電子商務安全培訓課程

第三章電子商務安全培訓專用學習目標1.了解電子商務安全的主要問題。2.掌握防火墻的功能與分類。3.理解VPN的虛擬專用性。4.掌握VPN的分類。5.掌握對稱加密和非對稱加密的工作原理。培訓專用本章主要內(nèi)容第一節(jié)電子商務安全概述第二節(jié)電子商務中的網(wǎng)絡安全技術第三節(jié)加密技術及其應用第四節(jié)認證與識別技術第五節(jié)電子商務安全交易標準培訓專用第三節(jié)加密技術及其應用一、加密技術的原理二、對稱密鑰體制三、非對稱密鑰體制四、密鑰管理技術五、加密技術的應用培訓專用一、加密技術的原理加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將原始信息（明文）轉(zhuǎn)換成無意義的或難以理解的字符串（密文），這個變換處理的過程稱之為加密。

當數(shù)據(jù)被合法接收者接收后，可通過一定的算法將密文還原為明文，這個變換處理的過程稱為解密。

培訓專用

加密：就是把信息轉(zhuǎn)換為不可辨識的形式的過程。

解密：將信息內(nèi)容轉(zhuǎn)變?yōu)槊魑牡倪^程。

明文密文密文明文培訓專用加密技術加密密鑰明文密文明文密文圖3.1

加解密過程示意圖互聯(lián)網(wǎng)解密密鑰培訓專用明文：信息未加密前的形式，即信息原始形式。密文：明文經(jīng)過加密偽裝后的信息形式。加密：明文采用某種加密算法變成密文的過程，即對明文實施的變換過程。解密：密文采用某種解密算法變成明文的過程，即對密文實施的變換過程。密鑰：為了有效地控制加密和解密算法的實現(xiàn)，在其處理過程中要有通信雙方掌握的專門信息。與加密有關的概念：培訓專用密鑰的概念加密和解密必須依賴兩個要素，這兩個要素就是算法和密鑰。算法是加密和解密的計算方法；密鑰是加密和解密所需的數(shù)字。培訓專用例：采用移位加密法使移動3位后的英文字母表示原來的英文字母（凱撒加密算法）ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC此例中移位規(guī)則就是算法，移動的位數(shù)3就是密鑰。培訓專用二、對稱密鑰體制1、概念對稱密鑰體制是指：加密和解密密鑰是相同的或等價的，雙方使用同一把密鑰對數(shù)據(jù)進行加密和解密，并且密鑰不對外發(fā)布，因而也稱為私密鑰體制。

培訓專用

2、私有密鑰進行對稱加密的過程：（1）發(fā)送方用自己的私有密鑰對要發(fā)送的信息進行加密；（2）發(fā)送方將加密后的信息通過網(wǎng)絡傳送給接收方；（3）接收方用發(fā)送方進行加密的那把私有密鑰對接收到的加密信息進行解密，得到信息明文。培訓專用

又稱秘密密鑰、私有密鑰，用且只用同一個密鑰對信息進行加密和解密。明文密文密文明文加密解密密鑰傳輸發(fā)送方接收方對稱密鑰加解密過程示意圖：培訓專用3、對稱密鑰體制的優(yōu)缺點優(yōu)點：由于加密和解密有著共同的算法，從而計算速度非?？欤沂褂梅奖?，計算量小，加密效率高。培訓專用3、對稱密鑰體制的優(yōu)缺點缺點：首先，是密鑰的管理比較困難，因為交易雙方必須持有同一把密鑰，且不能讓他人知道。其次，如何把新密鑰發(fā)送給接收方也是一個問題；最后，其規(guī)模很難適應互聯(lián)網(wǎng)這樣的大環(huán)境，因為如果某一交易方有幾個貿(mào)易伙伴，那他就要維護幾把專用密鑰，因為每把密鑰對應了一個貿(mào)易方。培訓專用結(jié)論：對稱密鑰加密是指信息發(fā)送方對要發(fā)送的信息進行加密，變?yōu)槊芪?，密文通過網(wǎng)絡到達接收方后，接收方使用相同的算法和密鑰進行解密，還原成明文。它只用同一密鑰對信息進行加密和解密。由于加密和解密用的是同一密鑰，所以發(fā)送者和接收者都必須知道密鑰。用對稱加密對信息編碼和解碼的速度很快，效率也很高，但也有比較大的局限性。所有各方都必須相互了解，并且完全信任，而且每一方都必須妥善保管一份密鑰。在密鑰的交換過程中，任何人一旦截獲了它，就都可用它來讀取所有加密消息。培訓專用三、非對稱密鑰體制1、概念非對稱密鑰體制也叫公鑰加密技術。在公鑰加密系統(tǒng)中，加密和解密是相對獨立的，加密和解密使用兩把不同的密鑰，加密密鑰(公開密鑰)向公眾公開，誰都可以使用，解密密鑰(秘密密鑰)只有解密人自己知道，非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰，顧其可稱為公鑰密碼體制。

