电子商务安全体系.ppt

《电子商务安全体系.ppt》由会员分享，可在线阅读，更多相关《电子商务安全体系.ppt（40页珍藏版）》请在装配图网上搜索。

1、第七章 电子商务安全体系,电子商务系统安全概述 电子商务的安全技术,2011年上半年网络安全状况,2.17亿,1.21亿,3880万,-CNNIC,Internet的开放性计算机可被轻松访问 TCP/IP传输的透明性数据/IP可被轻松窥视 Unix OS源代码公开性漏洞可被轻松发现 信息电子化正确完整性难以鉴定,安全隐患,电子商务系统安全概述,安全威胁,利用Internet的开放性非法入侵，造成商务信息被篡改、盗窃或丢失；（入侵计算机系统） 利用TCP/IP的透明性获悉商业机密，甚至恶意窃取、篡改和破坏； （传输过程中获悉） 利用操作系统漏洞植入病毒或黑客程序，破坏用户计算机系统。 利用电子化

2、信息难以识别和鉴定使用虚假身份进行交易。签定虚假订单、合同进行诈骗；交易后抵赖等。 由于计算机系统故障对交易过程和商业信息安全所造成的破坏。（系统可靠性问题）,1信息的保密性 2信息的完整性 3信息的不可抵赖性 4交易者身份的真实性 5系统的可靠性 6内部网的严密性,电子商务的安全性需求,安全管理 安全技术,电子商务的安全性保障,电子商务的安全技术,1防火墙技术 2加密技术 3信息摘要 4数字签名 5数字时间戳 6数字证书与CA认证 7 电子商务安全交易标准,1内部网的严密性 2信息的保密性 3信息的完整性 4信息的不可抵赖性 5交易者身份的真实性 6系统的可靠性,1 防火墙技术,防火墙是指一

3、个由软件和硬件设备组合而成，在Intranet和Internet之间构筑的一道屏障（如图所示），用于加强内部网络和公共网络之间安全防范的系统。,防火墙的基本概念,防火墙的构成,防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-Mail处理5部分,过滤器执行由防火墙管理机构制订的组规则，检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。,防火墙的主要功能,(1)保护那些易受攻击的服务。（数据库服务、支付服务等） (2)控制对特殊站点的访问（军事/公安/政府/银行/游戏/黄色/反动） (3)集中化的安全管理。 (4)对网络访问进行记录和统计。,所谓加密技术，就是

4、采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)。而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据(即“明文”)。,2 加密技术,加密技术的基本概念,E-Encrypt，加密D-Decrypt，解密 K-Key，密钥C-Cryptograph，密文,加密和解密必须依赖两个要素：就是算法和密钥。 算法是加密和解密的计算方法； 密钥是加密和加密所需的一串数字。,例如：采用移位加密算法，使移动3位后的英文字母表示原来的英文字母，对应关系如下：,例：KRZ GR BRX GR

5、,HOW DO YOU DO,KEY 密钥,按加密解密是否使用相同密钥划分,对称加密技术 非对称加密技术,加密技术的种类,加密和解密使用相同的密钥。发送者和接收者拥有相同的密钥。 该技术最具有代表性的算法是IBM公司提出的DES算法(Data Encryption Standard数据加密标准) ，是目前广泛采用的对称加密方式之一。 它的基本思想是将二进制序列的明文分成每64位一组，用长为64位的密钥对这些明文进行16轮代换和置换加密。最后形成密文。 目前主要使用128bits密钥。 优点：实现容易，使用方便，加密、解密速度快，可以用硬件实现。 存在的问题： 1）在首次通信前，双方必须通过除网

6、络以外的另外途径传递统一的密钥。 2）当通信对象增多时，需要相应数量的密钥。n(n-1)/2 3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。,（1）对称加密技术,（2）非对称加密技术,非对称加密技术中，加密和解密使用不同的密钥，一把称公钥，另一把称私钥。各贸易方每人都拥有一对这样的密钥。两把密钥实际上是两个数字串。 非对称加密领域内最为著名的算法是RSA(Rivest，Shanir，Adleman)算法,建立在数论中大数分解和素数检测的理论基础上。两个大素数相乘在计算上是容易实现的，但将该乘数分解为两个

7、大素数因子的计算量很大，大到甚至计算机上也不可能实现。 两个很大的素数即为密钥，用其中的一个素数与明文相乘，可以加密得到密文；用另一个质数与密文相乘可以解密。用于加密的数为公钥，用于解密的数为私钥。,私钥绝对私有，公钥可以公开。,公私钥对必须成对使用。,公私钥对使用原则：,A公钥,B公钥,A私钥,B私钥,例,B公钥,密钥对的不同使用方法，用途不同,3 信息摘要,信息摘要指从原文中通过Hash算法（一种单向的加密算法）而得到的一个固定长度（128位）的散列值，不同的原文所产生的信息摘要必不相同，相同原文产生的信息摘要必定相同。用信息摘要技术来保证信息的完整性。,信息摘要过程,4 数字签名,数字签

8、名过程,数字签名(Digital Signature)：即是只有信息发送者才能产生的、别人无法伪造的一段数字串。这段数字串同时也是对发送者发送的信息的真实性的一个证明。 （完整性，认证性）,5 数字时间戳,获得数字时间戳的过程,数字时间戳(Digital Time Stamp-DTS)：文件签署日期与签名一样都是防止合同文件等被伪造和篡改的关键性标记，在电子商务中，数字时间戳是一个经加密后形成的凭证文档。包括需盖戳的文件摘要，DTS机构收到文件的时间以及DTS机构的数字签名三项内容。,6 数字证书与CA认证,数字证书基本概念（Digital ID） 是标志网络用户身份信息的一系列数据，用来在网

