61dc515261888e2342a009dc09c42618.ppt
- Количество слайдов: 86
Company name 电子商务概论 2008 -6 第五章 电子商务安全
内容概要 电子商务概论 1 电子商务安全概述 2 客户端安全 3 服务器安全 4 电子商务安全技术 5 电子商务安全协议 6 电子商务交易安全 2008 -6 2
5. 1 电子商务安全概述 电子商务概论 5. 1. 1 电子商务的安全问题现状 5. 1. 2 电子商务安全的要素 5. 1. 3 电子商务安全体系 2008 -6 3
5. 1. 1 电子商务的安全问题现状 电子商务概论 在电子商务的发展过程中,企业与社会对网络已经出现 了一定程度的依赖性。 Ø 随着信息化进程的加快,病毒泛滥、黑客破坏、交易欺诈 等电子商务安全问题也日益严重起来。 Ø 1997年以前,计算机犯罪案件主要集中在金融领域, 1997 年以后,网络犯罪活动逐步转向电子商务领域,国内各大 网络几乎都不同程度地遭到过黑客的攻击。 Ø 我国曾发生过影响较大的 “熊猫烧香 ”病毒事件,制作木马 病毒、贩卖病毒、散布木马病毒、利用病毒木马技术进行 网络盗窃、诈骗等系列网络犯罪活动已经形成一条产业 链,制作、散布病毒的趋利性进一步增强。 Ø 2008 -6 4
5. 1. 2 电子商务安全的需求要素 电子商务概论 l l l 2008 -6 交易信息保密性。 – 信息不会被非授权的人或实体窃取、只为授权用户使用的特性。商 务机密要先加密处理,再送网络中传输。 交易信息完整性。 – 一是非人为因素,如因传输介质损坏引起的信息丢失、错误等;另 一个是人为因素,指非法用户对信息的恶意篡改。 交易信息的不可抵赖性。 – 信息发送方不否认已发送的信息,接收方不可否认已收到的信息。 交易者身份的真实性。 – 交易双方确实是存在的,不是假冒的。 可靠性 – 电子商务系统的可靠性,指在自然灾害、计算机病毒、硬件故障等 潜在威胁状态下,仍能确保系统安全、可靠运行。 5
5. 1. 3 电子商务安全体系 电子商务概论 完整电子商务安全体系一般包括 4个组成部分: 客户端 服务器端 银行端 认证机构 2008 -6 6
5. 2 客户端安全 电子商务概论 l 计算机病毒及其防范 – l 软件防火墙的安装与配置 – l Internet选项 cookies 注册表regedit 系统备份与恢复 – 2008 -6 CTRL+ALT+DEL 浏览器安全设置 – l WINDOWS防火墙 应用软件防火墙 系统任务的管理 – l 杀毒软件安装 系统升级 防火墙 系统还原 系统(恢复软件Easy. Recovery ) 系统备份Ghost 7
5. 3 服务器安全 电子商务概论 5. 3. 1 操作系统安全 5. 3. 2 服务的访问控制与管理 5. 3. 3 防火墙与入侵检测 5. 3. 4 数据库安全 5. 3. 5 服务器的物理安全 2008 -6 8
5. 3. 1 操作系统安全 电子商务概论 1)操作系统安全原理 操作系统安全主要集中于系统的及时更新、对于攻击 的防范和访问控制权限的设置三个方面。前两者分别通过 更新操作系统与安装防火墙等方法来实现,所以本小节更 多从访问权限控制角度来展开。 2008 -6 9
5. 3. 1 操作系统安全 电子商务概论 2)用户安全配置 图 5 -11 用户安全配置 2008 -6 10
5. 3. 1 操作系统安全 电子商务概论 为了计算机的安全,进行用户安全配置时一般进行如下操 作: ①禁止Guest用户。 ②给 Administrator账号改名, Windows 2000 的 Administrator用户一般为超级管理员的账号,该账号是 不能被停用的,这意味着别人可以一遍又一遍地尝试这个 用户的密码。把 Administrator账号改名可以有效地解决这 一问题。 ③创建陷阱用户,所谓陷阱用户,就是把 Administrator的权限设置成最低,并且加上一个超过 10位 的超级复杂密码。 2008 -6 11
5. 3. 1 操作系统安全 电子商务概论 3)系统安全配置 除了安装杀毒软件、防火墙、更新操作系统等客户端 常用的系统安全措施之外,服务器端安全一般还会进行如 下操作: ①因为 NTFS文件系统要比 FAT、FAT 32的文件系统 安全得多,所以最好把服务器的所有分区都改成 NTFS格式。 ②关闭默认共享。 ③锁住注册表。 ④禁止用户从软盘和光驱启动系统。 ⑤开启审核策略。 2008 -6 12
5. 3. 2 服务的访问控制与管理 电子商务概论 1)关闭不必要的端口 2)禁止建立空链接 服务的访问控 制与管理 3)关闭不必要的服务 4)控制权限 2008 -6 13
5. 3. 3 防火墙与入侵检测 电子商务概论 网络防火墙是指在两个网络之间加强访问控制的一整套装 置,即防火墙是构造在内部网和外部网之间的保护装置, 强制所有的访问和连接都必须经过这个保护层,并在此 进行连接和安全检查。只有合法的数据包才能通过此保护 层,从而保护内部网资源免遭非法入侵。 Ø 防火墙的功能 ①保护易受攻击的服务。 ②控制对特殊站点的访问。 ③集中化的安全管理。 ④检测外来黑客攻击的行动。 ⑤对网络访问进行日志记录和统计。 Ø 2008 -6 14
