• 了解电子商务面临的主要安全威胁 • 了解电子商务对安全的基本要求 • 熟悉电子商务常用的安全技术 • 了解电子商务常用的加密技术 • 了解电子商务的认证体系 2018/3/17 • 掌握SSL和SET的流程和 作原理 1
7. 1 电子商务安全 7. 2 防火墙技术 了解 7. 3 数据加密技术 7. 4 认证技术 掌握 7. 5 安全技术协议 重点掌握 2018/3/17 电 子 商 务 安 全 问 题 有 哪 些 ? 我 们 可 以 采 取 哪 些 有 效 措 施 去 保 证 其 安 全 ? 不 同 的 安 全 措 施 各 自 的 原 理 及 作 用 是 什 么 ? 2
7. 1 电子商务安全 7. 1. 1 电子商务的安全性问题 1、信息安全问题 (1)信息的截获和窃取 :银行帐号、密码以及商业机密等 (2)篡改: 删除/插入 破坏完整性 (3)伪造电子邮件 (4)假冒他人身份 (5)信息丢失 2018/3/17 3
2、信用安全问题 主要涉及交易抵赖 (1)发信者事后否认曾经发送过某条消息或内容 (2)收信者事后否认曾经收到过某条消息或内容 (3)购买者做了订货单不承认 (4)商家卖出的商品因价格差而不承认原有的交易 2018/3/17 4
3、安全的管理问题 4、安全的法律问题 5、电脑病毒及黑客问题 2018/3/17 5
安 全 问 题 对 电 子 商 务 的 影 响 2018/3/17 严重打击消费者对电子商务的信心 造成运营商巨大的经济损失 涉及的地域范围广 威胁个人及组织的资金安全、货物安全和信誉安全 6
7. 1. 2 电子商务对安全的基本要求 P 214 1、授权合法性: 安全管理人员能够控制用户的权限、分配 或终止用户的访问、操作、接入等权利,被授权用户的访问不 能被拒绝。 防火墙技术、口令 2、不可抵赖性(non-repudiation) 数字签名、CA证书 3、机密性(confidentiality): 信息发送和接收是在安全的 通道进行,保证通信双方的信息保密。 2018/3/17 加密技术 7
4、真实性(authenticity) 交易信息 交易方身份 数字签名、数字证书 5、信息的完整性(integrity) 数字摘要、时间戳 6、存储信息的安全性 2018/3/17 8
7. 1. 3 电子商务交易安全措施 1、交易安全技术 (1)身份认证:确定贸易伙伴的真实性 (2)数据加密和解密:保证电子单证的保密性 (3)数字摘要技术 :保证电子单证内容的完整性 (4)数字签名技术:保证电子单证的真实性 (5)CA认证 :不可抵赖性 (6)时间戳、消息的流水作业号:保证被传输的业务单 证不会丢失 2018/3/17 9
2、安全交易标准和技术 (1)安全超文本传输协议(S-HTTP) 保障WEB站点间的交易信息传输的安全性 (2)安全套接层协议(SSL, Secure Sockets Layer ) 提供加密、认证服务和保证报文的完整性 (Netscape) (3) 安全电子交易协议(SET,Secure Electronic Transaction 信用卡网上交易安全,提高网络支付服务的质量 2018/3/17 10
7. 2 防火墙技术 7. 2. 1 防火墙的含义及其分类 1、防火墙(Firewall):指 Internet上广泛应用的一种安 全措施,是指设置在互联网(Internet)与内部网(Intranet)之间 系统,通过控制内外网络间信息的流动,提高内部网络的安全 性。 防火墙可以阻止外界对内部资源的非法访问,也可以 防止内部对外部的不安全访问。 2018/3/17 11
防火墙系统组成示意图: Internet 2018/3/17 内 网 12
Web Server处于防火墙内 主机 主机 WEB 服务器 SERVER 防火墙 Internet 主机 主机 安全边界 2018/3/17 13
7. 3 数据加密技术 7. 3. 1 数据加密、解密基本过程 加密技术:解决数据的加密及其解密的技术,整个过程 组成一个加密系统。 加密:就是把信息转换为不可辨识的形式的过程。 明文 密文 解密:将信息内容转变为明文的过程 密文 2018/3/17 明文 14
