第七章电子商务安全体系.ppt

第七章第七章 电子商务安全体系电子商务安全体系电子商务系统安全概述电子商务系统安全概述电子商务的安全技术电子商务的安全技术20112011年上半年网络安全状况年上半年网络安全状况2.172.17亿亿1.211.21亿亿38803880万万----CNNIC§Internet的开放性－计算机可被轻松访问§TCP/IP传输的透明性－数据/IP可被轻松窥视§Unix OS源代码公开性－漏洞可被轻松发现§信息电子化－正确完整性难以鉴定安全隐患电子商务系统安全概述电子商务系统安全概述安全威胁 1. 利用Internet的开放性非法入侵，造成商务信息 被篡改、盗窃或丢失；（入侵计算机系统）2. 利用TCP/IP的透明性获悉商业机密，甚至恶意 窃取、篡改和破坏； （传输过程中获悉）3. 利用操作系统漏洞植入病毒或黑客程序，破坏用 户计算机系统4. 利用电子化信息难以识别和鉴定使用虚假身份进 行交易签定虚假订单、合同进行诈骗；交易后 抵赖等5. 由于计算机系统故障对交易过程和商业信息安全 所造成的破坏系统可靠性问题）1 信息的保密性2 信息的完整性3 信息的不可抵赖性4 交易者身份的真实性5 系统的可靠性6 内部网的严密性电子商务的安全性需求u安全管理u安全技术电子商务的安全性保障电子商务的安全技术电子商务的安全技术1 防火墙技术 2 加密技术 3 信息摘要 4 数字签名 5 数字时间戳 6 数字证书与CA认证 7 电子商务安全交易标准1 内部网的严密性 2 信息的保密性 3 信息的完整性 4 信息的不可抵赖性 5 交易者身份的真实性 6 系统的可靠性1 防火墙技术v 防火墙是指一个由软件和硬件设备组合而成，在Intranet和Internet之 间构筑的一道屏障（如图所示），用于加强内部网络和公共网络之间安全 防范的系统。

防火墙的基本概念 防火墙的构成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-Mail处理5部分 过滤器执行由防火墙管理机构制订的—组规则，检验各数据组决定是 否允许放行这些规则按IP地址、端口号码和各类应用等参数确定 防火墙的主要功能 (1)保护那些易受攻击的服务数据库服务、支付服务等）(2)控制对特殊站点的访问（军事/公安/政府/银行/游戏/黄色/反动 ）(3)集中化的安全管理 (4)对网络访问进行记录和统计 所谓加密技术，就是采用数学方法对原始信息(通 常称为“明文”)进行再组织，使得加密后在网络上公 开传输的内容对于非法接收者来说成为无意义的文字( 加密后的信息通常称为“密文”)而对于合法的接收 者，因为其掌握正确的密钥，可以通过解密过程得到原 始数据(即“明文”) 2 加密技术加密技术的基本概念 E-Encrypt，加密 D-Decrypt，解密K-Key，密钥 C-Cryptograph，密文明文不安全信道加密算法E解密算法D加密密钥KE窃听、入侵解密密钥KD明文数据加密的一般模型密文C加密和解密必须依赖两个要素：就是算法和密钥 §算法是加密和解密的计算方法； §密钥是加密和加密所需的一串数字。

w 例如：采用移位加密算法，使移动3位后的英文字母表 示原来的英文字母，对应关系如下：例：KRZ GR BRX GR —— HOW DO YOU DO KEY 密钥按加密解密是否使用相同密钥划分õ 对称加密技术õ 非对称加密技术加密技术的种类w 加密和解密使用相同的密钥发送者和接收者拥有相同的密钥w 该技术最具有代表性的算法是IBM公司提出的DES算法(Data Encryption Standard数据加密标准) ，是目前广泛采用的对称加密方式之一 w 它的基本思想是将二进制序列的明文分成每64位一组，用长为64位 的密钥对这些明文进行16轮代换和置换加密最后形成密文 w 目前主要使用128bits密钥w 优点：实现容易，使用方便，加密、解密速度快，可以用硬件实现 w 存在的问题： w 1）在首次通信前，双方必须通过除网络以外的另外途径传递统一 的密钥 w 2）当通信对象增多时，需要相应数量的密钥n(n-1)/2 w 3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发 密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的 危险和复杂的管理难度1）对称加密技术 （2）非对称加密技术 非对称加密技术中，加密和解密使用不同的密钥，一 把称公钥，另一把称私钥。