5. 3. 3 防火墙与入侵检测 电子商务概论 入侵检测系统( IDS) 入侵检测被认为是防火墙之后的第二道安全闸门,在 不影响网络性能的情况下能对网络进行监测,从而提供 对内部攻击、外部攻击和误操作的实时保护。 入侵检测技术的一个独有的特征是有一个基于规则的 参考引擎,系统通过这个引擎来匹配所有已知的攻击方法, 入侵检测系统支持的攻击模式集是根据国内外许多安全专 家的宝贵经验得到的。 入侵检测技术的另一个特点是它并不需要频繁更新规 则库,黑客攻击程序千变万化,但并不是没有规律可循。 2008 -6 15
5. 3. 4 数据库安全 电子商务概论 1)不良的口令政策 在安装SQL Server后,会产生一个默认的 SA用户,初始密码在管理 员没有设置的情况下为空。黑客就可以通过 SQL Server的客户端进 行数据库远程连接,再通过 SQL的远程数据库管理命令来进行操作, 在SQL Server的服务器上新建一个管理员级别的用户。 2)SQL注入攻击 利用的 具是SQL的语法,针对的是应用程序开发者编程过程中的 漏洞。当攻击者能够操作数据库,往应用程序中插入一些 SQL语句时, SQL注入攻击就发生了。 3)交叉站点脚本 黑客通过一个网络蠕虫把 Java. Script等客户方面的脚本注入到一个网 络应用程序的输出。用于收集 cookie数据,存储了用户账户登录信息 等资料。 验证和清洁从用户那里收到的数据的理由是防止交叉站点脚 本攻击。 4)定期进行数据库备份,以备在数据库遭到破坏后能迅速还原数据库。 2008 -6 16
5. 3. 5 服务器的物理安全 电子商务概论 物理环境主要是指服务器托管机房的设施状况,包括 通风系统、电源系统、防雷防火系统以及机房的温度、 湿度条件等,这些因素会影响到服务器的寿命和所有数据 的安全。 物理安全是指计算机所在的物理环境是否可靠,会不 会受到自然灾害和人为的破坏(失窃、破坏)等。 要保证服务器的物理安全,首先要特别保证所有的重 要设备与服务器要集中在机房里,并制订机房相关制度, 无关人员不得进入机房等。 2008 -6 17
5. 4 电子商务安全技术 电子商务概论 5. 4. 1 加密技术 5. 4. 2 CA认证与数字证书 5. 4. 3 公开密钥基础设施 2008 -6 18
信息加密技术知识点 电子商务概论 Ø Ø Ø 2008 -6 1、数据加密基础知识 2、古典加密技术 3、对称加密体制和非对称加密体制 4、数字信封 5、数字摘要 6、数字签名 19
1 、数据加密基础知识 电子商务概论 l l l l 原始未经变换的信息称之为明文(M)。 为了保护明文,将其通过一定的方法转换成使人难以识别的一种编码, 即密文(C)。 这个变换处理的过程称为加密。 密文可以经过相应的逆变换还原成原文,这个变换处理的过程称为解密。 对信息进行加密和解密通常是在原文和密文上增加或除去一些附加信息, 这些附加信息就是密钥(K)。 加密的时候使用一项数据把明文转换成密文,该数据就是加密密钥。 解密的时候使用一项数据把密文转换成明文,该数据就是解密密钥。 加密密钥和解秘密钥不一定是相同的。 2008 -6 20
什么是数据加密 电子商务概论 如果把加密解密的变换处理过程抽象成数学函数,这个函 数就是加密算法(E)。 l 数据加密就是通过某种函数进行变换,把正常的数据报文 (称为明文或明码)转换为密文(也称密码)。 l 密钥是密码方案中最关键的一项数据。密钥的位数决定着 加密系统的安全性,密钥越长,破解密钥需要的计算时间 越长,因此也就越安全。 l 2008 -6 21
举例说明上述概念 电子商务概论 商人贾某要给他儿子发一份密码电报,电文四个字:“抛 售布匹”(原文)。 l 按照电报码手册,这四个汉字对应: 2141 0786 1580 0572,然后把每个四位数都加上100(加密密钥),四个 四位数就变成了: 2241 0886 1680 0672,此刻这四个电 报码对应变为:“抡噌庙叵”(密文)。 l 儿子收到电报“抡噌庙叵”后,根据相应的电报码手册得到: 2241 0886 1680 0672,按照事先的约定,分别减去 100 (解密密钥),就得到“抛售布匹”的信息。 l 2008 -6 22
5. 4. 1 信息加密技术 电子商务概论 l 古老的密码学问题: 很久以前,分别有两个国家的公主和王子,公主要通过一 位信使送给王子一样不愿被别人看见的信物,所以公主用加锁 的箱子放信物。这位信使只愿意跑一趟,而且在这段路程中, 只要一有机会(钥匙)就会偷看信物。 问题:公主如何才能把信物安全的送到王子的手中? 2008 -6 23
数据加密基础知识 电子商务概论 1976年,狄菲和海尔曼提出了密码体制的新概念—公 钥密码。 l 让两个国家的每一个人都具有两副锁和钥匙,每幅各 有一把锁和一把钥匙。 l 每一把锁和它不配套的要是放在一起,这样每个人就 有两副不配套的钥匙和锁了。 l 将其中的一幅秘密留在家里(秘密锁钥);另一幅拿 到锁厂,复制 60亿副,让国家人人都能从市场上买到 它(公开锁钥)。 l 2008 -6 24
数据加密基础知识 电子商务概论 l 首先假设公主的秘密锁钥(Ab), 公开锁钥(Ba) 王子的秘密锁钥(Cd), 公开锁钥(Dc) l 公主先从市场上买到一幅王子的公开锁钥( Dc )并用王子的这把公开锁 钥中的锁(D)把要送的箱子锁上;然后公主又把自己那把秘密锁钥( Ab)复制了一把,也锁到箱子上。这样,要送的箱子上共锁着两把锁( DA)。这样公主才会放心的把箱子交给信使。 l 王子收到箱子之后,先去市场上买公主的公开锁钥( Ba ),王子就可以 打开其中的一把锁(A)。接着,王子用自己的秘密锁钥( Cd )中的那 把钥匙(d),把箱子上的另一把锁(D)打开(这把锁就是公主从市场 上买来的,王子的公开锁钥中的把锁,他与王子自己的钥匙正好匹配)。 于是,信物就顺利的到达王子手中了。 2008 -6 25
