《电子商务导论第4章电子商务安全ppt课件.ppt》由会员分享,可在线阅读,更多相关《电子商务导论第4章电子商务安全ppt课件.ppt(85页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、电子商务导论第电子商务导论第4章电子商务安全章电子商务安全第第4章章 电子商务安全与法律电子商务安全与法律袁丽娜袁丽娜 袁丽娜袁丽娜 袁丽娜袁丽娜 Page 3本章学习目的本章学习目的 了解电子商务的安全需求及安全措施了解电子商务的安全需求及安全措施1了解防火墙相关技术了解防火墙相关技术2掌握掌握数据加密、数字摘要、数字签名、数据加密、数字摘要、数字签名、数字证书等加密和认证技术。数字证书等加密和认证技术。3掌握掌握SSL和和SET协议协议4了解了解电子商务安全相关的法律法规电子商务安全相关的法律法规5Page 4导入案例导入案例 电子商务网站遭遇黑客攻电子商务网站遭遇黑客攻击事件击事件n (
2、1)2012年年1月,亚马逊网上鞋店月,亚马逊网上鞋店Z表示,黑客已窃取了其表示,黑客已窃取了其2 400万客户的个人信息,万客户的个人信息,包括顾客姓名、电邮地址、收货地址、电话号码包括顾客姓名、电邮地址、收货地址、电话号码和信用卡的最后四位数字,由于完整的信用卡号和信用卡的最后四位数字,由于完整的信用卡号码存放在另外一个服务器内,所以未被黑客盗取。码存放在另外一个服务器内,所以未被黑客盗取。n (2)2014年年8月,摩根大通及最少月,摩根大通及最少4家美国银行家美国银行被曝遭受黑客攻击被曝遭受黑客攻击。n (3)2016年年12月月10日,京东被曝数据外泄。据日,京东被曝数据外泄。据称,
3、此次有一个称,此次有一个12 GB的数据包外泄,数据包括的数据包外泄,数据包括用户名、密码、邮箱、用户名、密码、邮箱、QQ号等多个维度号等多个维度。Page 5导入案例导入案例 电子商务网站遭遇黑客攻电子商务网站遭遇黑客攻击事件击事件n 当当网和支付宝在当当网和支付宝在2014年都曾被曝出用户信息泄年都曾被曝出用户信息泄露,而携程曾被曝出系统有安全漏洞。露,而携程曾被曝出系统有安全漏洞。n 综上所述,电子商务网站、银行网站等已成为网综上所述,电子商务网站、银行网站等已成为网络黑客攻击的重点络黑客攻击的重点n 根据国家互联网应急中心数据显示,根据国家互联网应急中心数据显示,2016年年1月月至至
4、11月,中国境内被篡改网站数量总数达到月,中国境内被篡改网站数量总数达到62 894个,已收集到的信息系统安全漏洞达个,已收集到的信息系统安全漏洞达9 756个。个。Page 6第第4章章 电子支付的安全与法律电子支付的安全与法律 4.1 电子商务安全概述电子商务安全概述 4.2 电子商务安全技术电子商务安全技术 4.3 认证与识别技术认证与识别技术 4.4 安全协议技术安全协议技术 4.5 电子商务安全法律法规电子商务安全法律法规 4.6 案例分析案例分析Page 74.1 电子商务安全概述电子商务安全概述n 4.1.1 电子商务存在的安全问题电子商务存在的安全问题n 4.1.2 电子商务的
5、安全要求电子商务的安全要求n 4.1.3 电子商务的安全措施电子商务的安全措施Page 84.1.1 电子商务存在的安全问题电子商务存在的安全问题n 电子商务系统的安全问题除了包含计算机系统和电子商务系统的安全问题除了包含计算机系统和网络本身存在的安全隐患外,还包含了电子商务网络本身存在的安全隐患外,还包含了电子商务中交易数据的安全隐患。中交易数据的安全隐患。n 1信息截获及窃取信息截获及窃取n 2信息篡改信息篡改n 3信息假冒信息假冒n 4交易抵赖交易抵赖n 5恶意攻击恶意攻击n 6漏洞漏洞n 7计算机病毒破坏计算机病毒破坏Page 9网上浏览的安全问题伪造的网上银行服务器伪造的网上银行服务
6、器网上银行服务器网上银行服务器网上银行用户网上银行用户银行银行错误的错误的DNS或输错网址或输错网址窃听窃听技术篇技术篇10建立交易方身份认证体系建立交易方身份认证体系通过密码技术对传输的信息进行通过密码技术对传输的信息进行加密加密处理处理通过提取信息的通过提取信息的数据摘要数据摘要方式来获得方式来获得控制控制网络故障、操作错误、应用程序网络故障、操作错误、应用程序等等通过对发送的消息进行通过对发送的消息进行数字签名数字签名来获取来获取4.1.2 电子商务的安全要求电子商务的安全要求构建电子商务安全技术框架体系构建电子商务安全技术框架体系Page 114.1.3 电子商务的安全措施电子商务的安
