網(wǎng)絡(luò)安全技術(shù)及應(yīng)用 賈鐵軍10-12章電子商務(wù)安全新

1、賈鐵軍 沈?qū)W東 蘇慶剛等編著機械工業(yè)出版社網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 本章要點 電子商務(wù)的平安需求 電子商務(wù)的SSL、SET 協(xié)議 基于SSL 協(xié)議Web 效勞器構(gòu)建 移動電子商務(wù)的平安與WPKI 技術(shù) 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安教學(xué)目標(biāo) 了解電子商務(wù)的平安需求 理解電子商務(wù)的SSL、SET 協(xié)議 掌握基于SSL 協(xié)議Web 效勞器構(gòu)建 掌握移動電子商務(wù)的平安與WPKI 技術(shù) 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1 電子商務(wù)平安概述 電子商務(wù)概述1. 電子商務(wù)的概念(1) 電子商務(wù)Electronic Commerce，簡稱EC指的是利用現(xiàn)代信息技術(shù)，進行

2、簡單、快捷、低本錢的交易方式，買賣雙方不謀面地進行各種商貿(mào)活動。 電子商務(wù)通過網(wǎng)絡(luò)信息系統(tǒng)和其他通訊方式進行的。內(nèi)容包括電子交易的方式和商業(yè)及貿(mào)易活動兩個方面。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安1. 電子商務(wù)的概念(2) 電子商務(wù)系統(tǒng)結(jié)構(gòu)和構(gòu)成分別如下圖。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安2. 電子商務(wù)系統(tǒng)的分類(1) 1按商業(yè)活動運作方式分類分為：完全電子商務(wù)和不完全電子商務(wù)兩類。 2按電子商務(wù)應(yīng)用效勞的領(lǐng)域范圍分類分為： 1企業(yè)Business對終端客戶Customer的電子商務(wù)即B2C； 2企業(yè)對企業(yè)的電子商務(wù)即B2B。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安2. 電子商

3、務(wù)系統(tǒng)的分類(2) 3按開展電子交易的信息網(wǎng)絡(luò)范圍分類分為：本地電子商務(wù)、遠程國內(nèi)電子商務(wù)和全球電子商務(wù)三類。 4按商貿(mào)處理的平安可靠程度分類分為： 1普通電子商務(wù)系統(tǒng) 2基于平安數(shù)據(jù)交換協(xié)議和運作機制的電子商務(wù)系統(tǒng) 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 電子商務(wù)平安的概念(1) 電子商務(wù)平安性是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。 電子商務(wù)對平安的根本要求： 授權(quán)的合法性 不可抵賴性 信息的保密性 交易者身份的真實性 信息的完整性 存儲信息的平安性。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 電子商務(wù)平安的概念(2) 電子商務(wù)平安從整

4、體上可分為兩大局部：計算機網(wǎng)絡(luò)平安和商務(wù)交易平安。計算機網(wǎng)絡(luò)平安與商務(wù)交易平安實際上是密不可分的，兩者相輔相成，缺一不可。 電子商務(wù)平安具體涉及以下五個方面： 1電子商務(wù)系統(tǒng)硬件(物理)平安 2電子商務(wù)系統(tǒng)軟件平安 3電子商務(wù)系統(tǒng)運行平安 4電子商務(wù)交易平安 5電子商務(wù)平安立法網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.3 電子商務(wù)的平安問題(1) 電子商務(wù)的交易雙方都面臨著平安威脅。主要包括以下幾個方面： 1. 銷售企業(yè)面臨的威脅 1中央系統(tǒng)平安性被破壞 2競爭者檢索商品遞送狀況 3客戶資料被競爭者獲取 4被他人假冒而損害公司的信譽 5消費者提交訂單后不付款 6虛假訂單 7獲取他人的機

5、密數(shù)據(jù)網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.3 電子商務(wù)的平安問題(2) 2. 消費者面臨的平安威脅 消費者面臨的平安威脅主要包括： 1虛假訂單 2付款后不能收到商品 3機密性喪失 4拒絕效勞網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.3 電子商務(wù)的平安問題(3) 3. 電子商務(wù)風(fēng)險及平安問題 從整個電子商務(wù)系統(tǒng)著手分析，可以將電子商務(wù)的平安問題歸結(jié)四類風(fēng)險：數(shù)據(jù)傳輸風(fēng)險、信用風(fēng)險、管理風(fēng)險和法律方面風(fēng)險。 電子商務(wù)的平安性主要包括五個方面：系統(tǒng)的可靠性、交易的真實性、數(shù)據(jù)的平安性、數(shù)據(jù)的完整性、交易的不可抵賴性。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.3 電子商務(wù)