2、古典加密技术 电子商务概论 l 古典加密技术针对的对象是字符。主要有两种基本算法: l 恺撒算法——古老而简单的加密技术(替代算法) – “恺撒密码”据传是古罗马恺撒大帝用来保护重要军情的 加密系统。(既是今天我们所说的:替代密码) l 维吉利亚(Vigenere)加密方法——(置换移位法) – 它是由 16世纪法国亨利三世王朝的布莱瑟·维吉尼亚发 明的,历史上以维吉尼亚密表为基础又演变出很多种加 密方法并一直沿用到二战以后的初级电子密码机上。 2008 -6 26
替代算法(一) 电子商务概论 恺撒密码(单字母替换) CHINA 明文M 每个字符后移 5位 加密算法E 密钥K HMNSF 密文C 加密过程可以表示为:C=EK(M) 解密过程可以表示为:M=DK(C) l 2008 -6 由于英文字母为 26个,因此恺撒密码仅有26个可能的密钥, 非常不安全。 27
替代算法(二) 电子商务概论 加强安全性,随机生成对照表 l 明文:a b c d e f g h i j k l m n o p q r s t u v w x y z l 密文:x n y a h p o g z q w b t s f l r c v m u e k j d i l 若明文为student, 密文则为vmuahsm。 l 解密函数是上面这个替代对照表的一个逆置换。 2008 -6 28
维吉尼亚密码——置换移位法 电子商务概论 l l l l l 以置换移位为基础的周期性替换密码。 明文w e a r e d i s c o v e r e d s a v e y o u r s e l f 密钥d e c e p t i v e 密文z i c v t w q n g r z g v t w a v z h c q y g l m g j 密钥deceptive被重复使用 维吉尼亚密码仍旧能够用统计字母频度技术分析。 密钥d e c e p t i v e abcdefghijklmnopqrstuvwxyzabc a bc d e fg h i j k l mn opq r s t uv wx y z 2008 -6 29
1)加密系统 电子商务概论 一个数据加密系统包括加密算法、明文、密文以及密 钥。加密算法和密钥对保护安全至关重要。加密的另一个 特点是,即使有人知道加密的方法,不知道密钥也无法解 开加密信息。加密信息的保密性取决于加密所用密钥的长 度,40位的密钥是最低要求,更长的(如 128位)密钥能 提供更高程度的加密保障。 一个简单的加密方法是把英文字母按字母表的顺序编 号作为明文,将密钥定为 17,加密算法为将明文加上密钥 17,就得到一个密码表。 2008 -6 30
一个简单的密码表 电子商务概论 字 母 A B C … Z 明 01 文 密 18 文 信 T h 02 03 … 26 27 28 29 30 31 32 19 20 … 43 44 45 46 47 48 49 i s 空格 , a s . e / c : r e t ? . 息 明 文 20 08 09 19 27 01 27 19 05 03 18 05 20 29 密 文 37 25 26 36 44 18 44 36 22 20 35 22 37 46 2008 -6 31
2)数据加密算法 电子商务概论 数据加密算法有很多种,密码算法标准化是信息化社 会发展的必然趋势,是世界各国保密通信领域的一个重要 课题。按照发展进程来分,经历了古典密码、对称密钥 密码和公开密钥密码阶段。古典密码算法有替代加密、置 换加密;对称加密算法包括 DES和AES;非对称加密算法 包括RSA、背包密码、 Mc. Eliece密码、 Rabin、椭圆曲 线、 EIGamal D_H等。 目前在数据通信中使用最普遍的算法有DES算法和 RSA算法等。 2008 -6 32
对称加密体制和非对称加密体制 电子商务概论 1)对称式加密体制(K 1=K 2)也称为私钥(Private Key)系统 l 2)非对称式加密体制(K 1<>K 2)也称为公钥(Public Key)系统 l 2008 -6 33
使用最广泛的对称加密算法—DES算法 电子商务概论 l l l DES是由IBM公司在 1970年研制的,1977年 1月15日美国国 家标准局批准为作为非机密机构的加密标准。 主要用于银行业的电子资金转帐。 DES是采用传统换位与置换的加密方法的分组密码系统。 其基本原理是:密钥 64位的比特串,其中 56位密钥,8位是奇 偶校验位。DES的解密和加密一样,只不过是密钥的顺序相 反。其加密和解密需完成的只是简单的算术运算,因此速度 快,密钥生成容易。 1997年美国RSA数据安全公司举办了密钥挑战竞赛,悬赏一 万美金破译DES算法。克罗拉多州的一个程序员用了96天的 时间,在Internet数万名志愿者的协同 作下,成功地找到了 DES的密钥。 2008 -6 34
3)对称加密 电子商务概论 对称加密又称为单钥加密或私钥加密,即收发信双 方同用一个密钥去加密和解密数据,常见的对称加密算 法为 DES(data encrypt standard)和IDEA等算法, 目前 广泛使用的是 3 DES。 图 5 -13 对称加密流程示意图 2008 -6 35
对称加密体制的 作过程 电子商务概论 密钥 发送方 明文 密文 加密 Internet 或其他网络 接受方 解密 明文 密文 密钥 2008 -6 36 利 用 安 全 途 径 传 输 密 钥
