需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。电子商务概论2)时间戳产生的过程)时间戳产生的过程用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTSS认证单位;DTSS认证单位在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。 电子商务概论2)时间戳产生的过程)时间戳产生的过程数字时间戳的应用过程数字时间戳的应用过程电子商务概论 a)数据文件加盖的时间戳与存储
61、数据的物理媒体无关; b)对已加盖时间戳的文件不可能做丝毫改动; c)要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。3)数字时间戳的特点:电子商务概论4)数字时间戳与书面签署时间的区别数字时间戳与书面签署时间的区别:书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由DTSS认证单位来加的,并以收到文件的时间为依据。电子商务概论(5)(5)数字证书(数字证书(digital certificatedigital certificate) 身份认证技术身份认证技术1)什么是数字证书?2)为什么电子交易中要采用数字证书?3)数字证书的原理(了解)(了解)4)数字证书的格式
62、与内容(了解)(了解)5)数字证书的类型(了解)(了解)电子商务概论(5)(5)数字证书(数字证书(digital certificatedigital certificate)1)什么是数字证书?数字证书数字证书是一种由权威机构证书授证(CA,即CertificateAuthority)中心发行的,在Internet上识别、验证识别、验证通讯各方身份的方式身份的方式,其实质是实质是一个经证书授权中心数字签名的包含公开密钥拥有者身份信息以及公开密钥的数据文件数据文件。数字证书用电子的手段来证实一个用户的身份数字证书用电子的手段来证实一个用户的身份和对网络资源访问的权限。和对网络资源访问的权限。
63、电子商务概论2)数字证书的作用:-证明在电子商务或信息交换中参与者的身份;-授权进入保密的信息资源库;-提供网上发送信息的不可否性的依据;-验证网上交换信息的完整性;-使用包含公开密钥的数字证书来交换公开密钥。数字证书可用于数字证书可用于:发送安全电子邮件、访问安发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。电子事务处理和安全电子交易活动。电子商务概论3)数字证书的原理:数字证书采用公开密钥密码体制公开密钥
64、密码体制,即利用一对密钥进行解密和数字签名。每个用户用户自己设定一把私钥私钥用于解密和数字签名,同时将对应的公钥公钥向交互对方发布,用于加密和验证签名。电子商务概论当发送一份保密文件时,发发送送方方使用接收方的公钥对数据进行加密,而接接收收方方则使用自己的私钥进行解密,这样,信息就可以安全无误地到达目的地,即使被第三方截获,由于没有相应的私钥,也无法进行解密。电子商务概论4)数字证书的格式与内容: 数字证书的格式遵循ITUTX.509国际标准。一个标准的X.509数字证书一般包含以下内容:-证书的版本信息; -证书的序列号; -证书所使用的签名算法; -证书的发行机构名称; -证书的有效期;
65、-证书所有者的名称; -证书所有者的公开密钥; -证书发行者对证书的签名。电子商务概论5)数字证书的类型: a)个人数字证书个人数字证书(Email证书、身份证书)b)单位证书单位证书(企业身份证书、企业安全电子邮件证书、单位服务器数字证书)c)信用卡身份证书信用卡身份证书:用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份,符合SET标准。d)CA证书证书:用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)电子商务概论3认证中心认证中心CA(Certificate Authority)1)CA概述CACA是一个负责发放和管理数字证书的权威机构。是一个负责发
