《《电子商务安全技术》PPT课件》由会员分享,可在线阅读,更多相关《《电子商务安全技术》PPT课件(54页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全技术n n本章主要内容:本章主要内容:电子商务安全需求电子商务安全需求数据加密技术数据加密技术安全认证技术安全认证技术PKIPKI与认证机构与认证机构安全认证协议安全认证协议电子商务安全技术-电子商务的安全隐患电子商务的安全隐患n n冒名顶替和否认行为冒名顶替和否认行为 n n数据被非法截获、读取或者修改数据被非法截获、读取或者修改 n n未经授权访问了另一个网络未经授权访问了另一个网络 n n计算机病毒计算机病毒 电子商务安全技术-安全需求安全需求n n机密性机密性n n完整性完整性n n认证性认证性n n不可抵赖性不可抵赖性n n有效性有效性1.信信息息的的保保密密性性:电电子
2、子商商务务系系统统应应该该对对主主要要信信息息进进行保护,阻止非法用户获取和理解原始数据。行保护,阻止非法用户获取和理解原始数据。2.数数据据完完整整性性:电电子子商商务务系系统统应应该该提提供供对对数数据据进进行行完完整整性性认认证证的的手手段段,确确保保网网络络上上的的数数据据在在传传输输过过程中没有被篡改。程中没有被篡改。电子商务安全技术-安全需求安全需求3.用户身份验证:电子商务系统应该提供通讯双方用户身份验证:电子商务系统应该提供通讯双方进行身份鉴别的机制。进行身份鉴别的机制。4.一般可以通过数字签名和数字证书相结合的一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证,证实
3、他就是他所声称方式实现用户身份的验证,证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构的那个人。数字证书应该由可靠的证书认证机构签发,用户申请数字证书时应提供足够的身份信签发,用户申请数字证书时应提供足够的身份信息,证书认证机构在签发证书时应对用户提供的息,证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。身份信息进行真实性认证。电子商务安全技术-安全需求安全需求4.授授权权:电电子子商商务务系系统统需需要要控控制制不不同同的的用用户户谁谁能能够够访访问问网网络络上上的的信信息息并并且且能能够够进进行行何何种操作。种操作。5.数数据据原原发发者者鉴鉴别别:电电子子商商务
4、务系系统统应应能能提提供供对对数数据据原原发发者者的的鉴鉴别别,确确保保所所收收到到的的数数据据确确实实来来自自原原发发者者。这这个个要要求求可可以以通通过过数数据据完整性及数字签名相结合的方法来实现。完整性及数字签名相结合的方法来实现。电子商务安全技术-安全需求安全需求6.数数据据原原发发者者的的不不可可抵抵赖赖和和不不可可否否认认性性:电电子子商商务务系系统统应应能能提提供供数数据据原原发发者者不不能能抵抵赖赖自自己己曾曾做做出出的的行行为为,也也不不能能否否认认曾曾经经接接到到对对方方的的信信息息,这在交易系统中十分重要。这在交易系统中十分重要。7.合合法法用用户户的的安安全全性性:合合
5、法法用用户户的的安安全全性性是是指指合合法法用用户户的的安安全全性性不不受受到到危危害害和和侵侵犯犯,电电子子商商务务系系统统和和电电子子商商务务的的安安全全管管理理体体系系应应该该实实现现系系统统对对用用户户身身份份的的有有效效确确认认、对对私私有有密密匙匙和和口口令令的有效保护、对非法攻击的有效防范等,的有效保护、对非法攻击的有效防范等,电子商务安全技术-安全需求安全需求8.网网络络和和数数据据的的安安全全性性:电电子子商商务务系系统统应应能能提提供供网网络络和和数数据据的的安安全全,保保护护硬硬件件资资源源不不被被非非法法占占有有,软软件件资资源源免免受受病病毒毒的的侵害。侵害。电子商务
6、安全技术-安全需求安全需求交易安全技术交易安全技术安全应用协议安全应用协议SETSET、SSLSSL安全认证技术安全认证技术数字签名数字签名CACA体系体系基本加密算法基本加密算法安安全全管管理理体体系系网络安全技术网络安全技术网络设备网络设备病毒防范病毒防范身份识别技术身份识别技术防火墙防火墙安全法律法规安全法律法规电子商务安全技术-安全体系安全体系数据加密技术从技术上的实现分为在软件和数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及为数据传输、数据存储、数据完整性的鉴别以及密
