《電子商務應用》課程教學課件格式第三章電子商務

第三章電子商務應用安全第三章電子商務應用安全應知目標通過本模塊的學習，了解電子商務面臨的安全威脅與安全需求，了解并掌握電子商務的安全技術——數字機密技術、數字摘要技術、數字簽名技術、數字時間戳的工作機理，了解數字證書的基本概念與CA中心的功能；了解并掌握SSL和SET安全協(xié)議的基本原理與工作程序。第三章電子商務應用安全應會目標通過本模塊的學習，會識別電子商務中存在的安全威脅；會分析保障電子商務安全的各種對策；會申請與配置數字證書；會使用數字證書對信息進行加密與簽名。第三章電子商務應用安全導入案例

2012年5月29日，北京大學互聯(lián)網安全技術北京市實驗室聯(lián)合中國軟件評測中心召開媒體發(fā)布會，對外發(fā)布了《網站用戶口令處理安全性外部測評報告》。報告顯示，國內網站對用戶口令的處理方式存在很大的差異，在安全性方面問題十分突出，此次評測選取的100個流行網站中，僅有8個網站采取了充分的安全措施，有59個網站沒有采取任何安全措施，更有85個網站直接拿到了用戶的口令原文。第三章電子商務應用安全導入案例

第三章電子商務應用安全導入案例

本次測評抽取了門戶、郵箱、電子商務、招聘類、婚戀類、游戲類、論壇、博客、微博共9大類100個網站，在一定程度上客觀地反映了當前互聯(lián)網公共網站對于用戶口令處理的現(xiàn)狀和問題，本次報告的發(fā)布，希望能夠引起網民用戶、網站開發(fā)者、網站運營者、政府主管部門等對于用戶口令處理安全性的重視，并通過各方面努力，來共同加強個人信息保護，營造一個健康有序的互聯(lián)網環(huán)境。電子商務類網站用戶口令處理情況如圖3-1所示。