各贸易方每人都拥有一对这样 的密钥两把密钥实际上是两个数字串 非对称加密领域内最为著名的算法是RSA(Rivest， Shanir，Adleman)算法,建立在数论中大数分解和素数检 测的理论基础上两个大素数相乘在计算上是容易实现的 ，但将该乘数分解为两个大素数因子的计算量很大，大到 甚至计算机上也不可能实现两个很大的素数即为密钥，用其中的一个素数与明文 相乘，可以加密得到密文；用另一个质数与密文相乘可以 解密用于加密的数为公钥，用于解密的数为私钥私钥绝对私有，公钥可以公开 公－私钥对必须成对使用公－私钥对使用原则：A （发送方）B （接收方）A私钥B私钥A公钥B公钥A私钥A公钥B公钥A私钥B私钥例B公钥密钥对的不同使用方法，用途不同3 信息摘要 w 信息摘要指从原文中通过Hash算法（一种单向的加密算法）而得到 的一个固定长度（128位）的散列值，不同的原文所产生的信息摘 要必不相同，相同原文产生的信息摘要必定相同用信息摘要技术 来保证信息的完整性信息摘要过程4 数字签名 数字签名过程 数字签名(Digital Signature)：即是只有信息发送者才能产生的、别人无 法伪造的一段数字串。

这段数字串同时也是对发送者发送的信息的真实性 的一个证明 （完整性，认证性）5 数字时间戳 获得数字时间戳的过程数字时间戳(Digital Time Stamp-DTS)：文件签署日期与签名一样都是 防止合同文件等被伪造和篡改的关键性标记，在电子商务中，数字时间 戳是一个经加密后形成的凭证文档包括需盖戳的文件摘要，DTS机构收 到文件的时间以及DTS机构的数字签名三项内容 6 数字证书与CA认证w 数字证书基本概念（Digital ID） v 是标志网络用户身份信息的一系列数据，用来在网络应用中 识别通信各方的身份数字证书由第三方权威机构签发，可 以实现网络上传输的信息的加密和解密、数字签名和签名验 证，确保传递信息的机密性、完整性、不可否认性、交易实 体的真实性 v 数字证书采用公－私钥密码体制，每个用户拥有一把仅为本 人所掌握的私钥，用它进行信息解密和数字签名；同时拥有 一把公钥，并可以对外公开，用于信息加密和签名验证 v 数字证书可用于：发送安全电子邮件、访问安全站点、网上 签约和网上银行等安全电子事务处理和安全电子交易活动 数字证书的内容ü证书拥有者的姓名；ü证书拥有者的公钥；ü公钥的有限期；ü颁发数字证书的单位；ü颁发数字证书单位的数字签名；ü数字证书的序列号等。

查看证书内容（1）查看证书内容（2） 查看证书内容（3 ）（1）个人数字证书个人安全电子邮件证书、个人身份证书（2）企业证书企业（客户端）数字证书、企业（服务器）数字证书 （3）软件数字证书数字证书的种类CA认证中心（Certificate Authority）（1）认证中心的功能：核发证书、管理证书、搜索证书、验证证书 （2）CA的树形验证结构(如图所示）数字证书的颁发机构CA的树形结构A：Root CAB：CAC：Digital ID证书的树形验证结构（3）国内外CA中心简介 国外常见的CA有VeriSign 、GTE Cyber Trust、Thawte等 国内常见的CA有 l中国数字认证网（），数字认证， 数字签名，CA认证，CA证书，数字证书，安全 电子商务 l北京数字证书认证中心 （），为 网上电子政务和电子商务活动提供数字证书服务 l安徽数字证书认证中心 （2）填交证书申请书 （3）CA进行身份审核 （4）下载或领取证书 （5）安装证书返回本章首页数字证书的申领及安装1 1、工商年检一路通（年检通）、工商年检一路通（年检通）答：申领电子签名认证证书需携带相关证件答：申领电子签名认证证书需携带相关证件uu个人用户个人用户需携带身份证需携带身份证/ /军官证军官证/ /士兵证士兵证/ /护照；护照；uu企业用户企业用户需携带工商营业执照、机构代码证及需携带工商营业执照、机构代码证及 法人代表身份证复印件法人代表身份证复印件到浙江省数字认证中心授权指定的受理点办理。