66、放和管理数字证书的权威机构。在电子商务交易中,商家、客户、银行的身份都要由CA认证。例如,持卡人要与商家通信,就要从公共媒体上获得商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后,将包含商家公钥的证书传给持卡人。同样,商家也可对持卡人进行验证。这个过程如下图所示。电子商务概论CA认证电子商务概论CA通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实实际际运运作作中中,CACA可可由由大大家家都都信任的一方担当信任的一方担当。例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的卡,而商
67、家又与此银行有业务关系或有账号。在这种情况下,客户和商家都信任该银行,可由该银银行行担当CA角色,接收、处理他的卡客户证书和商家证书的验证请求。又例如,对商家自己发行的购物卡,则由商家自己担当CA角色。电子商务概论2)CA的树形验证结构认证中心通常采用多多层层次次的的分分级级结结构构,上上级级认认证证中中心心负负责责签签发发和和管管理理下下级级认认证证中中心心的的证证书书,最下一级的认证中心直接面向最终用户。在进行交易时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,可逐级验证CA的身份,一直到公认的权威CA处,就可确信证书的有效性。电子商务概论证书的树形验证结
68、构电子商务概论3) 国内外国内外CA中心简介中心简介世界上较早的数字认证中心是美美国国Verisign公公司司(http:/),该公司成立于1995年。它为全世界50个国家提供数字认证服务,有超过45000个Internet的服务器接受该公司的服务器数字证书,使用它提供的个人数字证书的人数已经超过200万。电子商务概论国内常见的CA有:中国金融认证中心中国金融认证中心():支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。中国商务在线中国商务在线():是中国电信CA的安全认证中心CTCA。电子商务概论中中国国数数字字认认证证网网():有数字认证、数字签名、CA认证、CA证书、数字
69、证书和安全电子商务。北北京京数数字字证证书书认认证证中中心心():为网上电子政务和电子商务活动提供数字证书服务。中中国国协协卡卡认认证证体体系系():由上海CA认证中心发起,京津沪等国内CA权威机构联合共建的中国协卡认证体系。电子商务概论4) 数字证书的申请数字证书的申请不同CA类型数字证书的申请步骤略有不同,一般有下列步骤:(1)下下载载并并安安装装CACA的的根根证证书书:为了建立数字证书的申请人与CA的信任关系,保证申请证书时信息传输的安全性,在申请数字证书前,客户端计算机要下载并安装CA的根证书。(2)填填交交证证书书申申请请表表:不需身份验证的申请表可在线填写后提交;需要个人或单位身
70、份验证的,下载申请表填写后连同身份证明材料一起送达CA。电子商务概论(3) (3) CACA进行身份审核进行身份审核。(4) (4) 下下载载或或领领取取证证书书:普通证书,可以用身份审核后得到的序列号和密码,从网上下载证书;使用特殊介质(如IC卡)存储的证书,需要到CA领取证书。电子商务概论小小 结结1.电子交易安全的四要素电子交易安全的四要素:信息传输的保密性、数据交换的完整性、发送住处的不可否认性、交易者身份的确认性(真实性)。2.加密技术加密技术:解决交易信息的保密性问题;数字摘要数字摘要:保证交易信息的完整性;数字签名数字签名:解决信息的完整性和不可否认性(没有解决保密性问题);数字
71、时间戳数字时间戳:解决交易时间上的不可否认性;数字信封数字信封:解决数字签名技术没有解决的保密性问题;数字证书数字证书:解决交易者身份的确认性问题。电子商务概论4.交易安全技术的应用交易安全技术的应用安全电子邮件证书的申领和使用电子商务概论4.交易安全技术的应用案例案例1 1:安全电子邮件证书的申领和使用:安全电子邮件证书的申领和使用(以(以SHECA为例)为例)SHECA上海电子商务安全证书管理中心有限公上海电子商务安全证书管理中心有限公司司的简称,是全国首家经中央批准进行CA建设试点的、正规的数字证书专业机构,负责电子证书的申请、签发、制作、废除、认证和管理,提供网上身份认证、数字签名、电
72、子公证、电子邮件等服务,承接电子商务系统集成等业务。电子商务概论安全电子邮件证书安全电子邮件证书是CA中心为确保E-mail安全交互而提供的一种解决方案,即通过数字证书确保通过数字证书确保其邮件信息的保密性、完整性和确认发信方身份的其邮件信息的保密性、完整性和确认发信方身份的真实性真实性,可用以发送签名邮件或加密的电子邮件发送签名邮件或加密的电子邮件。电子商务概论案例:安全电子邮件证书的申领和使用案例:安全电子邮件证书的申领和使用(1)安全电子邮件证书的申请)安全电子邮件证书的申请a)身份审核在www.sheca网站下载“个人证书申请表”,填妥表格并带上身份证到受理点办理申请;物理审核通过后再
