搜索
电子商务交易安全主要内容•4.1电子商务安全概述•4.2电子商务安全技术•4.3电子商务安全协议学习要求•了解电子商务安全的现状、威胁,掌握电子商务安全的要素、体系;•掌握数据加密技术的基本原理和相关知识,了解数字摘要、数字签名、数字证书等相关知识;•掌握防火墙技术的基本概念;•掌握电子商务安全协议(包括SSL和SET)的基本概念,了解其他知识4.1电子商务安全概述•4.1.1电子商务安全现状•4.1.2电子商务安全威胁•4.1.3电子商务安全要素•4.1.4电子商务安全体系4.1电子商务系统危险•1.基于信息属性的本源性脆弱•2.基于系统复杂性的结构脆弱•3.基于攻防不对称的脆弱•4.计算机网络的脆弱性•5.信息系统平台的脆弱性•6。芯片和数据库的安全脆弱4.1.1电子商务安全现状•1.安全漏洞•2.病毒危害•3.黑客袭击•4.网络仿冒1.安全漏洞•安全漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。2.病毒危害•计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有危害性、寄生性、传染性、潜伏性和隐蔽性等特性。3.黑客袭击•黑客是Hacker的音译,原意是指有造诣的电脑程序设计者。现在则专指那些利用自己掌握的电脑技术,偷阅、篡改或窃取他人机密数据资料,或利用网络进行犯罪的人4.网络仿冒•网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是不法分子使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码或其他有价值的个人信息,随后利用骗得的帐号和密码窃取受骗者金钱。4.1.2电子商务安全威胁•1.卖方面临的安全威胁•2.买方面临的安全威胁•3.黑客攻击电子商务系统的手段1.卖方面临的安全威胁•(1)系统中心安全性被破坏•(2)竞争者的威胁•(3)商业机密的安全•(4)假冒的威胁•(5)信用的威胁2.买方面临的安全威胁•(1)虚假订单•(2)付款后不能收到商品•(3)机密性丧失•(4)拒绝服务在网络的传输过程中信息被截获电子商务面临的安全威胁篡改传输的文件非法入侵假冒他人身份信息的泄露不承认或抵赖已经做过的交易滥用3.黑客攻击电子商务系统的手段•(1)中断(攻击系统的可用性);•(2)窃听(攻击系统的机密性);•(3)篡改(攻击系统的完整性);•(4)伪造(攻击系统的真实性)。4.1.3电子商务安全要素•1.可靠性•2.真实性•3.机密性•4.匿名性•5.完整性•6.有效性•7.不可抵赖性4.1.4电子商务安全体系•1.通信安全•2.交易安全•3.电子商务安全体系的层次结构电子商务安全体系的层次结构4.2电子商务安全技术•4.2.1数据加密技术•4.2.2数字摘要技术•4.2.3数字签名技术•4.2.4数字证书•4.2.5数字信封技术•4.2.6数字时间戳技术•4.2.7防火墙技术4.2.1数据加密技术•1.加密的概念与基本方法•2.现代加密技术1.加密的概念与基本方法•(1)加密的概念–加密(Encryption)就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,以便只有接收者和发送者才能复原信息。加密系统运作的示意图2.现代加密技术•(1)对称密钥密码体制•(2)非对称密钥密码体制(1)对称密钥密码体制•1)基本概念–对称密钥密码体制是加密和解密使用单一的相同密钥的加密制度。对称密码体制的加密和解密过程使用同一算法。通信时发送方和接受方必须相互交换密钥,当发送方需要发送信息给接受方时,发送方用自己的加密密钥对明文进行加密,而接受方在接收到密文后,用发送方的密钥进行解密得到明文。对称密钥密码体制示意图(2)非对称密钥密码体制•1)非对称密钥密码体制的基本概念•2)RSA1)非对称密钥密码体制的基本概念•非对称密钥密码体制与对称密钥密码体制的最大不同点就是:加密密钥和解密密钥不同。在非对称密钥密码体制中,需要将这两个不同的密钥区分为公开密钥(PublicKey,PK)和私有密钥(SecreteKey,SK)。•非对称密钥密码体制也称作公钥密码体制、双钥密码体制。顾名思义,公开密钥就是该密钥信息可以告诉他人,属于公开性质的;私有密钥是指属于某个用户或者实体独自享有的信息,对他人来说该信息是保密的。PK与SK是成对出现的,换句话说,存在一个PK就必然有配对的SK;反过来类似,存在一个SK就存在对应的PK。公钥密码体制用其中一个密钥进行加密,则另外一个密钥就用于解密,比如PK用作加密时,SK就用于解密。•公钥和私钥是不同的,公钥可以公开地从接收方传送到发送方。使用的时候,发送方用接收方的公钥将信息加密,然后密文通过网络传送给接收方,接收方用自己的私钥将其解密,除了私钥拥有者以外,没有任何人能将其解密。非对称密钥密码机制示意图4.2.2数字摘要技术•1.数据的完整性•2.数字摘要原理•3.报文摘要算法MD5•4.安全散列算法SHA-1•5.数字摘要技术在电子商务中的应用1.数据的完整性•(1)什么是数据的完整性•是指数据处于“一种未受损的状态”和“保持完整或未被分割的品质或状态”•(2)数据完整性被破坏会带来严重的后果•(3)保证数据完整性的方法2.数字摘要原理–数字摘要,也称报文摘要(MessageDigest),是指根据报文推导出来的能反应报文特征、且具有固定长度的特定信息。数字摘要过程4.2.3数字签名技术•1.数字签名概述•2.数字签名原理1.