到浙江省数字认证中心授权指定的受理点办理 目前我省企业用户可在各级工商行政管理部门办目前我省企业用户可在各级工商行政管理部门办 理证书申请业务理证书申请业务怎样申领电子签名认证证书怎样申领电子签名认证证书( (数字证书数字证书) )1 1、工商年检一路通（年检通）、工商年检一路通（年检通） 2 2、地税网上纳税通（报税通）、地税网上纳税通（报税通） 3 3、网上招标采购通（采购通）、网上招标采购通（采购通） 4 4、证书执照即时通（证照通）、证书执照即时通（证照通） 5 5、企业网上经营身份通（身份通）、企业网上经营身份通（身份通） 6 6、网上信用查询通（查询通）、网上信用查询通（查询通） 7 7、网上审批政务通（政务通）、网上审批政务通（政务通） 8 8、交叉认证互认通（互认通）、交叉认证互认通（互认通） 9 9、电子交易商务通（商务通）、电子交易商务通（商务通）浙江数字证书功能现状浙江数字证书功能现状电子身份证电子身份证“ “一证九通一证九通” ” 浙江加快企业数字证书应用浙江加快企业数字证书应用§SSL叫安全套接层协议，是国际上最早用的，已成工业 标准，但它的基点是商家对客户信息保密的承诺，因此有 利于商家而不利于客户。

§SET叫安全电子交易协议，是为了在互联网上进行 交易时保证信用卡支付的安全而设立的一个开放的规范 因它的对象包括消费者、商家、发卡银行、收单银行、支 付网关、认证中心，所以对消费者与商家同样有利它越 来越得到众人认同，将会成为未来电子商务的规范§两种都是应用于电子商务用的网络安全协议都能保证 交易数据的安全性、保密性和完整性 7 电子商务安全交易标准发出客户机证书和加密的专用会话密钥（对称加密密钥，或称单钥）SSL客户机SSL服务器1.客户机的招呼3.客户机的响应2.服务器的招呼服务器客户机确定安全级别并约定加密算法发出包含有服务器公钥（非对称加密机制）的服务器证书4.服务器的响应用专用会话密钥在客户机、服务器之间发送保密的数据公钥单钥5.会话6.会话结束，丢弃本次会话的专用密钥小结w 电子商务安全的基本概念 w 掌握安全技术的种类及原理,特别是加密 技术,它是其他安全技术的基础 w 数字证书的申领与作用,CA认证的结构对明文使用Hash 算法生成消息摘要?(1)对文件加密并把 （1）附在文件后对单钥K加密A还原的消息摘要对？解密明文对文件解密对单钥K解密我是明文消息摘要对称加密（单钥K ）非对称加密（B的？钥）非对称加密（？的？钥）解密方法？（？密钥）？Hash函数步骤1步骤2步骤3步骤4步骤5对照非对称加密（A的私钥）非对称加密（？的？钥）步骤6步骤7步骤9B(2 )(3)(4) (5)(6)(7)(8)(9)（1）消息摘要加密后生成了什么？（2）为什么要用对称加密而不用非对称加密方法？（9）为什么要进行对照？对照结果如果不一致，说明什么问题？（10）A的一对密钥的使用起到了什么作用？ （11）B的一对密钥的使用起到了什么作用？（（1 1）消息摘要加密后生成了什么？）消息摘要加密后生成了什么？（（2 2）为什么要用对称加密而不用非对称加密方法？）为什么要用对称加密。