电子商务概论第八部分第7章电子商务的安全技术.ppt

20:07:38,1,电子商务概论第八部分(第7章)电子商务的安全技术,张万民青岛滨海学院,20:07:38,2,引导案例：支付0.1元被套20581元,网民小香想在淘宝网上购买一张价值50元的手机充值卡，拍下之后付款到卖家的支付宝，卖家叫小香登录某网站，用网银汇款0.1元到他的账户里，说是用来提取单号，通过单号来提取充值卡密码。小香心想：既然都付了40多元钱到支付宝上了，也不在乎那0.1元了。于是按提示支付，可多次出现超时问题，当初以为是电脑浏览器问题，于是和淘宝上那位卖充值卡的卖家说了，他说让他的“技术人员”加小香QQ，加了后，一番交谈，进入了“技术人员”所提供的支付网站，登录网站后，在付款的前一刻，支付金额清清楚楚写着“0.10元”，按了付款后，一分钟内，手机收到银行的短信，内容说“银行支出20581元”!,20:07:38,3,学习目标：知晓电子商务面临的主要安全威胁熟悉电子商务对安全的基本要求掌握电子商务常用的数据加密技术理解电子商务的认证体系理解SSL和SET安全协议的流程和工作原理,第八部分(第 7 章)电子商务的安全技术,20:07:38,4,目录,7.1 电子商务的安全问题概述7.2 防火墙7.3 数据加密与信息安全技术7.4 数字证书7.5 安全技术协议,20:07:38,5,7.1 电子商务的安全问题概述,7.1.1 电子商务面临的安全问题 7.1.2 电子商务对安全的基本要求7.1.3 电子商务安全对策,20:07:38,6,7.1.1 电子商务面临的安全问题,电子商务安全涉及到网络和交易两个方面1、计算机网络安全问题恶性病毒人为窃取由于计算机硬件空间辐射泄密。计算机网络、存储器硬件损坏。2、交易安全问题 网络交易安全所遭受到的攻击可以分为五类（见下页图）：（1）中断（2）截获（介入）（3）篡改（4）伪造（假造）（5）抵赖（否认）,20:07:38,7,网络安全所遭受到的攻击,20:07:38,8,7.1.1 电子商务面临的安全问题,网络安全的隐患（原因）主要表现在以下四个方面：（1）开放性（2）传输协议：无保护协议（3）操作系统：源码公开（4）信息电子化：电子信息缺乏可信度、无法识别完整性、无法确认发出者或接受者。,20:07:38,9,7.1.2 电子商务对安全的基本要求,电子商务安全要求超过一般网络安全：首先，电子商务的安全是一个复杂的管理问题。其次，电子商务安全是一个技术安全问题。再次，电子商务安全是一个法律问题。,20:07:38,10,7.1.2 电子商务对安全的基本要求,电子商务安全的基本要求：1授权合法性，即系统抗攻击性2不可抵赖性,即抗抵赖性3信息保密性4身份的真实性5信息的完整性6存储信息的安全性,20:07:38,11,电子商务安全要求,电子商务安全要求,20:07:38,12,7.1.3 电子商务安全对策,1、完善各项管理制度（1）人员管理制度（2）保密制度（3）跟踪审计制度（4）系统维护制度（5）病毒防范制度（6）应急措施,20:07:38,13,7.1.3 电子商务安全对策,2、技术对策（1）网络安全检测设备（2）开发各种具有较高安全性的访问设备（3）通过认证中心进行证书的认证和发放；（4）保护传输线路安全（5）要有较强的防入侵措施（6）加强数据加密的工作（7）进行严格的访问控制：如权限控制（8）建立合理的鉴别机制：报文鉴别、数字签名、终端鉴别（9）进行通信流的控制：平衡流量、避免通过数据流分析特定事件（10）数据完整性的控制：是否假冒、是否是真的发件,20:07:38,14,目录,7.1 电子商务的安全问题概述7.2 防火墙7.3 数据加密与信息安全技术7.4 数字证书7.5 安全技术协议,20:07:38,15,7.2 防火墙,7.2.1 防火墙的基本概念 7.2.2 防火墙的技术7.2.3 防火墙的局限性,20:07:38,16,防火墙技术,防火墙,20:07:38,17,7.2.1 防火墙的基本概念,计算机网络的防火墙是指一个由软件和硬件设备组合而成的，在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障。防火墙的概念是借用了建筑学上的一个术语。计算机网络的防火墙是用来防止互联网的损坏，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等波及到内部网络的危害。,20:07:38,18,防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。在被保护网络和Internet之间，或者和其它网络之间限制访问的软件和硬件的组合。,7.2.1 防火墙的基本概念,20:07:38,19,防火墙技术的功能,20:07:38,20,防火墙技术的功能,安全功能,支持转发和跟踪网络间报文控制协议ICMP(ICMP信息通常报告在处理数据报过程中的错误。)