電商概論chap5電子商務安全技術(shù)

1、 電子商務概論 邵兵家 主編 高等教育出版社 2011版第5章 電子商務安全技術(shù) 電子商務概論 邵兵家 主編 高等教育出版社 2011版 學習目標學習目標n了解電子商務面臨的主要安全威脅了解電子商務面臨的主要安全威脅 n了解電子商務對安全的基本要求了解電子商務對安全的基本要求 n 熟悉電子商務常用的安全技術(shù)熟悉電子商務常用的安全技術(shù)n 掌握防火墻的功能和工作原理掌握防火墻的功能和工作原理n了解電子商務常用的加密技術(shù)了解電子商務常用的加密技術(shù)n了解電子商務的認證體系了解電子商務的認證體系n 掌握掌握SSL和和SET的流程和工作原理的流程和工作原理 電子商務概論 邵兵家 主編 高等教育出版社 20

2、11版案例：案例：n隨著經(jīng)濟信息化進程的加快，計算機網(wǎng)絡(luò)上的破壞活隨著經(jīng)濟信息化進程的加快，計算機網(wǎng)絡(luò)上的破壞活動也隨之猖獗起來，已對經(jīng)濟秩序、經(jīng)濟建設(shè)、國家動也隨之猖獗起來，已對經(jīng)濟秩序、經(jīng)濟建設(shè)、國家信息安全構(gòu)成嚴重威脅。信息安全構(gòu)成嚴重威脅。n消費者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來越消費者對網(wǎng)上交易的網(wǎng)絡(luò)安全缺乏信心，使得越來越多消費者不愿在網(wǎng)上購物。多消費者不愿在網(wǎng)上購物。 電子商務概論 邵兵家 主編 高等教育出版社 2011版n20002000年年2 2月月8 8日到日到1010日，一伙神通廣大的神秘黑客在三天日，一伙神通廣大的神秘黑客在三天的時間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、

3、美國有限新聞的時間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國有限新聞等在內(nèi)的五個最熱門的網(wǎng)站，導致世界五大網(wǎng)站連連癱等在內(nèi)的五個最熱門的網(wǎng)站，導致世界五大網(wǎng)站連連癱瘓。瘓。n20002000年年9 9月，月， Western UnionWestern Union公司的公司的1500015000張信用卡被竊張信用卡被竊取，致使該商務網(wǎng)站不得不關(guān)閉取，致使該商務網(wǎng)站不得不關(guān)閉5 5天。天。n同年同年1212月，月，creditcards.corncreditcards.corn網(wǎng)站被竊取了網(wǎng)站被竊取了5500055000張信張信用卡，其中的用卡，其中的2500025000張信用卡號碼在網(wǎng)上公諸于眾。張信用

4、卡號碼在網(wǎng)上公諸于眾。 電子商務概論 邵兵家 主編 高等教育出版社 2011版n20022002年年, ,一名只有一名只有1616歲的中學生黑客侵入某銀行歲的中學生黑客侵入某銀行的網(wǎng)絡(luò)系統(tǒng)，竊取了的網(wǎng)絡(luò)系統(tǒng)，竊取了100100萬元人民幣。萬元人民幣。n更著名的案例則是美國花旗銀行被黑客入侵，更著名的案例則是美國花旗銀行被黑客入侵，竊取了上千萬美金，舉世為之震驚。竊取了上千萬美金，舉世為之震驚。 電子商務概論 邵兵家 主編 高等教育出版社 2011版nhttp:/ 1.8萬銀行卡失密萬銀行卡失密nhttp:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版電子商務安全技術(shù)電子商務安全技術(shù)

5、5.1 電子商務安全電子商務安全5.2 防火墻技術(shù)防火墻技術(shù)5.3 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)5.4 認證技術(shù)認證技術(shù)5.5 安全技術(shù)協(xié)議安全技術(shù)協(xié)議 電子商務概論 邵兵家 主編 高等教育出版社 2011版電子商務系統(tǒng)安全的概念電子商務系統(tǒng)安全的概念n電子商務系統(tǒng)硬件安全電子商務系統(tǒng)硬件安全 n電子商務系統(tǒng)軟件安全電子商務系統(tǒng)軟件安全 n電子商務系統(tǒng)運行安全電子商務系統(tǒng)運行安全 n電子商務安全立法電子商務安全立法 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.1電子商務安全電子商務安全5.1.1電子商務的安全性問題電子商務的安全性問題1在網(wǎng)絡(luò)的傳輸過程中信息被截獲在網(wǎng)絡(luò)的傳輸過程中信

6、息被截獲 2傳輸?shù)奈募赡鼙淮鄹膫鬏數(shù)奈募赡鼙淮鄹?3偽造電子郵件偽造電子郵件 4假冒他人身份假冒他人身份 5不承認或抵賴已經(jīng)做過的交易不承認或抵賴已經(jīng)做過的交易 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.1.2電子商務的安全要求電子商務的安全要求n信息的保密性信息的保密性 n保密性，是指商業(yè)信息在傳輸過程或存儲保密性，是指商業(yè)信息在傳輸過程或存儲中不被泄漏。中不被泄漏。n通過對相應的信息進行加密來保證用戶信通過對相應的信息進行加密來保證用戶信息不被盜取。息不被盜取。n通過在必要的結(jié)點設(shè)置防火墻可以防止非通過在必要的結(jié)點設(shè)置防火墻可以防止非法用戶對網(wǎng)絡(luò)資源的不正當?shù)拇嫒?。法?/p>