7、钥管理技术这四种。密钥管理技术这四种。在网络应用中一般采取两种加密形式:对称在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何处加密算法则要结合具密钥和公开密钥,采用何处加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强体应用环境和系统,而不能简单地根据其加密强度来作出判断。度来作出判断。电子商务安全技术数据加密技术数据加密技术什么是加密?加密加密:加密是指对数据进行编码使其看起来加密是指对数据进行编码使其看起来毫无意义,同时仍保持可恢复的形式。毫无意义,同时仍保持可恢复的形式。加密技术的主要分类l l对称密匙对称密匙l l在对数据加密的过程在对数据加密的过程在对数据加密的
8、过程在对数据加密的过程中,使用同样的密匙中,使用同样的密匙中,使用同样的密匙中,使用同样的密匙进行加密和解密进行加密和解密进行加密和解密进行加密和解密l l常见密匙算法常见密匙算法常见密匙算法常见密匙算法:DESDES、IDEAIDEAl l公开密匙公开密匙/私有密匙私有密匙n n与对称密匙不同,与对称密匙不同,与对称密匙不同,与对称密匙不同,公开公开公开公开密匙密匙密匙密匙/ / / /私有密匙使用相互私有密匙使用相互私有密匙使用相互私有密匙使用相互关联的一对算法关联的一对算法关联的一对算法关联的一对算法对数据进对数据进对数据进对数据进行加密和解密。行加密和解密。行加密和解密。行加密和解密。
9、l l常见密匙算法常见密匙算法常见密匙算法常见密匙算法:RSARSA对称密钥加密体制对称密钥加密体制 对对称称密密钥钥加加密密,又又称称私私钥钥加加密密,即即信信息息的的发发送送方方和和接接收收方方用用一一个个密密钥钥去去加加密密和和解解密密数数据据。对对称称加加密密技技术术的的最最大大优优势势是是加加/解解密密速速度度快快,适适合合于于对对大大数数据据量量进进行行加加密密,但密钥管理困难。但密钥管理困难。电子商务安全技术数据加密技术数据加密技术对称加密技术对称加密技术对称加密技术对称加密技术1 1)在在在在首首首首次次次次通通通通信信信信前前前前,双双双双方方方方必必必必须须须须通通通通过过
10、过过除除除除网网网网络络络络以以以以外外外外的的的的另另另另外外外外途径传递统一的密钥。途径传递统一的密钥。途径传递统一的密钥。途径传递统一的密钥。2 2)当通信对象增多时,需要相应数量的密钥。)当通信对象增多时,需要相应数量的密钥。)当通信对象增多时,需要相应数量的密钥。)当通信对象增多时,需要相应数量的密钥。 3 3)对称加密是建立在共同保守秘密的基础之上的,)对称加密是建立在共同保守秘密的基础之上的,)对称加密是建立在共同保守秘密的基础之上的,)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造在管理和分发密钥过程中,任何一方的泄密都会造在管理和分发密
11、钥过程中,任何一方的泄密都会造在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难成密钥的失效,存在着潜在的危险和复杂的管理难成密钥的失效,存在着潜在的危险和复杂的管理难成密钥的失效,存在着潜在的危险和复杂的管理难度。度。度。度。电子商务安全技术数据加密技术数据加密技术对称密匙(保密密匙)加密明文消息明文消息密匙密匙A A加密加密加密消息加密消息明文消息明文消息密匙密匙A A解密解密2非对称密钥加密体制非对称密钥加密体制非对称密钥加密系统,又称公钥密钥加密,非对称密钥加密系统,又称公钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,它需要使用一对密钥来
12、分别完成加密和解密操作,一个公开发布,称为公开密钥(一个公开发布,称为公开密钥(Public-Key););另一个由用户自己秘密保存,称为私有密钥另一个由用户自己秘密保存,称为私有密钥(Private-Key)。)。信息发送者用公开密钥去加密,而信息接收信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。和解密速度却比对称密钥加密慢得多。 公开密匙/私有密匙加密老师老师学生的公开学生的公开密匙密匙学生学生老师老师密文密文学生学生学生的私有学生的私有密匙密匙老师的私有老师的私有密匙密匙老师的公
