《电子商务安全体系》PPT课件.ppt

《《电子商务安全体系》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《电子商务安全体系》PPT课件.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章第七章 电子商务安全体系电子商务安全体系电子商务系统安全概述电子商务系统安全概述电子商务的安全技术电子商务的安全技术20112011年上半年网络安全状况年上半年网络安全状况2.172.17亿亿亿亿1.211.21亿亿亿亿38803880万万万万-CNNICInternet的开放性的开放性计算机可被轻松访问计算机可被轻松访问TCP/IP传输的透明性传输的透明性数据数据/IP可被轻松窥视可被轻松窥视Unix OS源代码公开性源代码公开性漏洞可被轻松发现漏洞可被轻松发现信息电子化信息电子化正确完整性难以鉴定正确完整性难以鉴定安全隐患安全隐患电子商务系统安全概述电子商务系统安全概述安全威胁安全威

2、胁1.利用利用Internet的开放性非法入侵，造成商务信息被的开放性非法入侵，造成商务信息被篡改、盗窃或丢失；篡改、盗窃或丢失；（入侵计算机系统）（入侵计算机系统）2.利用利用TCP/IP的透明性获悉商业机密，甚至恶意窃的透明性获悉商业机密，甚至恶意窃取、篡改和破坏；取、篡改和破坏；（传输过程中获悉）（传输过程中获悉）3.利用操作系统漏洞植入病毒或黑客程序，破坏用利用操作系统漏洞植入病毒或黑客程序，破坏用户计算机系统。户计算机系统。4.利用电子化信息难以识别和鉴定使用虚假身份进利用电子化信息难以识别和鉴定使用虚假身份进行交易。签定虚假订单、合同进行诈骗；交易后行交易。签定虚假订单、合同进行诈

3、骗；交易后抵赖等。抵赖等。5.由于计算机系统故障对交易过程和商业信息安全由于计算机系统故障对交易过程和商业信息安全所造成的破坏。所造成的破坏。（系统可靠性问题）（系统可靠性问题）1 1信息的保密性信息的保密性2 2信息的完整性信息的完整性3 3信息的不可抵赖性信息的不可抵赖性4 4交易者身份的真实性交易者身份的真实性5 5系统的可靠性系统的可靠性6 6内部网的严密性内部网的严密性电子商务的安全性需求电子商务的安全性需求u安全管理安全管理u安全技术安全技术电子商务的安全性保障电子商务的安全性保障电子商务的安全技术电子商务的安全技术1 1防火墙技术防火墙技术2 2加密技术加密技术3 3信息摘要信息

4、摘要4 4数字签名数字签名5 5数字时间戳数字时间戳6 6数字证书与数字证书与CACA认证认证7 7 电子商务安全交易标准电子商务安全交易标准1 1内部网的严密性内部网的严密性2 2信息的保密性信息的保密性3 3信息的完整性信息的完整性4 4信息的不可抵赖性信息的不可抵赖性5 5交易者身份的真实性交易者身份的真实性6 6系统的可靠性系统的可靠性1 防火墙技术v 防火墙是指一个由软件和硬件设备组合而成，在防火墙是指一个由软件和硬件设备组合而成，在IntranetIntranet和和InternetInternet之之间构筑的一道屏障（如图所示），用于加强内部网络和公共网络之间安全间构筑的一道屏障

5、（如图所示），用于加强内部网络和公共网络之间安全防范的系统。防范的系统。防火墙的基本概念防火墙的基本概念 防火墙的构成防火墙的构成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-MailE-Mail处理处理5 5部分部分 过滤器执行由防火墙管理机构制订的组规则，检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。防火墙的主要功能防火墙的主要功能(1)(1)保护那些易受攻击的服务。保护那些易受攻击的服务。（数据库服务、支付服务等）（数据库服务、支付服务等）(2)(2)控制对特殊站点的访问控制对特殊站点的访问

