929电子商务安全

第三章电子商务安全学习目标1.了解电子商务安全的主要问题。2.掌握防火墙的功能与分类。3.理解VPN的虚拟专用性。4.掌握VPN的分类。5.掌握对称加密和非对称加密的工作原理。本章主要内容第一节电子商务安全概述第二节电子商务中的网络安全技术第三节加密技术及其应用第四节认证与识别技术第五节电子商务安全交易标准第三节加密技术及其应用一、加密技术的原理二、对称密钥体制三、非对称密钥体制四、密钥管理技术五、加密技术的应用一、加密技术的原理加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将原始信息（明文）转换成无意义的或难以理解的字符串（密文），这个变换处理的过程称之为加密。当数据被合法接收者接收后，可通过一定的算法将密文还原为明文，这个变换处理的过程称为解密。加密：就是把信息转换为不可辨识的形式的过程。解密：将信息内容转变为明文的过程。明文密文密文明文加密技术加密密钥明文密文明文密文图3.1加解密过程示意图互联网解密密钥明文：信息未加密前的形式，即信息原始形式。密文：明文经过加密伪装后的信息形式。加密：明文采用某种加密算法变成密文的过程，即对明文实施的变换过程。解密：密文采用某种解密算法变成明文的过程，即对密文实施的变换过程。密钥：为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息。与加密有关的概念：密钥的概念加密和解密必须依赖两个要素，这两个要素就是算法和密钥。算法是加密和解密的计算方法；密钥是加密和解密所需的数字。例：采用移位加密法使移动3位后的英文字母表示原来的英文字母（凯撒加密算法）ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC此例中移位规则就是算法，移动的位数3就是密钥。二、对称密钥体制1、概念对称密钥体制是指：加密和解密密钥是相同的或等价的，双方使用同一把密钥对数据进行加密和解密，并且密钥不对外发布，因而也称为私密钥体制。2、私有密钥进行对称加密的过程：（1）发送方用自己的私有密钥对要发送的信息进行加密；（2）发送方将加密后的信息通过网络传送给接收方；（3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文。又称秘密密钥、私有密钥，用且只用同一个密钥对信息进行加密和解密。明文密文密文明文加密解密密钥传输发送方接收方对称密钥加解密过程示意图：3、对称密钥体制的优缺点优点：由于加密和解密有着共同的算法，从而计算速度非常快，且使用方便，计算量小，加密效率高。3、对称密钥体制的优缺点缺点：首先，是密钥的管理比较困难，因为交易双方必须持有同一把密钥，且不能让他人知道。其次，如何把新密钥发送给接收方也是一个问题；最后，其规模很难适应互联网这样的大环境，因为如果某一交易方有几个贸易伙伴，那他就要维护几把专用密钥，因为每把密钥对应了一个贸易方。结论：对称密钥加密是指信息发送方对要发送的信息进行加密，变为密文，密文通过网络到达接收方后，接收方使用相同的算法和密钥进行解密，还原成明文。它只用同一密钥对信息进行加密和解密。由于加密和解密用的是同一密钥，所以发送者和接收者都必须知道密钥。用对称加密对信息编码和解码的速度很快，效率也很高，但也有比较大的局限性。所有各方都必须相互了解，并且完全信任，而且每一方都必须妥善保管一份密钥。在密钥的交换过程中，任何人一旦截获了它，就都可用它来读取所有加密消息。三、非对称密钥体制1、概念非对称密钥体制也叫公钥加密技术。在公钥加密系统中，加密和解密是相对独立的，加密和解密使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥密码体制。2、非对称密钥加密过程：发送方用接收方的公开密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文。又称公开密钥。一对密钥，给别人用的就叫公钥，给自己用的就叫私钥。用公钥加密后的密文，只有私钥能解密。接收方公钥明文密文接收方私钥密文明文加密解密密钥对传输发送方接收方非对称密钥示意图3、非对称密钥体制的优缺点优点：在多人之间进行保密信息传输所需的密钥组和数量很小；解决了密钥的发布问题；公开密钥系统可实现数字签名。缺点：密钥产生困难；运算速度慢。不对称加密系统加解密有缺点，主要是加解密速度很慢，所以它不适合于对大量文件信息进行加解密，一般只适合于对少量数据进行加解密。总之，加密技术：加密技术是电子商务采用的最基本的安全技术，是解决比如信息的窃取、信息的假冒、信息的篡改、信息的抵赖等问题的一种重要手段，同时也是签名技术、认证技术的基础。加密技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。攻击者即使窃取到经过加密的信息（密文），也无法辨识原文。这样能够有效地对抗截收、非法访问、窃取信息等威胁。数据加密的过程如图3.1所示。四、非数学的加密理论与技术1、信息隐藏信息隐藏不同于传统的密码学技术，它主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息。信息隐藏技术的应用举例：数字水印技术。24252、生物识别传统的身份识别方法主要基于以下两点：身份标识物品：钥匙、证件、自动取款机的银行卡等身份标识知识：用户名、密码等由于标识物品容易丢失或被伪造，而标识知识容易遗忘或记错，更为严重的是，传统身份识别系统往往无法区分标识物品真正的拥有者和取得标识物品的冒充者。生物识别技术是以生物技术为基础、以信息技术为手段，将生物和信息这两大热门技术交汇融合为一体的一种技术。它利用了生物特征的惟一性、可测量性、可识别性的特点。生物特征有：手型、指纹、脸型、虹膜、视网膜、脉搏、耳廓、DNA等行为特征有：签字、声音、按键力度等原理：生物识别系统对生物特征进行取样，提取其唯一的特征并且转化成数字代码，并进一步将这些代码组成特征模板。