恺撒算法——古老而简单的加密技术 CHINA 2018/3/17 每个字符后移 5位 HMNSF 15
明文 密文 加密系统 加密算法 算法 解密算法 密钥(加密/解密密钥) 明文P 2018/3/17 加密算 法E 加密密钥Ke 密文C 解密算 法D 明文P 解密密钥Kd 16
加密技术 对称密钥加密(Symmetric Cryptography) 非对称密钥加密(Asymmetric Cryptography) (公开密钥加密) 2018/3/17 17
7. 3. 2 对称密钥加密技术 1、对称密钥加密技术:加密和解密均采用同一把密钥,而 且通信双方必须都要获得这把钥匙并保持钥匙的秘密。 这时的密钥称为对称密钥,并且不对外发布,也称为私钥 密码。 2、 最典型的对称密钥加密算法:美国数据加密标准 (DES:Data Encrypt Standard)。 2018/3/17 18
图 7 -2 对称加密示意图 2018/3/17 19
2018/3/17 20
3、优点:加密速度快,适于大量数据的加密处理。 4、缺点 (1)密钥需传递给接受方,传递过程中的安全性得不到 保证。 (2)密钥数量急剧增加 (3)要求通信双方相互认识,保守密钥。 2018/3/17 21
2、公开密钥体系(非对称密钥加密体系) p 225 1、 信息加密和解密使用的是不同的两个密钥,称为“密钥对” 公开密钥(公钥PK ):加密 私用密钥(私钥SK): 解密 2、RSA加密算法(1979年) 2018/3/17 22
2018/3/17 23
2018/3/17 24
3、特点 –两个密钥 –加密密钥不能用来解密 – 公开密钥不需要管理,直接在网络上公开传输 – 加密速度较慢 4、优点 (1)密钥少便于管理 (2)密钥分配简单 (3)不需要秘密的通道和复杂的协议来传送密钥 (4)可实现数字签名和数字鉴别 2018/3/17 25
7. 4 认证技术 在网络上,什么样的信息交流才是安全的呢? Ø只有接收方才能解读信息,保密性 Ø接收方看到的信息未被篡改或替换,完整性 还差什么? 建立信任和信任验证机制 加密 ! 身份验证 交易不可抵赖 CA认证 数字证书 2018/3/17 26
7. 4. 1 基本概念 1、数字证书( digital Certificate, digital ID):网络通信 中标志通信各方身份信息的一系列数据。 用电子手段来证实用户的身份及分配公开密钥 2、RA(Release Auditing): 证书发放审核部门 对证书申请者进行资格审查,并决定是否对其发放证书 3、CP(Certificate Perform):证书发放执行部门 为已授权的申请者制作、发放和管理证书 2018/3/17 27
4、RS(Releasee):证书的受理者 接受用户的证书申请请求 5、CRL(Certificate Repeal List):证书作废表 记录尚未过期但已声明作废的用户证书的序列号 2018/3/17 28
6、CA 认证中心(Certificate Authority) 承担网上安全电子交易认证服务,能签发数字证书,并能 确认用户身份的服务机构。 证书发放 证书更新 CA的四大职能 证书撤销 证书验证 认证中心的核心职能就是发放和管理数字证书 2018/3/17 29
延伸阅读--中国CA认证中心的建设 • 尚没有明确国家级CA安全认证系统 • 行业性CA安全认证系统: –中国人民银行联合12家银行建立的金融CFCA安全认 证中心 – 中国电信建立的CTCA安全认证系统 –国家外贸部EDI中心建立的国富安CA安全认证中心 2018/3/17 30
世界著名的认证中心Verisign(www. verisign. com) 2018/3/17 认证中心Veri. Sign的主页 31