6、（军事（军事/公安公安/政府政府/银行银行/游戏游戏/黄色黄色/反动）反动）(3)(3)集中化的安全管理。集中化的安全管理。(4)(4)对网络访问进行记录和统计。对网络访问进行记录和统计。所谓加密技术，就是采用所谓加密技术，就是采用数学方法数学方法对原始信息对原始信息(通通常称为常称为“明文明文”)”)进行再组织，使得加密后在网络上公进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为开传输的内容对于非法接收者来说成为无意义无意义的文字的文字(加密后的信息通常称为加密后的信息通常称为“密文密文”)”)。而对于合法的接收。而对于合法的接收者，因为其掌握正确的者，因为其掌握正确的密钥

7、密钥，可以通过解密过程得到原，可以通过解密过程得到原始数据始数据(即即“明文明文”)”)。2 加密技术加密技术的基本概念加密技术的基本概念 E-EncryptE-Encrypt，加密，加密D-DecryptD-Decrypt，解密，解密K-KeyK-Key，密钥，密钥C-CryptographC-Cryptograph，密文，密文明文不安全信道加密算法E E解密算法D D加密密钥KEKE窃听、入侵解密密钥KDKD明文数据加密的一般模型数据加密的一般模型密文C C加密和解密必须依赖两个要素：就是加密和解密必须依赖两个要素：就是算法算法和和密钥密钥。算法是加密和解密的计算方法；算法是加密和解密的计

8、算方法；密钥是加密和加密所需的密钥是加密和加密所需的一串数字一串数字。w例如：采用移位加密算法，使移动3位后的英文字母表示原来的英文字母，对应关系如下：例：例：KRZ GR BRX GR HOW DO YOU DO KEY密钥按加密解密是否使用相同密钥划分按加密解密是否使用相同密钥划分对称加密技术对称加密技术非对称加密技术非对称加密技术加密技术的种类加密技术的种类w加密和解密使用加密和解密使用相同的密钥相同的密钥。发送者和接收者拥有相同的密钥。发送者和接收者拥有相同的密钥。w该技术最具有代表性的算法是该技术最具有代表性的算法是IBMIBM公司提出的公司提出的DESDES算法算法(Data En

9、cryption(Data Encryption StandardStandard数据加密标准数据加密标准)，是目前广泛采用的对称加密方式之一。，是目前广泛采用的对称加密方式之一。w它的基本思想是将二进制序列的明文分成每它的基本思想是将二进制序列的明文分成每6464位一组，用长为位一组，用长为6464位位的密钥对这些明文进行的密钥对这些明文进行1616轮代换和置换加密。最后形成密文。轮代换和置换加密。最后形成密文。w目前主要使用目前主要使用128bits128bits密钥。密钥。w优点：实现容易，使用方便，加密、解密速度快，优点：实现容易，使用方便，加密、解密速度快，可以用硬件实现。可以用硬件

10、实现。w存在的问题：存在的问题：w1 1）在在首首次次通通信信前前，双双方方必必须须通通过过除除网网络络以以外外的的另另外外途途径径传传递递统统一一的密钥。的密钥。w2 2）当通信对象增多时，需要相应数量的密钥。）当通信对象增多时，需要相应数量的密钥。n(n-1)/2n(n-1)/2w3 3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。危险和复杂的管理难度。（1）对称加密技术）对称加密技术（2

11、）非对称加密技术）非对称加密技术 非非对对称称加加密密技技术术中中，加加密密和和解解密密使使用用不不同同的的密密钥钥，一一把把称称公公钥钥，另另一一把把称称私私钥钥。各各贸贸易易方方每每人人都都拥拥有有一一对对这这样样的密钥。两把密钥实际上是两个的密钥。两把密钥实际上是两个数字串数字串。非对称加密领域内最为著名的算法是非对称加密领域内最为著名的算法是RSA(RivestRSA(Rivest，ShanirShanir，Adleman)Adleman)算法算法,建立在数论中大数分解和素数检建立在数论中大数分解和素数检测的理论基础上。两个大素数相乘在计算上是容易实现的，测的理论基础上。两个大素数相乘