3)对称加密 电子商务概论 Ø Ø Ø 对称加密方法对信息编码和解码的速度很快,效率也很高, 但需要细心保存密钥。 如果发送者和接收者处在不同地点,就必须当面或在公共 传送系统(电话系统、邮政服务)中无人偷听偷看的情 况下交换密钥。所以对称加密的一个问题就出在密钥的分 发上,包括密钥的生成、传输和存放。 在公共网络上进行密钥发布非常麻烦,如果企业有几千个 在线顾客,那么密钥的发布就很难满足要求。 n个人彼此之间进行保密通讯就需要 n(n-1)/2个密钥。 想用互联网交换保密信息的每对用户都需要一个密钥,这 时密钥组合就会是一个天文数字。 对称加密的另一个问题是其规模无法适应互联网这类大 环境的要求。 2008 -6 37
4)非对称加密 电子商务概论 非对称加密又称为公开密钥加密或双钥加密, 1977年 麻省理 学院的三位教授(Rivest、Shamir和Adleman) 发明了 RSA公开密钥密码系统,它是最常用的一种不对 称加密算法。RSA公开密钥密码系统使用一对不同的密钥, 给别人用的就叫公钥,给自己用的就叫私钥。这两个可以 互相并且只有为对方加密或解密,用公钥加密后的密文, 只有私钥能解。 2008 -6 38
4)非对称加密 电子商务概论 RSA的算法如下: 1)选取两个足够大的质数P和Q ; 2)计算P和Q相乘所产生的乘积 n = P×Q; 3)找出一个小于n的数e ,使其符合与(P-1)×(Q-1) 互为质数; 4)另找一个数d,使其满足( e×d)MOD[(P-1)×( Q-l)]= 1其中 MOD(模)为相除取余;( n,e)即为公 钥;( n,d)为私钥。 5)加密和解密的运算方式为:明文M=Cd(MOD n); 密文C=M e(MOD n )。这两个质数无论哪一个先与明文密 码相乘,对文件加密,均可由另一个质数再相乘来解密。但 要用一个质数来求出另一个质数,则是非常困难的,因此将 这一对质数称为密钥对。 2008 -6 39
4)非对称加密 电子商务概论 举例来说,假定 P = 3,Q = 11,则 n = P×Q = 33, 选择 e =3,因为 3和20没有公共因子。(3×d)MOD(20) = 1,得出d= 7。从而得到(33,3)为公钥;( 33,7) 为私钥。加密过程为将明文 M的3次方模 33得到密文C,解 密过程为将密文 C 的7次方模 33得到明文。表显示了非对 称加密和解密的过程。 非对称加密和解密的过程 明文 M 密文 C 解密 字母 M 3(MOD 33) C 7(MOD 33) 字母 A 01 1 01 A E 05 125 26 8031810176 05 E N 14 2744 05 78125 14 N S 19 6859 28 13492928512 19 S Z 2008 -6 序号 26 17576 20 128000000 26 Z 40
4)非对称加密 电子商务概论 图 5 -14 2008 -6 非对称加密技术示意图 41
非对称加密体制的 作流程 电子商务概论 发送方 明文 2. 用接受方的公开密钥 加密 1. 首先取得接受方的公开密钥 接受方 2008 -6 明文 3. 用接受方的私有密钥 42 密文 Internet 或其他网络 解密 密文
非对称加密体制的优缺点 电子商务概论 缺点: 加密算法复杂,加密和解密的速度比较慢。 l 优点: 1. 公钥加密技术与对称加密技术相比,其优势在于不需要 共享通用的密钥。 2. 公钥在传递和发布过程中即使被截获,由于没有与公钥 相匹配的私钥,截获的公钥对入侵者没有太大意义。 3. 密钥少便于管理,N个用户通信只需要N对密钥,网络 中每个用户只需要保存自己的解密密钥。 4. 密钥分配简单,加密密钥分发给用户,而解密密钥由用 户自己保留。 l 2008 -6 43
电子商务概论 非对称加密系统并不是要取代对称加密系统,恰恰相 反,它们是相互补充的。如可用非对称加密在互联网上传 输对称加密系统的密钥,而用对称加密方式加密报文,即 DES用于明文加密,RSA用于DES密钥的加密。由于 DES 加密速度快,适合加密较长的报文;而 RSA可解决DES密 钥分配的问题。 2008 -6 44
数字信封 电子商务概论 l 数字信封,结合对称密钥和非对称密钥加密技术的优 点,克服了对称加密算法的密钥分发难,以及公钥密 码系统中加密所需时间较长的缺点。 l 在数字信封中,信息发送方采用对称密钥来加密信息 内容,然后将此对称密钥用接收方的公开密钥来加密 (这部分称数字信封)之后,将它和加密后的信息一 起发送给接收方,接收方先用相应的私有密钥打开数 字信封,得到对称密钥,然后使用对称密钥解开加密 信息。 2008 -6 45
数字摘要 电子商务概论 数据在传输的过程中,有可能被 篡改,为保证数据的完整性和真实性, 需要采取相应的措施。加密虽然能在 一定程度上保障数据安全,但加密本 身可能受到比特交换攻击,无法保障 数据的真实完整,所以需要结合采用 其他完整性机制。 解决数据传输完整性问题:数字摘要 2008 -6 46
4、数字摘要 电子商务概论 l l l 2008 -6 数字摘要(Digital Digest) :是一个描述文档的数字。 数字摘要技术就是利用hash函数把任意长度的输入映射 为固定长度的输出。这个固定长度的输出就叫做消息摘 要。 hash函数是把任意长的输入串x变化成固定长的输出串y 的一种函数。 HASH函数的数学表述为: y=Hash(x), x是任意长度明 文,y是固定长度,即每改变x的一比特,都将对y产生 明显影响。 消息摘要用来检测消息的完整性。 目前常用的Hash算法主要有SHA1和MD5 47