中国知名的认证中心 ① 中国数字认证网(www. ca 365. com ) ② 中国金融认证中心(www. cfca. com. cn ) ③中国电子邮政安全证书管理中心(www. chinapost. com. cn) ④ 北京数字证书认证中心(www. bjca. org. cn) ⑤ 广东省电子商务认证中心(www. cnca. net) 2018/3/17 32
7. 4. 2 基本认证技术 数字信封:保证数据的传输安全 数字签名:身份认证并保证数据的完整性、预防交易抵赖 数字证书(公开密钥技术):身份认证 数字时间戳 2018/3/17 33
1、数字信封 (1)“数字信封”:用加密技术来保证只有规定的特定收 信人才能阅读信息。 数字信封 (2)具体做法 发送方采用对称密钥加密信息 将此对称密钥用接收 方的公开密钥加密之后,将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封,得到对称密钥 使用对称密钥解开信息 2018/3/17 34
对称密钥技术:高效性(用时短) (3)数字信封特点 1 原 信 息 对称 密钥 加密 4 密 2018/3/17 发送端 internet 文 接收者 对称 公钥加 数字 密 密钥 信封 2 公开密钥技术:灵活性 密 对称 密钥 解密 文 internet 数字 信封 原 信 息 3 对称 接收者 密钥 私钥解 密 接收端 35
2、数字签名 实现的基础 加密技术 (1)什么是数字签名 Digital Signature 数字签名是通过一个单向函数对要传送的报文进行处理得 到的用以认证报文来源并核实报文是否发生变化的一个字母数 字串。 (2)数字签名的作用 --保证信息完整 --信息发送者身份的验证 2018/3/17 36
数字签名 2018/3/17 37
信息完整 数字摘要技术就是利用hash函数把任意长度的输入映 射为固定长度的输出。这个固定长度的输出就叫做消息 摘要。 hash函数是把任意长的输入串x变化成固定长的输出 串y的一种函数,并满足下述条件: 1)已知哈希函数的输出,求解它的输入是困难的,即已知 y=Hash(x), 求x是困难的; 2)已知x 1, 计算y 1=Hash(x 1),构造x 2使Hash(x 2)=y 1是困难的; 3)y=Hash(x), y的每一比特都与x的每一比特相关,并有高度敏 感性。即每改变x的一比特,都将对y产生明显影响。 2018/3/17 38
数字摘要技术 消息摘要 2018/3/17 39
消息验证 2018/3/17 40
原 Hash 函数 加密 摘 要 信 internet 签 名 internet 息 发送端 2018/3/17 发送者 私钥加 数 密 字 数 字 签 名 原 信 息 发送者 公钥解 摘 密 要 Hash函 数加密 对比 摘 要 接收端 41
步骤一 电子签名和印章的制作 2018/3/17 42
2018/3/17 43
2018/3/17 44
2018/3/17 45
步骤二 电子签名和印章的使用 2018/3/17 46
2018/3/17 47
2018/3/17 48
2018/3/17 49
2018/3/17 50
步骤三 文档验证 2018/3/17 51
2018/3/17 52
2018/3/17 53
2018/3/17 54
签名无效 2018/3/17 55
步骤四 锁定文档 2018/3/17 56
2018/3/17 57
3、数字证书( digital Certificate, digital ID) (1)数字证书:经CA认证中心数字签名的包含公开密钥 拥有者信息以及公开密钥的文件。数字证书实质上就是一系 列密钥,用于签名和加密数字信息。 数字证书由专门的机构(CA)负责发放和管理,Q其作用 是证明证书中列出的用户名称与证书中列出的公开密钥相对应。 CA的数字签名使得攻击者不能伪造和篡改数字证书。 2018/3/17 58
(2) 数字证书的类型 2018/3/17 59