7、全措施n 1构建电子商务安全技术框架体系构建电子商务安全技术框架体系n 2建立交易方身份认证体系建立交易方身份认证体系n 3保障电子商务数据的机密性保障电子商务数据的机密性n 4保障电子商务数据的完整性保障电子商务数据的完整性n 5保证对电子商务行为的不可否认性保证对电子商务行为的不可否认性n 6完善制定电子商务法律法规完善制定电子商务法律法规Page 124.2 电子商务安全技术电子商务安全技术n 电子商务系统中使用的安全技术包括防火墙技术、电子商务系统中使用的安全技术包括防火墙技术、加密技术、数字摘要、数字签名、数字时间戳、加密技术、数字摘要、数字签名、数字时间戳、认证技术等。认证技术等。
8、n 4.2.1 防火墙技术防火墙技术n 4.2.2 加密技术加密技术n 4.2.3 数字摘要数字摘要n 4.2.4 数字签名数字签名n 4.2.5 数字时间戳数字时间戳Page 134.2.1 防火墙技术防火墙技术n 1. 防火墙的含义防火墙的含义n 防火墙(防火墙(Firewall),也称防护墙,它是一种位),也称防护墙,它是一种位于内部网络与外部网络之间的网络安全系统。于内部网络与外部网络之间的网络安全系统。n 防火墙是一个由软件和硬件设备组合而成,在内防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面部网和外部网之间、专用网与公共网之间的界面上构造的保护
9、屏障。上构造的保护屏障。它是不同网络或网络安全域它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。且本身具有较强的抗攻击能力。Page 14图图4-1 防火墙逻辑位置示意图防火墙逻辑位置示意图Page 154.2.1 防火墙技术防火墙技术2. 防火墙的作用防火墙的作用n 1 ) 防火墙是网络安全的屏障防火墙是网络安全的屏障n 2 ) 对网络存取和访问进行监控审计对网络存取和访问进行监控审计n 3 ) 防止内部信息的外泄防止内部
10、信息的外泄 Page 164.2.1 防火墙技术防火墙技术3. 防火墙的种类防火墙的种类n (1)网络层防火墙)网络层防火墙n (2)应用层防火墙)应用层防火墙n (3)数据库防火墙)数据库防火墙Page 17n 网络层防火墙是一种网络层防火墙是一种IP封包过滤器,并按照系封包过滤器,并按照系统管理员所给定的过滤规则进行过滤,做出允统管理员所给定的过滤规则进行过滤,做出允许或禁止封包资料通过的软硬件结合装置,运许或禁止封包资料通过的软硬件结合装置,运作在底层的作在底层的TCP/IP协议堆栈上。协议堆栈上。n 优点优点:简洁、速度快、费用低,并且对用户透明简洁、速度快、费用低,并且对用户透明n-
11、 已部署的防火墙系统多数只使用了包过滤器路已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之由器。除了花费时间去规划过滤器和配置路由器之外,实现包过滤几乎不再需要费用,因为这些特点外,实现包过滤几乎不再需要费用,因为这些特点都包含在标准的路由器软件中。都包含在标准的路由器软件中。 n 缺点缺点 :对网络的保护很有限。因为它只检查地址和端对网络的保护很有限。因为它只检查地址和端口,对网络更高协议层的信息无理解能力。口,对网络更高协议层的信息无理解能力。1)网络层网络层防火墙防火墙 Page 18NetRock-1000 网络防火墙Page 19(2)应用层防火墙
12、应用层防火墙n 应用层防火墙是在应用层防火墙是在TCP/IP堆栈的堆栈的“应用层应用层”上运上运作,用户使用浏览器时所产生的数据流或是使用作,用户使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。时的数据流都是属于这一层。Page 20图图4-3 应用层防火墙应用层防火墙Page 21(3)数据库防火墙)数据库防火墙n 数据库防火墙是一款基于数据库协议分析与控制数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。技术的数据库安全防护系统。n 基于主动防御机制,实现数据库的访问行为控制、基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计等。危险