13、开老师的公开密匙密匙密文密文鉴鉴别别保保密密用用RSA鉴别鉴别, ,只有老张能发出该信息只有老张能发出该信息用用RSA保密保密, ,只有小李能解开该信息只有小李能解开该信息对称与非对称加密体制对比特特特特性性性性对对对对称称称称非非非非 对对对对 称称称称密钥的数目密钥的数目密钥的数目密钥的数目单一密钥单一密钥单一密钥单一密钥密钥是成对的密钥是成对的密钥是成对的密钥是成对的密钥种类密钥种类密钥种类密钥种类密钥是秘密的密钥是秘密的密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开一个私有、一个公开一个私有、一个公开密钥管理密钥管理密钥管理密钥管理简单不好管理简单不好管理简单不好管理简单
14、不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者需要数字证书及可靠第三者需要数字证书及可靠第三者相对速度相对速度相对速度相对速度非常快非常快非常快非常快慢慢慢慢用途用途用途用途用来做大量资料的加用来做大量资料的加用来做大量资料的加用来做大量资料的加密密密密用来做加密小文件或对信息签字等不用来做加密小文件或对信息签字等不用来做加密小文件或对信息签字等不用来做加密小文件或对信息签字等不太严格保密的应用太严格保密的应用太严格保密的应用太严格保密的应用密钥管理技术密钥管理技术n n对称密钥管理 公开密钥加密技术实现对称密钥的管理使相应的公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更
15、加安全,同时还解决了纯对称管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题密钥模式中存在的可靠性问题和鉴别问题 n n公开密钥管理 1 1)通过密钥分配中心)通过密钥分配中心KDCKDC来管理和分配公开密钥来管理和分配公开密钥 2 2)使用数字证书来交换公开密钥)使用数字证书来交换公开密钥 安全认证技术安全认证技术作用是进行信息认证:n n确认信息的发送者的身份;n n验证信息的完整性,即确认信息在传送或存储过程中未被篡改过数字摘要做法:数字摘要采用单向做法:数字摘要采用单向Hash函数对信息进函数对信息进行某种变换运算得到固定长度的摘要行某种变换运算得到固定长度
16、的摘要(数字数字指纹指纹),并在传输信息时将之加入文件一同,并在传输信息时将之加入文件一同送给接收方;接收方收到文件后,用相同送给接收方;接收方收到文件后,用相同的方法进行变换运算得到另一个摘要;然的方法进行变换运算得到另一个摘要;然后将自己运算得到的摘要与发送过来的摘后将自己运算得到的摘要与发送过来的摘要进行比较要进行比较 作用:验证信息的完整性作用:验证信息的完整性 数字信封是结合对称加密方法和非对称加密方法实现信息保密传送的技术。加密信息被分成密文和信封两部分,对文件进行加密传输的过程数字信封数字签名数字签名采用数字签名,应该确定以下两点:n n保证信息是由签名者自己签名发送的,签名者保
17、证信息是由签名者自己签名发送的,签名者不能否认或难以否认。不能否认或难以否认。n n保证信息自签发后到收到止未作任何改动,签保证信息自签发后到收到止未作任何改动,签发的文件是真实文件。发的文件是真实文件。n n数字签名:是通过电子设备,利用用密码算法对数据进行加、解密交换实现认证的方法。n n数字签名的实现:数字证书 数字证书(Digital certificate,Digital ID),就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证 数字证书数字证书n n证书的目的,身份信息,公钥由认证中心由认证中心( (C Certificate ertificate A
18、 Authority)uthority)发布发布Subject: 老师老师Not Before: 9/9/09Not After: 9/9/99Signed: signSerial Number: 123445Subjects Public key:Secure Email Client AuthenticationIssuer: 认证中心认证中心客户证书,商家证书,网关证书及CA系统证书 认证中心认证中心( (Certificate Authority)Certificate Authority)n n密钥的管理及传递,认证权威n n认证中心(CA)的相关问题证书请求及发放过程证书请求及发放
