《电子商务应用》课程教学课件PPT格式第三章电子商务418.pptx

第三章 电子商务应用安全电子商务应用安全第三章 电子商务应用安全 n n应知目标应知目标 通过本模块的学习，了解电子商务面临的安全威胁与安全需求，了解并掌握电子商务的安全技术数字机密技术、数字摘要技术、数字签名技术、数字时间戳的工作机理，了解数字证书的基本概念与CA中心的功能；了解并掌握SSL和SET安全协议的基本原理与工作程序。第三章 电子商务应用安全 n n应会目标应会目标 通过本模块的学习，会识别电子商务中存在的安全威胁；会分析保障电子商务安全的各种对策；会申请与配置数字证书；会使用数字证书对信息进行加密与签名。第三章 电子商务应用安全 n n导入案例导入案例 20122012年年5 5月月2929日日，北北京京大大学学互互联联网网安安全全技技术术北北京京市市实实验验室室联联合合中中国国软软件件评评测测中中心心召召开开媒媒体体发发布布会会，对对外外发发布布了了网网站站用用户户口口令令处处理理安安全全性性外外部部测测评评报报告告。报报告告显显示示，国国内内网网站站对对用用户户口口令令的的处处理理方方式式存存在在很很大大的的差差异异，在在安安全全性性方方面面问问题题十十分分突突出出，此此次次评评测测选选取取的的100100个个流流行行网网站站中中，仅仅有有8 8个个网网站站采采取取了了充充分分的的安安全全措措施施，有有5959个个网网站站没没有有采采取取任任何何安安全全措措施施，更更有有8585个个网网站站直直接接拿拿到了用户的口令原文。到了用户的口令原文。第三章 电子商务应用安全 n n导入案例导入案例 第三章 电子商务应用安全 n n导入案例 本次测评抽取了门户、邮箱、电子商务、招聘类、婚本次测评抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共恋类、游戏类、论坛、博客、微博共9 9大类大类100100个网站，个网站，在一定程度上客观地反映了当前互联网公共网站对于用在一定程度上客观地反映了当前互联网公共网站对于用户口令处理的现状和问题，本次报告的发布，希望能够户口令处理的现状和问题，本次报告的发布，希望能够引起网民用户、网站开发者、网站运营者、政府主管部引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视，并通过各方面努门等对于用户口令处理安全性的重视，并通过各方面努力，来共同加强个人信息保护，营造一个健康有序的互力，来共同加强个人信息保护，营造一个健康有序的互联网环境。电子商务类网站用户口令处理情况如图联网环境。电子商务类网站用户口令处理情况如图3-13-1所所示。示。问题：问题：(1)(1)电子商务的安全威胁有哪些？电子商务的安全威胁有哪些？(2)(2)电子商务通过哪些方法来防范各种安全威胁？电子商务通过哪些方法来防范各种安全威胁？3.1电子商务安全问题概述n n3.1.1 电子商务面临的安全性问题一、物理设备的安全问题 设备的安全主要是指物理设备即硬件设施是否安全，能否正常运行。二、软件漏洞 操作系统的安全漏洞 网络协议的安全漏洞 网络服务软件的安全漏洞3.1电子商务安全问题概述n n3.1.1 电子商务面临的安全性问题三、黑客的攻击 系统的中断与瘫痪 信息被窃取 信息被篡改 信息被伪造 信息被否认或抵赖 3.1电子商务安全问题概述n n3.1.1 电子商务面临的安全性问题四、计算机病毒的危害五、安全管理不完善3.1电子商务安全问题概述n n3.1.2 电子商务的安全需求一、保密性二、完整性三、不可抵赖性四、真实性五、可靠性3.2数字机密性技术 机密技术是保护信息安全的主要手段之一，它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。它不仅具有保证信息机密性的信息加密功能，而且可以利用其他基本原理进行数字签名、身份验证、系统安全等功能。使用密码技术不仅可以保证信息的机密性，可以保证信息的完整性和确切性，防止信息被篡改、伪造和假冒。3.2数字机密性技术 加加密密就就是是使使用用加加密密密密钥钥通通过过加加密密设设备备或或数数学学算算法法来来重重新新组组织织数数据据，将将某某些些重重要要信信息息和和数数据据从从一一个个可可以以理理解解的的明明文文形形式式变变换换成成一一种种复复杂杂错错乱乱的的、不不可可理理解解的的形形式式，这这种种不不可可理理解解的的内内容容叫叫做做密密文文，这这个个过过程程就就是是即即加加密密。解解密密是是加加密密的的逆逆过过程程，即即合合法法接接收收者者用用解解密密密密钥钥将将密密文文还还原原成成原原来来的的可可以以理解的明文。理解的明文。