問題：(1)電子商務的安全威脅有哪些？

(2)電子商務通過哪些方法來防范各種安全威脅？3.1電子商務安全問題概述3.1.1電子商務面臨的安全性問題一、物理設備的安全問題設備的安全主要是指物理設備即硬件設施是否安全，能否正常運行。二、軟件漏洞操作系統(tǒng)的安全漏洞網絡協(xié)議的安全漏洞網絡服務軟件的安全漏洞3.1電子商務安全問題概述3.1.1電子商務面臨的安全性問題三、黑客的攻擊系統(tǒng)的中斷與癱瘓信息被竊取信息被篡改信息被偽造信息被否認或抵賴3.1電子商務安全問題概述3.1.1電子商務面臨的安全性問題四、計算機病毒的危害五、安全管理不完善3.1電子商務安全問題概述3.1.2電子商務的安全需求一、保密性二、完整性三、不可抵賴性四、真實性五、可靠性3.2數字字機機密密性性技技術術機密密技技術術是是保保護護信信息息安安全全的的主主要要手手段段之之一一，，它它是是結結合合數數學學、、計計算算機機科科學學、、電電子子與與通通信信等等諸諸多多學學科科于于一一身身的的交交叉叉學學科科。。它它不不僅僅具具有有保保證證信信息息機機密密性性的的信信息息加加密密功功能能，，而而且且可可以以利利用用其其他他基基本本原原理理進進行行數數字字簽簽名名、、身身份份驗驗證證、、系系統(tǒng)統(tǒng)安安全全等等功功能能。。使使用用密密碼碼技技術術不不僅僅可可以以保保證證信信息息的的機機密密性性，，可可以以保保證證信信息息的的完完整整性性和和確確切切性性，，防防止止信信息息被被篡篡改改、、偽偽造造和和假假冒冒。。3.2數字字機機密密性性技技術術加密密就就是是使使用用加加密密密密鑰鑰通通過過加加密密設設備備或或數數學學算算法法來來重重新新組組織織數數據據，，將將某某些些重重要要信信息息和和數數據據從從一一個個可可以以理理解解的的明明文文形形式式變變換換成成一一種種復復雜雜錯錯亂亂的的、、不不可可理理解解的的形形式式，，這這種種不不可可理理解解的的內內容容叫叫做做密密文文，，這這個個過過程程就就是是即即加加密密。。解解密密是是加加密密的的逆逆過過程程，，即即合合法法接接收收者者用用解解密密密密鑰鑰將將密密文文還還原原成成原原來來的的可可以以理理解解的的明明文文。。密文明文KK加密解密明文3.2數字字機機密密性性技技術術對稱稱密密鑰鑰加加密密法法一、、對對稱稱密密鑰鑰加加密密法法的的定定義義與與應應用用原原理理對稱稱密密鑰鑰加加密密(SymmetrickeyCryprography)也稱稱單單密密鑰鑰加加密密或或私私有有密密鑰鑰加加密密，，就就是是指指在在計計算算機機網網絡絡甲甲、、乙乙兩兩用用戶戶之之間間通通信信時時，，發(fā)發(fā)送送方方甲甲為為了了保保護護傳傳輸輸的的明明文文信信息息不不被被第第三三方方竊竊取取，，采采用用密密鑰鑰A對信信息息進進行行加加密密而而形形成成密密文文M并且且發(fā)發(fā)送送給給接接收收方方乙乙，，接接受受方方乙乙用用同同樣樣的的一一把把密密鑰鑰A對收收到到的的密密文文M進行行解解密密，，得得到到明明文文信信息息，，從從而而完完成成密密文文通通信信目目的的的的方方法法。。這這種種信信息息加加密密傳傳輸輸方方式式就就稱稱為為對對稱稱密密鑰鑰加加密密法法。。3.2數字字機機密密性性技技術術對稱稱密密鑰鑰加加密密法法密文傳輸共享的密鑰明文輸入明文輸出加密算法解密算法發(fā)送方接收方3.2數字字機機密密性性技技術術對稱稱密密鑰鑰加加密密法法二、、對對稱稱密密鑰鑰加加密密法法的的常常用用算算法法DES算法法及及其其各各種種變變形形、、國國際際數數據據加加密密算算法法IDEA以及及RC4、RC5等三、、對對稱稱密密鑰鑰加加密密法法的的優(yōu)優(yōu)缺缺點點優(yōu)點點：：加加密密和和解解密密速速度度快快缺點點：：對對稱稱密密鑰鑰難難于于滿滿足足開開放放式式計計算算機機網網絡絡環(huán)環(huán)境境的的需需求求、、若若用用戶戶與與多多方方通通信信時時，，不不便便于于密密鑰鑰的的分分配配與與管管理理、、不不能能進進行行用用戶戶身身份份的的認認定定3.2數字字機機密密性性技技術術非對稱稱密密鑰鑰加加密密法法一、、非非對對稱稱密密鑰鑰加加密密法法的的定定義義與與應應用用原原理理非對對稱稱密密鑰鑰加加密密(AsymmetrickeyCryptography)也稱稱雙雙密密鑰鑰加加密密或或公公開開密密鑰鑰加加密密，，是是指指在在計計算算機機網網絡絡甲甲、、乙乙兩兩用用戶戶之之間間進進行行通通信信時時，，發(fā)發(fā)送送方方甲甲為為了了保保護護傳傳輸輸的的明明文文信信息息不不被被第第三三方方竊竊取取，，采采用用密密鑰鑰A對信信息息進進行行加加密密，，形形成成密密文文M并且且發(fā)發(fā)送送給給接接收收方方乙乙，，接接收收方方乙乙用用另另一一把把密密鑰鑰B對收收到到的的密密文文M進行行解解密密，，得得到到明明文文信信息息，，完完成成密密文文通通信信目目的的的的方方法法。。3.2數字字機機密密性性技技術術非對稱稱密密鑰鑰加加密密法法一、、非對對稱稱密密鑰鑰加加密密法法的的定定義義與與應應用用原原理理加密模型A加密B解密密文明文A的私鑰A的公鑰明文3.2數字機密性技技術非對稱密鑰加加密法一、非對稱密鑰加加密法的定義義與應用原理理認證模型A加密B解密密文明文B的公鑰B的私鑰