数字签名 电子商务概论 l l l 在网络中传送的报文如何签名盖章?这是数字签名所要解决 的问题。 数字签名的英文:Digital Signature 基于非对称加密体制基础上,将非对称加密技术和数字摘要 技术结合。 利用公开密钥加密算法(RSA)是进行数字签名的最常用方 法。 所以数字签名能够实现以下功能: – 1)收方能够证实发送方的真实身份; – 2)发送方事后不能否认所发送过的报文; – 3)收方或非法者不能伪造、篡改报文。 2008 -6 48
数字签名原理 电子商务概论 Hash函数 摘 要 私钥 加密 信 息 数 字 签 名 信 息 发送方 2008 -6 公钥 解密 比 较 Hash函数 接收方 49 摘 要 如 一致 信 息 确 认
数字签名具体 作过程 电子商务概论 发送方: 明文 1. Hash函数 数字摘要 2. 发送方的私钥 加密 加密后的数字摘要 Internet 或其他网络 接受方: 一致 不一致 2008 -6 数字摘要2 数字摘要1 4. Hash函数 3. 发送方的公钥 解密 50 明文 加密后的数字摘要
5. 4. 2 CA认证与数字证书 电子商务概论 1)CA认证 CA (Certification Authority)是认证机构的国际通称, 它是对数字证书的申请者发放、管理、取消数字证书的 机构。认证机构相当于一个权威可信的中间人,它的职责 是核实交易各方的身份,负责电子证书的发放和管理。 2)数字证书的概念与内容 数字证书又称为数字凭证或数字标识 (Digital Certificate,Digital ID),也被称作CA证书,实际是一串 很长的数学编码,包含有客户的基本信息及 CA的签字, 通常保存在计算机硬盘或 IC卡中。 2008 -6 51
5. 4. 3 CA认证与数字证书 电子商务概论 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者 的公开密钥和证书颁发机构的签名及证书有效期等内容。 l 一个标准的 X. 509数字证书包含以下一些内容: – 证书的版本信息。 – 证书的序列号,每个证书都有一个唯一的证书序列号。证书所使 用的签名算法。 – 证书的发行机构名称 (命名规则一般采用 X. 500格式)及其用私钥的 签名。 – 证书的有效期。 – 证书使用者的名称及其公钥的信息。 l l 2008 -6 X. 509标准 :它是为了解决 X. 500目录中的身份鉴别和访问控制问题 而设计的。 52
电子商务概论 3)数字证书的类型 常见的数字证书有三种类型。 – 个人证书 – 企业 (服务器 )证书 (Server ID) – 软件 (开发者 )证书。 从证书的用途来看可以将数字证书分为 – 根证书 – 服务器证书 – 客户证书 2008 -6 53
5. 4. 3 CA认证与数字证书 电子商务概论 4)数字证书的安装与使用 – CA认证中心签发证书后,证书的持有者给其他人、 Web站点提供他的证书来证明他的身份。 – – 2008 -6 在银行网上银行系统中,下载客户证书及 CA根证书 的过程即是将这些证书安装到浏览器的过程,浏览器 会引导你完成安装过程。在用户进入网上银行交易之 前,浏览器与服务器之间建立 SSL安全通道时,会自 动使用双方的证书,所以,在进入交易之前,你应保 证客户证书及 CA根证书已经安装在浏览器中。 在完成证书下载后,建议立即备份客户证书及私钥。 私钥是有密码保护的,在导出证书及私钥时,系统将 提示提供该密码,应牢记这个密码,并定期更换密码。 54
CA中心简介 电子商务概论 l l 2008 -6 国内常见的CA有中国商务在线 中国数字认证网(www. ca 365. com),数字认证, 数字签名,CA认证,CA证书,数字证书,安全电 子商务。 北京数字证书认证中心(www. bjca. org. cn)为网 上电子政务和电子商务活动提供数字证书服务。 广东省电子商务认证中心(testca. net) wosign 55
5. 4. 3 公开密钥基础设施PKI 电子商务概论 l PKI(Public Key Infrastructure ) 即"公钥基础设施", 是一种遵循既定标准的密钥管理平台, 它能够为所有网络应 用提供加密和数字签名等密码服务及所必需的密钥和证书 管理体系,简单来说,PKI就是利用公钥理论和技术建立的 提供安全服务的基础设施。PKI技术是信息安全技术的核心, 也是电子商务的关键和基础技术。 PKI的基础技术包括加密、数字签名、数据完整性机制、数 字信封、双重数字签名等。 l CA是证书的签发机构 , 它是PKI的核心。 l 2008 -6 56
电子商务概论 l 将PKI在网络信息空间的地位与电力基础设施在 业生活中 的地位进行类比可以更好地理解PKI。电力基础设施,通过 伸到用户的标准插座为用户提供能源,而PKI通过延伸到用 户本地的接口,为各种应用提供安全的服务。有了PKI,安 全应用程序的开发者可以不用再关心那些复杂的数学运算 和模型,而直接按照标准使用一种插座(接口)。正如电 冰箱的开发者不用关心发电机的原理和构造一样,只要开 发出符合电力基础设施接口标准的应用设备,就可以享受 基础设施提供的能源。 2008 -6 57