提供入侵实时警告提供实时入侵防范识别/记录/防止企图进行IP地址欺骗,20:07:38,21,防火墙技术的功能,支持病毒扫描提供内容过滤能部分防御 DOS攻击 阻止 ActiveX、Java、等侵入,20:07:38,22,防火墙技术的功能,管理功能,通过集成策略集中管理多个防火墙 应提供基于时间的访问控制应支持简单网络管理协议(SNMP)监视和配置(SNMP事实上指一系列网络管理规范的集合)本地管理远程管理支持带宽管理负载均衡特性失败恢复特性,20:07:38,23,防火墙技术的功能,记录报表,防火墙处理完整日志的方法提供自动日志扫描提供自动报表、日志报告书写器报警通知机制提供简要报表 提供实时统计列出获得的国内有关部门许可证类别及号码,20:07:38,24,7.2.2 防火墙的技术,1、网络级防火墙（包过滤型防火墙）2、应用级网关（代理服务器）3、电路级网关 4、规则检查防火墙,20:07:38,25,1、网络级防火墙（包过滤）,分组过滤,作用在网络层和传输层（TCP/IP层），它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,20:07:38,26,1、网络级防火墙（包过滤）,分组过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,20:07:38,27,2、应用级网关（代理服务器）,应用代理,也叫应用网关，它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,20:07:38,28,2、应用级网关（代理服务器）,应用代理：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。,20:07:38,29,1、防止易受攻击的服务2、控制访问网点系统 3、集中安全性 4、增强保密性、强化私有权 5、有关网络使用、滥用的记录和统计,采用防火墙系统的优点:,20:07:38,30,7.2.3 防火墙的局限性,1、防火墙不能防范不经过防火墙的攻击2、防火墙不能解决来自内部网络的攻击和安全问题 3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁4、防火墙不能防止可接触的人为或自然的破坏 5、防火墙无法解决TCP/IP等协议的漏洞 6、防火墙对服务器合法开放的端口的攻击大多无法阻止 7、防火墙不能防止受病毒感染的文件的传输 8、防火墙不能防止数据驱动式的攻击 9、防火墙不能防止内部的泄密行为 10、防火墙不能防止本身安全漏洞的威胁,20:07:38,31,目录,7.1 电子商务的安全问题概述7.2 防火墙7.3 数据加密与信息安全技术7.4 数字证书7.5 安全技术协议,20:07:38,32,7.3数据加密与信息安全技术,引子:密码基础知识CCTV4 天涯共此时密码：想要懂你不容易,20:07:38,33,7.3 数据加密与信息安全技术,7.3.1 数据加密技术的基本概念7.3.2 对称密钥加密技术7.3.3 非对称密钥加密技术 7.3.4 数字签名 7.3.5 数字时间戳 7.3.6 数字信封,20:07:38,34,7.3.1 数据加密技术的基本概念,1.数据加密技术发展的历程 1930年美国电话电报公司发明了弗纳姆密码：利用电传打字机的五单位码与密钥进行摸2相加。并首次用机器完成加密工作。1949年香农发表“保密系统的通信理论”，提出了通用的蜜钥密码体制模型。以上主要用于军事。1977年美国颁布了数字加密标准-DES（Data Encryption Standard），后来AES。1978年麻省理工学院研制出了RSA非对称算法,20:07:38,35,加密实例1凯撒密码,循环移位a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 910111213141516171819202122232425a p e n k z o x a p e n 0 15 4 13(P+10)%26 10 25 14 23(C+26-10)%26 0 15 4 13 明文p 算法E 密钥Ke=10 密文c 算法D 密钥Kd=10 明文p,20:07:38,36,明文P,明文P,不安全信道,加密算法EC=Eke(P),/,解密算法DP=Dkd(C),加密密钥 Ke,窃听入侵,解密密钥 Kd,密文C,2.数据加密原理,20:07:38,37,3、举例2维吉利亚加密方法,维吉利亚(Vigenere)加密方法,设P=data security,k=best,求C？