12、在计算上是容易实现的，但将该乘数分解为两个大素数因子的计算量很大，大到甚但将该乘数分解为两个大素数因子的计算量很大，大到甚至计算机上也不可能实现。至计算机上也不可能实现。两个很大的两个很大的素数素数即为密钥，用其中的一个素数与明文即为密钥，用其中的一个素数与明文相乘，可以加密得到密文；用另一个质数与密文相乘可以相乘，可以加密得到密文；用另一个质数与密文相乘可以解密。用于加密的数为解密。用于加密的数为公钥公钥，用于解密的数为，用于解密的数为私钥私钥。私钥绝对私有，公钥可以公开。私钥绝对私有，公钥可以公开。公私钥对必须成对使用。公私钥对必须成对使用。公私钥对使用原则：公私钥对使用原则：A（发送方）

13、B（接收方）A私钥B私钥A公钥B公钥A私钥A公钥B公钥A私钥B私钥例例B公钥密钥对的不同使用方法，用途不同密钥对的不同使用方法，用途不同3 信息摘要 w信息摘要信息摘要指从原文中通过指从原文中通过HashHash算法（一种单向的加密算法）而得到算法（一种单向的加密算法）而得到的一个固定长度（的一个固定长度（128128位）的散列值，不同的原文所产生的信息摘位）的散列值，不同的原文所产生的信息摘要必不相同，相同原文产生的信息摘要必定相同。用信息摘要技术要必不相同，相同原文产生的信息摘要必定相同。用信息摘要技术来保证信息的来保证信息的完整性完整性。信息摘要过程信息摘要过程4 数字签名 数字签名过程

14、数字签名过程 数字签名数字签名(Digital Signature)(Digital Signature)：即是只有信息发送者才能产生的、别人无即是只有信息发送者才能产生的、别人无法伪造的一段数字串。这段数字串同时也是对发送者发送的信息的真实性法伪造的一段数字串。这段数字串同时也是对发送者发送的信息的真实性的一个证明。的一个证明。（完整性，认证性）（完整性，认证性）5 数字时间戳 获得数字时间戳的过程获得数字时间戳的过程数字时间戳数字时间戳(Digital Time Stamp-DTS)(Digital Time Stamp-DTS)：文件签署日期与签名一样都是文件签署日期与签名一样都是防止合

15、同文件等被伪造和篡改的关键性标记，在电子商务中，数字时间防止合同文件等被伪造和篡改的关键性标记，在电子商务中，数字时间戳是一个经加密后形成的凭证文档。包括需盖戳的文件摘要，戳是一个经加密后形成的凭证文档。包括需盖戳的文件摘要，DTSDTS机构收机构收到文件的时间以及到文件的时间以及DTSDTS机构的数字签名三项内容。机构的数字签名三项内容。6 数字证书与CA认证w数字证书基本概念数字证书基本概念（Digital ID）v是标志网络用户身份信息的一系列数据，用来在网络应用中是标志网络用户身份信息的一系列数据，用来在网络应用中识别通信各方的身份。数字证书由第三方权威机构签发，可识别通信各方的身份。

16、数字证书由第三方权威机构签发，可以实现网络上传输的信息的加密和解密、数字签名和签名验以实现网络上传输的信息的加密和解密、数字签名和签名验证，确保传递信息的机密性、完整性、不可否认性、交易实证，确保传递信息的机密性、完整性、不可否认性、交易实体的真实性。体的真实性。v数字证书采用数字证书采用公私钥密码体制公私钥密码体制，每个用户拥有一把仅为本，每个用户拥有一把仅为本人所掌握的人所掌握的私钥私钥，用它进行信息解密和数字签名；同时拥有，用它进行信息解密和数字签名；同时拥有一把一把公钥公钥，并可以对外公开，用于信息加密和签名验证。，并可以对外公开，用于信息加密和签名验证。v数字证书可用于：发送安全电子

