电子商务的安全解决方案

《电子商务的安全解决方案》由会员分享，可在线阅读，更多相关《电子商务的安全解决方案（30页珍藏版）》请在装配图网上搜索。

1、第4章 电子商务的安全解决方案4.1 电子商务的安全问题与需求4.2 电子商务网络平台的安全与防火墙技术4.3 数据机密性技术4.4 数据完整性技术4.5 数字证书与认证中心CA4.6 安全电子商务的SSL与SET协议机制4.1 电子商务的安全问题与需求电子商务面临的安全隐患l系统的中断与瘫痪l信息被窃取l信息被篡改l信息被伪造l对交易行为进行的抵赖电子商务的安全需求l保证网络上相关数据流的保密性l保证网络上相关商务数据不被随意篡改，即保证相关电子商务信息的完整性l保证电子商务各方身份的认定l保证电子商务行为发生的事实及发生内容的不可抵赖性l保证电子商务系统运行的稳定可靠、快捷，做好数据备份与

2、灾难恢复功能，并保证一定的商务处理速度4.1 电子商务的安全问题与需求电子商务的安全解决方案概述l电子商务的安全策略定义实现安全的电子商务所需要保护的资源要确定保护的风险涉及的有关电子商务安全的法律法规规划电子商务的具体安全防护机制l电子商务的安全方法与工具电子商务业务流程中参与各方的安全需求电子商务相关数据流内容的保密性电子商务数据流内容的完整性保证对电子商务行为和内容的不可否认性处理多方贸易业务中的多边安全认证问题电子商务系统中应用软件、支撑的网络平台的正常运行积极寻求相关管理机构的帮助，理解并有效使用相应的电子商务法律、信用体系保护自己4.2 电子商务网络平台的安全与防火墙技术网络平台系

3、统的构成及其主要安全威胁l电子商务系统网络组成示意图客户机Internet银行专网支付网关Intranet商家服务器4.2 电子商务网络平台的安全与防火墙技术Internet网络平台系统的安全措施l保护网络安全的措施全面规划网络平台的安全策略制定网络安全的管理措施使用防火墙尽可能记录网络上的一切活动，定位和分析非法入侵行为注意对网络设备的物理保护检验网络平台系统的脆弱性建立可靠的识别和鉴别机制l保护应用安全的措施主要是独立于网络其他的安全防护措施，针对特定应用（如WEB服务器、电子商务应用软件系统）建立的安全防护措施。l保护系统安全的措施安装软件时，检查和确认有没有安全漏洞技术与管理相结合，加

4、强认证、审计、安全管理工作对入侵进行检测、审计、追踪4.2 电子商务网络平台的安全与防火墙技术防火墙技术与应用l防火墙即Firewall，是一种由计算机硬件和软件组成的隔离系统设备，用于在安全的企业内部网Intranet和不安全的Internet之间构筑一道防护屏障，能够按预先设置的条件对进出试题进行区分，实现内外有别。提供访问控制策略，在可信、安全的Intranet和不可信、不安全的Internet之间设置的安全系统。l防火墙的功能“门”“闸”l防火墙的组成过滤器网关4.2 电子商务网络平台的安全与防火墙技术防火墙技术与应用l防火墙与Web服务器的配置方式业务Web服务器设置在防火墙之间业务

5、Web服务器设置在防火墙之外l防火墙的优点防范来自不安全网络的攻击，提高集中安全性借助网络服务选择，保护网络中脆弱的易受攻击的服务可以很方便的检视整个网络的安全性，并具有报警提醒功能，及时反应可以作为部署NAT的逻辑地址增强内部网中资源的保密性，强化私有权l防火墙的缺点被动式的安全防护手段，只对已知的网络威胁起作用，不能完全、绝对保证企业内部网络的安全。l常见的防火墙软件天网、Checkpoint Firewall-II、Sonicwall、网络卫士等4.3 数据机密性技术私有密钥加密法l英文为Secret Key Cryptography，就是指在计算机网络上甲、乙两用户之间进行通信时，发送

6、方甲为了保护要传输的明文信息不被第三方窃取，采用密钥A对信息进行加密而形成密文M并发送给接收方乙，接收方乙用同样的一把密钥A对受到的密文M进行解密，得到明文信息，从而完成密文通信目的的方法。l由于加密解密使用同样的密钥，因此，私有密钥加密法也称为对称密钥加密法。l常用的加密算法DES算法及其各种变形、国际数据加密算法IDEA以及RC4、RC5.4.3 数据机密性技术私有密钥加密法的使用过程l图见P196私有密钥加密法的优缺点l优点是加解密速度快，应用简单、方便、效果较好。适合数据量较大的文件等传送l缺点有：由于算法公开，其安全性依赖于对私有密钥的保护在同一个网络中，如果所有用户都使用同样的密钥