培訓專用2、非對稱密鑰加密過程：發(fā)送方用接收方的公開密鑰對要發(fā)送的信息進行加密；發(fā)送方將加密后的信息通過網(wǎng)絡傳送給接收方；接收方用自己的私有密鑰對接收到的加密信息進行解密，得到信息明文。培訓專用

又稱公開密鑰。一對密鑰，給別人用的就叫公鑰，給自己用的就叫私鑰。用公鑰加密后的密文，只有私鑰能解密。接收方公鑰明文密文接收方私鑰密文明文加密解密密鑰對傳輸發(fā)送方接收方非對稱密鑰示意圖培訓專用3、非對稱密鑰體制的優(yōu)缺點優(yōu)點：在多人之間進行保密信息傳輸所需的密鑰組和數(shù)量很?。唤鉀Q了密鑰的發(fā)布問題；公開密鑰系統(tǒng)可實現(xiàn)數(shù)字簽名。缺點：密鑰產(chǎn)生困難；運算速度慢。培訓專用不對稱加密系統(tǒng)加解密有缺點，主要是加解密速度很慢，所以它不適合于對大量文件信息進行加解密，一般只適合于對少量數(shù)據(jù)進行加解密。培訓專用總之，加密技術：加密技術是電子商務采用的最基本的安全技術，是解決比如信息的竊取、信息的假冒、信息的篡改、信息的抵賴等問題的一種重要手段，同時也是簽名技術、認證技術的基礎。加密技術是指將一個信息（或稱明文）經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密密鑰還原成明文。攻擊者即使竊取到經(jīng)過加密的信息（密文），也無法辨識原文。這樣能夠有效地對抗截收、非法訪問、竊取信息等威脅。數(shù)據(jù)加密的過程如圖3.1所示。培訓專用四、非數(shù)學的加密理論與技術1、信息隱藏信息隱藏不同于傳統(tǒng)的密碼學技術，它主要研究如何將某一機密信息秘密隱藏于另一公開的信息中，然后通過公開信息的傳輸來傳遞機密信息。信息隱藏技術的應用舉例：數(shù)字水印技術。培訓專用24培訓專用252、生物識別傳統(tǒng)的身份識別方法主要基于以下兩點：身份標識物品：鑰匙、證件、自動取款機的銀行卡等身份標識知識：用戶名、密碼等由于標識物品容易丟失或被偽造，而標識知識容易遺忘或記錯，更為嚴重的是，傳統(tǒng)身份識別系統(tǒng)往往無法區(qū)分標識物品真正的擁有者和取得標識物品的冒充者。

生物識別技術是以生物技術為基礎、以信息技術為手段，將生物和信息這兩大熱門技術交匯融合為一體的一種技術。它利用了生物特征的惟一性、可測量性、可識別性的特點。培訓專用

生物特征有：手型、指紋、臉型、虹膜、視網(wǎng)膜、脈搏、耳廓、DNA等行為特征有：簽字、聲音、按鍵力度等原理：生物識別系統(tǒng)對生物特征進行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，并進一步將這些代碼組成特征模板。人們同識別系統(tǒng)交互進行身份認證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進行比較，以確定是否匹配，從而決定接受或拒絕。目前人體特征識別技術市場上占有率最高的是指紋機和手形機。培訓專用總結(jié)：加密技術培訓專用對稱密鑰加密(SymmetricCryptography)非對稱密鑰加密(AsymmetricCryptography)加密技術培訓專用一、對稱密鑰加密技術1、定義：加密和解密均采用同一把密鑰，而且通信雙方必須都要獲得這把鑰匙并保持鑰匙的秘密。這時的密鑰稱為對稱密鑰，并且不對外發(fā)布，也稱為私鑰密碼。培訓專用2、優(yōu)點：加密速度快，適于大量數(shù)據(jù)的加密處理。3、缺點

要求通信雙方相互認識，保守密鑰。培訓專用二、非對稱密鑰加密體系

信息加密和解密使用的是不同的兩個密鑰，稱為“密鑰對”。

培訓專用培訓專用（1）兩個密鑰（2）加密密鑰不能用來解密（3）加密速度較慢1、缺點2、優(yōu)點（1）密鑰分配簡單（2）不需要秘密的通道和復雜的協(xié)議來傳送密鑰培訓專用第四節(jié)認證與識別技術一、證書認證中心（CA中心）二、數(shù)字證書三、信用認證四、密鑰管理技術五、加密技術的應用培訓專用一、證書認證中心（CA中心）