7、戶對網(wǎng)絡(luò)資源的不正當?shù)拇嫒　?電子商務概論 邵兵家 主編 高等教育出版社 2011版5.1.2電子商務的安全要求電子商務的安全要求n信息的完整性信息的完整性 n完整性，是指商業(yè)信息在傳輸和存儲中保證數(shù)據(jù)一完整性，是指商業(yè)信息在傳輸和存儲中保證數(shù)據(jù)一致性致性 。n電子偽裝是最常見的破壞信息完整性的技術(shù)電子偽裝是最常見的破壞信息完整性的技術(shù)。所謂所謂電子偽裝，就是在網(wǎng)絡(luò)上某人偽裝成他人或者是某電子偽裝，就是在網(wǎng)絡(luò)上某人偽裝成他人或者是某個網(wǎng)站偽裝成另一個網(wǎng)站個網(wǎng)站偽裝成另一個網(wǎng)站 。 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.1.2電子商務的安全要求電子商務的安全要求n信息的不可否

8、認性信息的不可否認性 n不可抵賴性，是指商業(yè)信息的發(fā)送方和接收方均不可抵賴性，是指商業(yè)信息的發(fā)送方和接收方均不得否認已發(fā)或已收的信息不得否認已發(fā)或已收的信息。n這就需要利用數(shù)字簽名和身份認證等技術(shù)確認對這就需要利用數(shù)字簽名和身份認證等技術(shù)確認對方身份。一經(jīng)確認，雙方就不得否認自己的交易方身份。一經(jīng)確認，雙方就不得否認自己的交易行為行為。n交易者身份的真實性交易者身份的真實性 n系統(tǒng)的可靠性系統(tǒng)的可靠性 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.2防火墻技術(shù)防火墻技術(shù)nIntranet的安全概念的安全概念n保護企業(yè)內(nèi)部資源，防止外部入侵，控保護企業(yè)內(nèi)部資源，防止外部入侵，控制和監(jiān)

9、督外部用戶對企業(yè)內(nèi)部網(wǎng)的訪問。制和監(jiān)督外部用戶對企業(yè)內(nèi)部網(wǎng)的訪問。n控制、監(jiān)督和管理企業(yè)內(nèi)部對外部控制、監(jiān)督和管理企業(yè)內(nèi)部對外部Internet的訪問的訪問 電子商務概論 邵兵家 主編 高等教育出版社 2011版判斷題：判斷題：n有人說網(wǎng)絡(luò)防火墻是一堵能防火的有人說網(wǎng)絡(luò)防火墻是一堵能防火的墻，對嗎？墻，對嗎？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版防火墻防火墻n由硬件設(shè)備和軟件系統(tǒng)組合而成，在內(nèi)由硬件設(shè)備和軟件系統(tǒng)組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障屏障n防火墻軟件通常是在防火墻軟件通常是在TCP/IP網(wǎng)絡(luò)軟件的網(wǎng)絡(luò)軟件的基礎(chǔ)上

10、進行改造和再開發(fā)形成的。目前基礎(chǔ)上進行改造和再開發(fā)形成的。目前使用的產(chǎn)品分為兩類：包過濾型和應用使用的產(chǎn)品分為兩類：包過濾型和應用網(wǎng)關(guān)型網(wǎng)關(guān)型 電子商務概論 邵兵家 主編 高等教育出版社 2011版常用的防火墻類型常用的防火墻類型n包過濾型防火墻包過濾型防火墻n動態(tài)檢查流過的動態(tài)檢查流過的TCP/IP報文頭，檢查報報文頭，檢查報文頭中的報文類型、源文頭中的報文類型、源IP地址、目的地址、目的IP地地址、源端口號等域，根據(jù)事先定義的規(guī)址、源端口號等域，根據(jù)事先定義的規(guī)則，決定哪些報文允許流過，哪些報文則，決定哪些報文允許流過，哪些報文禁止通過。禁止通過。n（相當于門衛(wèi)的作用）（相當于門衛(wèi)的作用）

11、 電子商務概論 邵兵家 主編 高等教育出版社 2011版 電子商務概論 邵兵家 主編 高等教育出版社 2011版應用網(wǎng)關(guān)型防火墻應用網(wǎng)關(guān)型防火墻n使用代理技術(shù)，在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)置一使用代理技術(shù)，在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)置一個物理屏障。個物理屏障。n對于外部網(wǎng)用戶或內(nèi)部網(wǎng)用戶的服務請求，防對于外部網(wǎng)用戶或內(nèi)部網(wǎng)用戶的服務請求，防火墻的代理服務機制對用戶的真實身份和請求火墻的代理服務機制對用戶的真實身份和請求進行合法性檢查，決定接受還是拒絕。對于合進行合法性檢查，決定接受還是拒絕。對于合法的請求，代理服務機制連接內(nèi)部網(wǎng)和外部網(wǎng)，法的請求，代理服務機制連接內(nèi)部網(wǎng)和外部網(wǎng)，并作為通信的終結(jié)，保護內(nèi)