73、进行在线申请。b)在线证书申请-下载根证书-查看根证书信息c)网上递交申请书(2)安全电子邮件证书的查看)安全电子邮件证书的查看电子商务概论案例:安全电子邮件证书的申领和使用案例:安全电子邮件证书的申领和使用(3)安全电子邮件证书的备份)安全电子邮件证书的备份a)导出证书注意:导出时在“证书向导”中选择“把私钥和证书一起导出”;记住私钥导出密码和文件名。b)导入证书电子商务概论案例:安全电子邮件证书的申领和使用案例:安全电子邮件证书的申领和使用(4)安全电子邮件证书()安全电子邮件证书(IE版)的使用版)的使用a)数字标识设置b)发送签名、加密邮件c)接收和查看加密、签名邮件d)获得交互对方的
74、数字证书方法一:在CA中心网站下载对方的证书;方法二:从带有数字标识的电子邮件中添加。e)举例电子商务概论本章小结本章小结(1)安安全全是是电电子子商商务务的的核核心心和和灵灵魂魂。要使电子商务健康、顺利发展,必须解决好电子商务所需的以下几几种种关关键键的的安安全全性性需需求求:保保密密性性、完完整整性性、不不可可抵抵赖赖性性、真真实实性性、可可靠靠性性、内内部部网网的的严严密密性性等。要解决电子商务的安全问题需要从电电子子商商务务安安全全管管理理、安安全全技技术术和法法律律等多方面开展工作。电子商务概论(2) 防防火火墙墙在需要保护的网络与可能带来安全威胁的Internet或其他网络之间建立
75、了一层保护,通常也是电子商务系统的第一道保护。防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理五部分。目前使用的防火墙主要可分为包包过滤型和应用网关型过滤型和应用网关型两种。电子商务概论(3)数据加密技术数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性。如果按照收发双方密钥是否相同来分类,可以将加密技术分为对称加密技术对称加密技术和非对非对称加密技术称加密技术,两种技术最有名的代表算法分别为代表算法分别为DES和和RSA。电子商务概论(4)数字摘要数字摘要技术来保证信息的完整性完整性。数数字字签签名名(Digital signat
76、ure)是密钥加密和信息摘要相结合的技术,用于保证信息的完完整整性性和和不可否认性不可否认性。数数字字时时间间戳戳由专门机构提供,是电子商务安全服务的项目,用于证明信息的发送时间证明信息的发送时间。电子商务概论(5)数字证书数字证书就是标志网络用户身份信息的一系列数据,用来在网络应用中识别通信各方的身份识别通信各方的身份。数字证书由权威公正的第三方机构CA中心签发。以数字证书为核心的加密技术以数字证书为核心的加密技术可以对网络上传输可以对网络上传输的信息进行的信息进行加密和解密加密和解密、数字签名和签名验证数字签名和签名验证,确保,确保网上传递信息的网上传递信息的机密性、完整性,机密性、完整性
77、,以及交易主体以及交易主体身份身份的真实性的真实性,签名信息的,签名信息的不可否认性不可否认性,从而保障网络应,从而保障网络应用的安全性。用的安全性。电子商务概论(6)SSL和SET都是国际上比较有代表性的安全交易协议。安安全全套套接接层层SSL加加密密方方法法仅仅是实实现现了了传传输输加加密密和和数数据据完完整整性性,相当于在两台计算机之间建立一个安全的通道,存在许多缺陷。认证中心与加密技术相结合产生了一种完全适合于电子商务加密技术的安安全全电电子子交交易易SET协协议。议。电子商务概论思考题思考题1.概念题(1) 电子商务的安全性需求可归纳为哪几方面?(2) 面对各种安全性威胁,我们通常可以采用哪些安全对策?(3) 什么是防火墙?简述防火墙的安全策略。(4) 什么是加密技术?对称加密和非对称加密有哪些异同点?(5) 数字签名有什么作用? 简述数字签名的形成过程?电子商务概论(6) 什么是数字证书?数字证书包括哪些内容?数字证书有什么作用?(7) CA认证中心有什么作用?简述它在电子商务交易中的必要性。(8) 目前常用的电子商务安全交易协议有哪些? 说出SSL协议和SET协议的区别。(9) 简述SET协议的工作过程。 电子商务概论WELCOME TO WELCOME TO 谢谢 谢谢 !