6、的平安問題(4) 3. 電子商務(wù)風(fēng)險及平安問題 一般來說商務(wù)平安中普遍存在著以下幾種平安風(fēng)險和隱患： 1竊取信息 2篡改信息 3假冒 4惡意破壞 電子商務(wù)的平安交易主要保證以下四個方面： 1信息保密性 2交易者身份確實定性 3不可否認性 4不可修改性 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.4 電子商務(wù)的平安要素(1) 1. 電子商務(wù)的平安素 1交易數(shù)據(jù)的有效性 2商業(yè)信息的機密性 3交易數(shù)據(jù)的完整性 4商務(wù)系統(tǒng)的可靠性 5交易的不可否認性 EC系統(tǒng)提供可靠的平安效勞包括：鑒別效勞、訪問控制效勞、機密性效勞、不可否認效勞等。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.4 電子商

7、務(wù)的平安要素(2) 2電子商務(wù)的平安內(nèi)容 電子商務(wù)的平安主要包括以下4個方面。 1 網(wǎng)絡(luò)平安技術(shù)； 2 平安協(xié)議及相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)； 1平安超文本傳輸協(xié)議 2平安套接層協(xié)議SSL 3平安交易技術(shù)協(xié)議STT 4平安電子交易SET協(xié)議、UN/ EDIFACT平安等 3 大力加強平安交易監(jiān)督檢查，建立健全各項規(guī)章制度和機制； 4強化社會的法律政策與法律保障機制，健全法律制度和完善法律體系。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.5 電子商務(wù)的平安體系(1) 電子商務(wù)平安體系包括4 個局部：效勞器端、銀行端、客戶端與認證機構(gòu)。 認證機構(gòu)是電子商務(wù)中的關(guān)鍵，認證機構(gòu)的效勞器通常包括5 個局部：

8、1用戶注冊機構(gòu) 2證書管理機構(gòu) 3數(shù)據(jù)庫系統(tǒng) 4證書管理中心 5密鑰恢復(fù)中心網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.1.5 電子商務(wù)的平安體系(2) 根據(jù)電子商務(wù)的平安要求，可以構(gòu)建電子商務(wù)的平安體系，如下圖。 一個完整的電子商務(wù)平安體系由網(wǎng)絡(luò)根底結(jié)構(gòu)層、PKI體系結(jié)構(gòu)層、平安協(xié)議層、應(yīng)用系統(tǒng)層4局部組成。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.2 電子商務(wù)的平安技術(shù)和標(biāo)準(zhǔn) 電子商務(wù)的平安技術(shù) 常用的平安技術(shù)包括：電子平安交易技術(shù)、防火墻技術(shù)、硬件隔離技術(shù)、數(shù)據(jù)加密技術(shù)、認證技術(shù)、平安技術(shù)協(xié)議、平安檢測與審計、數(shù)據(jù)平安技術(shù)、計算機病毒防范技術(shù)以及網(wǎng)絡(luò)商務(wù)平安管理技術(shù)等。 網(wǎng)絡(luò)平安

9、技術(shù)及應(yīng)用第11章 電子商務(wù)平安 網(wǎng)上交易平安協(xié)議1. 平安套接層協(xié)議SSL 平安套接層協(xié)議(Secure Sockets Layer，簡稱SSL)為一種傳輸層技術(shù)，主要用于實現(xiàn)兼容瀏覽器和Web 效勞器之間的平安通信。 SSL 協(xié)議是目前網(wǎng)上購物網(wǎng)站中經(jīng)常使用的一種平安協(xié)議。使用它在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的平安性，讓瀏覽器和Web 效勞器能夠平安地進行溝通。Microsoft 和Netscape 的瀏覽器都支持SSL，很多Web 效勞器也支持SSL。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安2. SSL提供的效勞 SSL標(biāo)準(zhǔn)主要提供了3 種效勞： 1數(shù)據(jù)加密效勞 2認證效勞 3數(shù)據(jù)完整性效

