电子商务第二章电子商务安全.ppt

《电子商务第二章电子商务安全.ppt》由会员分享，可在线阅读，更多相关《电子商务第二章电子商务安全.ppt（41页珍藏版）》请在三一办公上搜索。

1、,电 子 商 务,杨 晓 燕,2023年11月15日,2.1 电子商务安全概述2.2 电子商务安全技术2.3 电子商务安全协议2.4 电子商务安全防护防火墙技术2.5 公钥基础设施,第二章.电子商务安全技术,2.1 电子商务安全概述,2.1.1 电子商务的安全威胁,买方,系统中心安全性被破坏商业机密的安全竞争者的威胁假冒的威胁信用的威胁,卖方,虚假订单付款后收不到商品机密性丧失拒绝服务,保密性：保证信息不被窃取，信息只为授权用户使用完整性：数据在输入和传输过程中，保证数据的一致性，防止被非法建立、修改和破坏。不可抵赖性：信息发送方不可否认已发送信息，接收方不可否认已接收信息。真实性：商务活动中

2、交易者身份的真实性。可靠性：保证合法用户对信息和资源的使用不会被不正当的拒绝。可控性：能控制使用资源的人或实体的使用方式。内部网的严密性：保证内部网不被侵入。,2.1 电子商务安全概述,2.1.2 电子商务的安全要素,电子商务的核心是通过网络信息技术来传递上移信息并进行往往交易的，因而其也是一个计算机系统，其安全性是对一个系统而言的。安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构。,2.1 电子商务安全概述,电子商务的安全体系,2.2 电子商务安全技术,信息加密技术,（1）对称密钥加密体制(私钥加密体制),是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算，这时的密钥称为对

3、称密钥。最典型的对称密钥加密算法：美国数据加密标准（DES：Data Encrypt Standard）。优点：加密速度快，适于大量数据的加密处理。缺点：密钥需传递给接受方,2.2 电子商务安全技术,2.2 电子商务安全技术,（2）非对称密钥加密体制(公钥加密体制),信息加密和解密使用的是不同的两个密钥（称为“密钥对”，一个是公开密钥，一个是私用密钥）。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能解密；反之，若用私有密钥对数据进行加密，则须用相应的公开密钥才能解密。缺点：加密速度较慢代表性加密技术：RSA技术,2.2 电子商务安全技术,2.2 电子商务安全技术,（3）数字摘要技术,

4、采用单向Hash函数对文件进行变换运算得到摘要码，并把摘要码和文件一同送给接收方，接收方接到文件后，用相同的方法对文件进行变换计算，用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改。,2.2 电子商务安全技术,图2.3 数字摘要技术工作流程示意图,2.2 电子商务安全技术,数字信封与数字签名,（1）数字信封技术,发送方采用对称密钥加密信息，然后将此对称密钥用接收方的公开密钥加密之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。安全性能高，保证只有规定的接收方才能阅读信的内容。,2.2 电子商务安全技术,2.2 电子商务安全

5、技术,（2）数字签名技术,用发送方的私有密钥对数字摘要进行加密得的数字签名，因此数字签名是只有信息的发送者才能产生而别人无法伪造的一段数字串，有确认对方的身份，防抵赖的作用；接收方用发送方的公开密钥对数字签名进行解密，用数字摘要原理保证信息的完整和防篡改性。,2.2 电子商务安全技术,2.2 电子商务安全技术,2.2 电子商务安全技术,（3）数字时间戳技术,数字时间戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术。它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。可对签名文件或密钥的有效期等加盖时间戳。,2.2 电子商务安全技术,Internet或其它网络,In

6、ternet或其它网络,图 2.7 数字时间戳技术工作流程示意图,2.2 电子商务安全技术,（4）双重签名技术,在实际商务活动中经常出现这种情形，即持卡人给商家发送订购信息和自己的付款账户信息，但不愿让商家看到自己的付款账户信息，也不愿让处理商家付款信息的第三方看到订货信息。在EC中要能做到这点，需使用双重签名技术。,2.2 电子商务安全技术,2.2 电子商务安全技术,数字证书与认证中心,（1）数字证书,数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。国际电信联盟（ITU）制定的标准X.509规定数字证书包含：1)证书所有者的姓名；2)证书所有者的公共密钥；3