17、邮件、访问安全站点、网上数字证书可用于：发送安全电子邮件、访问安全站点、网上签约和网上银行等安全电子事务处理和安全电子交易活动。签约和网上银行等安全电子事务处理和安全电子交易活动。数字证书的内容数字证书的内容证书拥有者的姓名；证书拥有者的姓名；证书拥有者的公钥；证书拥有者的公钥；公钥的有限期；公钥的有限期；颁发数字证书的单位；颁发数字证书的单位；颁发数字证书单位的数字签名；颁发数字证书单位的数字签名；数字证书的序列号等。数字证书的序列号等。查看证书内容（查看证书内容（1）查看证书内容（查看证书内容（2）查看证书内容查看证书内容（3）（1）个人数字证书）个人数字证书个人安全电子邮件证书、个人身份

18、证书个人安全电子邮件证书、个人身份证书（2）企业证书）企业证书企业（客户端）数字证书、企业（服务器）数字证书企业（客户端）数字证书、企业（服务器）数字证书（3）软件数字证书）软件数字证书数字证书的种类数字证书的种类CA认证中心（认证中心（Certificate Authority）（1）认证中心的功能：）认证中心的功能：核发证书、管理证书、搜索证书、验证证书核发证书、管理证书、搜索证书、验证证书（2）CA的树形验证结构的树形验证结构(如图所示）如图所示）数字证书的颁发机构数字证书的颁发机构 CA的树形结构的树形结构A：Root CAB：CAC：Digital ID证书的树形验证结构证书的树形验

19、证结构（3）国内外）国内外CA中心简介中心简介国外常见的国外常见的CA有有VeriSign、GTE Cyber Trust、Thawte等。等。国内常见的国内常见的CA有有 l l中国数字认证网中国数字认证网（），数字认证，数字签名，（），数字认证，数字签名，CA认证，认证，CA证书，数字证书，安全电子商务。证书，数字证书，安全电子商务。l l北北京京数数字字证证书书认认证证中中心心（），为为网网上上电电子子政政务务和和电子商务活动提供数字证书服务。电子商务活动提供数字证书服务。l l安徽数字证书认证中心安徽数字证书认证中心 http:/（1）下载并安装根证书）下载并安装根证书（2）填交证书申

20、请书）填交证书申请书（3）CA进行身份审核进行身份审核（4）下载或领取证书）下载或领取证书（5）安装证书）安装证书返回本章首页数字证书的申领及安装数字证书的申领及安装1 1 1 1、工商年检一路通（年检通）、工商年检一路通（年检通）、工商年检一路通（年检通）、工商年检一路通（年检通）答：申领电子签名认证证书需携带相关证件答：申领电子签名认证证书需携带相关证件答：申领电子签名认证证书需携带相关证件答：申领电子签名认证证书需携带相关证件u个人用户个人用户个人用户个人用户需携带身份证需携带身份证需携带身份证需携带身份证/军官证军官证军官证军官证/士兵证士兵证士兵证士兵证/护照；护照；护照；护照；u企

21、业用户企业用户企业用户企业用户需携带工商营业执照、机构代码证及需携带工商营业执照、机构代码证及需携带工商营业执照、机构代码证及需携带工商营业执照、机构代码证及法人代表身份证复印件法人代表身份证复印件法人代表身份证复印件法人代表身份证复印件到浙江省数字认证中心授权指定的受理点办理。到浙江省数字认证中心授权指定的受理点办理。到浙江省数字认证中心授权指定的受理点办理。到浙江省数字认证中心授权指定的受理点办理。目前我省企业用户可在各级工商行政管理部门办目前我省企业用户可在各级工商行政管理部门办目前我省企业用户可在各级工商行政管理部门办目前我省企业用户可在各级工商行政管理部门办理证书申请业务。理证书申请

