第五章风险控制--电子商务安全

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第5章电子商务安全电子商务安全概述电子商务的安全问题1.卖方面临的问题(1)系统数据被篡改。(2)服务器被克隆。(3)买方不诚信。2.买方面临的问题(1)卖方不诚信。(2)恶意攻击。第5章电子商务安全电子商务安全概述电子商务的安全问题3.信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4.信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况第5章电子商务安全电子商务安全概述电子商务的安全体系1.电子商务系统硬件安全2.电子商务系统软件安全3.电子商务系统运行安全4.电子商务安全立法第5章电子商务安全电子商务安全概述电子商务的安全控制要求信息传输的保密性信息的保密性是指信息在传输过程或存储中不被他人窃取交易文件的完整性防止非法窜改和破坏网站上的信息收到的信息与发送的信息完全一样信息的不可否认性发送方不能否认已发送的信息接收方不能否认已收到的信息交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的不是假冒的SSL协议安全套接层协议:适用于点对点之间的信息传输。保证信息的真实性、完整性和保密性。但无法保证不可否认性。SET协议安全电子交易(SET):采用公钥密码体制和X.509数字证书标准。分三个阶段进行:第一阶段是在购买请求阶段第二阶段是在支付的认定阶段第三阶段是在受款阶段指导思想:在网络边界安全被攻破时,即使传输的数据被劫取,也无法识别和篡改。第5章电子商务安全电子商务安全概述电子商务的安全管理1.保密制度绝密级:网址、密码不在因特网上公开,只限高层管理人员掌握机密级:只限公司中层管理人员以上使用秘密级:在因特网上公开,供消费者浏览,但必须防止黑客侵入2.网络系统的日常维护制度(1)硬件的日常管理和维护(2)软件的日常维护和管理(3)数据备份制度。(4)用户管理第5章电子商务安全电子商务安全概述电子商务的安全管理3.病毒防范制度(1)给电脑安装防病毒软件(2)不打开陌生电子邮件(3)认真执行病毒定期清理制度(4)控制权限(5)高度警惕网络陷阱4.应急措施(1)瞬时复制技术(2)远程磁盘镜像技术(3)数据库恢复技术第5章电子商务安全电子商务安全概述电子商务的安全管理5.浏览器安全设置(实验课练习)(1)管理Cookie的技巧(2)禁用或限制使用Java、Java小程序脚本ActiveX控件和插件(3)调整自动完成功能的设置EC体验5-1:选择网络支持方式操作流程安全性评价金额限制使用平台支持网站范围其他第三方支付银行卡网络支付收集支付第5章电子商务安全电子商务安全技术数据加密技术加密技术,就是采用数学方法对原始信息(通常称为“明文”)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)加密和解密加密E解密D明文M明文MKd解密密钥Ke加密密钥密文C密码系统的构成第5章电子商务安全电子商务安全技术数据加密技术在加密和解密的过程中,都要涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这三项内容。密钥是用于加解密的一些特殊信息,它是控制明文与密文之间变换的关键,它可以是数字、词汇或语句。密钥分为加密密钥和解密密钥,完成加密和解密的算法称为密码体制,传统的密码体制所用的加密密钥和解密密钥相同,形成了对称式密钥加密技术即通用密钥密码体制。在一些新体制中,加密密钥和解密密钥不同,形成非对称式密码加密技术,即公开密钥加密技术。加密和解密第5章电子商务安全电子商务安全技术数据加密技术通用密钥密码体制通用密钥密码体制就是加密密钥Ke和解密密钥Kd是通用的,即发送方和接收方使用同样密钥的密码体制,也称之为“传统密码体制”明文:CRYPTOGRAPHYFUBSWRJUDSKB密文:密钥:n=4………………恺撒密码第5章电子商务安全电子商务安全技术数据加密技术通用密钥密码体制多表式密码,正是为了克服上述缺点而开发的密码技术。