,（1）制作维吉利亚方阵如下：,20:07:38,38,3、举例2维吉利亚加密方法,维吉利亚方阵,20:07:38,39,3、举例2维吉利亚加密方法,维吉利亚(Vigenere)加密方法,设P=data security,k=best,求C？,（2）按密钥的长度将P分解若干节,20:07:38,40,3、举例2维吉利亚加密方法,维吉利亚(Vigenere)加密方法,设P=data security,k=best,求C？,（3）对每一节明文，用密钥best进行变换,20:07:38,41,3、举例2维吉利亚加密方法,蜜钥,20:07:38,42,3、举例2维吉利亚加密方法,维吉利亚(Vigenere)加密方法,设P=data security,k=best,求C？,（3）对每一节明文，用密钥best进行变换,结果为C=EELT TIUN SMLR,20:07:38,43,加密机制：对称和非对称,本质上说，有两种加密机制：对称加密机制：加密解密同一个密钥公钥加密机制：加密解密不同的密钥,20:07:38,44,7.3.2 对称密钥加密技术,加密与解密变换是平等的，使用相同的密钥，而且很容易从明文导出密文，也容易从密文导出明文。EK（M）=C，DK（C）=M 注意：由于加密、解密的密钥相同，因此必须妥善保管，防止发送者与接收者之外的其他人获得，又称秘密密钥。,1.对称加密机制,20:07:38,45,7.3.2 对称密钥加密技术,DES（数据加密标准）是一种分组加密算法。它对64bit数据块进行加密。如果待加密数据更长的话，则必须将其划分成64bit的数据块。最后一个数据块很可能比64bit要短。在这种情况下，通常用0将最后一个数据块填满（填充）。DES加密的结果仍然是64bit的数据块。密钥长度为64bit（其中包含8个校验比特）。,2.DES对称加密机制,特点：比较安全，且硬件实现效率高。,20:07:38,46,7.3.2 对称密钥加密技术,DES由IBM公司提出，该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准。DES综合运用了置换、代替、代数等多种密码技术，把消息分成64位大小的块，使用56位密钥，加密算法的迭代轮数为l6轮。提供72*1015个蜜钥，每微秒一次的DES加密机器破译需2千年。1997年4月，美国发明AES算法,分组128位，蜜钥长度128、192或256位。2001年从5种算法中确定正式算法，即Rijndael算法。,20:07:38,47,7.3.2 对称密钥加密技术,对称加密算法在电子商务交易过程中存在几个问题：1.要求提供一条安全的渠道使通讯信双方在首次通信时协商一个共同的密钥 2.密钥的数目多难于管理 3.对称加密算法一般不能提供信息完整性的鉴别,抵赖行为无法判别。4.对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。,20:07:38,48,7.3.3 非对称密钥加密技术,又称公钥加密机制这种算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。因为加密和解密使用的是两个不同的密钥，所以这种算法也叫做非对称加密算法。这对密钥中的任何一把都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把则作为专用密钥（解密密码）加以保存。公开密钥用于对机密性的加密；专用密钥则用于对加密信息的解密。,20:07:38,49,7.3.3 非对称密钥加密技术,交易双方利用该方案实现机密信息交换的基本过程如下：1.交易方甲生成一对密钥，将其中的一把作为公开密钥向其他交易方公开。2.得到了该公开密钥的交易方乙，使用该密钥对机密信息进行加密后再发送给交易方甲。3.交易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。4.交易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。,20:07:38,50,7.3.3 非对称密钥加密技术,公钥加密机制,公钥密码系统的思想,20:07:38,51,7.3.3 非对称密钥加密技术,在公钥密码系统中，加密密钥与解密密钥不同，并且从其中一个密钥推出另一个密钥在计算上非常困难。其中一个密钥称为私钥，必须保密。而另一个密钥称为公钥，应该公开。这样就不必考虑如何安全地传输密钥。Epuk(M)=C Dprk(C)=Dprk(Epuk(M)=M（注：puk表示公钥，prk表示私钥）,20:07:38,52,7.3.3 非对称密钥加密技术,公钥加密机制根据不同的用途有两种基本的模型：（1）加密模型：发方公钥加密，收方私钥解密,20:07:38,53,7.3.3 非对称密钥加密技术,（2）认证模型：发方私钥加密，收方公钥解密,数字签名的原理,20:07:38,54,7.3.3 非对称密钥加密技术,RSA是最有名也是应用最广的公钥系统。