2023年电子商务安全实验报告.docx

实验名称:电子商务安全技术吕吕一、实验目的：通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务 安全的措施及相关技术。二、实验内容：(1)上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。 规定搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网 站所采用的电子商务安全措施和技术。答：电子商务安全的协议有：PKI协议：PKI是Public Key I nfrastruc t ure的缩写，是指用公钥概念和 技术来实行和提供安全服务的具有普适性的安全基础设施。P K I技术是信息安全 技术的核心，也是电子商务的关键和基础技术。PKI的基础技术涉及加密、数字署 名、数据完整性机制、数字信封、双重数字署名等。安全超文本传输协议(S-HTTP)：安全超文本传输协议(S-HTTP)是致力于促 进以因特网为基础的电子商务技术发展的国际财团C o mine r ceNe t协会提出的 安全传输协议，重要运用密钥对加密的方法来保障Web站点上的信息安全。S- HTTP被设计为作为请求 /响应的传输协议HTTP的一种安全扩展版本，正是这一特点使得S-HTTP与SSL有了本质上的区别，由于SSL是一 种会话保护协议。S-HTTP的重要功能是保护单一的解决请求或响应的消息，这在 某种限度上与一个消息安全协议保护电子邮件消息的工作原理相似。安全套接层协议(SSL) : SSL能使客户机与服务器之间的通信不被袭击者窃 听，并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL建立在TCP协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL协议在应用层协议通信之前就已经完毕加密算法、通信加密的协 商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密,从而保 证了在因特网上通信的机密性。安全电子交易协议（SET） : SET协议采用了对称密钥和非对称密钥体制，把对 称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传 输的个人信息，保证交易信息的隐蔽性。其采用的核心技术涉及:电子证书标准与数 字署名、报文摘要、数字信封、双重署名等。电子商务安全的措施有：加密技术：加密技术是电子商务的最基本信息安全防范措施，其原理是运用一 定的加密算法将明文转换成难以辨认和理解的密文并进行传输从而保证数据的保密 性。数字署名：数字署名如同手写署名，在电子商务中有如下优点：（1）发送者事 后不能否认自己发送的报文署名。（2 ） 接受者可以核算发送者发送的报文署名。（3）接受者不能伪造发送者的报文署名。（4）接受者不能对发送者的报文进行篡 改。（5 ）交易中的某一用户不能冒充另一用户作为发送者或接受者。数字著名也是 采用非对称加密算法，实现方式为:发送方从报文文本中生成一个128位的散列值, 并用自己的私有密钥对这个散列值进行加密，形成发送方的数字署名；然后,将这个数 字署名作为报文的附件和报文一起发送给报文的接受方;报文的接受方一方面从接受 到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数 字署名进行解密。假如两个散列值相同，那么接受方就能确认该数字署名是发送方的。数字时间戳：数字时间戳（DTS , Digital time-stamp）,如同传统商务 中的日期和时间，在电子交易中，同样需对交易文献的日期和时间信息采用安全措施, 而数字时间戳服务就能提供电子文献发表时间的安全保护。数字时间戳服务（DTS ） 是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文献的摘要、DTS收到文献的日期和时间以及DTS 的数字署名数字证书:数字时间戳(DTS , Di g ita 1 time-stam p ),如同传统商务 中的日期和时间,在电子交易中，同样需对交易文献的日期和时间信息采用安全措施， 而数字时间戳服务就能提供电子文献发表时间的安全保护。数字时间戳服务(DTS ) 是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。 它由三个部分组成：需要加盖时间戳的文献的摘要、DTS收到文献的日期和时间以 及DTS的数字署名安全协议技术：目前常用的安全协议重要有两种：SSL协议(安全套接层协议) 和SET协议(安全电子交易协议)。