本例中,密钥使用字符串ENGLANDEN,明文置换为密文的间隔是依次变化的。而且,密钥宇串越长,明文中字符的频率分布特性在密文中越不明显,根据频率分布破解密码的可能性越小。多表密码HOWAREYOUENGLANDENLBCLRRBSH………明文………密钥字串………密文+)第5章电子商务安全电子商务安全技术数据加密技术通用密钥密码体制•目前得到广泛应用的,通用密钥密码体制的典型代表是DES算法。•DES是由“转置”方式和“换字”方式合成的通用密钥算法,先将明文(或密文)按64位分组,再逐组将64位的明文(或密文),用56位(另有8位奇偶校验位,共64位)的密钥,经过各种复杂的计算和变换,生成64位的密文(或明文),该算法属于分组密码算法。•DES算法可以由一块集成电路实现加密和解密功能。该算法是对二进制数字化信息加密及解密的算法,是通常数据通信中,用计算机对通信数据加密保护时使用的算法。DES算法在1977年作为数字化信息的加密标准,由美国商业部国家标准局制定标准,称为“数据加密标准”。并以“联邦信息处理标准公告”的名称,于1977年1月15日正式公布。使用该标准,可以简单地生成DES密码。第5章电子商务安全电子商务安全技术数据加密技术公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同,只有解密密钥是保密的,称为私人密钥而加密密钥完全公开,称为公共密钥Kdz私人密钥Kdy私人密钥Kdx私人密钥公众通信网XZY密钥中心Kex,Key,Kez,……公共密钥第5章电子商务安全电子商务安全技术数据加密技术公开密钥密码体制数字签名:接收方Y想在通信文上署名时,可以用自己的私人密钥Kdy生成署名文V=D(KdY,M),然后,将V和自己的姓名Ny一起传输给对方。接送方从姓名NY检索出Y的公共密钥Key,计算M=E(Key,V),如果复原的M文是有意义的信息,则可确认Y是合法的授信者,并确认通信途中未发生篡改信息的事件。Kdz私人密钥Kdy私人密钥Kdx私人密钥公众通信网XZY密钥中心Kex,Key,Kez,……公共密钥第5章电子商务安全电子商务安全技术数字摘要安全Hash编码法(SHA)数字指纹SHA编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文数字签名信息数字签名信息被确认信息摘要摘要摘要数字签名SHA加密PrivateKey加密发送PublicKey解密SHA加密比较二者若一致发送方接受方数字签名技术第5章电子商务安全电子商务安全技术数字签名技术数字时间戳(DigitalTimeStampService,DTS)是一个经加密后形成的凭证文档,它包括三个部分:一是需加时间戳的文件的摘要;二是DTS收到文件的日期和时间三是DTS的数字签名。数字时间戳第5章电子商务安全电子商务安全技术数字证书数字证书又称为数字凭证,数字标识是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件证书的版本信息;证书的序列号;证书所使用的签名算法;证书的发行机构名称;证书的有效期;证书所有人的名称;证书所有人的公开密钥;证书发行者对证书的签名。X.509数字证书包含第5章电子商务安全电子商务安全技术数字证书(1)个人身份证书(2)个人Email证书(3)单位证书(4)单位Email证书(5)应用服务器证书(6)代码签名证书数字证书的类型(1)证书的颁发(2)证书的更新(3)证书的查询(4)证书的作废(5)证书的归档认证中心的作用第5章电子商务安全电子商务安全技术信息加密与数字认证的综合应用(1)处理的前提条件由A用户往B用户发送信息;认证中心CA的公共密钥,A用户和B用户均已掌握。