RSA的原理是数论的欧拉定理：寻求两个大的素数容易，但将它们的乘积分解开极其困难。,20:07:38,55,7.3.3 非对称密钥加密技术,非对称加密算法主要有RSA，DSA，Diffie-Hellman，PKCS，PGP等 RSA算法是由Rivest，Shanir和Adlerman三人于1978年在麻省理工学院研（制）究出来的，是建立在数论中大数分解和素数检测的理论基础上的。原理：这种算法使用两个不同的密钥来加密、解密。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的，计算量大到甚至在计算机上也不可能实现。,20:07:38,56,7.3.3 非对称密钥加密技术,RSA算法（1）秘密地选择两个100位的十进制大素数p和q（2）计算出N=pq，并将N公开（3）计算N的欧拉函数(N)=(p-1)(q-1)（4）从0,(N)-1中任选一个与(N)互素的数e（5）根据下式计算d：ed=1 mod(N)这样就产生了一对密钥：公钥PK=(e,N),私钥SK=(d,N)若用X表示明文，Y表示密文，则加密和解密过程如下：加密：Y=Xe mod N 解密：X=Yd mod N,20:07:38,57,7.3.3 非对称密钥加密技术,举例：（1）产生一对密钥选择两个素数，如p=7，q=17计算N=p*q=717=119(N)=(p-1)(q-1)=616=96从0,95间选一个与96互素的数e=5根据5*d=1 mod 96得d=77（因为577=496+1）得到公钥PK=(5,119)，私钥SK=(77,119),20:07:38,58,7.3.3 非对称密钥加密技术,举例：（2）用这对密钥进行加密解密实验将明文分组，使每组明文的二进制值不超过N，即不超过119。现在设明文为X=19用公钥PK=(5,119)加密。先计算Xe=195=2476099；再除以119，商20807，余数为66。密文即为66用私钥SK=(77,119)解密。先计算Yd=6677=6677=1.27316015 10140()再除以119，得余数为19。明文即为19,20:07:38,59,7.3.3 非对称密钥加密技术,RSA的安全性取决于大合数分解的困难性。优点：不必考虑如何安全的传输密钥缺点：实现速度比DES慢,20:07:38,60,对称与非对称加密过程对比,20:07:38,61,对称与非对称加密特性对比,20:07:38,62,7.3.4 数字签名,对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其他的手段，这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。,20:07:38,63,解决信息完整性的另一利器数字摘要,数字摘要(digital digest)：即对所要传输的名文用某种算法计算出最能体现这份报文特征的数来，一旦名文有变化，这个数就会随之而改变。数字摘要通常采用单向的Hash函数（散列函数、哈希函数），或叫SHA（Secure Hash Algorithm）编码法，将需要加密的信息原文变换成128Bit的密文，也叫数字指纹(Finger Print)。不同的信息原文经过Hash变换后所形成的密文是不同的，而相同的信息原文经Hash变换而来的密文必定是相同的。因此，利用数字摘要，就可以验证经过网络传输的文件是否被篡改，从而保证了信息传输的完整性。以解决对信息的完整性问题。,20:07:38,64,密码学领域重大发现：山东大学王小云教授成功破解MD5,人民日报的报道介绍，密码学是当今互联网及电子商业的核心技术之一，密码设计及破解方面的进展具有极大的科技以及商业意义。经过孜孜不倦的努力，王小云教授发展出一套有高度创新性的数学方法。在过去两年中，她主导的一支中国研究团队成功地破解了一直在国际上广泛应用的两大密码算法MD5和SHA1，在国际密码学领域引起强烈反响，受到科学界及国际媒体的广泛瞩目。2004年8月17日。她的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD的堡垒轰然倒塌，引发了密码学界的轩然大波。2006年获得“杰出科学家奖”,20:07:38,65,数字签名技术过程对比,7.3.4 数字签名,20:07:38,66,数字签名过程,Alice,Bob,数字签名=消息摘要加密后的值,用接受方公钥加密发送,20:07:38,67,鉴别真伪的过程,通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。