12、部網(wǎng)絡(luò)資源不受侵并作為通信的終結(jié)，保護內(nèi)部網(wǎng)絡(luò)資源不受侵害。害。 電子商務概論 邵兵家 主編 高等教育出版社 2011版n代理服務機制是應用服務，叫代理服務代理服務機制是應用服務，叫代理服務程序，是根據(jù)需要編寫的。若要增加新程序，是根據(jù)需要編寫的。若要增加新的應用服務，則必須編寫新的程序。的應用服務，則必須編寫新的程序。 電子商務概論 邵兵家 主編 高等教育出版社 2011版代理服務型防火墻的工作原理代理服務型防火墻的工作原理 電子商務概論 邵兵家 主編 高等教育出版社 2011版 防火墻安全策略防火墻安全策略n沒有被列為允許訪問的服務都是被沒有被列為允許訪問的服務都是被禁止的禁止的n沒有被列

13、為禁止訪問的服務都是被沒有被列為禁止訪問的服務都是被允許的允許的 電子商務概論 邵兵家 主編 高等教育出版社 2011版課堂思考題：課堂思考題：n上面哪一種防火墻安全策略更好？上面哪一種防火墻安全策略更好？為什么？為什么？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版防火墻的局限性防火墻的局限性n不能阻止來自內(nèi)部的破壞不能阻止來自內(nèi)部的破壞n不能保護繞過它的連接不能保護繞過它的連接n無法完全防止新出現(xiàn)的網(wǎng)鏈威脅無法完全防止新出現(xiàn)的網(wǎng)鏈威脅n不能防止病毒不能防止病毒 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.3 數(shù)據(jù)加密技術(shù)：數(shù)據(jù)加密技術(shù)：n加密和解密加密和解密n加密技

14、術(shù)，就是采用合適的加密算法（實際加密技術(shù)，就是采用合適的加密算法（實際上是一種數(shù)學方法）把原始信息（稱為上是一種數(shù)學方法）把原始信息（稱為“明明文文”）轉(zhuǎn)換成一些晦澀難懂的或者偏離信息）轉(zhuǎn)換成一些晦澀難懂的或者偏離信息原意的信息（稱為原意的信息（稱為“密文密文”），從而達到保），從而達到保障信息安全目的的過程。障信息安全目的的過程。n加密系統(tǒng)包括信息（明文和密文）、密鑰加密系統(tǒng)包括信息（明文和密文）、密鑰（加密密鑰和解密密鑰）、算法（加密算法（加密密鑰和解密密鑰）、算法（加密算法和解密算法）三個組成部分。和解密算法）三個組成部分。 電子商務概論 邵兵家 主編 高等教育出版社 2011版例如：將

15、例如：將2626個英文字母個英文字母a a、b b、c c、d d、e e、fxfx、y y、z z分別對應變換為分別對應變換為c c、d d、e e、f f、g g、hzhz、a a、b b，即字母順序保持，即字母順序保持不變，但使之分別與相差不變，但使之分別與相差2 2個字母的字個字母的字母相對應。若現(xiàn)在有明文母相對應。若現(xiàn)在有明文“hello”hello”，則按照該加密算法和密鑰，對應密文則按照該加密算法和密鑰，對應密文為為“jgnnq”jgnnq”。 電子商務概論 邵兵家 主編 高等教育出版社 2011版對稱密鑰系統(tǒng)對稱密鑰系統(tǒng)n對稱加密技術(shù)（對稱加密技術(shù)（Symmetric Encr

16、yptionSymmetric Encryption）又稱）又稱為私鑰或單鑰加密為私鑰或單鑰加密n在這種加密體系中，加密和解密均使用同一個在這種加密體系中，加密和解密均使用同一個密鑰或者本質(zhì)上相同（即其中一個可以通過另密鑰或者本質(zhì)上相同（即其中一個可以通過另一個密鑰推導）的一對密鑰。一個密鑰推導）的一對密鑰。 電子商務概論 邵兵家 主編 高等教育出版社 2011版對稱密鑰系統(tǒng)對稱密鑰系統(tǒng) 電子商務概論 邵兵家 主編 高等教育出版社 2011版優(yōu)缺點優(yōu)缺點 ：n對稱加密技術(shù)的優(yōu)點在于算法簡單，加密、解密速度對稱加密技術(shù)的優(yōu)點在于算法簡單，加密、解密速度快?？臁通訊雙方需要借助于郵件和電話等其它

17、相對不夠安全通訊雙方需要借助于郵件和電話等其它相對不夠安全的手段，在首次通訊前協(xié)商出一個共同的密鑰。的手段，在首次通訊前協(xié)商出一個共同的密鑰。n為了保證數(shù)據(jù)的安全性，就必須對每一個合作者都需為了保證數(shù)據(jù)的安全性，就必須對每一個合作者都需要使用不同的密鑰。在要使用不同的密鑰。在InternetInternet這一用戶眾多的通信這一用戶眾多的通信渠道上，對稱密鑰的數(shù)量將非常巨大，密鑰難于管理。渠道上，對稱密鑰的數(shù)量將非常巨大，密鑰難于管理。如：如： 假設(shè)有假設(shè)有3 3個人兩兩通信，需要個人兩兩通信，需要3 3個密鑰；如果有個密鑰；如果有1010個人，就需要個人，就需要4545個密鑰；個密鑰；n n