SSL协议是由Nets c ape公司提出的安全交易协 议，该协议重要目的是解决TC P/I P协议不能确认用户身份的问题，在Socke【上 使用非对称的加密技术，以保证网络通信服务的安全性。4s E T是由Vi s a和M a ster C a rd 两大信用卡公司联合 I B M, M i c ros o ft, GTE , Ve r i s ign , S A 1C 等公 司与199 6年6月共同推出的以信用卡支付为基础的电子商务安全协议，其中涵盖 了电子交易中的交易协定、信息保密、数据完整、数字认证和数字署名等。它采用公 钥密码体制和X. 5 0 9数字证书标准，重要应用于保障网上购物信息的安全性。(2)访问不同类型的电子商务站点,上网搜集相关资料，了解国内网上支付 在安全面的解决方案。答：目前中国所有电子支付服务提供商都还是使用简朴的用户名/密码认证机制， 虽然某些电子支付服务提供商增长了一个安全控件，但还是存在以下两大严重安全问题：(1)用户的身份认证问题：由于涉及到资金问题，越来越多的黑客和木马软件就盯上了 电子支付服务，而电子支付服务提供商现有的用户登录系统是简朴的用户名/密 码单一认证机制，可以说亳无安全性可言，非常容易被非法窃取而导致用户的资金 被盗。(2)电子邮件泄密问题:由于电子支付服务提供商的电子支付服务的原理是通过电子 邮件告知来收款和付款的，而电子邮件在互联网上是明文传输的，非常容易被非法窃 取，而一旦用户的电子邮件内容被非法窃取，则此笔交易款就极有也许也非常容易 被非法盗走。由于以上两大问题，就开始采用“双重认证(two-f a ctor a u thenticat i on)”技术来解 决电子支付的在线身份盗窃问题,其实就是使用用户的个人数字证书来实现安全的 身份认证和电子邮件加密。具体解决方案是：(1)电子支付服务提供商为每个用户颁发一个全球通用的个人数字，证书用于登 录电子支付服务系统的真实身份认证和用于每个交易的数字署名，从而杜绝了口令 泄露而导致的损失和提供了交易不可否认的证据。(2)由于每个用户都有全球通用的个人数字证书，不仅可以用于身份认证快速安 全登录电子支付服务系统，还可以用于电子邮件数字署名和电子邮件内容加密，所有 电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的，只有 用户本人使用其个人数字证书才干阅读，而其别人即使在电子邮件服务器端或电子邮 件传输过程中非法窃取电子邮件支付内容。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加 密技术可以对网络上传输的信息进行加密和解密、数字署名和署名验证，保证网上传 递信息的机密性、完整性，以及交易实体身份的真实性，署名信息的不可否认性，从而 保障网络应用的安全性。数字证书采用公钥密码体制，即运用一对互相匹配的密钥进行加密、解密。每个用 户拥有一把仅为本人所掌握的私有密钥(私钥人用它进行解密和署名;同时拥有一把公 共密钥(公钥)并可以对外公开，用于加密和验证署名。(3)进入阿里巴巴电子商务站点，浏览,查阅，体验站点的安全机制和支付功 能。 总结阿里巴巴电子商务站点的安全机制和支付机制。答：阿里巴巴电子商务安全机制：S.数据加密技术。对数据进行加密是电子商务系 统最基本的信息安全防范措施.其原理是运用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输, 从而保证数据的保密性。使用数据加密技术可以解决信息自身的保密性规定。数据加 密技术可分为对称密钥加密和非对称密钥加密。a(1)对称密钥加密(Secr e (KeyEncry ption)o对称密钥加密也叫秘密/专用密钥加密，即发送和接受数据 的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度 快，适合于对大量数据进行加密，可以保证数据的机密性和完整性;缺陷是当用户数量 大时，分派和管理密钥就相称困难。(2)非对称密钥加密(Pu b 1 i c Ke y Encry ption)o非对称密钥加密也叫公开密钥 加密，它重要指每个人都有一对惟一相应的密钥:公开密钥(简称公钥)和私人密钥(简 称私钥)公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把 密钥来解密。非对称密钥加密算法的优点是易于分派和管理.，缺陷是算法复杂，加密 速度慢。(3)复杂加密技术。由于上述两种加密技术各有长短，目前比较普遍的做法是将两种技 术进行集成。例如信息发送方使用对称密钥对信息进行加密，生成的密文后再用接受 方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接受方，接 受方按相反方向解密后得到明文。2 .