假若Alice要抵赖曾发报文给Bob，Bob可将Alice 发来的摘要明文和密文出示给第三者，由第三者很容易用Alice的公开密钥去证实Alice确实发消息给Bob。如果是Bob伪造了Alice的消息，进一步伪造了Alice摘要明文，Bob就不能在第三者面前出示正确的Alice的密文。从而也就不能抵赖Alice发给自己的消息。,20:07:38,68,7.3.5 数字时间戳,数字时间戳服务（Digital Time-stamp ServiceDTS）网上专门服务机构数字时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要（digest）、收到文件的日期和时间、数字签名。时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。,20:07:38,69,数字时间戳工作流程,20:07:38,70,7.3.6 数字信封,数字信封是数据加密技术的又一类应用，信息发送端用接收端的公开密钥，将一个通信密钥加密后传送到接收端，只有指定的接收端才能打开信封，取得私有密钥（Sk）用它来解开传送来的信息。,20:07:38,71,7.3.6 数字信封,具体过程如下：1.要传输的信息经杂凑（Hash）函数运算得到一个信息摘要MD，MD=Hash（信息）；2.MD经发送者A的私钥SKA加密后得到一个数字签名；3.发送者A将信息明文、数字签名及数字证书上的公钥三项信息通过对称加密算法，以DES加密密钥SK进行加密得加密信息E；4.A在传送信息之前，必须先得到B的证书公开密钥PKB，用PKB加密秘密密钥SK，形成一个数字信封DE；5.E和DE就是A所传送的内容；,20:07:38,72,7.3.6 数字信封,6.接收者B以自己的私人密钥SKB解开所收到的数字信封DE，从中解出A所用过的SK；7.B用SK将E还原成信息明文、数字签名和A的证书公开密钥；8.将数字签名用A证书中的公开密钥PKA解密，将数字签名还原成信息摘要MD；9.B再以收到的信息明文，用Hash函数运算，得到一个新的信息摘要MD；10.比较收到已还原的MD和新产生的MD是否相等，相等无误即可确认，否则不接收。,20:07:38,73,数字信封的验证及文件的传送过程,发送方A,接收方B,20:07:38,74,信息传输安全技术总结,20:07:38,75,7.4 数字证书,7.4.1 什么是数字证书 7.4.2 数字证书的三种类型 7.4.3 认证中心简介,20:07:38,76,7.4.1 什么是数字证书,1、概念数字证书是在通讯网络中标志通信各方身份信息的一系列数据。又称为公开密钥证书。数字证书是一个由证书认证中心（CA）发行的文件。认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准是国际电信联盟(ITU)制定的标准，等同于国际标准化组织ISO和国际电工委员会IEC联合颁布的ISO/IEC95944-195标准。,20:07:38,77,2、数字证书组成,数字证书主要由以下两部分组成：1.证书数据2.发行证书的CA签名。该签名是由证书发行机构所签，具有法律效力。,20:07:38,78,3、数字证书内容,证书数据包括:版本信息，用来与X.509的将来版本兼容；证书序列号，每一个由CA发行的证书必须有一个唯一的序列号；CA所使用的签名算法；发行证书CA的名称；证书的有效期限，它的计时范围为19502049；证书主题名称；被证明的公钥信息，包括公钥算法、公钥的位字符串表示；包含额外信息的特别扩展。,20:07:38,79,7.4.2 数字证书的三种类型,1、服务器证书 服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。2、电子邮件证书 个人电子邮件安全证书是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。3、客户端个人证书 客户端证书主要被用来进行身份验证和电子签名。,20:07:38,80,7.4.3 认证中心简介,CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。认证中心是检验管理密钥是否具有真实性的第三方，它是一个权威机构，专门验证交易双方的身份。