18、個人則需要個人則需要 ？個密個密鑰。鑰。 電子商務概論 邵兵家 主編 高等教育出版社 2011版對稱密鑰系統(tǒng)續(xù)對稱密鑰系統(tǒng)續(xù)n解決了信息的何種安全需求？解決了信息的何種安全需求？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版對稱密鑰系統(tǒng)解決了：對稱密鑰系統(tǒng)解決了：n保密性問題保密性問題 電子商務概論 邵兵家 主編 高等教育出版社 2011版對稱密鑰系統(tǒng)尚未解決：對稱密鑰系統(tǒng)尚未解決：n完整性問題完整性問題n不可否認性不可否認性 電子商務概論 邵兵家 主編 高等教育出版社 2011版消息摘要（數(shù)字摘要）消息摘要（數(shù)字摘要）n又稱安全又稱安全Hash編碼法編碼法 電子商務概論 邵兵家 主

19、編 高等教育出版社 2011版采用采用Hash函數(shù)對需要加密的明文變換函數(shù)對需要加密的明文變換成一串固定長度為成一串固定長度為128bit的密文，的密文，這串密文就叫做這串密文就叫做數(shù)字摘要數(shù)字摘要,也叫做也叫做數(shù)數(shù)字指紋字指紋。 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字摘要具有以下特點： 第一、同樣的明文其數(shù)字摘要是惟一的；第一、同樣的明文其數(shù)字摘要是惟一的； 第二，不同的明文其數(shù)字摘要必定不同；第二，不同的明文其數(shù)字摘要必定不同； 第三、通過數(shù)字摘要不可能經(jīng)過逆運算生第三、通過數(shù)字摘要不可能經(jīng)過逆運算生成原文。成原文。為什么說以上特點對消息摘要技術(shù)來說缺為什么說以上特點對

20、消息摘要技術(shù)來說缺一不可？一不可？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版消息摘要（續(xù)）消息摘要（續(xù)）n解決信息的何種安全需求？解決信息的何種安全需求？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版消息摘要解決了：消息摘要解決了：n完整性問題完整性問題 電子商務概論 邵兵家 主編 高等教育出版社 2011版消息摘要尚未解決：消息摘要尚未解決：n保密性問題保密性問題n不可否認性不可否認性 電子商務概論 邵兵家 主編 高等教育出版社 2011版公鑰和私鑰系統(tǒng)公鑰和私鑰系統(tǒng) 采用非對稱加密技術(shù)對數(shù)據(jù)進行加密時，它采用非對稱加密技術(shù)對數(shù)據(jù)進行加密時，它需要一對密鑰（這對密鑰無

21、法相互推導），通需要一對密鑰（這對密鑰無法相互推導），通信一方需要在屬于自己的密鑰對中選擇一個密信一方需要在屬于自己的密鑰對中選擇一個密鑰作為公開密鑰，簡稱公鑰，并將其告訴其他鑰作為公開密鑰，簡稱公鑰，并將其告訴其他用戶；另一個密鑰作為私人密鑰，簡稱私鑰，用戶；另一個密鑰作為私人密鑰，簡稱私鑰，由自己妥善保管。由自己妥善保管。 電子商務概論 邵兵家 主編 高等教育出版社 2011版公開密鑰使用密鑰對，如果用公開密鑰對數(shù)據(jù)加公開密鑰使用密鑰對，如果用公開密鑰對數(shù)據(jù)加密，只有用對應的私人密鑰才能解密；如果用密，只有用對應的私人密鑰才能解密；如果用私人密鑰對數(shù)據(jù)加密，那么只有用對應的公開私人密鑰對數(shù)

22、據(jù)加密，那么只有用對應的公開密鑰才能解密。正是加密和解密使用的是兩個密鑰才能解密。正是加密和解密使用的是兩個不同的密鑰，所以這種算法叫非對稱加密算法，不同的密鑰，所以這種算法叫非對稱加密算法，也叫做也叫做“非對稱加密技術(shù)（非對稱加密技術(shù)（Asymmetric Asymmetric EncryptionEncryption）”。 電子商務概論 邵兵家 主編 高等教育出版社 2011版公鑰和私鑰系統(tǒng)公鑰和私鑰系統(tǒng) 電子商務概論 邵兵家 主編 高等教育出版社 2011版優(yōu)缺點優(yōu)缺點 ：n非對稱密鑰系統(tǒng)的優(yōu)點在于密鑰的管理非常簡單和安非對稱密鑰系統(tǒng)的優(yōu)點在于密鑰的管理非常簡單和安全。全。n非對稱密鑰體

23、系也有其缺點，那就是密鑰較長，加密、非對稱密鑰體系也有其缺點，那就是密鑰較長，加密、解密花費時間長、速度慢，一般不適合于對數(shù)據(jù)量較解密花費時間長、速度慢，一般不適合于對數(shù)據(jù)量較大的文件加密，而只適用于對少量數(shù)據(jù)加密。大的文件加密，而只適用于對少量數(shù)據(jù)加密。利用非對稱加密算法和對稱加密算法的各自優(yōu)點，安全利用非對稱加密算法和對稱加密算法的各自優(yōu)點，安全專家們設(shè)計出了一些綜合保密系統(tǒng)。專家們設(shè)計出了一些綜合保密系統(tǒng)。 電子商務概論 邵兵家 主編 高等教育出版社 2011版公鑰和私鑰系統(tǒng)續(xù)公鑰和私鑰系統(tǒng)續(xù)n解決信息的何種安全需求？解決信息的何種安全需求？ 電子商務概論 邵兵家 主編 高等教育出版社