明文3.2數字機密性技技術非對稱密鑰加密密法二、非對稱密密鑰加密法的的常用算法RSA算法、ECC算法、DSA算法三、非稱密鑰鑰加密法的優(yōu)優(yōu)缺點優(yōu)點：認證較較為方便；分分配簡單；支支持對傳輸信信息的數字簽簽名，解決數數據的否認與與抵賴問題缺點：運算速速度較慢3.3數字摘要技術術數字摘要的定定義所謂數字摘要要(DigitalDigest)，是發(fā)送者對對被傳送的一一個信息報文文根據某種數數學算法算出出一個信息報報文的摘要值值，并將此摘摘要值與原始始信息報文一一起通過網絡絡傳送給接收收者，接收者者應用此摘要要值檢驗信息息報文在網絡絡傳送過程中中有沒有發(fā)生生改變，以此此判斷信息報報文的真實與與否。3.3數字摘要技術術數字摘要的應應用原理發(fā)送方接收方發(fā)送發(fā)送Hash算法Hash算法原文摘要摘要原文摘要比較3.3數字摘要技術術常用的Hash算法報文摘要算法法(MD4、MD5)安全散列算法法(SHA1)3.4數字簽名技術術數字簽名定義義數字簽名(DigitalSignature)指在要發(fā)送的的信息報文上上附加一個特特殊的唯一代代表發(fā)送者個個人身份的標標記(數字標簽)，要來證明信信息報文是由由發(fā)送者發(fā)來來的。可以在提供數數據完整性的的同時，保證證數據的真實實性與不可否否認性。完整性是指傳傳輸的數據沒沒有被修改，，真實性是指指確實由合法法者產生的Hash函數而不是由由其他人假冒冒。數字簽名名類似于文檔檔的簽名，以以防止其抵賴賴行為。3.4數字簽名技術術數字簽名的應應用原理對原文使用Hash算法得到信息息摘要。發(fā)送者用自己己的私鑰對信信息摘要加密密。發(fā)送者將加密密后的信息摘摘要與原文一一起發(fā)送。接收者用發(fā)送送者的公鑰對對收到的加密密摘要進行解解密。接收者對收到到的原文用Hash算法得到接收收方的信息摘摘要。將解密后的摘摘要與接收方方摘要進行對對比，相同說說明信息完整整且發(fā)送者身身份是真實的的，否則說明明信息被修改改或不是該發(fā)發(fā)送者發(fā)送的的。3.4數字簽名技術術數字簽名的應應用原理接受方發(fā)送方Hash算法信息摘要PrivateKey加密數字簽名數字簽名發(fā)送PublicKey解密摘要信息Hash算法摘要信息被確認比較兩者如一致3.5數字時間戳數字時間戳是是一個經加密密后形成的憑憑證文檔，包包括三個部分分：時間戳的的文件摘要、、DTS收到文件的日日期和時間、、DTS的數字簽名。。3.6電子商務認證證技術數字證書一、數字證書書的基本概念念數字證書(DigitalCertificate或DigitalID)就是網絡通信信中標志通信信各方身份信信息的一系列列數據，提供供了一種在Internet上驗證身份的的方式，其作作用類似于現(xiàn)現(xiàn)實生活中的的身份證。數字證書是由由權威公正的的第三方機構構，即CA中心簽發(fā)的。。3.6電子商務認證證技術數字證書二、數字證書書的內容證書的版本信信息。證書的序列號號，每個證書書都有一個唯唯一的證書序序列號。證書所使用的的簽名算法。。證書的發(fā)行機機構名稱。證書的有效期期，現(xiàn)在通用用的證書一般般采用UTC時間格式，它它的計時范圍圍為1950～2049。證書主題或使使用者。證書所有人的的公開密鑰信信息。其他額外的特特別擴展信息息。證書發(fā)行者對對證書的數字字簽名。3.6電子商務認證證技術數字證書三、數字證書書分類個人身份證書書(客戶證書)企業(yè)身份證書書服務器數字證證書(站點證書)CA證書安全電子郵件件證書3.6電子商務認證證技術認證機構認證機構(CertificateAuthority，CA)也稱認證中心心，是一個負負責發(fā)放和管管理數字證書書的權威機構構，是電子商商務體系中的的核心環(huán)節(jié)，，是電子交易易中信賴的基基礎。