13、操作阻断、可疑行为审计等。Page 224.2.1 防火墙技术防火墙技术4 . 防火墙的局限性防火墙的局限性 n 存在着一些防火墙不能防范的安全威胁,如防火存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可许从受保护的网络内部向外拨号,一些用户就可能形成与能形成与Internet的直接连接。另外,防火墙很的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。难防范来自于网络内部的攻击以及病毒的威胁。Page 235. 大型企业网络防火墙应用大型企业网络防火墙应用
14、图4-4 企业网络结构Page 24图图4-5 增加防火墙后的企业网络结构增加防火墙后的企业网络结构Page 254.2.2 加密技术加密技术明文MT(M,K)传输终端T(M,K)传输终端明文M发送方接收方加密密钥解密密钥非法获取密文M=T(M,K)图图4-7 加密技术的基本原理加密技术的基本原理Page 264.2.2 加密技术加密技术n 电子商务安全体系中使用的加密技术有对称加密电子商务安全体系中使用的加密技术有对称加密技术、非对称加密技术和数字信封等。技术、非对称加密技术和数字信封等。n 1. 对称加密技术对称加密技术n (1)对称加密技术的含义)对称加密技术的含义n 对称加密技术(对称
15、加密技术(Symmetric Cryptography),),即信息的发送方和接收方用一个密钥去加密和解即信息的发送方和接收方用一个密钥去加密和解密数据。由于双方所用加密和解密的密钥相同,密数据。由于双方所用加密和解密的密钥相同,所以叫作对称密钥加密法。所以叫作对称密钥加密法。 n 最常用的对称密钥加密法叫做最常用的对称密钥加密法叫做DES(Data Encryption Standard)算法。此外,广泛使用的算法。此外,广泛使用的算法还有算法还有3DES、Rc4、Rc5等。等。 Page 27n (2)对称加密技术的优缺点)对称加密技术的优缺点n 对称加密技术的优点是算法公开、计算量小、加
16、对称加密技术的优点是算法公开、计算量小、加密速度快、加密效率高,便于用硬件实现,适合密速度快、加密效率高,便于用硬件实现,适合于对大数据量进行加密等,可以解决保密性、完于对大数据量进行加密等,可以解决保密性、完整性问题。整性问题。n 对称加密技术的缺点是密钥管理困难。一是双方对称加密技术的缺点是密钥管理困难。一是双方就加密和解密用的密钥达成共识困难,二是密钥就加密和解密用的密钥达成共识困难,二是密钥数量随参与者人数的增长呈指数级增长。数量随参与者人数的增长呈指数级增长。Page 28n (3)对称加密技术的应用)对称加密技术的应用n 链路加密。易受攻击的通信链路两端都装备一链路加密。易受攻击的
17、通信链路两端都装备一个加密设备。个加密设备。n 结点加密。结点加密是在结点处采用一个与结结点加密。结点加密是在结点处采用一个与结点机相连的密码装置,密文在该装置中被解密并点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过结点机,避免了链路加被重新加密,明文不通过结点机,避免了链路加密结点处易受攻击的缺点。密结点处易受攻击的缺点。n 端到端加密。端系统完成数据的加密和解密。端到端加密。端系统完成数据的加密和解密。Page 292. 非对称加密技术非对称加密技术n (1)非对称加密技术的含义)非对称加密技术的含义n 非对称加密技术(非对称加密技术(Asymmetric Cryptog
18、raphy)需要两)需要两个密钥:公开密钥(个密钥:公开密钥(Public key)和私人密钥()和私人密钥(Private key)。公开密钥与私人密钥是一对,如果用公开密钥对)。公开密钥与私人密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私人密钥才能解密;如果用数据进行加密,只有用对应的私人密钥才能解密;如果用私人密钥对数据进行加密,那么只有用对应的公开密钥才私人密钥对数据进行加密,那么只有用对应的公开密钥才能解密。能解密。n 著名的公开密钥加密法是著名的公开密钥加密法是RSA算法。算法。RSA是这个算法三是这个算法三个发明人(个发明人(Rivest,Shamir和和Adleman