人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比较，以确定是否匹配，从而决定接受或拒绝。目前人体特征识别技术市场上占有率最高的是指纹机和手形机。总结：加密技术对称密钥加密(SymmetricCryptography)非对称密钥加密(AsymmetricCryptography)加密技术一、对称密钥加密技术1、定义：加密和解密均采用同一把密钥，而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。这时的密钥称为对称密钥，并且不对外发布，也称为私钥密码。2、优点：加密速度快，适于大量数据的加密处理。3、缺点要求通信双方相互认识，保守密钥。二、非对称密钥加密体系信息加密和解密使用的是不同的两个密钥，称为“密钥对”。（1）两个密钥（2）加密密钥不能用来解密（3）加密速度较慢1、缺点2、优点（1）密钥分配简单（2）不需要秘密的通道和复杂的协议来传送密钥第四节认证与识别技术一、证书认证中心（CA中心）二、数字证书三、信用认证四、密钥管理技术五、加密技术的应用一、证书认证中心（CA中心）1.何为认证中心所谓CA(CertificateAuthority)认证中心，它是采用公开密钥(PublicKeyInfrastructure，PKI)基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。中国知名的认证中心:①中国数字认证网（www.ca365.com）②中国金融认证中心（www.cfca.com.cn）③中国电子邮政安全证书管理中心（www.chinapost.com.cn）④北京数字证书认证中心（www.bjca.org.cn）⑤广东省电子商务认证中心（www.cnca.net）2.认证中心的功能认证中心具有以下5个方面的功能：（1）证书的颁发；（2）证书的更新；（3）证书的查询；（4）证书作废；（5）证书的归档。38总结认证中心（CertificationAuthority，CA）是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。CA是基于Internet平台建立的一个公正的、有权威性的、独立的、广受信赖的第三方组织机构，负责受理数字证书的申请、签发数字证书、管理数字证书，以保证网上业务安全可靠地进行。二、数字证书1.数字证书的定义数字证书（DigitalCertificate或DigitalID）又称为数字凭证，即用电子手段来证实一个用户的身份和对网络资源的访问权限。数字证书是一种数字标识，是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。2.数字证书的功能数字证书具有如下5个方面的基本功能：（1）身份认证；（2）保密性；（3）数据完整性；（4）不可抵赖性；（5）访问控制。3.数字证书的类别目前，数字证书有个人数字证书、企业数字证书和软件数字证书。4.数字证书的申请。申请的具体过程如下：（1）访问中国数字认证网主页（），选择“免费证书”栏目下的“根CA证书”；（2）下载并安装根证书。只有安装了根证书链的计算机，才能完成网上申请的步骤和证书的正常使用；（3）在线填写并提交申请表；（4）下载并安装证书。三、信用认证电子商务信用认证（电商认证）是指由独立第三方、权威的机构，按照独立、公正、客观的原则，采用科学的方法和合理规范的程序，经过行业专家的权威论证，从商务信用角度对电子商务经营主体进行真实性审查、信用状况评价、信用行为巡查等全方面的第三方信用服务，并以简明的符号和数字表示出来，给消费者、合作伙伴、交易对象和政府管理部门等机构提供重要参考。1.信用认证的过程：信用认证共分为申请提交、审核评价和结果发布三个阶段。2.信用认证的结果：信用认证结果由信用等级和信用额度两部分组成。3.信用认证的有效期：信用网站认证的有效期为两年，信用网店认证的有效期为一年。认证机构采用例行和不定期巡查的方式对认证结果进行动态核实、修正，以确保认证结果的正确性、有效性。四、数字签名（1）什么是数字签名DigitalSignature数字签名是附加在数据单元上的一些数据，这种数据的接收者用以确认其完整性，并保护数据，防止被人进行伪造。（2）数字签名的作用：接收方可以确认发送方的真实身份发送方事后不能否认发送过该报文接收方或非法者不能伪造或篡改该报文数字签名的实现本质：通过数字签名可实现身份认证、数据的保密性、数据的完整性、信息传输的不可抵赖性等。数字签名基本认证技术CA认证：保证数据的传输安全数字签名：身份认证并保证数据的完整性、预防交易抵赖数字证书：身份认证第五节电子商务安全交易标准一、安全套接层协议SSL二、安全电子交易协议SET三、Internet电子邮件的安全协议四、安全的超文本传输协议S-HTTP五、IP层安全标准IPSec一、安全套接层协议SSL安全套接层（SecureSocketslayer，SSL）协议是网景（Netscape）公司推出的基于WEB应用的安全协议，SSL协议指定了一种在应用程序协议（如：Http、Telnet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证和消息完整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐藏，确保数据在传送中不被改变，即确保数据的完整性。1.SSL协议的作用SSL采用对称密码技术和公开密码技术相结合，解决了以下几个问题：（1）双向认证，客户机和服务器相互识别的过程；（2）对通信数据进行加密；（3）信息完整性，确保SSL业务全部达到目的。2.SSL协议的体系结构SSL协议实际上是由握手协议层和记录协议层组成：SSL记录协议（SSLRecordProtocol）：建立