10、勞 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安3. SSL工作流程及原理(1) SSL 標(biāo)準(zhǔn)的工作流程主要包括4步： 1SSL 客戶機向SSL 效勞器發(fā)出連接建立請求，SSL 效勞器響應(yīng)SSL 客戶機的請求； 2SSL 客戶機與SSL 效勞器交換雙方認可的密碼，一般采用的加密算法是RSA 算法； 3檢驗SSL 效勞器得到的密碼是否正確，并驗證SSL 客戶機的可信程度； 4SSL 客戶機與SSL 效勞器交換結(jié)束的信息。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安3. SSL工作流程及原理(2) SSL 標(biāo)準(zhǔn)的工作原理如下圖。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 平安電子交易 平安電子交易Secur

11、e Electronic Transaction，簡稱SET是一個通過Internet等開放網(wǎng)絡(luò)進行平安交易的技術(shù)標(biāo)準(zhǔn)，SET協(xié)議圍繞客戶、商家等交易各方相互之間身份確實認，采用了電子證書等技術(shù)，以保障電子交易的平安。 SET向基于信用卡進行電子化交易的應(yīng)用，提供了實現(xiàn)平安措施的規(guī)那么。SET主要由3個文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安1. SET的主要目標(biāo) 1信息傳輸?shù)钠桨残裕盒畔⒃谝蛱鼐W(wǎng)上平安傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被外部或內(nèi)部竊取。 2信息的相互隔離：訂單信息和個人賬號信息的隔離，當(dāng)包含持卡人賬號信息的訂單送到商

12、家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息。 3多方認證的解決：要對消費者的信用卡認證；要對網(wǎng)上商店進行認證；消費者、商店與銀行之間的認證。 4效仿EDI 貿(mào)易形式，要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 5交易的實時性：所有的支付過程都是在線的網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安2. SET的技術(shù)范圍 SET 的技術(shù)范圍包括以下幾方面： 1加密算法； 2證書信息和對象格式； 3購置信息和對象格式； 4認可信息和對象格式； 5劃賬信息和對象格式； 6對話實體之間消息的傳輸協(xié)議。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章

13、 電子商務(wù)平安3. SET系統(tǒng)的組成 SET 系統(tǒng)的操作是通過電子錢包、商店效勞器、支付網(wǎng)關(guān)和認證中心軟件 4 個軟件來完成的，分別存儲在持卡人、網(wǎng)上商店、銀行以及認證中心的效勞器中，相互運作來完成整個SET 交易效勞。一般模型如下圖。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安4. SET的認證過程(1) 具體主要有4 個業(yè)務(wù)認證過程： 1注冊登記。 2申請數(shù)字證書。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安4. SET的認證過程(2) 3動態(tài)認證。 注冊成功以后，便可以在網(wǎng)絡(luò)上進行電子商務(wù)活動。在從事電子商務(wù)交易時，SET 系統(tǒng)的動態(tài)認證工作過程如圖 所示。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平

14、安4. SET的認證過程(3) 4商業(yè)機構(gòu)處理。 商業(yè)機構(gòu)處理流程商業(yè)機構(gòu)的處理工作步驟如下圖。網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安5. SET協(xié)議的平安技術(shù)(1) SET Toolkit是SET 的一個開放工具，任何電子商務(wù)系統(tǒng)都可以利用它來處理操作過程中的平安和保密問題。其中支付和認證是其向系統(tǒng)提供的兩大主要功能。 主要平安保障有3 個方面： 1用雙鑰密碼體制加密文件； 2增加密鑰的公鑰和私鑰的字長； 3采用聯(lián)機動態(tài)的授權(quán)和認證檢查，以確保交易過程的平安可靠。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安5. SET協(xié)議的平安技術(shù)(2) 平安保障措施的技術(shù)根底有4個： 1利用加密方式確保信

15、息機密性。 2以數(shù)字化簽名確保數(shù)據(jù)的完整性。 3使用數(shù)字化簽名和商家認證確保交易各方身份的真實性。 4通過特殊的協(xié)議和消息形式確保動態(tài)交互式系統(tǒng)的可操作性。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.3 構(gòu)建基于SSL的Web平安站點 基于WEB信息平安通道的構(gòu)建1. 配置DNS、Active Directory及CA效勞 在Windows 2003 Server上建立一個獨立根的CA認證效勞器需要有DNS和Active Directory效勞，并需要進行配置。再按照管理工具中的配置效勞器向?qū)Р僮鳌榱瞬僮鞣奖?，CA認證中心的頒發(fā)策略要設(shè)置成“始終頒發(fā)。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商