密文明文KK加密解密明文3.2数字机密性技术n n3.2.1 对称密钥加密法对称密钥加密法一、对称密钥加密法的定义与应用原理一、对称密钥加密法的定义与应用原理 对对 称称 密密 钥钥 加加 密密(Symmetric(Symmetric key key Cryprography)Cryprography)也也称称单单密密钥钥加加密密或或私私有有密密钥钥加加密密，就就是是指指在在计计算算机机网网络络甲甲、乙乙两两用用户户之之间间通通信信时时，发发送送方方甲甲为为了了保保护护传传输输的的明明文文信信息息不不被被第第三三方方窃窃取取，采采用用密密钥钥A A对对信信息息进进行行加加密密而而形形成成密密文文MM并并且且发发送送给给接接收收方方乙乙，接接受受方方乙乙用用同同样样的的一一把把密密钥钥A A对对收收到到的的密密文文MM进进行行解解密密，得得到到明明文文信信息息，从从而而完完成成密密文文通通信信目目的的的的方方法法。这这种种信信息息加加密密传传输输方式就称为对称密钥加密法。方式就称为对称密钥加密法。3.2数字机密性技术n n3.2.1 对称密钥加密法 密文传输共享的密钥明文输入明文输出加密算法解密算法发送方接收方3.2数字机密性技术n n3.2.1 对称密钥加密法对称密钥加密法二、对称密钥加密法的常用算法二、对称密钥加密法的常用算法 DESDES算算法法及及其其各各种种变变形形、国国际际数数据据加加密密算算法法IDEAIDEA以及以及 RC4RC4、RC5RC5等等三、对称密钥加密法的优缺点三、对称密钥加密法的优缺点 优点：加密和解密速度快优点：加密和解密速度快 缺缺点点：对对称称密密钥钥难难于于满满足足开开放放式式计计算算机机网网络络环环境境的的需需求求、若若用用户户与与多多方方通通信信时时，不不便便于于密密钥钥的分配与管理、不能进行用户身份的认定的分配与管理、不能进行用户身份的认定3.2数字机密性技术n n3.2.2 非对称密钥加密法一、非对称密钥加密法的定义与应用原理一、非对称密钥加密法的定义与应用原理 非非 对对 称称 密密 钥钥 加加 密密(Asymmetric(Asymmetric key key Cryptography)Cryptography)也也称称双双密密钥钥加加密密或或公公开开密密钥钥加加密密，是是指指在在计计算算机机网网络络甲甲、乙乙两两用用户户之之间间进进行行通通信信时时，发发送送方方甲甲为为了了保保护护传传输输的的明明文文信信息息不不被被第第三三方方窃窃取取，采采用用密密钥钥A A对对信信息息进进行行加加密密，形形成成密密文文MM并并且且发发送送给给接接收收方方乙乙，接接收收方方乙乙用用另另一一把把密密钥钥B B对对收收到到的的密密文文MM进进行行解解密密，得得到到明明文文信信息息，完完成成密密文通信目的的方法。文通信目的的方法。3.2数字机密性技术n n3.2.2 非对称密钥加密法一、一、非对称密钥加密法的定义与应用原理 加密模型加密模型A加密B解密密文明文A的私钥A的公钥明文3.2数字机密性技术n n3.2.2 非对称密钥加密法非对称密钥加密法一、一、一、一、非对称密钥加密法的定义与应用原理非对称密钥加密法的定义与应用原理 认证模型认证模型认证模型认证模型A加密加密B解密解密密文密文明明文文B的公的公钥钥B的私的私钥钥 明文明文3.2数字机密性技术n n3.2.2 非对称密钥加密法二、非对称密钥加密法的常用算法 RSA算法、ECC算法、DSA算法三、非称密钥加密法的优缺点 优点：认证较为方便；分配简单；支持对传输信息的数字签名，解决数据的否认与抵赖问题 缺点：运算速度较慢3.3数字摘要技术n n3.3.1数字摘要的定义 所谓数字摘要(Digital Digest)，是发送者对被传送的一个信息报文根据某种数学算法算出一个信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给接收者，接收者应用此摘要值检验信息报文在网络传送过程中有没有发生改变，以此判断信息报文的真实与否。3.3数字摘要技术n n3.3.2数字摘要的应用原理 发送方接收方发送发送Hash算法Hash算法原文摘要摘要原文摘要比较3.3数字摘要技术n n3.3.3常用的Hash算法 报文摘要算法(MD4、MD5)安全散列算法(SHA1)3.4数字签名技术n n3.4.1数字签名定义数字签名定义 数字签名数字签名(Digital Signature)(Digital Signature)指在要发送的指在要发送的信息报文上附加一个特殊的唯一代表发送者个人信息报文上附加一个特殊的唯一代表发送者个人身份的标记身份的标记(数字标签数字标签)，要来证明信息报文是由，要来证明信息报文是由发送者发来的。发送者发来的。可以在提供数据完整性的同时，保证数据的可以在提供数据完整性的同时，保证数据的真实性与不可否认性。真实性与不可否认性。完整性是指传输的数据没有被修改，真实性完整性是指传输的数据没有被修改，真实性是指确实由合法者产生的是指确实由合法者产生的HashHash函数而不是由其函数而不是由其他人假冒。数字签名类似于文档的签名，以防止他人假冒。