7、，那就失去了保密的意义难以进行用户身份的认定4.3 数据机密性技术公开密钥加密法l英文为public Key Cryptography,就是指在计算机网络上甲、乙两用户之间进行通信时，发送方甲为了保护要传输的明文信息不被第三方窃取，采用密钥A对信息进行加密形成密文M并发送给接收方乙，接收方乙用另一把密钥对接收到的密文进行解密，得到明文信息完成密文通信的目的的方法。l原理是借助密钥生成程序产生密钥与密钥，这两把密钥在数学上相关，称为密钥对。4.3 数据机密性技术公开密钥加密法的使用过程乙银行：将00原资金从本帐号转移至贵行帐号上。客户甲 乙银行：将00原资金从本帐号转移至贵行帐号上。客户甲 加密

8、解密公开密钥私人密钥网络传输支付通知明文支付通知密文支付通知明文支付通知密文客户甲乙网络银行4.3 数据机密性技术公开密钥加密法的常用算法l算法公开密钥加密法的优点l身份认证较为方便l密钥分配简单l公开密钥加密法能很好地支持完成对传输信息的数字签名，以解决信息的否认与抵赖问题公开密钥加密法的缺点l加解密速度慢；l生成较长密钥的技术属于尖端高科技，美国对中国实行技术封锁，而中国暂时还没有比较领先的长密钥生成技术。4.3 数据机密性技术私有密钥加密法和公开密钥加密法的比较l在加密、解密的处理效率方面DES算法处理速度较快，比RSA明显有优势l在密钥的分发与管理方面RSA可公开分配加密密钥，更新密钥

9、也很容易；DES算法要求提前对密钥进行秘密分配传递，需产生和保管巨量的不同密钥。l在安全性方面只要密钥够长，112位密钥的DES算法和1024位的RSA算法安全性就很好。l在签名和认证方面DES算法原理上不可能实现数字签名和身份认证，RSA算法则能方便容易地进行数字签名和身份认证。4.4 数据完整性技术数字摘要l英文为Digital Digest，就是发送者对被传送的一个信息报文，根据某种数学算法计算出一个此信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给接收者，接收者应用此摘要值来检验信息报文在网络传送过程中有没有发生改变来判断信息报文的真实与否。l数字摘要是由哈希(Hash)

10、算法计算得到的，所以也成为哈希值。数字摘要的优缺点l可以在一定程度上防伪防修改，保证信息原文的真实性，类似于签名的真实性检验，所以数字摘要与公开密钥加密法一起联合应用，能够产生数字签名的效果。l但数字摘要技术并不能完全保证数据的完整性，哈希算法是公开的，不能防止行为抵赖。4.4 数据完整性技术数字签名l英文为Digital Signature，也叫电子签名，就是指利用电子信息加密技术实现在网络传送信息报文时，附加一个特殊的、能唯一代表发送者个人身份的标记，完成传统手书签名或印章的作用，以表示确认、负责、经手、真实等。数字签名的作用l数字签名是可信的l数字签名是不可伪造的l同一个数字签名是不可多

11、用的l被数字签名附带的信息报文是不可篡改的l数字签名是不可抵赖的4.4 数据完整性技术数字签名的应用示意图l见P206 图4-84.5 数字证书与认证中心CA数字证书l在电子商务中，把传统的身份证书改用数字信息形式，有双方都信任的第三方机构发行和管理，以方便在网络上传递与使用，进行身分认证，这就使数字证书。数字证书的内容l数据组成版本信息证书序列号CA使用的签名算法证书颁发者信息有效使用期限证书主题或使用者公钥信息其它额外的特别扩展信息l发行数字证书的CA签名与签名算法4.5 数字证书与认证中心CA数字证书l在电子商务中，把传统的身份证书改用数字信息形式，有双方都信任的第三方机构发行和管理，以

12、方便在网络上传递与使用，进行身分认证，这就使数字证书。认证中心CA4.5 数字证书与认证中心CA数字证书的类型l个人数字证书l服务器数字证书数字证书有效的条件l证书没有过期l密钥没有被修改l有可信任的响应的颁发机构CA及时管理与回收无效证书，并发行无效证书清单4.5 数字证书与认证中心CA认证中心CAl即Certification Authority，简称CA，使基于Internet平台建立的一个公正的、有权威性的、独立的、广受信赖的组织机构，负责数字证书的发行、管理以及认证服务，以保证网上业务的安全可靠进行。认证中心CA的技术基础lPKI体系公开密钥体系或公开密钥基础，是一种遵循既定标准的密