数字署名技术。数字署名是通过特定密码运算生成一系列符号及代码组成电子密码 进行署名，来代替书写署名或印章，对于这种电子式的署名还可进行技术验证，其验证 的准确度是一般手工署名和图章的验证所无法比拟的。数字署名技术可以保证信息传 送的完整性和不可抵赖性。3 .认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行，所 以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信 的第三方，用以证实交易双方的身份，数字证书是由认证机构署名的涉及公开密钥拥 有者身份信息以及公开密钥的文献。在交易支付过程中，参与方必须运用认证中心签 发的数字证书来证明自己的身份。44.使用安全电子交易协议(S ET: S ecur e E 1 ectroni c Tr a n s actions)。是由 VI S A 和M as t crCa r d两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方 的权利义务关系，给定交易信息传送流程标准。SET协议保证了电子商务系统的保密 性、完整性、不可否认性和身份的合法性。阿里巴巴支付机制：阿里巴巴，作为家喻户晓的电子商务网站，它的支付方式也同样的令人耳熟能详:支 付宝,就是旗下提供的第三方支付平台，它保证了买卖双方交易的安全性与便捷性。 尽管现在支付宝已经得到普及，但是相对那些有在网上购物的欲望但无法使用支付 宝的人来说，邮局汇款、银行转账信用卡支付和网上银行支付无非是最佳的选择。(4)网上阅读资料，查看电子商务安全交易协议中SET中用到的双重著名技 术的过程是如何的。答:双重署名是为了保证在事务解决过程中三方安全传输信息的一种技术，用于三方通信时的 身份认证和信息完整性、交易防抵赖的保护。双重数字著名的实现环节如下：(1)信息发送者A对发给B的信息1生成信息摘要1。28)信息发送者A对发给C的信息2 生成信息摘要2。信息发送者A把信息摘要1和信息摘要2合在一起，对其生成信息摘要3,并使用自己的 私钥署名信息摘要3。(4 )信息发送者A把信息1、信息摘要2和信息摘要3的署名发给B, B不能得到信息2o(5 )信息发送者A把信息2、信息摘要1和信息摘要3的署名发给C, C不能得到信息I。68)B接受信息后，对信息1生成信息摘要，把这信息摘要和收到的信息摘要2合在一起,并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的署名进行验证，以 确认信息发送者A的身份和信息是否被修改过。（7 ） C接受信息后,对信息2生成信息摘要，把这信息摘要和收到的信息摘要1合在一起， 并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的著名进行验证，以 确认信息发送者A的身份和信息是否被修改过。（5）以中国工商银行网上银行为例，描述在网银上操作，是如何保障安全 的？涉及从一登录到交易成功的整个过程。答:网银登录过程：客户端一方面要安装网银颁发的数字证书，用于身份认证。进入hups安全页面，在客户 端产生对称密钥，用服务器的公钥进行加密（公钥由网银颁发的数字证书里获取），同时客户 端把会话内容用所产生的对称密钥加密，传送时涉及的内容为：银行的数字著名、加密的会 话内容、加密的对称密钥。每次会话都通过这种方式保障安全。假如转账时，需要插入u sb key, us b key里面的内容可以认为是客户端的私钥，相称于客户端秘密持有的信息，插 入usbkey后，会把转账内容用客户端私钥加密，用于服务器端再次确认此转账信息是由客 户端发出的，客户端不可否认。由于互联网是一个开放的网络，客户在网上传输的敏感信息（如密码、交易指令等）在通 讯过程中存在被截获、被破译、被篡改的也许。为了防止此种情况发生，网上银行系统一般 都采用加密传输交易信息的措施，使用最广泛的是S SL数据加密协议。SSL协议是由Netscape 一方面研制开发出来的，其首要目的是在两个通信间提供秘密 而可靠的连接，大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后， 用户和服务方之间在网络上传输的所有数据所有用会话密钥加密，直到用户退出系统为止。 并且每次会话所使用的加密密钥都是随机产生的。这样，袭击者就不也许从网络上的数据流 中得到任何有用的信息。同时，引入了数字证书对传输数据进行署名，一旦数据被篡改，则必 然与数字著名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是4012 8位，可在IE浏览器的“帮助”“关于”中查到。建设银行等已经采用有效密钥长度1 28位的高强度加密。