9、络应用中识别通信各方的身份。数字证书由第三方权威机构签发，可以实现网络上传输的信息的加密和解密、数字签名和签名验证，确保传递信息的机密性、完整性、不可否认性、交易实体的真实性。 数字证书采用公私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。 数字证书可用于：发送安全电子邮件、访问安全站点、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,数字证书的内容 证书拥有者的姓名； 证书拥有者的公钥； 公钥的有限期； 颁发数字证书的单位； 颁发数字证书单位的数字签名； 数字证书的序列号等。,查看证书内容（1

10、）,查看证书内容（2）,查看证书内容（3）,（1）个人数字证书 个人安全电子邮件证书、个人身份证书 （2）企业证书 企业（客户端）数字证书、企业（服务器）数字证书 （3）软件数字证书,数字证书的种类,CA认证中心（Certificate Authority） （1）认证中心的功能： 核发证书、管理证书、搜索证书、验证证书 （2）CA的树形验证结构(如图所示）,数字证书的颁发机构,CA的树形结构,（3）国内外CA中心简介 国外常见的CA有VeriSign 、GTE Cyber Trust、Thawte等。 国内常见的CA有 l中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，

11、安全电子商务。 l北京数字证书认证中心 （），为网上电子政务和电子商务活动提供数字证书服务。 l安徽数字证书认证中心 ,（1）下载并安装根证书 （2）填交证书申请书 （3）CA进行身份审核 （4）下载或领取证书 （5）安装证书,返回本章首页,数字证书的申领及安装,1、工商年检一路通（年检通）,答：申领电子签名认证证书需携带相关证件 个人用户需携带身份证/军官证/士兵证/护照； 企业用户需携带工商营业执照、机构代码证及法人代表身份证复印件 到浙江省数字认证中心授权指定的受理点办理。目前我省企业用户可在各级工商行政管理部门办理证书申请业务。,怎样申领电子签名认证证书 (数字证书),1、工商年检一路

12、通（年检通） 2、地税网上纳税通（报税通） 3、网上招标采购通（采购通） 4、证书执照即时通（证照通） 5、企业网上经营身份通（身份通） 6、网上信用查询通（查询通） 7、网上审批政务通（政务通） 8、交叉认证互认通（互认通） 9、电子交易商务通（商务通）,浙江数字证书功能现状 电子身份证“一证九通” 浙江加快企业数字证书应用,SSL叫安全套接层协议，是国际上最早用的，已成工业标准，但它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户。 SET叫安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行

13、、支付网关、认证中心，所以对消费者与商家同样有利。它越来越得到众人认同，将会成为未来电子商务的规范 两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。,7 电子商务安全交易标准,小结,电子商务安全的基本概念 掌握安全技术的种类及原理,特别是加密技术,它是其他安全技术的基础 数字证书的申领与作用,CA认证的结构,对明文使用Hash 算法生成消息摘要,?(1),对文件加密并把 （1）附在文件后,对单钥K加密,A,还原的消息摘要,对？解密,明文,对文件解密,对单钥K解密,对称加密 （单钥K）,非对称加密 （B的？钥）,非对称加密 （？的？钥）,解密方法？ （？密钥）,

14、？,Hash函数,步骤1,步骤2,步骤3,步骤4,步骤5,对照,非对称加密 （A的私钥）,非对称加密 （？的？钥）,步骤6,步骤7,步骤9,B,(2),(3),(4),(5),(6),(7),(8),(9),（1）消息摘要加密后生成了什么？,（2）为什么要用对称加密而不用非对称加密方法？,（9）为什么要进行对照？对照结果如果不一致，说明什么问题？,（10）A的一对密钥的使用起到了什么作用？ （11）B的一对密钥的使用起到了什么作用？,（1）消息摘要加密后生成了什么？ （2）为什么要用对称加密而不用非对称加密方法？ （3）A用B的公钥还是私钥加密？ （4）、（8）备选项（单选）： （A） A的公

15、钥 （B）A的私钥 （C）B的公钥 (D) B的私钥 （5）解密方法（对称加密or非对称加密？）,解密密钥是什么？ （6）对什么进行解密？ （7）对明文使用Hash函数计算后得到什么？ （9）为什么要进行对照？对照结果如果不一致，说明什么问题？ （10）A的一对密钥的使用起到了什么作用？ （11）B的一对密钥的使用起到了什么作用？,对明文使用Hash 算法生成消息摘要,(1)数字签名,对文件加密并把 数字签名附在文件后,对单钥K加密,A,还原的消息摘要,对数字签名解密,明文,对文件解密,对单钥K解密,对称加密 （单钥K）,非对称加密 （B的公钥）,非对称加密 ？密钥,解密方法？密钥？,(7)新摘要,Hash函数,步骤1,步骤2,步骤3,步骤4,步骤5,对照,非对称加密 （A的私钥）,非对称加密 （A的公钥）,步骤6,步骤7,步骤9,B,(2),(3),(4),(5),(6),(8),(9),（2）对称加密速度快,（9）校验完整性。对照结果如果不一致，说明文件被篡改过,（10）A的一对密钥起到了验证发送方身份的作用 （11）B的一对密钥起到了对数据加密解密的作用,（2）为什么使用对称加密,（B的私钥）,对称加密 （用单钥K解密）,