13、钥管理平台，它能够为所有网路应用服务提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。lPKI基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。lPKI系统基本包括具有权威的认证中心、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等。4.5 数字证书与认证中心CA认证中心CA的主要功能l生成密钥对及CA证书l验证申请人身份l颁发数字证书l证书以及持有者身份在线认证查询l证书管理及更新l吊销证书l借助密钥等手段为客户辅助实现数字签名等服务l制定相关政策l有能力保护证书服务器的安全大型CA机构l美国VeriSign公司l北京数字证书认证中心BJCA4.6 安全电子商务

14、的SSL与SET协议机制基于SSL协议的安全电子商务机制lSSL简介SSL协议，英文为Secure Socket Layer Protocol，即安全套接层协议，是Internet上的安全通信服务，也是目前包括网络支付在内的电子商务业务中广泛应用的安全通信协议。SSL结合私有密钥加密法、公开密钥加密法、以及数字摘要技术等，提供了以下基本的安全服务：l机密性l完整性l认证性4.6 安全电子商务的SSL与SET协议机制基于SSL协议的安全电子商务机制lSSL协议参与方支付方的客户端浏览器银行的服务器如Web服务器和应用服务器l应用系统框架客户端商家服务器银行服务器CA认证中心https:/应用系统

15、框架示意图4.6 安全电子商务的SSL与SET协议机制SSL协议的安全电子商务实践示例l以信用卡网络支付为例，技术细节过程如下：客户机IE浏览器向银行服务器发送客户端的SSL版本号、密码设置、随机生成的数据和需要服务器使用SSL协议与客户机通信需要的其他信息；服务器向客户机发送服务器端的SSL版本号、密码设置、随机生成的数据和客户机能使用SSL协议与服务器通信需要的其他信息；客户端利用服务器发送来的信息如数字证书来认证服务器的真实身份与取得公开密钥等；根据与服务器协商以及服务器数字证书上的相关信息，利用数字信封技术在客户端软件为将要进行的会话创建会话预密码，用服务器的公钥加密它，向服务器发送加

16、密的会话密钥。4.6 安全电子商务的SSL与SET协议机制（接上）选择了不认证或认证客户成功，服务器使用它的私人密钥解密得到预密码，且从相同的预密码开始也得到相同的会话密钥；客户机向服务器发送信息通知以后从客户机来的消息将用会话密钥加密；客户机然后发送一条独立的消息表明握手的客户机部分已经完成；服务器向客户机发送消息通知以后从服务器来的消息将用会话密钥加密，服务器然后发送一条独立的消息表明握手的服务器部分已经完成；SSL握手完成，SSL会话开始，安全通道建立成功，发送支付结算的相关信息如信用卡号与密码等；通信完成后，会话密钥将被丢弃，不再使用。4.6 安全电子商务的SSL与SET协议机制基于S

17、ET协议的安全电子商务机制lSET协议简介所谓SET协议，英文为Secure Electronic Transaction,简称SET，即安全电子交易协议，指为使银行卡在Internet上安全的进行交易提出的一整套完整的安全解决方案。lSET协议所要达到的目标机密性保护隐私完整性多方认证性标准性4.6 安全电子商务的SSL与SET协议机制基于SET协议的安全电子商务机制lSET协议应用系统框架图见P2184.6 安全电子商务的SSL与SET协议机制SET协议的应用实践示例l见P219P2214.6 安全电子商务的SSL与SET协议机制SET协议和SSL协议的比较lSSL与SET都采用了公开（非

18、对称）密钥加密法、私有（对称）密钥加密法、数字摘要等加密技术与数字证书等认证手段。lSSL是基于传输层的协议，SET使急于应用层的协议；lSSL在建立了双方的安全通信通道之后，所有传输的信息都会被加密，而SET则会有选择的加密一部分敏感信息；lSSL的证书时发给浏览器软件的，而SET里是与信用卡绑定的；lSSL无法完全保证客户的隐私信息，而SET用网关的公开密钥来加密敏感信息，并采用双重签名等方法，以强有力的措施保护了客户的隐私；lSSL产品和工具较丰富，已被大部分浏览器和服务器内置，应用较简单，而SET的相关产品较少，实施时要求银行建立支付网关、商家的Web服务器上安装服务器端软件、客户的计算机上安装客户端（电子钱包）软件等；lSSL简单快捷，应用比较广泛，但有安全漏洞；SET更安全，但实现复杂、成本高，前景较好。本章总结与思考调研总结易趣网站的安全电子商务方案。中国工商银行在网络支付服务中是如何应用数字证书工具的？由哪个CA认证中心提供服务？这样运作有没有问题？讨论分析中国电子商务的安全状况。