电子商务概论 三个著名的国际PKI组织 Ø 美国PKI Forum 由美国发起, 1999年成立, 目前有11会员国, 包括美国, 加拿大, 欧洲八个国家, 强调PKI的建置与互通采用 Ø Ø 欧盟EESSI(European Electronic Signature Standardisation Initiative) 由欧盟标准组织发起, 1999年成立 强调数位签章相关法律与商业应用计画推动 Ø 亚洲PKI Forum 由日本, 南韩, 新加坡发起, 2000年成立, 目前有8会员国, 包括中华台北, 日本, 南 韩, 新加坡, 澳洲, 中国, 香港, 马来西亚等 目前以推动日本, 南韩, 新加坡三国PKI互通计画最为瞩目 2008 -6 58
5. 5 电子商务安全协议 电子商务概论 5. 5. 1 安全套接层协议 5. 5. 2 安全电子交易协议 2008 -6 59
5. 5. 1 安全套接层协议 电子商务概论 安全套接层 (Secure Sockets Layer,SSL)是一种传 输层技术,由 Netscape开发,可以实现兼容浏览器和服 务器之间的安全通信。 SSL协议是目前购物网站中常使用 的一种安全协议。 所谓 SSL就是在和另一方通信前先讲好的一套方法, 这个方法能够在它们之间建立一个电子商务的安全性秘密 信道,确保电子商务的安全性,凡是不希望被别人看到的 机密数据,都可通过这个秘密信道传送给对方,即使通过 公共线路传输,也不必担心别人的偷窥。 SSL使用的是RSA电子签名算法,可以支持 X. 509证 书和多种保密密钥加密算法。 2008 -6 60
5. 5. 1 安全套接层协议 电子商务概论 SSL在客户机和服务器开始交换一个简短信息时提供一 个安全的握手信号。在开始交换的信息中,双方确定将使用的 安全级别并交换数字证书。每个计算机都要正确识别对方。 如果客户机没有证书也没关系,因为客户机是发送敏感 信息的一方。 而客户机正与之交易的服务器应有一个有效的证书,否 则客户机就无法确认这个商务网站是否与其声称的身份相符。 确认完成后, SSL对在这两台计算机之间传输的信息进 行加密和解密。 由于SSL处在互联网协议集中 TCP/IP层的上面,实现 SSL的协议是 HTTP的安全版,名为 HTTPS。 2008 -6 61
5. 5. 1 安全套接层协议 电子商务概论 SSL有两种安全级别: 40位和128位。这是指每个加 密交易所生成的私有会话密钥的长度。可根据互联网 Explorer和 Netscape浏览器状态条上锁头的开关来判别 浏览器是否进入了 SSL会话。如果未进入,则锁头处于 打开状态。一旦会话结束,会话密钥将被永远抛弃,以后 的会话也不再使用。 2008 -6 62
5. 5. 2安全电子交易协议 电子商务概论 Visa与Master. Card两家信用卡组织共同推出,并且与众 多IT公司,如Microsoft、Netscape、RSA等共同发展而成的 安全电子交易协议( Secure Electronic Transaction,SET) 应运而生。 SET在保留对客户信用卡认证的前提下,又增加了对商家 身份的认证,由于设计合理, SET协议得到了 IBM、 Microsoft等许多大公司的支持,已成为事实上的 业标准。 SET是一种以信用卡为基础的、在互联网上交易的付款协 议书,是授权业务信息传输安全的标准,它采用 RSA密码算 法,利用公钥体系对通信双方进行认证,用 DES等标准加密 算法对信息加密传输,并用散列函数来鉴别信息的完整性。 2008 -6 63
5. 5. 2安全电子交易协议 电子商务概论 在SET的交易中,成员主要有持卡人(消费者)、网 上商家、收单银行、支付网关、发卡银行、认证中心 CA。 SET系统的动作是通过 4个软件来完成的,包括电子钱包、 商店服务器、支付网关和认证中心软件,这 4个软件分别 存储在持卡人、网上商店、银行以及认证中心的计算机中, 相互运作来完成整个SET交易服务。 2008 -6 64
5. 6 电子商务交易安全 电子商务概论 5. 6. 1 电子商务交易风险的识别 5. 6. 2 电子商务交易风险的防范及应对 5. 6. 3 遭遇网络诈骗后的应对策略 2008 -6 65
5. 6. 1 电子商务交易风险的识别 电子商务概论 1)从信息内容辨 别真伪 如果公司介绍太 简单,求购意图不 明显,地址也写得 很模糊,预留的公 司网站是虚假地址 或者并非诚信通会 员统一的格式,通 常情况下,就有可 能是虚假的信息。 图 5 -17是可疑信息的样本 2008 -6 66
5. 6. 1 电子商务交易风险的识别 电子商务概论 2)查询企业信用记录 在阿里巴巴的企业信用 数据库中,可以查询 到很多信用不良的企业 被投诉的记录。这些 记录,可以帮助用户 判定信息发布方的诚信 程度。 图 5 -18企业被投诉的记录 2008 -6 67
电子商务概论 l 3)从论坛搜索相关信息 把某个企业的名称输入到阿里巴巴论坛中进行搜索,如 果发现有网商发贴子揭露该企业的不诚信行为,那用户与 该企业进行商业贸易的风险性就比较大了。 图 5 -19揭露网络诈骗分子的贴子 2008 -6 68
5. 6. 1 电子商务交易风险的识别 电子商务概论 4)查询诚信指数及评价 诚信通档案记录了企业的 诚信指数及其他客户的评 价,可以借以综合判断与 该企业进行贸易时的风 险程度。 图 5 -20诚信通档案 2008 -6 69
5. 6. 1 电子商务交易风险的识别 电子商务概论 5)通过搜索引擎搜索 借助于Yahoo!、Google、 百度等著名搜索引擎,用 户可以比较方便的查找所 需的资料。将某个企业的 名称、地址、联系人、手 机、电话、传真等信息输 入到搜索引擎中,可能会 搜索到和其相关的信息。 图 5 -21利用中国雅虎搜索 2008 -6 70