19、)姓名首字母。)姓名首字母。n 公开密钥加密的两种作用:信息加密和签名认证。公开密钥加密的两种作用:信息加密和签名认证。Page 30n (2)非对称加密技术的优缺点)非对称加密技术的优缺点n 非对称加密技术的优点是可以简化密钥的管理,非对称加密技术的优点是可以简化密钥的管理,并且可以通过公开系统来分配密钥。非对称加密并且可以通过公开系统来分配密钥。非对称加密技术的应用除了提供机密性保障外,还提供信息技术的应用除了提供机密性保障外,还提供信息完整性和数字签名的功能。此外,与对称加密技完整性和数字签名的功能。此外,与对称加密技术相比,非对称加密技术的安全性更好。术相比,非对称加密技术的安全性更好
20、。n 非对称加密技术的缺点是加密和解密花费时间长非对称加密技术的缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密。、速度慢,只适合对少量数据进行加密。Page 31n (3)非对称加密技术的应用)非对称加密技术的应用n 非对称密钥加密法是后面要讲的数字签名技术和非对称密钥加密法是后面要讲的数字签名技术和认证技术的基础,可以用来解决在电子商务安全认证技术的基础,可以用来解决在电子商务安全中中“防抵赖防抵赖”和和“认证支付认证支付”等功能。非对称加等功能。非对称加密技术的应用有信息加密和签名认证。密技术的应用有信息加密和签名认证。Page 32n 1)信息加密)信息加密n如图如图4-8
21、所示,甲公司要向乙公司订购钢材,甲公司用所示,甲公司要向乙公司订购钢材,甲公司用乙公司的公开密钥将他要发给乙公司的消息加密,乙乙公司的公开密钥将他要发给乙公司的消息加密,乙公司收到后,只能用乙公司自己的私人密钥解密而得公司收到后,只能用乙公司自己的私人密钥解密而得到甲公司发来的订购单。只要乙公司保证没有他人知到甲公司发来的订购单。只要乙公司保证没有他人知道乙公司的私人密钥,甲、乙两公司就能确信,所发道乙公司的私人密钥,甲、乙两公司就能确信,所发信息只有乙公司能看到。信息只有乙公司能看到。甲公司甲公司乙公司乙公司订购钢订购钢材原文材原文乙公司乙公司的公钥的公钥加加 密密加密信加密信息息发发送加密
22、信加密信息息乙公司乙公司的私钥的私钥解解 密密订购钢订购钢材原文材原文Page 33n 2)签名认证)签名认证n 消息发送者用自己的私人密钥对数据加密后,消息发送者用自己的私人密钥对数据加密后,发给接收方,接收方只能用发送方的公开密钥解发给接收方,接收方只能用发送方的公开密钥解密。由于发送方私人密钥只有发送方知道,任何密。由于发送方私人密钥只有发送方知道,任何一个接收者都可以确认消息是由发送方发来的。一个接收者都可以确认消息是由发送方发来的。甲公司甲公司乙公司乙公司订 购 钢订 购 钢材原文材原文甲公司甲公司的私钥的私钥加加 密密加密加密信息信息发送加密加密信息信息甲公司甲公司的公钥的公钥解解
23、 密密订购钢订购钢材原文材原文Page 34Page 35n 1.公钥加解密对速度敏感n 大数幂运算,因此非常慢n 软件,公钥算法比对称密钥算法慢 100 多倍。(硬件可能慢 1000倍 )n 2.公钥加密长信息无法接受的慢,而对称密钥算法非常快n 3.结合公钥算法和对称密钥算法,使用对称密钥与公开密钥的优点n 对称密钥快速而强健n 公开密钥易于密钥交换 Page 36 组合对称密钥和公开密钥组合对称密钥和公开密钥产生一个一次性,对称密钥产生一个一次性,对称密钥会话密钥会话密钥用会话密钥加密信息用会话密钥加密信息最后用接收者的公钥加密会话密钥最后用接收者的公钥加密会话密钥因为它很短因为它很短H
24、i BobAliceHi BobAliceHi BobAlice会话密钥会话密钥加密加密1. 信息信息X2c67afGkz78会话密钥会话密钥xaF4m78dKm解密解密4. 信息信息加密加密2. 会话密钥会话密钥Page 373. 数字信封数字信封n (1)数字信封的含义)数字信封的含义n 数字信封(数字信封(Digital Envelope)是一种综合利用了对称加)是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的密技术和非对称加密技术两者的优点进行信息安全传输的一种技术。数字信封包含被加密的内容和被加密的用于加一种技术。数字信封包含被加密的内容和被加密的用于加密该内
25、容的密钥。数字信封既发挥了对称加密算法速度快密该内容的密钥。数字信封既发挥了对称加密算法速度快、安全性好的优点,又发挥了非对称加密算法密钥管理方、安全性好的优点,又发挥了非对称加密算法密钥管理方便的优点。便的优点。Page 383. 数字信封数字信封n (2)数字信封()数字信封(Digital Envelope)的原理)的原理n 对需传送的信息(如电子合同、支付指令)的加密采用对对需传送的信息(如电子合同、支付指令)的加密采用对称密钥加密法;但密钥不先由双方约定,而是在加密前由称密钥加密法;但密钥不先由双方约定,而是在加密前由发送方随机产生;用此随机产生的对称密钥对信息进行加发送方随机产生;