19、过程证书验证过程证书验证过程证书的撤销及更新证书的撤销及更新层次认证,信任链层次认证,信任链身份认证身份认证功能:n n可信性n n完整性n n不可抵赖性n n访问控制身份认证身份认证身份识别方法 :n n口令认证n n基于智能卡的用户身份认证 n n生物特征法 n n访问控制PKI与认证机构与认证机构PKI概念 公钥基础设施(Public Key Infrastructure,简称PKI)是以公共密钥加密技术为基础技术手段实现安全性的一种技术体系。PKI是由加拿大的Entrust公司开发的,支持SET协议、SSL协议、电子证书和数字签名等。PKI与认证机构与认证机构PKI的体系结构 1、认证
20、机构CA(Certificate Authority) 2、证书和证书库 3、密钥备份及恢复 4、密钥和证书的更新 5、证书历史档案 6、应用接口系统 PKI与认证机构与认证机构PKI结构模型n n管理实体: PKI服务的提供者n n端实体: PKI的用户n n证书库:分布式数据库PKIPKI的用户的用户PKI与认证机构与认证机构PKIPKI层次模型层次模型 n n传输层传输层 : 向上提供向上提供PKIPKI操作报文的可靠传输操作报文的可靠传输n n密码学服务层密码学服务层 : 向上提供加解密、数字签名和报文摘要等基本密向上提供加解密、数字签名和报文摘要等基本密码学服务码学服务 n n证书服
21、务层证书服务层 : 用下两层提供的加密和传输服务,向用户提供证用下两层提供的加密和传输服务,向用户提供证书的请求、签证、发布、撤销和更新等服务书的请求、签证、发布、撤销和更新等服务 PKIPKI的用户的用户PKIPKI模式模式新的信任模式新的信任模式 (Public Key Infrastructure) (Public Key Infrastructure)认证权威认证权威认证权威认证权威公认认证方式公认认证方式公认认证方式公认认证方式自由交流自由交流自由交流自由交流A AB BC CPKI与认证机构与认证机构PKI的应用领域n n虚拟专用网络(VPN) n n安全电子邮件 n nWeb安全
22、n n电子商务的应用 安全认证机构安全认证机构CA 电子商务授权机构(CA)也称为电子商务认证中心(Certificate Authority),是指受法律承认的可信任的权威机构,负责发放和管理电子证书,使网上通信的各方能互相确认身份 安全认证机构安全认证机构CACA的职能:n n证书发放 n n证书更新 n n证书撤销 n n证书验证 Internet/Intranet浏览器/Client 读卡器卡浏览器/Client读卡器卡CA中心防火墙Web服务器及应用软件数据库防火墙银行等数据接收网关业务处理流程PKPK典型应用系统构成典型应用系统构成电子钥匙电子钥匙或或或或电子钥匙电子钥匙或或或或安
23、全认证协议安全认证协议n n安全套接层协议SSL(Secure Sockets Layer) 用于Web浏览器与服务器之间的身份认证和加密数据传输,位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。安全认证协议安全认证协议n n安全套接层协议SSL(Secure Sockets Layer) 用于Web浏览器与服务器之间的身份认证和加密数据传输,位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL提供的服务提供的服务n n加密处理 n n保证信息的完整性n n提供较完善的认证服务 SSL协议的组成 SSL协议包括两个子协议:SSL记录协议和SSL握手协议。S
24、SLSSLHandshakeHandshakeProtocolProtocolSSLChangeSSLChangeCipherSpecCipherSpecProtocolProtocolSSLAlertSSLAlertProtocolProtocolHTTP,HTTP,FTPFTPSSLRecordProtocolSSLRecordProtocolTCPTCPIPIPSSL协议的组成记录协议定义了要传输数据的格式,它位于一些可靠的的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中