5. 6. 1 电子商务交易风险的识别 电子商务概论 6)通过 商管理部门 网站查询 要了解交易对方诚 信的资讯,可以通过 国家权威部门的网站上 查询。一个非盈利性网 站主页最下方必需有 ICP备案号,一个盈利 性网站主页最下方必需 有红盾标记。点击红 盾标记进入 商红盾 网的网站,可查看交易 对方的企业代码、法 人代表、地址、以及联 系方式等信息,帮助用 户了解对方公司的真 实注册情况 。 2008 -6 图 5 -22 通过 商行政部门查询企业基本信息 如果发现对方提供的信息和 商红盾网上的信息不一致,就需 要留心,必要时还可以通过 114 查询对方的电话号码,打电话去 核实。 71
5. 6. 1 电子商务交易风险的识别 电子商务概论 7)专业性测试 由于网络诈骗分子们没有真实的采购意图,往往对产 品本身并不了解或是了解不多。因此,用户在与其进行 沟通的过程中,可以运用自己对产品的知识,设定一 些问题,测试对方是否了解采购的产品,进而来判断 对方是否有真实的采购意图。 2008 -6 72
5. 6. 2 电子商务交易风险的防范及应对 电子商务概论 1)账户密码安全 目前,各大网站密码被盗的现象时有发生,例如在阿里巴巴网站,会 员密码被盗会有两种危害:一种情况是诚信通会员密码被盗,会导致 网络骗子利用诚信通会员的账号,假借诚信通会员的名义行骗,使 公司名誉受损。另一种是支付宝和网上银行密码被盗,导致的直接结 果是钱款的损失。 · 密码长度应该在 8到 20位; · 密码使用不同符号组合,如字母加数字; · 切不可将密码设置成与公开的信息一致. · 定期更改密码; · 企业内掌握密码的人数应尽量少; · 不同的账户设置不同的密码,以免多个账户同时被盗; · 不能将企业重要资料告诉他人,以免他人据此要求阿里巴巴 系统管理员更改密码。 2008 -6 73
5. 6. 2 电子商务交易风险的防范及应对 电子商务概论 2)养成良好的网络使用习惯也是防范网络贸易风险的措施之一。 例如:不要打开来历不明的邮件、邮件附件和网络链接;尽量不要在 网吧里登录阿里巴巴诚信通账户或者支付宝账户;输入密码时尽量 使用“复制+粘贴 ”的方式,以防止记键木马;在使用贸易通和客户沟 通时,一定要注意陌生人发过来的链接,如果对方发过来一个文件, 可以使用各类杀毒软件先行检测,确定是否是病毒后再决定是否打开。 利用木马病毒盗取他人密码是网络黑客常用的手段。贸易通中曾经 流行这样一个病毒,收到有关产品的询盘信息,当会员怀着期望的心 情接收求购定单并打开之后,木马程序便进入会员的计算机中。安装 正版杀毒软件与防火墙,经常查杀木马程序也是防止密码被盗的好 方法。不要轻易访问不正规的陌生网站,或者轻易下载免费软件, 那样极容易将木马程序引入在自己的计算机中。 2008 -6 74
5. 6. 2 电子商务交易风险的防范及应对 电子商务概论 3)使用第三方支付平台来支付货款 支付宝是阿里巴巴公司针对网上交易而特别推出的安 全付款服务。支付宝的实质是以其为信用中介,在买家确 认收到商品前,由支付宝替买卖双方暂时保管货款的一种 增值服务。正是由于这一因素,使得从事网络贸易都可以 坦然地利用网络进行交易,解除了网络交易者最为担心的 支付安全问题。 2008 -6 75
5. 6. 2 电子商务交易风险的防范及应对 电子商务概论 4)诚信论坛与防 骗专家 诚信的网商在网络 贸易中需广交诚信 的朋友,互帮互助, 共享共赢。阿里巴 巴的平台就为网商 们提供了交到更多 朋友的机会。 这个社区三个功能是其它 论坛所没有的。第一是企 业信用记录查询功能,第 二是投诉功能,第三是论 坛提供的咨询功能。 2008 -6 图 5 -24 商人社区中的诚信社区--商业防骗专题论坛 76
5. 6. 3遭遇网络诈骗后的应对策略 电子商务概论 电子商务交易机会与风险并存,一旦用户意识到可能遭遇到网 络诈骗,就应及时采取应对措施保留诈骗痕迹、报案与投诉。 Ø (1)搜集、保留诈骗证据 及时采取措施尽可能保留交易过程中的一切资料,诈骗证据包 括合同、聊天记录、往来邮件、汇款凭证、账号信息、发货凭证、 联系方式等。 Ø (2)及时报警 及时到当地公安局报警,并将公安机关的立案证明 (受理案件回 执 ) 或者法院的立案通知书签字盖章的复印件提供给相关交易平台( 如阿里巴巴)。 Ø (3)进行投诉 可到相关交易平台进行投诉,例如阿里巴巴网中国站上就设有 诚信论坛,受骗客户发贴投诉,写明事情发生经过,网站相关服务 人员将会联系对方要求其对此事作出合理解释。如果对方不能合理解 释,则可能会被取消账号,在阿里巴巴上永远留下差评,并供其他会 员搜索和浏览。 2008 -6 77
电子商务概论 l l l 一、判断题 1、认证中心(CA)的主要功能之一是发出产品质量证书。 ( ) 2、因为Word文档不是执行文件,所以收到别人的电子邮 件中有Word文档附件的时候,可以放心的打开,不可能传 染病毒。 ( ) 3、木马病毒的主要危害是损害引导扇区。 ( ) 4、数字签名可用于解决未经授权访问主机资源的问题。( ) 5、多数所谓的黑客只是使用几个黑客软件而已。 ( ) 2008 -6 78