26、用此随机产生的对称密钥对信息进行加密,然后将此对称密钥用接收方的公开密钥加密,准备定密,然后将此对称密钥用接收方的公开密钥加密,准备定点加密发送给接受方。这就好比用点加密发送给接受方。这就好比用“信封信封”封装起来,所封装起来,所以称作数字信封(封装的是里面的对称密钥)。接收方收以称作数字信封(封装的是里面的对称密钥)。接收方收到信息后,用自己的私人密钥解密,打开数字信封,取出到信息后,用自己的私人密钥解密,打开数字信封,取出随机产生的对称密钥,用此对称密钥再对所收到的密文解随机产生的对称密钥,用此对称密钥再对所收到的密文解密,得到原来的信息。密,得到原来的信息。n 因为数字信封是用消息接收方
27、的公开密钥加密的,只能用因为数字信封是用消息接收方的公开密钥加密的,只能用接收方的私人密钥解密打开,别人无法得到信封中的对称接收方的私人密钥解密打开,别人无法得到信封中的对称密钥,也就保证了信息的安全,又提高了速度。密钥,也就保证了信息的安全,又提高了速度。Page 393. 数字信封数字信封n (3)数字信封的应用)数字信封的应用n 在使用对称密钥加密时,密钥的传递以及密钥在使用对称密钥加密时,密钥的传递以及密钥的更换都是问题。采用数字信封的方式,对称密的更换都是问题。采用数字信封的方式,对称密钥通过接受方的公开密钥加密后传给对方,可以钥通过接受方的公开密钥加密后传给对方,可以保证密钥传递的
28、安全。而且此对称密钥每次由发保证密钥传递的安全。而且此对称密钥每次由发送方随机生成,每次都在更换,更增加了安全性。送方随机生成,每次都在更换,更增加了安全性。数字信封用于网络支付,不仅可以装入对称密钥,数字信封用于网络支付,不仅可以装入对称密钥,一些重要的短小信息,比如银行账号、密码等都一些重要的短小信息,比如银行账号、密码等都可以采取数字信封传送。可以采取数字信封传送。 Page 404.2.3 数字摘要数字摘要n 在电子商务安全体系中,使用数字摘要技术保证在电子商务安全体系中,使用数字摘要技术保证及验证数据的完整性。及验证数据的完整性。n 1数字摘要的含义数字摘要的含义n 数字摘要(数字摘
29、要(Digital Digest)是用某种算法对被传)是用某种算法对被传送的数据生成一个完整性值,将此完整性值与原送的数据生成一个完整性值,将此完整性值与原始数据一起传送给接收者,接收者用此完整性值始数据一起传送给接收者,接收者用此完整性值来检验消息在传送过程中有没有发生改变。这个来检验消息在传送过程中有没有发生改变。这个值由原始数据通过某一加密算法产生的一个特殊值由原始数据通过某一加密算法产生的一个特殊的数字信息串,比原始数据短小,能代表原始数的数字信息串,比原始数据短小,能代表原始数据,所以称作数字摘要。据,所以称作数字摘要。Page 414.2.3 数字摘要数字摘要n 2数字摘要的使用要
30、求数字摘要的使用要求n 生成数字摘要的算法必须是一个公开的算法,数据交生成数字摘要的算法必须是一个公开的算法,数据交换的双方可以用同一算法对原始数据经计算而生成的数字换的双方可以用同一算法对原始数据经计算而生成的数字摘要进行验证。摘要进行验证。n 算法必须是一个单向算法,就是只能通过此算法从原算法必须是一个单向算法,就是只能通过此算法从原始数据计算出数字摘要,而不能通过数字摘要得到原始数始数据计算出数字摘要,而不能通过数字摘要得到原始数据。据。n 不同的两条消息不能得到相同的数字摘要。不同的两条消息不能得到相同的数字摘要。Page 424.2.3 数字摘要数字摘要n 3数字摘要的常用算法数字摘
31、要的常用算法n 数字摘要的常用算法有数字摘要的常用算法有RSA公司提出的公司提出的MD5(128位)、位)、SHA1等。等。MD5(128位)由位)由Ron.Rivest教授设计。该编码法采用单向教授设计。该编码法采用单向Hash函数将需加密的明文函数将需加密的明文“摘要摘要”成一串成一串128 bit的密的密文。文。n 4数字摘要在电子商务中应用数字摘要在电子商务中应用n 在目前的在目前的SET协议机制中采用的协议机制中采用的ash算法可产算法可产生生160位的数字摘要,两条不同的消息产生同一位的数字摘要,两条不同的消息产生同一数字摘要的机会为数字摘要的机会为l/1048.Page 434.