数字签名概述•电子签名起到与手工签名同等作用,目的是保证交易的安全性、真实性与不可抵赖性,电子签名需要以电子技术的手段来保证。•实现电子签名的技术手段有很多种,当前,在实际中普遍使用的是数字签名技术,数字签名是目前电子商务中技术最成熟,应用最广泛的一种电子签名方法。2.数字签名原理•数字签名是指附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(如接收者)伪造。通俗点讲,数字签名是指信息的发送者通过某种签名方法产生的别人无法伪造的一段“特殊报文”,该“特殊报文”就是签名,表明信息是由声称的发送方所发送的,且具有惟一性,他人不可仿造。(1)数字签名功能•1)接收方能够确认报文的来源真实,即能够验证报文的确是由声称的发送方所发送的。•2)发送方对自己发送的报文不能否认。•3)验证报文在传输过程中是否保持完整性。(2)数字签名系统构成•数字签名系统包括签名算法、验证算法、签名方、验证方和签名关键值。•签名算法对应加密算法、验证算法对应解密算法、签名方与验证方分别对应报文的发送方与接收方,签名关键值是指能够标志签名具有惟一性的关键因素,对应密码系统中的密钥。(3)公钥密码体制实现数字签名的原理•公钥密码体制中存在两个密钥:公钥和私钥,其中私钥是只为某个特定实体所拥有的,他人不可知,基于公钥密码体制的数字签名技术利用私钥的惟一特性。发送信息的签名方首先利用私钥对报文或者报文摘要进行加密,加密后得到的密文作为签名,连同相应的报文一起发送给接收方。接收方利用发送方的公钥对签名解密,并将得到结果与发送的报文或者报文摘要做比较,以确认签名的真实性。数字签名原理4.2.4数字证书•1.数字证书•2.公钥基础设施、证书政策和证书机构1.数字证书•(1)数字证书概念•(2)数字证书的类型•(3)数字证书的内容•(4)数字证书的有效性•(5)数字证书的使用•(6)数字证书的发行(1)数字证书概念•数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信对象的身份。即要在Internet上解决“我是谁”的问题,就如同现实中每一个人都要拥有一张证明个人身份的身份证一样,以表明自己的身份。(2)数字证书的类型•1)个人证书(客户证书)•2)服务器证书(站点证书)•3)企业证书根证书•根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任服务器证书•服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。全球知名的服务器证书品牌有Globlesign,Verisign,Thawte,Geotrust等。••最新的高端服务器证书SSL证书产品是扩展验证(EV)SSL证书。在IE7.0、FireFox3.0、Opera9.5等新一代高安全浏览器下,使用扩展验证•VeriSign(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的个人证书•客户端个人证书•客户端证书主要被用来进行身份验证和电子签名。•安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种,指纹识别、第三键确认,语音报读,以及带显示屏的专用usbkey和普通usbkey等。CA机构•CA机构,又称为证书授证(CertificateAuthority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。4.2.6数字时间戳技术•数字时间戳产生的过程为:用户首先将需要加数字时间戳的文件用Hash编码加密形成消息摘要,然后将该摘要发送到DTS机构,该机构对收到的文件摘要加入日期和时间信息后,再对该文件加密(数字签名),然后送回用户。4.2.7防火墙技术•1.防火墙的基本概念•2.防火墙的类型•3.几种典型的防火墙的实现方式1.防火墙的基本概念•防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。图4-14防火墙基本结构示意图4.3电子商务安全协议•4.3.1SSL协议•4.3.2SET协议•4.3.3其他协议4.3.1SSL协议•1.SSL概述–SSL协议(SecureSocketsLayer)安全套接层协议是网景公司于1994年10月为其产品NetscapeNavigator而设计的数据传输安全标准。主要是在因特网环境下为交易双方在交易的过程中提供最基本的点对点通信安全协议,以避免交易信息在通信的过程中被拦截、窃取、伪造及破坏。–SSL协议的出现,基本解决了Web通信协议的安全问题,很快引起了大家的关注。1996年,Netscape公司发布了SSL3.0,它比SSL2.0更加成熟稳定。4.3.2SET协议•1.SET支付系统的组成•2.SET的安全措施•3.SET与SSL协议的比较•4.SET和SSL协议在我国网上银行的应用•SET(SecureE1ectronicTransaction,安全电子交易协议)是美国VISA和MasterCard两大信用卡组织等联合于1997午5月31日推出的用于电子商务的行业规范,其实质是一种应用在因特网上以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。•SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。1.SET支付系统的组成•SET支付系统主要由持卡人(CardHolder)