(3)数字证书的内容 ◆凭证拥有者的姓名:证明用户身份 ◆凭证拥有者的公共密钥:用于对每笔交易数据进行 加密和数字签名,可以保证每笔交易的安全和不可抵赖; ◆公共密钥的有效期 ◆颁发数字凭证的单位:证书的来源 ◆证书的编号:保证证书的真实性 2018/3/17 60
2018/3/17 61
2018/3/17 62
2018/3/17 63
2018/3/17 64
(4)对数字证书的验证 CA签名真实? N 伪造的证书 Y 证书在有效期内? N 失效的证书 Y 证书在CA发布的 证书撤消列表内? 2018/3/17 N 有效的证书 Y 失效的证书 65
4、数字时间戳(Digital Time-Stamp,DTS) 时间戳:提供电子文件发表时间的安全保护,是一个经 过加密后形成的凭证文档。 三 大 组 成 2018/3/17 需加时间戳的文件摘要 DTS收到文件的日期和时间 保证文件签署日期的真实性 DTS的数字签名 66
n 需要数字时间戳的用户首先将文件用Hash算法加密 得到摘要,然后将摘要发送到提供数字时间戳服务的专 门 机 构 , DTS机 构 对 原 摘 要 加 上 时 间 以 后 , 用 自 己 的 私 钥 加 密 (即 数 字 签 名 )再 发 还 给 原 用 户 , 获 得 数 字 时 间 戳 的 用户就可以将它再发送给自己的商业伙伴以证明信息的 发送时间。 2018/3/17 67
2 3 2018/3/17 4 1 5 68
7. 5 安全技术协议 7. 5. 1 安全套接层协议(SSL) 1、SSL(Secure Sockets Layer),称为安全套接层协议, 是一种安全通信协议。 应用层 SSL 传输层 (1)提供了客户机与服务器之间的安全连接,对整个会 话进行了加密,从而保证了安全传输。 (2)对服务器进行认证,还可选择对客户机进行认证。 2018/3/17 69
实现SSL协议的是HTTP的安全版,名为HTTPS。 2018/3/17 70
2018/3/17 71
2018/3/17 72
2、SSL协议分为两层:SSL握手协议和SSL记录协议 HTTP、FTP SSL握手协议(协商密钥) SSL记录协议(定义传输格式) TCP/IP协议 2018/3/17 73
3、 SSL协议是目前电子商务中应用最为广泛的安全协 议之一。 (1)应用范围广:几乎所有操作平台上的WEB浏览器 (IE、Netscape)以及Web服务器都支持SSL协议。 (2)被大部分WEB浏览器和服务器所内置 2018/3/17 74
4、SSL协议的功能 • SSL服务器认证:客户机对服务器数字证书的检查 • 确认用户身份:服务器检查客户机数字证书的合法性 • 保证数据传输的机密性和完整性:加密技术 中国银行:http: //www. boc. cn/ 2018/3/17 75
双向认证SSL协议的具体过程 双向认证SSL协议的具体通讯过程,要求服务器和用户双方 都有证书。单向认证SSL协议不需要客户拥有CA证书。 基于SSL协议,双方的通讯内容是经过加密的数据,这时候 的安全就依赖于密码方案的安全。 2018/3/17 76
演示--建立SSL安全连接的过程 (1)显示在e. Coin上在登陆(Login)用户名时即进入SSL安全 连接 2018/3/17 77
(2)这时浏览器发出安全警报,开始建立安全连接 浏览器开始建立安全连接 2018/3/17 78
(3)同时验证安全证书,用户单击“确定”键即进入安全连接 2018/3/17 浏览器验证服务器安全证书 79
(4)显示在e. Coin上的安全连接已经建立,浏览器右下角状态 栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密 方式传送。 2018/3/17 80
(5) 当加密方式传送结束后,浏览器会离开交换敏感信息 的页面,自动断开安全连接。 离开交换敏感信息的页面,浏览器自动断开安全连接 2018/3/17 81