24、2011版公鑰和私鑰系統(tǒng)解決了：公鑰和私鑰系統(tǒng)解決了：n保密性問題保密性問題n不可否認性不可否認性 電子商務概論 邵兵家 主編 高等教育出版社 2011版公鑰和私鑰系統(tǒng)尚未解決：公鑰和私鑰系統(tǒng)尚未解決：n完整性問題完整性問題公鑰和私鑰系統(tǒng)公鑰和私鑰系統(tǒng)是對稱加密系統(tǒng)的補充是對稱加密系統(tǒng)的補充 電子商務概論 邵兵家 主編 高等教育出版社 2011版課堂應用：課堂應用：n請設(shè)計一個加密方案，能同時滿足請設(shè)計一個加密方案，能同時滿足保密性、完整性和不可否認性三種保密性、完整性和不可否認性三種要求。要求。 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.4 認證技術(shù)：認證技術(shù)：1、數(shù)字簽名、

25、數(shù)字簽名n原理：非對稱密鑰系統(tǒng)原理：非對稱密鑰系統(tǒng)+消息摘要消息摘要 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字簽名的操作步驟：數(shù)字簽名的操作步驟： 1 1、發(fā)送方用、發(fā)送方用Hash編碼法對被傳編碼法對被傳輸?shù)奈募M行加密產(chǎn)生數(shù)字摘要；輸?shù)奈募M行加密產(chǎn)生數(shù)字摘要； 2 2、發(fā)送方再用、發(fā)送方再用自己的私鑰自己的私鑰對數(shù)字對數(shù)字摘要加密，從而實現(xiàn)了摘要加密，從而實現(xiàn)了數(shù)字簽名數(shù)字簽名； 3 3、將被傳輸?shù)脑暮图用芰说臄?shù)、將被傳輸?shù)脑暮图用芰说臄?shù)字摘要同時傳輸給對方；字摘要同時傳輸給對方； 電子商務概論 邵兵家 主編 高等教育出版社 2011版n 4、接收方用發(fā)送方的公鑰對

26、數(shù)字、接收方用發(fā)送方的公鑰對數(shù)字摘要解密，同時對收到的原文用摘要解密，同時對收到的原文用Hash編碼法編碼法加密又產(chǎn)生一個數(shù)字摘加密又產(chǎn)生一個數(shù)字摘要，將兩個數(shù)字摘要進行比較，若要，將兩個數(shù)字摘要進行比較，若二者一致，則說明傳輸過程中信息二者一致，則說明傳輸過程中信息沒有被破壞或篡改過，否則不然。沒有被破壞或篡改過，否則不然。 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字簽名數(shù)字簽名（續(xù)）（續(xù)）n解決信息的何種安全需求？解決信息的何種安全需求？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字簽名解決了：數(shù)字簽名解決了：n完整性問題完整性問題n不可否認性不可否認性 電子

27、商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字簽名尚未解決：數(shù)字簽名尚未解決：n保密性問題保密性問題 電子商務概論 邵兵家 主編 高等教育出版社 2011版改善提案：改善提案：n數(shù)字簽名方法如何改進才能滿足數(shù)字簽名方法如何改進才能滿足保密性的要求？保密性的要求？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版明文密文發(fā)送方接收方加密解密接收方的公鑰簽名明文簽名接收方的私鑰發(fā)送方的私鑰發(fā)送方的公鑰 電子商務概論 邵兵家 主編 高等教育出版社 2011版2、數(shù)字時間戳、數(shù)字時間戳n數(shù)字時間戳服務數(shù)字時間戳服務（DTS:digital time-stamp service）就是一種為

28、電子文件發(fā)表時間提供）就是一種為電子文件發(fā)表時間提供安全保護的技術(shù)。它是由專門的認證機構(gòu)提供安全保護的技術(shù)。它是由專門的認證機構(gòu)提供的電子商務安全服務項目，用于證明信息的發(fā)的電子商務安全服務項目，用于證明信息的發(fā)送時間。送時間。n原理：原理：對消息摘要加蓋時間戳對消息摘要加蓋時間戳 電子商務概論 邵兵家 主編 高等教育出版社 2011版它是一個經(jīng)加密后形成的憑證文檔，包它是一個經(jīng)加密后形成的憑證文檔，包括三個部分括三個部分 1、需要加時間戳的文件的數(shù)字摘要；、需要加時間戳的文件的數(shù)字摘要； 2、DTS收到需要加時間戳的文件的日期收到需要加時間戳的文件的日期和時間；和時間； 3、DTS的數(shù)字簽名

29、。的數(shù)字簽名。 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字時間戳與書面簽署的日期和時間的數(shù)字時間戳與書面簽署的日期和時間的區(qū)別在于區(qū)別在于：第一、書面文件上的日期和時間是由第一、書面文件上的日期和時間是由簽署人自己寫上的，而數(shù)字時間戳簽署人自己寫上的，而數(shù)字時間戳則是由則是由DTS加上的；加上的；第二、數(shù)字時間戳的日期和時間是第二、數(shù)字時間戳的日期和時間是DTS收到用戶的數(shù)字摘要的日期和收到用戶的數(shù)字摘要的日期和時間。時間。 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字時間戳的產(chǎn)生過程數(shù)字時間戳的產(chǎn)生過程 Hash算法 原文 摘要 1 加時間 數(shù)字 時間戳 Int