,20:07:38,81,7.4.3 认证中心简介,注：LDAP的英文全称是Lightweight Directory Access Protocol,20:07:38,82,7.4.3 认证中心简介,认证中心的职责：（1）证书的颁发（2）证书的更新（3）证书的查询（4）证书验证（5）证书的作废（6）证书的归档（7）提供密钥托管和密钥恢复服务,20:07:38,83,7.4.3 认证中心简介,2、认证中心的分级结构,20:07:38,84,上海市数字证书认证中心有限公司,个人证书申请及更新表服务器证书申请及更新表单位证书申请及更新表,20:07:38,85,目录,7.1 电子商务的安全问题概述7.2 防火墙7.3 数据加密与信息安全技术7.4 数字证书7.5 安全技术协议,20:07:38,86,7.5 安全技术协议,7.5.1 安全套接字协议(SSL)7.5.2 安全电子交易协议(SET)7.5.3 SSL协议和SET协议的对比,20:07:38,87,7.5.1 安全套接字协议(SSL),1协议的起源Internet网络计算机之间的安全通信令人担忧Netscape公司率先采用的一种网络安全协议，就是SSL（Secure Socktes Layer），叫安全套接字协议，又叫安全套接层协议，现有2.0和3.0版,20:07:38,88,2、安全套接字协议(SSL)简介,SSL（Secure Socktes Layer）是Netscape公司率先采用的一种网络安全协议，通过把在网页和服务器之间传输的数据加密，来防止资料在传输过程中被窃取。常采用SSL协议传输密码、信用卡号等敏感信息，以及身份认证信息。SSL可以被理解成一条受密码保护的通道。通道的安全性取决于协议中采用的加密算法。目前SSL协议标准已经成为网络上保密通信的一种工业标准,在C/S和B/S的构架下都有广泛的应用。,20:07:38,89,3SSL协议规范,SSL握手协议简介 用于建立安全传输通道，客户端用公开密钥验证服务器，服务器用私有密钥验证客户端。SSL记录协议简介 把上层传来的加密信息，分成若干记录，压缩加密后传输。记录的内容：内容类型（指高层协议）、协议版本号、长度（最大16383个字节）、有效载荷MAC（压缩加密后的结果，用MD5时为16字节）,20:07:38,90,4、SSL的优缺点,优点：成本低速度快使用简单缺点：客户信息先到商家，客户资料的安全性无法保障；SSL只负责信息传递安全，商家抵赖行为无法克服,20:07:38,91,7.5.2 安全电子交易协议(SET),1、什么是安全电子交易协议 为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，并（为了）达到交易安全及合乎成本效益的市场要求，VISA国际组织及其他公司如Master Card、MicroSoft、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）协议。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。,20:07:38,92,7.5.2 安全电子交易协议(SET),2、采用安全电子交易协议交易的流程,20:07:38,93,SET数据加密,20:07:38,94,7.5.3 SSL协议和SET协议的对比,20:07:38,95,“网络钓鱼”对电子商务安全的危害及防范发送电子邮件，以虚假信息引诱用户中圈套；建立假冒网上银行；利用虚假电子商务进行诈骗；利用木马和黑客技术窃取用户信息后实施盗窃活动；利用用户弱口令等漏洞破解、猜测用户帐号密码。,案例分析：,20:07:38,96,本章小结,1.本章介绍了电子商务的安全问题、防火墙技术、数据加密与信息安全技术、数字证书、安全技术协议等内容；2.电子商务由于其开放的特性，造成了许多安全问题，概括为中断、截获、篡改、伪造、抵赖，解决这些问题除需要加强监管外，还需要用不同的技术来保障；3.计算机网络的防火墙是一个由软件和硬件设备组合而成的设施，在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障。用来防止互联网的损坏，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等波及到内部网络的危害。4.数据加密技术是信息通信安全的保障，有对称密钥加密技术和非对称加密技术，对称密钥加密技术是加密和解密用同一个密钥。非对称加密技术用公钥和私钥实现，加密和解密用不同的密钥。利用非对称加密技术可实现信息加密、数字签名、CA认证等功能，有效地解决了数据完整性、数据时效性和身份真实性问题，确保交易安全；5.最后介绍了保证安全支付的SSL协议和最安全的SET协议。,20:07:38,97,思考题,电子商务交易安全所遭受到攻击可以分为哪几类？用维吉利亚(Vigenere)加密方法加密求密文。设明文P=data，密钥K=by，求密文C=？电子商务对安全的要求主要体现在哪些方面？对称加密和非对称加密技术的基本原理是什么，有哪些区别？数字签名使用的主要技术有哪些？数字信封加密的过程是如何进行的？什么是数字证书？图示SSL、SET的工作流程是如何进行的？，二者有何区别？,