32、2.4 数字签名数字签名n 在传统商务的合同或支付信件中,人们用笔签名,这个签在传统商务的合同或支付信件中,人们用笔签名,这个签名通常有两个作用:一是可以证明信件是由签名者发送并名通常有两个作用:一是可以证明信件是由签名者发送并认可的(不可抵赖);二是保证信件的真实性(非伪造、认可的(不可抵赖);二是保证信件的真实性(非伪造、非篡改)。非篡改)。n 在电子商务中,具体到为了保证电子商务安全网络支付中在电子商务中,具体到为了保证电子商务安全网络支付中的认证性和不可否认性,必须具有数字签名技术。的认证性和不可否认性,必须具有数字签名技术。Page 444.2.4 数字签名数字签名n 1数字签名的含
33、义数字签名的含义n 数字签名(数字签名(Digital Signature),是一种类似写在纸上的),是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。用于鉴别数字信息的方法。Page 454.2.4 数字签名数字签名n 2数字签名的原理数字签名的原理n 数字签名是非对称密钥加密技术与数字摘要技术的数字签名是非对称密钥加密技术与数字摘要技术的应用。应用。n 数字签名是在要发送的消息上附加一小段只有消息数字签名是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据(个人发送者才能产生
34、而别人无法伪造的特殊数据(个人标记),而且这段数据是原消息加密转换生成的,标记),而且这段数据是原消息加密转换生成的,用来证明消息是由发送者发来的。用来证明消息是由发送者发来的。n 数字签名发送者私人密钥加密(数字签名发送者私人密钥加密(Hash(报文)(报文)Page 46Page 474.2.4 数字签名数字签名n 3数字签名的作用数字签名的作用n 身份验证。数字签名的作用与手写签名的作用一样,身份验证。数字签名的作用与手写签名的作用一样,都可以实现身份验证。如果接收方可以用签名者的公钥正都可以实现身份验证。如果接收方可以用签名者的公钥正确地解开数字签名,则表示数字签名的确是由签名者产生确
35、地解开数字签名,则表示数字签名的确是由签名者产生,可以确定发送者的身份。,可以确定发送者的身份。n 确定消息的完整性。数字签名能确定消息的完整性。确定消息的完整性。数字签名能确定消息的完整性。Page 48n 4数字签名在电子商务中的应用数字签名在电子商务中的应用n 数字签名可以解决下述在电子商务中的安全鉴别数字签名可以解决下述在电子商务中的安全鉴别问题:问题:n 接收方伪造。接收方伪造。n 发送者或接收者否认。发送者或接收者否认。n 第三方冒充。第三方冒充。n 接收方篡改。接收方篡改。Page 494.2.5 数字时间戳数字时间戳n 1数字时间戳的含义数字时间戳的含义n 数字时间戳(数字时间
36、戳(Digital Time-stamp)是一个经加)是一个经加密后形成的凭证文档。数字时间戳服务(密后形成的凭证文档。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供,解决是网上安全服务项目,由专门的机构提供,解决电子商务安全中的抵赖问题。电子商务安全中的抵赖问题。n 数字时间戳包括三个部分:数字时间戳包括三个部分:n 需加时间戳的文件的摘要(需加时间戳的文件的摘要(digest)。)。n DTS收到文件的日期和时间。收到文件的日期和时间。n DTS的数字签名。的数字签名。Page 50n 2数字时间戳的原理数字时间戳的原理n 用户首先将需要加时间戳的文件用用户首先将需要加时间戳
37、的文件用Hash编码加密编码加密形成文件摘要,之后将该文件摘要发送到形成文件摘要,之后将该文件摘要发送到DTS,n DTS在所述文件摘要中加入收到所述文件摘要的在所述文件摘要中加入收到所述文件摘要的日期和时间信息,然后再对加入日期和时间信息日期和时间信息,然后再对加入日期和时间信息的新摘要文件加密(数字签名),的新摘要文件加密(数字签名),n 最后送回用户。最后送回用户。Page 514.3 认证与识别技术认证与识别技术n 4.3.1 证书认证中心证书认证中心n 1认证中心的含义认证中心的含义n 认证中心(认证中心(Certificate Authority, CA),是采用),是采用公开密钥