30、ernet 用DTS機構(gòu)的私鑰加密 發(fā)送方 DTS機構(gòu) Hash算法 加了時間后的新摘要 摘要 1 摘要1 +時間 數(shù)字 時間戳 電子商務概論 邵兵家 主編 高等教育出版社 2011版3、數(shù)字信封、數(shù)字信封n數(shù)字信封是一種用加密技術(shù)來保證數(shù)字信封內(nèi)數(shù)字信封是一種用加密技術(shù)來保證數(shù)字信封內(nèi)的內(nèi)容只有特定的收信人才能閱讀的信息安全的內(nèi)容只有特定的收信人才能閱讀的信息安全技術(shù)。技術(shù)。n在采用對稱密鑰加密體制對信息加密時，必須在采用對稱密鑰加密體制對信息加密時，必須要將密鑰傳送給接收方，為了保證密鑰的保密要將密鑰傳送給接收方，為了保證密鑰的保密性，性，發(fā)送方用接收方的公鑰對包含有對稱密鑰發(fā)送方用接收方

31、的公鑰對包含有對稱密鑰的信息進行加密，這一過程就形成了數(shù)字信封的信息進行加密，這一過程就形成了數(shù)字信封。接收方用自己的私鑰打開數(shù)字信封，就可得到接收方用自己的私鑰打開數(shù)字信封，就可得到對稱密鑰。對稱密鑰。 電子商務概論 邵兵家 主編 高等教育出版社 2011版4、數(shù)字證書（數(shù)字憑證）、數(shù)字證書（數(shù)字憑證）n認證中心認證中心n數(shù)字證書數(shù)字證書n數(shù)字證書的類型數(shù)字證書的類型n認證中心的樹形驗證結(jié)構(gòu)認證中心的樹形驗證結(jié)構(gòu) 電子商務概論 邵兵家 主編 高等教育出版社 2011版認證中心認證中心 認證中心認證中心(CA(CA，Certification Certification Authority)A

32、uthority)就是承擔網(wǎng)上安全電就是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書、子交易認證服務、簽發(fā)數(shù)字證書、并能確認用戶身份的服務機構(gòu)。并能確認用戶身份的服務機構(gòu)。 電子商務概論 邵兵家 主編 高等教育出版社 2011版認證中心的作用認證中心的作用n 證書的頒發(fā)證書的頒發(fā) 、更新、查詢、作廢和、更新、查詢、作廢和歸檔。歸檔。n http:/ n http:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版著名的認證中心：著名的認證中心： 國際上最著名的認證中心有國際上最著名的認證中心有美國的Verisign公司、AT&T、RSA公司、GTE公司和Microsoft公司等。

33、 我國的認證中心主要有我國的認證中心主要有：中國協(xié)卡認證體系（中國協(xié)卡認證體系（http:/http:/）中國金融認證中心（http:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版http:/http:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版nhttp:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版NoImage 電子商務概論 邵兵家 主編 高等教育出版社 2011版http:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版 電子商務概論 邵兵家 主編 高等教育出版社 2011版 電子商務概論 邵兵家 主編 高等教育出版社 2011版 電子商

34、務概論 邵兵家 主編 高等教育出版社 2011版http:/http:/ 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字證書數(shù)字證書n是標志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，是標志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)應用中識別通訊各方的身份。用來在網(wǎng)絡(luò)應用中識別通訊各方的身份。它是由它是由CA為交易者頒發(fā)的能證實交易者為交易者頒發(fā)的能證實交易者真實身份的電子文件。真實身份的電子文件。n含有證書持有者的有關(guān)信息，以標示他含有證書持有者的有關(guān)信息，以標示他們的身份們的身份 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字證書可用于：數(shù)字證書可用于： 發(fā)送安全電子郵件、訪問安發(fā)

35、送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上采全站點、網(wǎng)上證券交易、網(wǎng)上采購招標、網(wǎng)上辦公、網(wǎng)上保險、購招標、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務、網(wǎng)上簽約和網(wǎng)上銀行網(wǎng)上稅務、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務處理和安全電子等安全電子事務處理和安全電子交易活動。交易活動。 電子商務概論 邵兵家 主編 高等教育出版社 2011版n數(shù)字簽名有時還不能保證發(fā)送人就是私數(shù)字簽名有時還不能保證發(fā)送人就是私鑰擁有者本人，發(fā)送者有可能是竊取了鑰擁有者本人，發(fā)送者有可能是竊取了私鑰的人，此時數(shù)字證書將發(fā)揮作用。私鑰的人，此時數(shù)字證書將發(fā)揮作用。n數(shù)字證書可以證實公鑰和私鑰的持有人數(shù)字證書可以證實公鑰和私鑰的持有人的

36、真實身份；的真實身份；n數(shù)字證書是由被稱為認證中心（數(shù)字證書是由被稱為認證中心（CA）的的第三方機構(gòu)發(fā)行的，其結(jié)構(gòu)由第三方機構(gòu)發(fā)行的，其結(jié)構(gòu)由IETF的的X.509標準規(guī)定。標準規(guī)定。 電子商務概論 邵兵家 主編 高等教育出版社 2011版n個人或公司可以將其公鑰和身份信息發(fā)送給個人或公司可以將其公鑰和身份信息發(fā)送給CA來申請數(shù)字證書；來申請數(shù)字證書；nCA核實了信息之后，就生成包含申請人公鑰核實了信息之后，就生成包含申請人公鑰和身份信息的證書，和身份信息的證書，CA用他們的私鑰給證書用他們的私鑰給證書加密，并將簽名證書寄給申請人；加密，并將簽名證書寄給申請人；n當有人想向申請人發(fā)送信息時，他