25、。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。主要工作流程 网络连接建立;选择与该连接相关的加密和压缩方式;双方的身份识别;本次传输密钥的确定;加密的数据传输;网络连接的关闭。主要工作流程应用数据的传输过程为 :)应用程序把应用数据提交给本地的SSL;)发送端的SSL根据需要 : a)使用指定的压缩算法 ,压缩应用数据; b)使用散列算法对压缩后的数据计算散列值; c)把散列值和压缩数据一起用加密算法加密;3) 密文通过网络传给对方;主要工作流程4)接收方的SSL用相同的加密算法对密文解密 ,得到明文;用相同的散列算法对明文中的应用数据散列;计算得到的散
26、列值与明文中的散列值比较;5)如果一致 ,则明文有效 ,接收方的SSL把明文解压后得到应用数据上交给应用层。否则就丢弃数据 ,并向发方发出告警信息。严重的错误有可能引起再次的协商或连接中断。SET协议协议 SET(Secure Electronic Transaction)协议是维萨(VISA)国际组织、万事达(MasterCard)国际组织创建,结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准 SET的特征的特征n n信息的机密性 n n数据的完整性 n n消费者账户认证 n n卖方认证 n n互可操作性 SET协议提供的安全服务协议提
27、供的安全服务(1)保证在支付系统中支付信息和订购信息的安全性;(2)保证信息在传输过程中的完整性;(3)对持卡人身份的合法性检查;(4)对商家身份的合法性检查;(5)保护电子交易中合法用户;(6)保证采用的通讯协议、信息格式和标准具有公共适应性 消费者消费者 在线商店在线商店 收单银行收单银行 电子货币电子货币 认证中心(认证中心(CA)SET协议规范所涉及的对象使用SET的网上购物流程客户通过网络浏览器浏览在线商家的商品目录。客户通过网络浏览器浏览在线商家的商品目录。客户通过网络浏览器浏览在线商家的商品目录。客户通过网络浏览器浏览在线商家的商品目录。选择要购买的商品;选择要购买的商品;选择要
28、购买的商品;选择要购买的商品; 填填填填写写写写订订订订单单单单,包包包包括括括括欲欲欲欲购购购购商商商商品品品品名名名名称称称称、规规规规格格格格、数数数数量量量量、交交交交货货货货时时时时间间间间及及及及地地地地点点点点等等等等信信信信息息息息。订订订订单单单单通通通通过过过过因因因因特特特特网网网网发发发发送送送送给给给给商商商商家家家家,商商商商家家家家进进进进行行行行应应应应答答答答,并并并并告告告告知知知知以以以以上上上上订订订订单单单单货货货货物物物物单单单单价价价价、应付款数额和交货方式;应付款数额和交货方式;应付款数额和交货方式;应付款数额和交货方式;消费者选择付款方式,消费
29、者选择付款方式,消费者选择付款方式,消费者选择付款方式,此时此时此时此时SETSETSETSET开始介入开始介入开始介入开始介入;消消费费者者发发送送给给商商家家一一个个完完整整的的订订单单及及其其要要求求付付款款的的指指令令。在在在在SETSETSETSET中中中中,订订订订单单单单和和和和付付付付款款款款指指指指令令令令由由由由消消消消费费费费者者者者进进进进行行行行数数数数字字字字签签签签名名名名;同同同同时时时时利利利利用用用用双双双双重重重重身身身身份份份份签签签签名名名名技技技技术术术术,保保保保证证证证商商商商家看不到消费者的账号信息。家看不到消费者的账号信息。家看不到消费者的账
30、号信息。家看不到消费者的账号信息。在在线线商商家家接接受受订订单单后后,向向客客户户开开户户银银行行请请求求支支付付,此此信信息息通通过过支支付付网网关关送送达达收收单单银银行行,并并进进一一步步提提交交发发卡卡银银行行确确认认。确确认认批批准准后后,发发卡卡银银行行返返回回确确认信息,经收单银行通过支付网关发给在线商家;认信息,经收单银行通过支付网关发给在线商家;在在线线商商家家发发送送订订单单确确认认信信息息给给客客户户,客客户户端端记记录录交易日志,以备日后查考;交易日志,以备日后查考;在在线线商商家家发发送送商商品品或或提提供供服服务务,并并通通知知收收单单银银行行将将货货款款从从客客户户账账号号转转移移到到商商家家账账号号,或或通通知知发发卡卡银行请求支付。银行请求支付。