电子商务概论 l l l l l 2008 -6 二、选择题(包括单选题和多选题) 1、电子商务系统必须保证具有十分可靠的安全保密技术, 必须保证网络安全的四大要素,即信息传输的保密性、数 据交换的完整性、发送信息的不可否认性和( ) A、不可修改性 B、信息的稳定性 C、数据的可靠性 D、交易者身份的确定性 2、下列( )病毒属于木马病毒。 A、磁碟机 B、熊猫烧香 C、网银大盗 D、Nimda 3、数字证书中不包括( )。 A、公开密钥 B、数字签名 C、证书发行机构的名称 D、证书的使用次数信息 79
电子商务概论 l l l l l 2008 -6 4、关于防火墙,叙述正确的是( )。 A、防火墙可通过屏蔽未授权的网络访问等手段把内部网络隔离为可信 任网络 B、防火墙的安全性能是可根据系统安全的要求而设置,因系统的安全 级别不同而有所不同 C、防火墙可以有效的查杀病毒,对网络攻击可进行检测和告警 D、防火墙可以用来把内部可信任网络对外部网络或其他非可信任网络 的访问限制在规定的范围之内 5、关于用数字签名进行文件传输过程的说法中,错误的是( )。 A、接收方用自己的私有密钥对密钥进行解密,得到秘密密钥的明文 B、接收方用公开密钥对文件进行解密,得到经过加密的数字摘要 C、接收方用发送方的公开密钥对数字签名进行解密,得到数字摘要的 明文 D、接收方用得到的明文和哈希函数重新计算数字摘要,并与解密后的 数字摘要进行对比 80
单选 电子商务概论 l l l 1.非对称加密将密钥被分解为一对密钥,即( )。 A、一把公开的加密密钥和一把公开的解密密钥 B、一把秘密的加密密钥和一把公开的解密密钥 C、一把公开的加密密钥和一把秘密的解密密钥 D、一把公开密钥或加密密钥和一把专用密钥或解密密钥 l l l 2.数字信封技术是结合了秘密密钥加密技术和公开密钥加密技术优点的一种加密 技术, 它克服了( )。 A、秘密密钥加密中秘密密钥时间长和公开密钥加密中加密分发困难的问题 B、秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题 C、秘密密钥加密中数字过长的问题 D、公开密钥加密中加密技术困难的问题 l l l 3、解决数据传输完整性问题采用的技术( ) A、数字摘要 B、数字签名 C、数字信封 D、CA认证 2008 -6 81
电子商务概论 l l l 4.密钥的长度是指密钥的位数,一般来说( A、密钥位数越长,被破译的可能就越小 B、密钥位数越短,被破译的可能就越小 C、密钥位数越长,被破译的可能就越大 D、以上说法都正确 l 5.数据加密标准(DES)是目前广泛采用的对称加密方式之一,主要应用于 ()。 A、电子商务中的电子数据交换(EDI)领域 B、信息传递中的电子邮件(E-mail)领域 C、银行业中的电子资金转账(EFT)领域 D、银行业中的智能卡交易领域 l l )。 6.数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认 证,数字签名采用的主要技术是( )。 l A、对称密钥算法 B、数据加密标准法 l C、公开密钥算法 D、以上说法都正确 l 2008 -6 82
电子商务概论 7.认证中心是检验公开密钥是否真实性的第三方,它是一个权威机构,用 来( )。 l A、专门检验手续是否合法 B、专门验证交易双方是否合法 l C、专门检验商品质量 D、专门验证交易双方的身份 l l l 2008 -6 8.SET 协议是实现在开放的网络 Internet 上使用付款卡(信用卡、借记卡 和取款卡等)付的安全事务处理协议。SET 协议的目的是为了( )。 A、安全地在网上使用现金支付 B、安全地在网上传递交易信息 C、安全地在网上使用订单进行交易 D、安全地在网上使用付款卡进行交易 83
多选 电子商务概论 l l l l l 2.防火墙指的是( )。 A、防火、防盗、防破坏 B、由软件和硬件设备组合而成的保护屏障 C、在内部网与外部网之间的界面上构造的保护屏障 D、在专用网与公共网之间的界面上构造的保护屏障 l l l 2008 -6 1.电子商务的安全需求表现为( )。 A、信息保密性、交易者身份的确定性 B、数据储存性、交易双方身份的认证性 C、不可否认性、不可修改性 D、订单的正确性、信息反馈的及时性 3.在公钥体制中( )。 A、用于加密的密钥和用于解密的密钥完全相同 B、用于加密的密钥和用于解密的密钥完全不相同 C、加密密钥能公布于众 D、解密密钥不能公布于众 84
电子商务概论 l l 4.所谓对称加密是指( )。 A、使用相同的密钥加密和解密 B、一把钥匙开一把锁 C、发送者和接收者使用相同的密钥 D、每个交易方都不必彼此研究和交换专用的加密算法 l l 5、对付窃听攻击这种安全威胁的安全业务是( ) A. 认证业务 B. 不可否认业务 C. 访问控制业务 l l l 6.数字证书的类型有( )。 A、个人数字证书 B、企业数字证书 C、软件数字证书 D、硬件数字证书 l l l 7、数字签名能解决的安全需求问题包括( ) A、证实发送方的真实身份; B、数据完整从发送方传到接收方 C、发送方事后不能否认所发送过的报文; D、收方或非法者不能伪造、篡改报文 2008 -6 85 D. 保密业务
填空 电子商务概论 l 1、最著名的公开密钥算法是_____, 最著名的私有密钥算法 是______。 l 2.电子商务的安全要素是指: 、 。 l 3.密钥安全协议主要分为: 议。 l 4、用恺撒密码计算,设M=university, k=3, 则C= _____ l 5、维吉尼亚密码设M=college, k=book, 求C= _____ 2008 -6 86 、 、 、 协议和 、 协
61dc515261888e2342a009dc09c42618.ppt