数字签名类似于文档的签名，以防止其抵赖行为。其抵赖行为。3.4数字签名技术n n3.4.2数字签名的应用原理数字签名的应用原理 对原文使用对原文使用HashHash算法得到信息摘要。算法得到信息摘要。发送者用自己的私钥对信息摘要加密。发送者用自己的私钥对信息摘要加密。发送者将加密后的信息摘要与原文一起发送。发送者将加密后的信息摘要与原文一起发送。接收者用发送者的公钥对收到的加密摘要进接收者用发送者的公钥对收到的加密摘要进行解密。行解密。接收者对收到的原文用接收者对收到的原文用HashHash算法得到接收方算法得到接收方的信息摘要。的信息摘要。将解密后的摘要与接收方摘要进行对比，相将解密后的摘要与接收方摘要进行对比，相同说明信息完整且发送者身份是真实的，否则说同说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送者发送的。明信息被修改或不是该发送者发送的。3.4数字签名技术n n3.4.2数字签名的应用原理接受方发送方Hash算法信息摘要Private Key加密数字签名数字签名发送Public Key解密摘要信息Hash算法摘要信息被确认比较两者如一致3.5数字时间戳数字时间戳是一个经加密后形成的凭证文档，包括三个部分：时间戳的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。3.6电子商务认证技术n n3.6.1数字证书一、数字证书的基本概念 数 字 证 书(Digital Certificate或Digital ID)就是网络通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，其作用类似于现实生活中的身份证。数字证书是由权威公正的第三方机构，即CA中心签发的。3.6电子商务认证技术n n3.6.13.6.1数字证书数字证书二、数字证书的内容二、数字证书的内容 证书的版本信息。证书的版本信息。证书的序列号，每个证书都有一个唯一的证书序列号。证书的序列号，每个证书都有一个唯一的证书序列号。证书所使用的签名算法。证书所使用的签名算法。证书的发行机构名称。证书的发行机构名称。证书的有效期，现在通用的证书一般采用证书的有效期，现在通用的证书一般采用UTCUTC时间格时间格式，它的计时范围为式，它的计时范围为1950195020492049。证书主题或使用者。证书主题或使用者。证书所有人的公开密钥信息。证书所有人的公开密钥信息。其他额外的特别扩展信息。其他额外的特别扩展信息。证书发行者对证书的数字签名。证书发行者对证书的数字签名。3.6电子商务认证技术n n3.6.1数字证书三、数字证书分类 个人身份证书(客户证书)企业身份证书 服务器数字证书(站点证书)CA证书 安全电子邮件证书3.6电子商务认证技术n n3.6.2认证机构 认 证 机 构(Certificate Authority，CA)也称认证中心，是一个负责发放和管理数字证书的权威机构，是电子商务体系中的核心环节，是电子交易中信赖的基础。3.6电子商务认证技术n n3.6.3数字证书的申请 用户需携带有效证件用户需携带有效证件(身份证件或执照等身份证件或执照等)及其及其复印件到复印件到CACA认证中心申请证书，填写申请表，认证中心申请证书，填写申请表，也可以从网站直接下在证书申请表，填好后交予也可以从网站直接下在证书申请表，填好后交予CACA认证中心；认证中心；CACA认证中心录入申请表数据，审核用户身份认证中心录入申请表数据，审核用户身份是否属实是否属实(身份审核可能需要一点时间身份审核可能需要一点时间)，如果审，如果审核未通过，则核未通过，则CACA认证中心拒绝发证；认证中心拒绝发证；CACA认证中心进行身份审核，审核通过后，签认证中心进行身份审核，审核通过后，签发证书；发证书；用户获取证书。用户获取证书。3.7常用的电子商务安全协议3.7常用的电子商务安全协议n n3.7.2安全电子交易协议SET一、SET协议简介 SET（Secure Electronic Transaction 即安全电子交易协议）是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。3.7常用的电子商务安全协议n n3.7.2安全电子交易协议安全电子交易协议SETSET二、二、SETSET协议的特点协议的特点 机密性、保护隐私、多方认证性、标准性机密性、保护隐私、多方认证性、标准性三、三、SETSET协议的参与方协议的参与方 SETSET支支付付系系统统主主要要由由持持卡卡客客户户(CardHolder)(CardHolder)、商商家家(Merchant)(Merchant)、发发卡卡银银行行(Issuing(Issuing Bank)Bank)、收收 单单 银银 行行(Acquiring(Acquiring Bank)Bank)、支支 付付 网网 关关(Payment(Payment Gateway)Gateway)、认认证证中中心心(Certificate(Certificate Authority)Authority)等等六六个个部部分分组组成成。