22、业务。理证书申请业务。理证书申请业务。怎样申领电子签名认证证书怎样申领电子签名认证证书(数字证书数字证书)1 1、工商年检一路通（年检通）、工商年检一路通（年检通）2 2、地税网上纳税通（报税通）、地税网上纳税通（报税通）3 3、网上招标采购通（采购通）、网上招标采购通（采购通）4 4、证书执照即时通（证照通）、证书执照即时通（证照通）5 5、企业网上经营身份通（身份通）、企业网上经营身份通（身份通）6 6、网上信用查询通（查询通）、网上信用查询通（查询通）7 7、网上审批政务通（政务通）、网上审批政务通（政务通）8 8、交叉认证互认通（互认通）、交叉认证互认通（互认通）9 9、电子交易商务通

23、（商务通）、电子交易商务通（商务通）浙江数字证书功能现状浙江数字证书功能现状电子身份证电子身份证电子身份证电子身份证“一证九通一证九通一证九通一证九通”浙江加快企业数字证书应用浙江加快企业数字证书应用浙江加快企业数字证书应用浙江加快企业数字证书应用SSL叫安全套接层协议，是国际上最早用的，已成工业标叫安全套接层协议，是国际上最早用的，已成工业标准，但它的基点是商家对客户信息保密的承诺，因此有利准，但它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户。于商家而不利于客户。SET叫安全电子交易协议，是为了在互联网上进行在线交叫安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支

24、付的安全而设立的一个开放的规范。因易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心，所以对消费者与商家同样有利。它越来网关、认证中心，所以对消费者与商家同样有利。它越来越得到众人认同，将会成为未来电子商务的规范越得到众人认同，将会成为未来电子商务的规范两种都是应用于电子商务用的网络安全协议。都能保证两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。交易数据的安全性、保密性和完整性。7 电子商务安全交易标准发出客户机证书和加密的专用会话密钥（对称加密

25、密钥，或称单钥）发出客户机证书和加密的专用会话密钥（对称加密密钥，或称单钥）SSL客户机客户机SSL服务器1.客户机的招呼客户机的招呼3.客户机的响应客户机的响应2.服务器的招呼服务器的招呼服务器服务器客户机客户机确定安全级别并约定加密算法确定安全级别并约定加密算法发出包含有服务器公钥（非对称加密机制）的服务器证书发出包含有服务器公钥（非对称加密机制）的服务器证书4.服务器的响应服务器的响应用专用会话密钥在客户机、服务器之间发送保密的数据用专用会话密钥在客户机、服务器之间发送保密的数据公钥公钥单钥单钥5.会话会话6.会话结束，丢弃本次会话的专用密钥会话结束，丢弃本次会话的专用密钥小结小结w电子

26、商务安全的基本概念电子商务安全的基本概念w掌握安全技术的种类及原理掌握安全技术的种类及原理,特别是加密特别是加密技术技术,它是其他安全技术的基础它是其他安全技术的基础w数字证书的申领与作用数字证书的申领与作用,CA,CA认证的结构认证的结构对明文使用对明文使用HashHash算法生成消息摘要算法生成消息摘要?(1)?(1)对文件加密并把对文件加密并把（1 1）附在文件后）附在文件后对单钥对单钥K K加密加密A A还原的消息摘要还原的消息摘要对？解密对？解密明文明文对文件解密对文件解密对单钥对单钥K K解密解密我是明文我是明文 消息摘要消息摘要对称加密对称加密（单钥（单钥K K）非对称加密非对称

27、加密（B B的？钥）的？钥）非对称加密非对称加密（？的？钥）（？的？钥）解密方法？解密方法？（？密钥）（？密钥）？HashHash函数函数步骤步骤1 1步骤步骤2 2步骤步骤3 3步骤步骤4 4步骤步骤5 5对对照照非对称加密非对称加密（A A的私钥）的私钥）非对称加密非对称加密（？的？钥）（？的？钥）步骤步骤6 6步骤步骤7 7步骤步骤9 9B B(2(2)(3)(3)(4)(4)(5)(5)(6)(6)(7)(7)(8)(8)(9)(9)（1 1）消息摘要加密后生成了什么？）消息摘要加密后生成了什么？（2 2）为什么要用对称加密而不用非对称加密方法？）为什么要用对称加密而不用非对称加密方法