1.何為認證中心所謂CA(CertificateAuthority)認證中心，它是采用公開密鑰(PublicKeyInfrastructure，PKI)基礎架構技術，專門提供網(wǎng)絡身份認證服務，負責簽發(fā)和管理數(shù)字證書，且具有權威性和公正性的第三方信任機構。目前國內(nèi)的CA認證中心主要分為區(qū)域性CA認證中心和行業(yè)性CA認證中心。培訓專用培訓專用2.認證中心的功能認證中心具有以下5個方面的功能：

（1）證書的頒發(fā)；

（2）證書的更新；（3）證書的查詢；（4）證書作廢；（5）證書的歸檔。培訓專用38總結(jié)認證中心（CertificationAuthority，CA）是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并能確認用戶身份的服務機構。

CA是基于Internet平臺建立的一個公正的、有權威性的、獨立的、廣受信賴的第三方組織機構，負責受理數(shù)字證書的申請、簽發(fā)數(shù)字證書、管理數(shù)字證書，以保證網(wǎng)上業(yè)務安全可靠地進行。培訓專用二、數(shù)字證書

1.數(shù)字證書的定義數(shù)字證書（DigitalCertificate或DigitalID）又稱為數(shù)字憑證，即用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問權限。數(shù)字證書是一種數(shù)字標識，是一個經(jīng)證書認證中心（CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。培訓專用2.數(shù)字證書的功能數(shù)字證書具有如下5個方面的基本功能：（1）身份認證；（2）保密性；（3）數(shù)據(jù)完整性；（4）不可抵賴性；（5）訪問控制。培訓專用培訓專用三、信用認證

電子商務信用認證（電商認證）是指由獨立第三方、權威的機構，按照獨立、公正、客觀的原則，采用科學的方法和合理規(guī)范的程序，經(jīng)過行業(yè)專家的權威論證，從商務信用角度對電子商務經(jīng)營主體進行真實性審查、信用狀況評價、信用行為巡查等全方面的第三方信用服務，并以簡明的符號和數(shù)字表示出來，給消費者、合作伙伴、交易對象和政府管理部門等機構提供重要參考。培訓專用

1.信用認證的過程：信用認證共分為申請?zhí)峤?、審核評價和結(jié)果發(fā)布三個階段。2.信用認證的結(jié)果：信用認證結(jié)果由信用等級和信用額度兩部分組成。3.信用認證的有效期：信用網(wǎng)站認證的有效期為兩年，信用網(wǎng)店認證的有效期為一年。認證機構采用例行和不定期巡查的方式對認證結(jié)果進行動態(tài)核實、修正，以確保認證結(jié)果的正確性、有效性。培訓專用四、數(shù)字簽名（1）什么是數(shù)字簽名DigitalSignature

數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，這種數(shù)據(jù)的接收者用以確認其完整性，并保護數(shù)據(jù)，防止被人進行偽造。實現(xiàn)的基礎加密技術培訓專用（2）數(shù)字簽名的作用：接收方可以確認發(fā)送方的真實身份發(fā)送方事后不能否認發(fā)送過該報文接收方或非法者不能偽造或篡改該報文培訓專用數(shù)字簽名的實現(xiàn)本質(zhì)：通過數(shù)字簽名可實現(xiàn)身份認證、數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、信息傳輸?shù)牟豢傻仲囆缘?。?shù)字簽名培訓專用

基本認證技術CA認證：保證數(shù)據(jù)的傳輸安全數(shù)字簽名：身份認證并保證數(shù)據(jù)的完整性、預防交易抵賴數(shù)字證書：身份認證培訓專用第五節(jié)電子商務安全交易標準一、安全套接層協(xié)議SSL二、安全電子交易協(xié)議SET三、Internet電子郵件的安全協(xié)議四、安全的超文本傳輸協(xié)議S-HTTP五、IP層安全標準IPSec培訓專用一、安全套接層協(xié)議SSL培訓專用