(2)A用户获取B用户的公共密钥①A用户从认证中心接收到B用户的数字证书,其中包括:B用户的公共密钥和认证中心的数字签名;②A用户使用Hash函数对数字证书做出摘要,数字证书中使用的数字签名同样使用的是Hash函数;③A用户用认证中心的公共密钥,对数字证书解密得到摘要,对这个摘要与②中计算出的摘要是否—致进行比较;④A用户如果认为上述比较的结果是一致的,则可确认数字证书上的B用户的公共密钥是合法的;(3)A用户做出数字签名⑤A用户用SHA加密方法做出信息文的摘要,此时使用被指定的Hash函数;⑥A用户使用自己的私人密钥对摘要加密,得到的就是A用户的数字签名;(4)A用户信息的加密⑦A用户使用某个任意的通用密钥以DES方式对信息的明文加密,得到密文;(5)A用户通用密钥的加密⑧A用户将使用的通用密钥,用B用户的公共密钥以RSA方式加密;⑨A用户把数字签名、密文,以及在⑧加密的通用密钥发送给B用户。(6)B用户获取A用户的公共密钥①B用户从认证中心接收到A用户的数字证书,其中包括:A用户的公共密钥和认证中心的数字签名;②B用户使用Hash函数由数字证书做出摘要,数字证书中的数字签名同样使用的是Hash函数;③B用户用认证中心的公共密钥,对数字证书解密得到摘要,对这个摘要与②中计算出的摘要是否一致进行比较;④B用户如果认为上述比较的结果是一致的,则可确认数字凭证上的A用户的公共密钥是合法的;(7)B用户通用密钥的解密⑤B用户用自己的私人密钥以RSA方式对加密的通用密钥解密;(8)B用户信息的解密⑥B用户用在⑤解密的通用密钥,以DES(通用密钥)方式对信息的密文解密,得到明文;(9)确认数字签名⑦B用户做出信息的明文的摘要,此处使用指定的Hash函数;⑧B用户用A用户的公共密钥将数字签名解密,得到摘要;⑨比较在⑦和⑧计算出的摘要是不是同样的字符串,如果二者一致,则A用户发送过来的信息是正确的;若不一致,则有两种可能:一是A用户的私人密钥不正确(与公共密钥不配对),二是可能在什么地方信息文被篡改过。经过公共密钥加密的通用密钥称为“电子信封”。明文数字签名摘要DES加密密文通用密钥RSA加密已加密的通用密钥B公司的公用密钥认证中心RSA加密A公司的私人密钥SHA加密认证中心数字签名RSA解密A公司的公用密钥摘要密文已加密的通用密钥RSA解密B公司的私人密钥通用密钥DES解密明文摘要SHA加密信息信息比较二者是否一致,若一致则信息被确认A公司B公司56978516971414发送EC体验5-2:网上支付的安全性首次使用需安装的软件安全技术网上支付的确认方式用户信息变更的操作安全性评估其他第三方支付银行卡网络支付手机支付SSL协议SSL安全套接层协议适用于点对点之间的信息传输通过在浏览器软件和记录协议用来封装高层的协议。SSL握手协议能够通过特定的加密算法相互鉴别第5章电子商务安全电子商务安全技术安全交易协议SSL协议SSL协议是建立两台计算机之间的安全连接通道的属会话层的协议。在该通道上可透明加载任何高层应用协议(如FTP、TELNET等)以保证应用层数据传输的安全性。认证用户和服务器,它们能够确信数据将被发送到正确的客户机和服务器上。加密数据以隐藏被传送的数据。维护数据的完整性,确保数据在传输过程中不被改变。要求服务器端安装数字证书,客户端可选。在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系;SSL协议有利于商家而不利于客户,适合B2B;SSL(SecuresocketLayer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。SET协议SET协议提供对消费者、商家和收单行的认证确保交易数据的安全性、完整性和交易的不可否认性SET协议设计思想保证信息的加密性、验证交易各方保证支付的完整性和一致性、保证互操作性收单行商家用户购物信息SET保证商家看不到卡号,数字签名商家的信息用商家公钥加密银行的信息用银行的公钥加密用户的信息用自己的私钥加密第5章电子商务安全电子商务安全技术安全交易协议SET协议SET协议SET协议保证了电子交易的机密

1 / 42
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功