28、？（9 9）为什么要进行对照？对照结果如果不一致，说明什么问题？）为什么要进行对照？对照结果如果不一致，说明什么问题？（1010）A A的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？（1111）B B的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？（1 1 1 1）消息摘要加密后生成了什么？）消息摘要加密后生成了什么？）消息摘要加密后生成了什么？）消息摘要加密后生成了什么？（2 2 2 2）为什么要用对称加密而不用非对称加密方法？）为什么要用对称加密而不用非对称加密方法？）为什么要用对称加密而不用非对称加密方法？）为什么要用对称加密而不用非对称加密方法？（3

29、3 3 3）A A A A用用用用B B B B的公钥还是私钥加密？的公钥还是私钥加密？的公钥还是私钥加密？的公钥还是私钥加密？（4 4 4 4）、（）、（）、（）、（8 8 8 8）备选项（单选）备选项（单选）备选项（单选）备选项（单选）：（A A A A）A A A A的公钥的公钥的公钥的公钥 （B B B B）A A A A的私钥的私钥的私钥的私钥 （C C C C）B B B B的公钥的公钥的公钥的公钥(D)B(D)B(D)B(D)B的私钥的私钥的私钥的私钥 （5 5 5 5）解密方法（对称加密）解密方法（对称加密）解密方法（对称加密）解密方法（对称加密orororor非对称加密？）非

30、对称加密？）非对称加密？）非对称加密？）,解密密钥是什么？解密密钥是什么？解密密钥是什么？解密密钥是什么？（6 6 6 6）对什么进行解密？）对什么进行解密？）对什么进行解密？）对什么进行解密？（7 7 7 7）对明文使用）对明文使用）对明文使用）对明文使用HashHashHashHash函数计算后得到什么？函数计算后得到什么？函数计算后得到什么？函数计算后得到什么？（9 9 9 9）为什么要进行对照？对照结果如果不一致，说明什么问题？）为什么要进行对照？对照结果如果不一致，说明什么问题？）为什么要进行对照？对照结果如果不一致，说明什么问题？）为什么要进行对照？对照结果如果不一致，说明什么问题

31、？（10101010）A A A A的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？（11111111）B B B B的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？的一对密钥的使用起到了什么作用？对明文使用对明文使用HashHash算法生成消息摘要算法生成消息摘要(1)(1)数字签名数字签名对文件加密并把对文件加密并把数字签名数字签名附在文件后附在文件后对单钥对单钥K K加密加密A A还原的消息摘要还原的消息摘要对对数字签名数字签名解密解密明文明文对文件解密对文件解

32、密对单钥对单钥K K解密解密我是明文我是明文 消息摘要消息摘要对称加密对称加密（单钥（单钥K K）非对称加密非对称加密（B B的的公钥公钥）非对称加密非对称加密？密钥？密钥解密方法？密钥？解密方法？密钥？(7)(7)新摘要新摘要HashHash函数函数步骤步骤1 1步骤步骤2 2步骤步骤3 3步骤步骤4 4步骤步骤5 5对对照照非对称加密非对称加密（A A的私钥）的私钥）非对称加密非对称加密（A A的公钥）的公钥）步骤步骤6 6步骤步骤7 7步骤步骤9 9B B(2(2)(3)(3)(4)(4)(5)(5)(6)(6)(8)(8)(9)(9)（2 2）对称加密速度快）对称加密速度快（9 9）校验完整性。对照结果如果不一致，说明文件被篡改过）校验完整性。对照结果如果不一致，说明文件被篡改过（1010）A A的一对密钥起到了的一对密钥起到了验证发送方身份的作用验证发送方身份的作用（1111）B B的一对密钥起到了的一对密钥起到了对数据加密解密的作用对数据加密解密的作用（2 2）为什么使用对称加密）为什么使用对称加密（B的私钥）的私钥）对称加密对称加密（用单钥（用单钥K解密）解密）