37、們將首先要當有人想向申請人發(fā)送信息時，他們將首先要求接收人寄來簽名證書，然后發(fā)送人使用求接收人寄來簽名證書，然后發(fā)送人使用CA的公鑰來給證書解密；的公鑰來給證書解密；n這樣，發(fā)送人對接收人的身份就會更確信。這樣，發(fā)送人對接收人的身份就會更確信。 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字證書包括以下內(nèi)容數(shù)字證書包括以下內(nèi)容n持有者的姓名持有者的姓名n持有者的公鑰持有者的公鑰n公鑰的有效期公鑰的有效期n頒發(fā)證書單位頒發(fā)證書單位n頒發(fā)證書單位的數(shù)字簽名頒發(fā)證書單位的數(shù)字簽名n數(shù)字證書的序列號數(shù)字證書的序列號 電子商務概論 邵兵家 主編 高等教育出版社 2011版數(shù)字證書的類型數(shù)字證

38、書的類型1、個人用戶證書個人用戶證書 個人用戶證書又稱為客戶證書，用個人用戶證書又稱為客戶證書，用來證實客戶身份和密鑰所有權(quán)。來證實客戶身份和密鑰所有權(quán)。2、企業(yè)用戶證書企業(yè)用戶證書 它通常為網(wǎng)上的某個它通常為網(wǎng)上的某個Web服務器提供服務器提供數(shù)字證書。數(shù)字證書。3、安全郵件證書安全郵件證書 用來證實電子郵件用戶的身份和公鑰。用來證實電子郵件用戶的身份和公鑰。4、服務器證書服務器證書 服務器證書又稱站點證書，是安裝在服務器證書又稱站點證書，是安裝在WEB服務器上的可以讓訪問者利用網(wǎng)頁瀏覽器來驗服務器上的可以讓訪問者利用網(wǎng)頁瀏覽器來驗證網(wǎng)站真實身份的數(shù)字證明，且可以通過服務器證證網(wǎng)站真實身份的

39、數(shù)字證明，且可以通過服務器證書進行具有書進行具有SSL加密的通訊過程。加密的通訊過程。5、軟件數(shù)字證書軟件數(shù)字證書 它通常為因特網(wǎng)中被下載的軟件提供它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書。數(shù)字證書。6、CA證書證書 用來證實用來證實CA中心的身份和中心的身份和CA中心的簽名密中心的簽名密鑰。鑰。 電子商務概論 邵兵家 主編 高等教育出版社 2011版認證中心的樹形驗證結(jié)構(gòu)認證中心的樹形驗證結(jié)構(gòu) 電子商務概論 邵兵家 主編 高等教育出版社 2011版信息加密與身份認證原理信息加密與身份認證原理 電子商務概論 邵兵家 主編 高等教育出版社 2011版 電子商務概論 邵兵家 主編 高等教育出版社

40、2011版 電子商務概論 邵兵家 主編 高等教育出版社 2011版5.5 安全交易協(xié)議安全交易協(xié)議 電子商務安全交易協(xié)議是保證在線支付電子商務安全交易協(xié)議是保證在線支付安全的重要措施。安全的重要措施。 目前，廣泛采用的安全交易協(xié)議主要有：目前，廣泛采用的安全交易協(xié)議主要有：1、安全套接層協(xié)議、安全套接層協(xié)議SSL（Secure Sockets Layer）2、安全電子交易協(xié)議、安全電子交易協(xié)議SET(Secure Electronic Transaction) 電子商務概論 邵兵家 主編 高等教育出版社 2011版一、安全套接層協(xié)議一、安全套接層協(xié)議SSLSSL SSL是是1995年由年由Ne

41、tscape公司推出的一種安全公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較強的保護，是一種對計算機之間整個通信過程強的保護，是一種對計算機之間整個通信過程進行加密的協(xié)議。它被廣泛應用于電子商務的進行加密的協(xié)議。它被廣泛應用于電子商務的網(wǎng)上購物中。網(wǎng)上購物中。 電子商務概論 邵兵家 主編 高等教育出版社 2011版nSSL支持大量的加密算法和認證方式，這些算支持大量的加密算法和認證方式，這些算法和方式的結(jié)合被稱為法和方式的結(jié)合被稱為“加密套件加密套件”。n當客戶機與服務器聯(lián)系時，首先就加密套件達當客戶機與服務器聯(lián)系時，首先就加密套件達成一致，

42、選擇雙方共有的最強的套件。成一致，選擇雙方共有的最強的套件。n對于網(wǎng)頁來說，這種協(xié)商過程是從用戶點擊以對于網(wǎng)頁來說，這種協(xié)商過程是從用戶點擊以https而不是而不是http開頭的開頭的URL鏈接開始的（如鏈接開始的（如https:/，而不是而不是http:/），）， https意味著此意味著此后所有的通信都將通過后所有的通信都將通過SSL加密。加密。 電子商務概論 邵兵家 主編 高等教育出版社 2011版SSLSSL協(xié)議的主要目標協(xié)議的主要目標1、將對稱密鑰技術(shù)和非對稱密鑰技術(shù)相結(jié)合，、將對稱密鑰技術(shù)和非對稱密鑰技術(shù)相結(jié)合，在瀏覽器與在瀏覽器與WEB服務器之間建立一條安全通服務器之間建立一條安