16、務(wù)平安2. 效勞器端證書的獲得與安裝 1獲得WEB站點數(shù)字證書 啟動Web效勞器的“Internet信息效勞；在“Internet信息效勞界面中右擊要申請數(shù)字證書的站點，在彈出的快捷菜單中選擇“屬性，出現(xiàn)站點屬性對話框。翻開IE瀏覽器,在地址欄中輸入認證效勞器名稱 / CertSrv; 選擇“申請證書。 2安裝WEB站點數(shù)字證書 3設(shè)置“平安通信 屬性網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安3. 客戶端證書的獲得與安裝 客戶端如果想通過信息平安通道訪問需要平安認證的網(wǎng)站，必須具有此網(wǎng)站信任的CA機構(gòu)頒發(fā)的客戶端證書以及CA認證機構(gòu)的證書鏈。 1申請客戶端證書 2安裝證書鏈或CRL4. 通過平安

17、通道訪問WEB網(wǎng)站5. 訪問WEB站點網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 證書效勞的安裝與管理 實現(xiàn)電子商務(wù)平安的重要內(nèi)容是電子商務(wù)的交易平安。只有使用具有SSL 及SET 的網(wǎng)站，才能真正實現(xiàn)網(wǎng)上平安交易。SSL 是對會話的保護，SSL最為普遍的應(yīng)用是實現(xiàn)瀏覽器和WWW效勞器之間的平安HTTP通信。SSL 所提供的平安業(yè)務(wù)有實體認證、完整性、保密性，還可通過數(shù)字簽名提供不可否認性。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 Web效勞器數(shù)字證書的獲取 1. 生成Web效勞器數(shù)字證書申請文件2. 申請Web 效勞器數(shù)字證書網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安 Web效勞器所SSL設(shè)置

18、 1. 在Web 效勞器上設(shè)置SSL2. 瀏覽器的SSL 配置網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.3.5 瀏覽器數(shù)字證書的獲取與管理 1. 瀏覽器數(shù)字證書的申請2. 頒發(fā)瀏覽器數(shù)字證書3. 獲取及安裝瀏覽器數(shù)字證書4. 瀏覽器數(shù)字證書的管理網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.3.6 瀏覽器的SSL設(shè)置及訪問1. 在瀏覽器上設(shè)置SSL2. 訪問SSL 站點 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安11.4 電子商務(wù)平安解決方案 數(shù)字證書解決方案1. 網(wǎng)絡(luò)銀行系統(tǒng)數(shù)字證書解決方案2. 網(wǎng)上教育系統(tǒng)數(shù)字證書應(yīng)用方案3. 移動電子商務(wù)平安解決方案網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)

19、平安 智能卡在WPKI中的應(yīng)用1. WPKI的根本結(jié)構(gòu)(1) 為了滿足無線通信平安需求而研發(fā)的無線公鑰的平安體系WPKIWireless PKI，可以應(yīng)用于 、個人數(shù)字助理PDA等無線裝置，為用戶提供身份認證、訪問控制和授權(quán)、傳輸保密、資料完整性、不可否認性等平安效勞。 智能卡擁有優(yōu)秀的平安性，可以作為WPKI體系當(dāng)中網(wǎng)絡(luò)平安客戶端很好的接入載體。智能卡有處理器，因而能夠在卡內(nèi)實現(xiàn)密碼算法和數(shù)字簽名，并且能夠平安地存儲私鑰。 網(wǎng)絡(luò)平安技術(shù)及應(yīng)用第11章 電子商務(wù)平安1. WPKI的根本結(jié)構(gòu)(2) WPKI由終端、PKI門戶、CA、PKI目錄效勞器等局部組成密鑰管理體系。在WPKI的應(yīng)用中，還可以設(shè)計WAP網(wǎng)關(guān)和數(shù)據(jù)提供效勞器等效勞設(shè)備。WPKI的根本結(jié)構(gòu)如下圖。 網(wǎng)絡(luò)平安技