1.SSL協(xié)議的作用SSL采用對稱密碼技術和公開密碼技術相結(jié)合，解決了以下幾個問題：（1）雙向認證，客戶機和服務器相互識別的過程；

（2）對通信數(shù)據(jù)進行加密；

（3）信息完整性，確保SSL業(yè)務全部達到目的。培訓專用

2.SSL協(xié)議的體系結(jié)構SSL協(xié)議實際上是由握手協(xié)議層和記錄協(xié)議層組成：

SSL記錄協(xié)議（SSLRecordProtocol）：建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSLHandshakeProtocol）：建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。培訓專用應用層協(xié)議（HTTP、Telnet、FTP、SMTP等）TCP協(xié)議IP協(xié)議SSL握手協(xié)議（HandshakeProtocol）SSL記錄協(xié)議（RecordProtocol）SSL協(xié)議培訓專用3.SSL安全協(xié)議實現(xiàn)的步驟（1）客戶機通過網(wǎng)絡向服務器打招呼，并將本機可支持的安全模塊告訴服務器；（2）服務器回應客戶機，向客戶機發(fā)送本機的服務器數(shù)字證書、公鑰，如果服務器需要雙方認證，還要向?qū)Ψ教岢稣J證請求；（3）客戶機用服務器公鑰加密向服務器發(fā)送自己的公鑰，根據(jù)服務器是否需要認證客戶身份，發(fā)送客戶端數(shù)字證書；（4）雙方根據(jù)前面聯(lián)絡的情況，確定專門用于本次會話的專用密鑰；（5）雙方使用專用密鑰進行會話；（6）會話結(jié)束雙方交換結(jié)束信息。培訓專用4.SSL協(xié)議的優(yōu)勢：（1）具有一定的安全性，能夠抵抗某些攻擊；（2）具備很強的靈活性，在瀏覽器中大都建有SSL功能。5.SSL協(xié)議的缺陷：客戶仍有安全性的顧慮。培訓專用二、安全電子交易協(xié)議SET培訓專用

SET協(xié)議是B2C上基于信用卡支付模式而設計的，它保證了開放網(wǎng)絡上使用信用卡進行在線購物的安全。解決客戶、商家和銀行間信用卡支付的交易安全MasterCard、VISA等共同制定已成在線交易的電子付款系統(tǒng)的國際規(guī)范增加了對商家身份的認證

培訓專用1.SET協(xié)議的目標主要有：（1）保證信息在Internet上的安全傳輸；（2）訂單信息與個人賬號信息隔離；（3）解決多方認證問題；（4）保證網(wǎng)上交易的實時性；（5）要求軟件遵循相同協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容性和互操作性，并且可以允許在不同的硬件和操作系統(tǒng)平臺上。培訓專用2.SET協(xié)議的參與對象SET協(xié)議規(guī)范所涉及的對象有：持卡人、發(fā)卡機構、商家、銀行以及支付網(wǎng)關。他們在SET協(xié)議中扮演著不相同的角色。培訓專用（1）持卡人（Cardholder）是指由發(fā)卡銀行所發(fā)行的支付卡的授權持有者。（2）商家（Merchant）是指出售商品或服務的個人或機構。

（3）支付網(wǎng)關（paymentgateway）是由收單行或指定的第三方操作的專用系統(tǒng)，用于處理支付授權和支付。

（4）收單銀行（Acquirer）是為商戶建立業(yè)務聯(lián)系的金融機構。

（5）發(fā)卡銀行（Issuer）是為持卡人提供支付卡的金融機構。

（6）認證機構（CertificateAuthority）按照SET交易中的角色不同，認證機構負責向持卡人頒發(fā)持卡人證書、向商戶頒發(fā)商家證書、向支付網(wǎng)關頒發(fā)支付網(wǎng)關證書，利用這些證書可以驗證持卡人、商戶和支付網(wǎng)關的身份。培訓專用3.SET協(xié)議的交易流程：（1）消費者利用自己的PC機通過Internet選定所需購買的商品，并在計算機上輸入訂貨單，訂貨單包括在線商店、購買物品名稱及數(shù)量、交貨時間及地點等信息。（2）通過電子商務服務器與有關在線商店聯(lián)系，在線商店做出應答，告訴消費者所填訂貨單的貨物單價、應付款數(shù)、交貨方式等信息是否正確，是否有變化。（3）消費者選擇付款方式，確認訂單，簽發(fā)付款指令，此時SET開始介入。在SET中，消費者必須對訂單和付款指令進行數(shù)字簽名，同時利用雙重簽名技術保證商家看不到消費者的賬號信息。培訓專用培訓專用三、Internet電子郵件的安全協(xié)議涉及電子郵件內(nèi)容的安全問題主要有：（1）發(fā)送者身份認證：即如何證明電子郵件內(nèi)容的發(fā)送者就是電子郵件中所聲稱的發(fā)送者。（2）不可否認：即發(fā)送者一旦發(fā)送了某封郵件，他就無法否認這封郵件是他發(fā)送的。（3）郵件的完整性：即能否保證電子郵件的內(nèi)容不被破壞和篡改。（4）郵件的保密性：即防止電子郵件內(nèi)容的泄漏問題。培訓專用為了解決上述安全問題，歷史上曾經(jīng)提出過許多解決方案，其中三個經(jīng)常提到的安全協(xié)議是PEM，S/MIM