7. 6. 2 安全电子交易规范(SET) 1、SET协议是针对开放网络上安全、有效的银行卡交 易,由Visa和Master. Card联合研制的,制定的安全电子交易的 一个国际标准。 主要目的是解决信用卡电子付款的安全保障性问题 2、SET协议主要是针对B to C电子商务的一个协议,而且 依赖于银行卡这种目前使用较为广泛的支付 具。 2018/3/17 82
3、SET的特点 (1) 信息的机密性: 对称密钥和非对称密钥相结合 (2)交易的不可否认性:数字证书/签名 (3)数据的完整性: 数字签名 (4)身份的验证: 保证信息的真实性 2018/3/17 83
4、SET的目标 (1)订单和个人账号信息在Internet上安全传输,保证网 上传输的数据不被黑客窃取。 (2)订单信息和支付信息的隔离 (3)解决网络认证问题:消费者、商店、银行、网关 (4)要求软件遵循相同协议和消息格式,使不同厂家开 发的软件具有兼容和互操作功能。 2018/3/17 84
在SET中采用了双重签名技术,支付信息和订单信息是分 别签署。 保证了商家看不到支付信息,而只能看到订单信息 保证了银行看不到交易内容,只能看到支付信息中包括了交易ID、交易金额、信用卡数据等信 息,这些涉及到与银行业务相关的保密数据对支付网关是不 保密的,因此支付网关必须由收单银行或其委托的信用卡组 织来担当。 2018/3/17 85
6、SET涉及的主要角色 (1)持卡人: 网上消费者或客户,首先应向发卡行提出申 请,并安装电子钱包软件。 (2)商家:必须在收单行开设帐户并且安装SET商家软件 (3)支付网关:收单银行或指定的第三方操作的专用系 统,用于处理支付授权和支付。 银行金融网络 2018/3/17 支付网关 公共网络 86
(4)收单行:为商户建立帐户并处理支付授权和支付 (5)发卡行:为持卡人建立一个帐户并发行支付卡 (6)认证机构:向各交易主体颁发证书,进行身份识别 2018/3/17 87
发卡银行 收单银行 银行网络 认证中心 支付网关 持卡人 Internet 2018/3/17 在线商家 88
SET的运 作 流程 持 卡 人 选购商品 订单与信用卡信息 订单成立信息 电 子 商 家 信用卡信息 确认信息 收 单 银 行 信用卡信息 确认信息 1、A先生进入网络商家订购书籍,并填写订购数量、送货 日期等信息; 2、A先生准备结帐,这时计算机中具有SET规格的“电子钱 包”软件自动启动,并将信用卡信息连同订单信息分别加 密后传送给商家; 3、商家B收到该订单及信用卡信息后,将信用卡信息原封 不动的传给收单银行,以检查信用卡是否有效; 4、收单银行向发卡银行确认该信用卡数据无误后,发出信 息通知商家可以接下此笔订单; 5、到了结帐日, A先生会接到发卡银行的信用帐单,而商 家则可以拿信用卡授权码向收单银行划款。 2018/3/17 发 卡 银 行 89
7、SET与SSL机制的比较 • 认证机制:SET要求所有参与交易各方均必须先申请数字 证书以识别身份,而SSL只有商家 的服务器需要认证,客 户端的认证是可选择的(optional); • 设置成本:希望申请SET交易者除必须申请数字证书之外, 也必须在计算机上安装符合SET规格的电子钱包软件,而 SSL交易无须另外安装软件; • 安全性:SET的安全性比SSL高,SSL的安全范围只限于 持卡人到商家的信息交换; • 目前采用率:SET的成本较高,目前SSL的普及率较高。 比较项目 SSL 认证机制 所有参与SET的成员 商家服务器 设置成本 较高 较低 安全性 2018/3/17 SET 较高 较低 采用比率 约15% 约 70% 90
电子商务对安全的要求 数据加密体系的构成及运作原理 电子安全认证体系及技术 SET与SSL 2018/3/17 91
1、简述电子商务安全需求的组成内容? 2、电子商务系统安全常用的方法有哪些? 3、数字证书的申请过程? 4、SET协议的 作原理? 2018/3/17 92
Скачать презентацию 了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术
d241ea632d854bb3e0bae7813af68473.ppt