38、基础架构技术,负责发放和管理数字证公开密钥基础架构技术,负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责第三方,承担公钥体系中公钥的合法性检验的责任。任。Page 52n 2认证中心的架构认证中心的架构n 认证中心的架构包括认证中心的架构包括PKI结构、高强度抗攻击的结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等。、运行安全管理技术、可靠的信任责任体系等。n 从业务流程涉及的角色看,认证中心包括认证机
39、从业务流程涉及的角色看,认证中心包括认证机构、数字证书库和黑名单库、密钥托管处理系统构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。、证书目录服务、证书审批和作废处理系统。n 3认证中心的职责认证中心的职责n 认证中心主要职责是颁发和管理数字证书。认证中心主要职责是颁发和管理数字证书。Page 534.3.2 数字证书数字证书n 1数字证书的定义数字证书的定义n 数字证书是一个经证书授权中心数字签名的包含数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。公开密钥拥有者信息以及公开密钥的文件。n 最简单的证书包含一个公开密钥、名称以
40、及证书最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。授权中心的数字签名。Page 544.3.2 数字证书数字证书n (2)数字证书的基本内容)数字证书的基本内容n 1)证书格式,是指证书采用格式,目前均为)证书格式,是指证书采用格式,目前均为X.509格式。格式。n 2)序列号,是辨识数字证书的标识。)序列号,是辨识数字证书的标识。n 3)签名算法,签名证书采用的算法,如)签名算法,签名证书采用的算法,如md5RSA。n 4)颁证机构,指颁证机构名称。)颁证机构,指颁证机构名称。n 5)有效期限,证书有效期限。)有效期限,证书有效期限。n 6)持有人姓名,用来确认证书的拥有者
41、。)持有人姓名,用来确认证书的拥有者。n 7)持有人公钥,包括公钥数值及演算标示。)持有人公钥,包括公钥数值及演算标示。n (3)数字证书的类型)数字证书的类型n 1)个人证书)个人证书(客户证书客户证书)n 2)服务器证书)服务器证书(站点证书站点证书)n 3)认证中心)认证中心CA证书证书Page 554.3.2 数字证书数字证书n (4)数字证书的使用流程)数字证书的使用流程n (5)数字证书的有效性)数字证书的有效性Page 56Page 57Page 584.3.3 信用认证信用认证n 2010年年10月,商务部中国国际电子商务中心介入月,商务部中国国际电子商务中心介入电子商务市场的
42、信用体系建设和行业规范化工作电子商务市场的信用体系建设和行业规范化工作,推出,推出电子商务信用认证规则电子商务信用认证规则n 电子商务信用认证是指由独立第三方、权威的机电子商务信用认证是指由独立第三方、权威的机构,按照独立、公正、客观的原则,采用科学的构,按照独立、公正、客观的原则,采用科学的方法和合理规范的程序,经过行业专家的权威论方法和合理规范的程序,经过行业专家的权威论证,从商务信用角度对电子商务经营主体进行真证,从商务信用角度对电子商务经营主体进行真实性审查、信用状况评价、信用行为巡查等全方实性审查、信用状况评价、信用行为巡查等全方面的第三方信用服务。面的第三方信用服务。Page 59
43、4.4 安全协议技术安全协议技术n 4.4.1 SSL协议协议n 4.4.2 SET协议协议Page 604.4.1 SSL协议协议n 1. SSL协议的定义协议的定义nSSL协议(协议(SecureSocketsLayer,安全链接层)最初,安全链接层)最初是由网景(是由网景(Netscape)公司研究制定的安全协议,一)公司研究制定的安全协议,一种在持有证书的浏览器软件种在持有证书的浏览器软件(比如比如Internet Explorer、 Netscape Navigator)和和WWW服务器服务器(如如Netscape Enterprise Server、IIS等等,这里具体为电子商务服
44、等等,这里具体为电子商务服务器或银行的网上支付结算服务器务器或银行的网上支付结算服务器)之间构造的安全通之间构造的安全通道中传输数据的协议,它运行在道中传输数据的协议,它运行在TCPIP层之上、应层之上、应用层之下,如图用层之下,如图4-13所示。所示。 Page 61HTTPSMTPFTPIMAPSSL层TCP/IP应用层网络层Page 624.4.1 SSL协议协议n 2. SSL安全协议提供的服务安全协议提供的服务n 1)认证用户和服务器,使得它们能够确信数据将被)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上;发送到正确的客户机和服务器上;n 2)加密数据以隐藏