43、全通道，保證在道，保證在Internet中傳輸文件的保密性，防中傳輸文件的保密性，防止非法用戶進行破譯；止非法用戶進行破譯； 2、利用認證技術(shù)和第三方、利用認證技術(shù)和第三方CA，識別瀏覽器與，識別瀏覽器與WEB服務器之間的身份，確認用戶和服務器服務器之間的身份，確認用戶和服務器的合法性，確保數(shù)據(jù)確實被發(fā)送到想要發(fā)送的的合法性，確保數(shù)據(jù)確實被發(fā)送到想要發(fā)送的客戶機和服務器上；客戶機和服務器上； 3、利用、利用Hash函數(shù)和數(shù)字簽名技術(shù)，保證所有函數(shù)和數(shù)字簽名技術(shù)，保證所有經(jīng)過經(jīng)過SSL處理的信息在傳輸過程中能完整準確處理的信息在傳輸過程中能完整準確無誤地到達目的地。無誤地到達目的地。 電子商務概

44、論 邵兵家 主編 高等教育出版社 2011版nSSLSSL協(xié)議滿足了電子商務的哪些協(xié)議滿足了電子商務的哪些安全需求？安全需求？ 電子商務概論 邵兵家 主編 高等教育出版社 2011版工作流程：工作流程：n服務器認證階段：n1）客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；n2）服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；n3）客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；n4）服務器回復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器 電

45、子商務概論 邵兵家 主編 高等教育出版社 2011版n用戶認證階段：n在此之前，客戶已經(jīng)通過了對服務器的認證，這一階段主要完成服務器對客戶的認證。n經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務器提供認證 電子商務概論 邵兵家 主編 高等教育出版社 2011版 SSL SSL協(xié)議的評價協(xié)議的評價1、SSL協(xié)議的主要優(yōu)點nSSL協(xié)議是國際上最早應用于電子商務的一種網(wǎng)絡(luò)安全協(xié)議，至今仍有許多網(wǎng)上商店在使用n 在點對點的網(wǎng)上銀行業(yè)務中也經(jīng)常使用，該協(xié)議已成為事實上的工業(yè)標準。n在市場上已有許多SSL相關(guān)產(chǎn)品及工具，它們大多較成熟，能提供相當穩(wěn)定的服務。n目前

46、，幾乎所有操作平臺上的WEB瀏覽器和流行的服務器都支持SSL協(xié)議n因此使用SSL協(xié)議既方便又經(jīng)濟，而且還能保證數(shù)據(jù)的安全性、保密性和完整性。 電子商務概論 邵兵家 主編 高等教育出版社 2011版2 2、SSLSSL協(xié)議存在的主要問題協(xié)議存在的主要問題（1）系統(tǒng)安全性比較差，SSL協(xié)議的數(shù)據(jù)安全性是建立在RSA等算法的安全性上，因此，攻破RSA等算法就等同于攻破了此協(xié)議；（2）SSL協(xié)議運行的基礎(chǔ)是商家對客戶信息保密的承諾，因此SSL協(xié)議有利于商家而不利于客戶。SSL協(xié)議的運行過程可以看出，客戶的信息首先傳到商家，商家閱讀后再傳給銀行，這樣，客戶的資料完全掌握在商家手中，其安全性便受到威脅。

47、電子商務概論 邵兵家 主編 高等教育出版社 2011版二、安全電子交易協(xié)議二、安全電子交易協(xié)議SETnSET協(xié)議是為了用于解決客戶、商家和銀行之間通過協(xié)議是為了用于解決客戶、商家和銀行之間通過信用卡支付的交易安全，由信用卡支付的交易安全，由VISA和和MasterCard兩大兩大信用卡公司于信用卡公司于1997年合作制定的。年合作制定的。n 它是一個為在線交易而設(shè)立的一個開放的、以電子它是一個為在線交易而設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證。信用卡認證的前提下，又增加了對商

48、家身份的認證。n SET主要使用電子認證技術(shù)，其認證過程使用主要使用電子認證技術(shù)，其認證過程使用RSA和和DES算法，算法，SET規(guī)范是目前電子商務中最重要的協(xié)規(guī)范是目前電子商務中最重要的協(xié)議。議。 電子商務概論 邵兵家 主編 高等教育出版社 2011版（一）（一）SETSET協(xié)議的主要目標協(xié)議的主要目標 1、機密性：SET協(xié)議采用非對稱密鑰加密技術(shù)來保證信息傳輸?shù)臋C密性；SET協(xié)議還可以通過雙重簽名的方法將信用卡信息直接從客戶方透過商家發(fā)送給商家的開戶行，而避免商家窺探客戶的賬號信息。 2、完整性：通過SET協(xié)議發(fā)送的所有報文加密后，將產(chǎn)生一個數(shù)字摘要，利用數(shù)字摘要的惟一性保證信息傳輸?shù)耐暾裕?電子商務概論 邵兵家 主編 高等教育出版社 2011版3、身份的合法性：SET協(xié)