对对应应地地，基基于于SETSET协协议议的的网网上上购购物物系系统统至至少少包包括括电电子子钱钱包包软软件件、商商家软件、支付网关软件和签发证书软件。家软件、支付网关软件和签发证书软件。3.7常用的电子商务安全协议n n3.7.2安全电子交易协议安全电子交易协议SETSET四、四、SETSET协议的工作流程协议的工作流程 客户利用自己的客户利用自己的PCPC机通过因特网选定所要购机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。间及地点等相关信息。通过电子商务服务器与有关网上商家联系，通过电子商务服务器与有关网上商家联系，网上商家作出应答，告诉客户所填订货单的货物网上商家作出应答，告诉客户所填订货单的货物单价、应付款数、交货方式等信息是否准确，是单价、应付款数、交货方式等信息是否准确，是否有变化。否有变化。客户选择付款方式，确认订单签发付款指令。客户选择付款方式，确认订单签发付款指令。此时此时SETSET开始介入。开始介入。3.7常用的电子商务安全协议n n3.7.23.7.2安全电子交易协议安全电子交易协议SETSET四、四、SETSET协议的工作流程协议的工作流程 在在SETSET中，客户必须对订单和付款指令进行数字签名，中，客户必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到客户的帐号信息。同时利用双重签名技术保证商家看不到客户的帐号信息。网上商家接受订单后，向客户所在发卡银行请求支付网上商家接受订单后，向客户所在发卡银行请求支付认可。信息通过支付网关到收单银行，再到客户的发卡认可。信息通过支付网关到收单银行，再到客户的发卡银行确认。批准交易后，返回确认信息给网上商家。银行确认。批准交易后，返回确认信息给网上商家。网上商家发送订单确认信息给客户。客户端软件可记网上商家发送订单确认信息给客户。客户端软件可记录交易日志，以备将来查询。录交易日志，以备将来查询。网上商家发送货物或提供服务并通知收单银行将钱从网上商家发送货物或提供服务并通知收单银行将钱从客户的帐号转移到商店帐号，或通知发卡银行请求支付。客户的帐号转移到商店帐号，或通知发卡银行请求支付。3.7常用的电子商务安全协议n n3.7.2安全电子交易协议SET四、SET协议的工作流程 持卡客户网上商家收单银行协商订单确认审核确认支付网关CA认证中心认证认证认证发卡银行审核批准3.7常用的电子商务安全协议n n3.7.2安全电子交易协议SET五、SET协议的优缺点 优点：安全 缺点：协议复杂，使用成本高，客户端必须安装“电子钱包”软件，才能适用。同时在SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，整个交易过程花费时间1.52分钟，交易效率低。总结n n目前电子商务面临的安全问题主要是有物理设备的安全问题、软件漏洞、黑客的攻击、计算机病毒的危害等。因此在一个安全的电子商务交易系统中，必须做到保密性、身份认证、信息完整性、不可抵赖性和信息可靠性的安全要求。总结电子商务中信息网络安全技术有：加密技术和认电子商务中信息网络安全技术有：加密技术和认证技术，可以用来解决电子商务的安全问题，其证技术，可以用来解决电子商务的安全问题，其中机密技术用来保护信息的机密性、不可抵赖性中机密技术用来保护信息的机密性、不可抵赖性和信息的完整性，认证技术则解决身份认证问题。和信息的完整性，认证技术则解决身份认证问题。SSLSSL、SETSET等安全协议则是将电子商务的各参与等安全协议则是将电子商务的各参与方与信息网络安全技术充分地结合起来，并规范方与信息网络安全技术充分地结合起来，并规范各方的行为与各种技术的运用。随着电子商务安各方的行为与各种技术的运用。随着电子商务安全技术的进步与信用机制的完善，电子商务一定全技术的进步与信用机制的完善，电子商务一定会越来越安全。会越来越安全。上机实践题基本训练题n n电子商务会面临哪些安全隐患？分别可以用哪些技电子商务会面临哪些安全隐患？分别可以用哪些技术解决？术解决？n n简述电子商务的安全需求？简述电子商务的安全需求？n n什么是数字证书？数字证书有哪些作用？什么是数字证书？数字证书有哪些作用？n n简述数字摘要、数字签名、数字时间戳的含义。简述数字摘要、数字签名、数字时间戳的含义。n n简述数字签名的过程。简述数字签名的过程。n n什么是什么是CA?CA?n n描述描述SSLSSL的工作原理。的工作原理。n nSSLSSL协议与协议与SETSET协议的不同点是什么？协议的不同点是什么？