45、被传送的数据;)加密数据以隐藏被传送的数据;n 3)维护数据的完整性,确保数据在传输过程中不被)维护数据的完整性,确保数据在传输过程中不被改变。改变。n 3. SSL安全协议的运行步骤安全协议的运行步骤Page 634.SSL4.SSL安全协议的应用安全协议的应用SSL安全协议参与方及应用系统框架安全协议参与方及应用系统框架 SSLSSL只涉及通讯双方和间接的只涉及通讯双方和间接的CACA机构,它启的是建立安全通道的作用,机构,它启的是建立安全通道的作用,并认证商家数字证书,可选客户身份认证。因此,它没有并认证商家数字证书,可选客户身份认证。因此,它没有SETSET协议机协议机制那么复杂。制那
46、么复杂。客户(持卡人)与银行之间直接进行客户(持卡人)与银行之间直接进行SSLSSL保密信息传送,而不通过商保密信息传送,而不通过商家中转。家中转。客客户户商商家家银银行行 CAhttps:/Page 64图图4-14 IE浏览器中安全设置项中浏览器中安全设置项中SSL标识标识Page 654.4.2 SET协议协议n 1996年年2月月1日,日,VISA、MasterCard等国际信用卡组织等国际信用卡组织会同一些计算机供应商,开发了安全电子交易会同一些计算机供应商,开发了安全电子交易(Secure Electronic Transaction)协议,简称协议,简称SET协议。协议。n SE
47、T协议为在协议为在Internet上安全地进行交易提出了一整上安全地进行交易提出了一整套完整的方案,特别是采用数字证书的方法,用数字证书套完整的方案,特别是采用数字证书的方法,用数字证书来证实在网上购物的确实是持卡人本人,以及向持卡人销来证实在网上购物的确实是持卡人本人,以及向持卡人销售商品并收钱的各方,包括持卡人、商户、银行等的安全,售商品并收钱的各方,包括持卡人、商户、银行等的安全,即涉及到整个支付过程的安全。即涉及到整个支付过程的安全。n SET协议文本协议文本(SET Secure Electronic Transaction Specification10版共包括三本书:版共包括三本
48、书:n Book 1:Business Description,(Book 2:Programmers Guide, (Book 3:Formal Protocol Definition。 Page 664.4.2 SET协议协议n 1. SET安全协议参与方及应用系统框架安全协议参与方及应用系统框架n 1) 持卡人持卡人(Cardholder):。:。n 2) 商户商户(Merchant)n 3) 支付网关支付网关(Payment Gateway)n 4) 收单银行收单银行(Acquirer)n 5) 发卡银行发卡银行(Issuer)n 6) 数字证书认证中心数字证书认证中心CA Page
49、672. SET交易过程交易过程n (1) 持卡人用浏览器上网,在网上商店选购商品。持卡人用浏览器上网,在网上商店选购商品。网上商店里列出了商店能提供的所有商品的目录,网上商店里列出了商店能提供的所有商品的目录,供顾客选购。选好商品后,持卡人向商户提出订货供顾客选购。选好商品后,持卡人向商户提出订货要求。要求。n (2) 持卡人要求网上支付,商户方计算机系统将从持卡人要求网上支付,商户方计算机系统将从网上商店系统进入网上商店系统进入SET交易商户系统,并激发持卡交易商户系统,并激发持卡人的人的SET交易持卡人软件,开始进行支付。交易持卡人软件,开始进行支付。n (3) 持卡人与商户互相验证对方
50、的数字证书,持卡持卡人与商户互相验证对方的数字证书,持卡人还要验证由商户转交的网关证书。人还要验证由商户转交的网关证书。Page 682. SET交易过程交易过程n (4) 网关收到后,将授权请求信息发送给收单网关收到后,将授权请求信息发送给收单银行。收单银行再将信息传送到持卡人的发卡银银行。收单银行再将信息传送到持卡人的发卡银行。行。n (5) 发卡银行将检查该信用卡的有效性及信用发卡银行将检查该信用卡的有效性及信用额度,决定是否授权。生成授权应答,发送给收额度,决定是否授权。生成授权应答,发送给收单银行。收单银行将应答传送给网关。单银行。收单银行将应答传送给网关。n (6) 网关将授权应答
黑公网安备:91230400333293403D