7、)公共密钥（证书）的有效期；4)颁发数字证书的单位名称；5)数字证书的序列号（Serial Number)；6)颁发数字证书单位的数字签名。数字证书通常分为：个人证书、企业证书、软件证书。,2.2 电子商务安全技术,工作原理：信息接收方在网上收到发送方发来的业务信息的同时，还收到发送方的数字证书，这时通过对其数字证书的验证，可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时，双方得到对方的公开密钥。由于公开密钥是包含在数字证书中的，且借助证书上数字摘要的验证，确信收到的公开密钥肯定是对方的。通过这个公开密钥，双方就可完成数据传送中的加解密工作。数字证书的管理包括：颁发数字证书撤销数字

8、证书,2.2 电子商务安全技术,2.2 电子商务安全技术,数字证书与认证中心,（2）认证中心CA,电子商务认证授权机构（CertificateAuthority，简称CA）也称为电子商务认证中心（简称认证中心），是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心职能包括：1)证书发放；2)证书更新；3)认证撤销；4)数字验证；,2.2 电子商务安全技术,2.3 电子商务安全协议,（1）安全超文本传输协议（S-HTTP）,能保证Web信息站点上信息的安全，是应用层的协议。用对称密钥、消息摘要、公开密钥加密等来实现建立一个安全会话。页面的URL为https:/开始

9、。,2.3 电子商务安全协议,（2）电子邮件安全S-MIME协议,依靠密钥对保证电子邮件的安全传输的协议。提供发送方身份识别、信息的完整性、信息传递过程的机密性等安全功能；设计成模块，加装在电子邮件软件中（如：IE、Netscape）要求申请电子邮件数字证书，发保密邮件要求有对方的公钥。,2.3 电子商务安全协议,案例：数字证书在网上招标系统中的应用(1),网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标有公开招标和邀请招标两种招标方式，对招标方提

10、供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能,2.3 电子商务安全协议,身份确定？传输安全？抵赖？,2.3 电子商务安全协议,招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中,2.3 电子商务安全协议,（3）安全套接层SSL（Secure So

11、ckets Layer）协议,是建立两台计算机之间的安全连接通道的属会话层的协议。在该通道上可透明加载任何高层应用协议（如FTP、TELNET等）以保证应用层数据传输的安全性。认证用户和服务器，它们能够确信数据将被发送到正确的客户机和服务器上。加密数据以隐藏被传送的数据。维护数据的完整性，确保数据在传输过程中不被改变。要求服务器端安装数字证书，客户端可选。,2.3 电子商务安全协议,SSL协议主要包括以下6个运行步骤。（1）接通阶段：客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段：客户与服务商之间交换双方认可的密码。（3）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码。（4）检

12、验阶段：检验服务商取得的密码。（5）客户认证阶段：验证客户的可信度。（6）结束阶段：客户与服务商之间相互交换结束的信息。按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。SSL协议有利于商家而不利于客户；,2.3 电子商务安全协议,（4）安全电子交易SET（Secure Electronic Transaction）协议,SET是一种为基于信用卡而进行的电子交易提供安全措施的规则，能广泛应用于因特网，能将普遍应用的信用卡使用起来，从目前的商店扩展到消费者家里，扩展到消费者的个人计算机中。,2

13、.3 电子商务安全协议,SET协议要达到的目标主要有五个：（1）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。（2）保证信息在Intemet上安全传输，防止数据被黑客或被内部人员窃取。（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。（4）保证了网上交易的实时性，使所有的支付过程都是在线的。（5）效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。,2.4 防火墙技术,防火墙是指

14、一个由软件或硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，是加强Internet与Intranet之间安全防范的一个或一组系统。它具有限制外界用户对Intranet网络访问及管理内部用户访问外界网络的权限。防火墙的姿态：拒绝没有允许的允许没有拒绝的防火墙通常由包过滤路由器、应用层网关（或代理服务器)、电路层网关等组成。防火墙一般有以下几种：包过滤型防火墙双宿网关防火墙屏蔽主机防火墙屏蔽子网防火墙。,2.4 防火墙技术,包过滤型防火墙,2.4 防火墙技术,双宿网关型防火墙,2.4 防火墙技术,屏蔽主机型防火墙,2.4 防火墙技术,屏蔽子网型防火墙,PKI（Public Key Inf

15、rastructure）:公开密钥体系，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术:包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。,2.5 PKI公开密钥体系,2.4 PKI公开密钥体系,权威认证机构(CA)：即数字证书的申请及签发机关，是PKI的核心。数字证书库：用于存储已签发的数字证书及公钥；密钥备份及恢复系统：PKI提供只针对解密密钥的备份与恢复机制,但必须由可信的机构来完成。签名私钥为确保其唯一性而不作备份。证书作废系统：进行证书作废并存放作废证书。应用接口（API）：提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。,PKI的基本组成:,