3.6電子商務認證證技術數字證書的申申請用戶需攜帶有有效證件(身份證件或執(zhí)執(zhí)照等)及其復印件到到CA認證中心申請請證書，填寫寫申請表，也也可以從網站站直接下在證證書申請表，，填好后交予予CA認證中心；CA認證中心錄入入申請表數據據，審核用戶戶身份是否屬屬實(身份審核可能能需要一點時時間)，如果審核未未通過，則CA認證中心拒絕絕發(fā)證；CA認證中心進行行身份審核，，審核通過后后，簽發(fā)證書書；用戶獲取證書書。3.7常用的電子商商務安全協(xié)議議3.7常用的電子商商務安全協(xié)議議安全電子交易易協(xié)議SET一、SET協(xié)議簡介SET（SecureElectronicTransaction即安全電子交交易協(xié)議）是是美國Visa和MasterCard兩大信用卡組組織等聯(lián)合于于1997年5月31日推出的用于于電子商務的的行業(yè)規(guī)范，，其實質是一一種應用在Internet上、以信用卡卡為基礎的電電子付款系統(tǒng)統(tǒng)規(guī)范，目的的是為了保證證網絡交易的的安全。3.7常用的電子商商務安全協(xié)議議安全電子交易易協(xié)議SET二、SET協(xié)議的特點機密性、保護護隱私、多方方認證性、標標準性三、SET協(xié)議的參與方方SET支付系統(tǒng)主要要由持卡客戶戶(CardHolder)、商家(Merchant)、發(fā)卡銀行(IssuingBank)、收單銀行(AcquiringBank)、支付網關(PaymentGateway)、認證中心(CertificateAuthority)等六個部分組組成。對應地地，基于SET協(xié)議的網上購購物系統(tǒng)至少少包括電子錢錢包軟件、商商家軟件、支支付網關軟件件和簽發(fā)證書書軟件。3.7常用的電子商商務安全協(xié)議議安全電子交易易協(xié)議SET四、SET協(xié)議的工作流流程客戶利用自己己的PC機通過因特網網選定所要購購買的物品，，并在計算機機上輸入訂貨貨單、訂貨單單上需包括在在線商店、購購買物品名稱稱及數量、交交貨時間及地地點等相關信信息。通過電子商務務服務器與有有關網上商家家聯(lián)系，網上上商家作出應應答，告訴客客戶所填訂貨貨單的貨物單單價、應付款款數、交貨方方式等信息是是否準確，是是否有變化。。客戶選擇付款款方式，確認認訂單簽發(fā)付付款指令。此此時SET開始介入。3.7常用的電子商商務安全協(xié)議議安全電子交易易協(xié)議SET四、SET協(xié)議的工作流流程在SET中，客戶必須須對訂單和付付款指令進行行數字簽名，，同時利用雙雙重簽名技術術保證商家看看不到客戶的的帳號信息。。網上商家接受受訂單后，向向客戶所在發(fā)發(fā)卡銀行請求求支付認可。。信息通過支支付網關到收收單銀行，再再到客戶的發(fā)發(fā)卡銀行確認認。批準交易易后，返回確確認信息給網網上商家。網上商家發(fā)送送訂單確認信信息給客戶。。客戶端軟件件可記錄交易易日志，以備備將來查詢。。網上商家發(fā)送送貨物或提供供服務并通知知收單銀行將將錢從客戶的的帳號轉移到到商店帳號，，或通知發(fā)卡卡銀行請求支支付。3.7常用的電子商商務安全協(xié)議議安全電子交易易協(xié)議SET四、SET協(xié)議的工作流流程持卡客戶網上商家收單銀行協(xié)商訂單確認審核確認支付網關CA認證中