第二章電子商務(wù)系統(tǒng)的安全_第1頁
第二章電子商務(wù)系統(tǒng)的安全_第2頁
第二章電子商務(wù)系統(tǒng)的安全_第3頁
第二章電子商務(wù)系統(tǒng)的安全_第4頁
第二章電子商務(wù)系統(tǒng)的安全_第5頁
已閱讀5頁,還剩34頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

電子商務(wù)概論----電子商務(wù)系統(tǒng)的安全主講:姚益軍2006年10月1主要內(nèi)容電子商務(wù)系統(tǒng)安全電子商務(wù)安全問題的提出電子商務(wù)安全技術(shù)標(biāo)準(zhǔn)數(shù)字加密技術(shù)數(shù)字簽名和數(shù)字指紋數(shù)字證書22.1電子商務(wù)安全問題的提出--信息傳輸?shù)谋C苄?-交易文件的完整性(不可修改性)--交易不可抵賴性(不可否認(rèn)性)--交易者身份確定性電子商務(wù)系統(tǒng)安全32.2電子商務(wù)安全技術(shù)標(biāo)準(zhǔn)部分告之-打電話另行確認(rèn)-發(fā)郵件在線服務(wù)-用intratnet早期采用過的方法電子商務(wù)系統(tǒng)安全4

采用假的服務(wù)器來欺騙用戶終端

采用假的用戶來欺騙服務(wù)器

在信息的傳輸中截取信息服務(wù)器和用戶之間進(jìn)行雙方欺騙互聯(lián)網(wǎng)常見欺騙模式:電子商務(wù)系統(tǒng)安全5SSL安全技術(shù)

SSL是一種國際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議,稱為安全套接層協(xié)議,我們使用的瀏覽器就支持此協(xié)議。SSL協(xié)議使用通訊雙方的客戶證書以及CA根證書,允許客戶/服務(wù)器應(yīng)用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、專用的、可靠的、可信任的通訊通道。它具備以下基本特征:信息保密性、信息完整性、相互鑒定。電子商務(wù)系統(tǒng)安全6

SSL安全協(xié)議是由Netscape(網(wǎng)景)公司設(shè)計(jì)開發(fā),主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性。該安全協(xié)議主要用來提供對(duì)用戶和服務(wù)器的認(rèn)證;對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏;確保數(shù)據(jù)在傳送中不被改變,即數(shù)據(jù)的完整性。電子商務(wù)系統(tǒng)安全7

SSL安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用WebServer方式。電子商務(wù)系統(tǒng)安全8

對(duì)于電子商務(wù)應(yīng)用來說,使用SSL可保證信息的真實(shí)性、完整性和保密性。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。有鑒于此,網(wǎng)景公司在從4.04版開始的所有瀏覽器中引入了一種被稱作“表單簽名(FormSigning)”的功能。電子商務(wù)系統(tǒng)安全9

在電子商務(wù)中,可利用這一功能來對(duì)包含購買者的訂購信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。綜上所述,在電子商務(wù)中采用單一的SSL協(xié)議來保證交易的安全是不夠的,但采用"SSL+表單簽名"模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證。電子商務(wù)系統(tǒng)安全10SET安全技術(shù)

SET是VISA和MastrCard兩個(gè)國際信用卡集團(tuán)為保證公共網(wǎng)絡(luò)上信用卡支付交易的安全性而制定的協(xié)議。電子商務(wù)系統(tǒng)安全11SET安全技術(shù)的作用:信息能在網(wǎng)上安全傳輸個(gè)人賬號(hào)信息與訂單信息隔離對(duì)交易者的身份進(jìn)行確認(rèn)和擔(dān)保統(tǒng)一協(xié)議和報(bào)文的格式電子商務(wù)系統(tǒng)安全12SET安全技術(shù)的特點(diǎn):對(duì)商家提供了保護(hù)自己的手段對(duì)消費(fèi)者而言,保證商家的合法性使信用卡業(yè)務(wù)擴(kuò)展到互聯(lián)網(wǎng)定義了交易各方的互操作接口電子商務(wù)系統(tǒng)安全132.3數(shù)字加密技術(shù)電子商務(wù)系統(tǒng)安全

為了保證信息在網(wǎng)上傳輸過程中不被修改,必須對(duì)所發(fā)的信息進(jìn)行加密(加密后的數(shù)據(jù)稱為密文)。所以,即使你所發(fā)的密文被人竊取,但由于它沒有密鑰而無法將其還原成明文,從而保證了信息的安全性。14電子商務(wù)系統(tǒng)安全

加密技術(shù)包括兩個(gè)元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結(jié)合,產(chǎn)生不可理解的密文的步驟,密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中,可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通訊安全。15電子商務(wù)系統(tǒng)安全

密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為兩類,即對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法為典型代表,非對(duì)稱加密通常以RSA算法為代表。對(duì)稱加密的加密密鑰和解密密鑰相同,而非對(duì)稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。16對(duì)稱密鑰體系

對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù),它的特點(diǎn)是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學(xué)中叫做對(duì)稱加密算法,對(duì)稱加密算法使用起來簡單快捷,密鑰較短,且破譯困難,除了數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),另一個(gè)對(duì)稱密鑰加密系統(tǒng)是國際數(shù)據(jù)加密算法(IDEA),它比DES的加密性好,而且對(duì)計(jì)算機(jī)功能要求也沒有那么高。IDEA加密標(biāo)準(zhǔn)由PGP(PrettyGoodPrivacy)系統(tǒng)使用。電子商務(wù)系統(tǒng)安全17

1.要求提供一條安全的渠道使通訊雙方在首次通訊時(shí)協(xié)商一個(gè)共同的密鑰。直接的面對(duì)面協(xié)商可能是不現(xiàn)實(shí)而且難于實(shí)施的,所以雙方可能需要借助于郵件和電話等其它相對(duì)不夠安全的手段來進(jìn)行協(xié)商;2.密鑰的數(shù)目難于管理。因?yàn)閷?duì)于每一個(gè)合作者都需要使用不同的密鑰,很難適應(yīng)開放社會(huì)中大量的信息交流;電子商務(wù)系統(tǒng)安全對(duì)稱加密算法存在的問題:18

3.對(duì)稱加密算法一般不能提供信息完整性的鑒別。它無法驗(yàn)證發(fā)送者和接受者的身份;4.對(duì)稱密鑰的管理和分發(fā)工作是一件具有潛在危險(xiǎn)的和煩瑣的過程。對(duì)稱加密是基于共同保守秘密來實(shí)現(xiàn)的,采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰,保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。電子商務(wù)系統(tǒng)安全19非對(duì)稱密鑰密碼體系

為了解決信息公開傳送和密鑰管理問題,后來,提出一種新的密鑰交換協(xié)議,允許在不安全的媒體上的通訊雙方交換信息,安全地達(dá)成一致的密鑰,這就是“公開密鑰系統(tǒng)”。相對(duì)于“對(duì)稱加密算法”這種方法也叫做“非對(duì)稱加密算法”。電子商務(wù)系統(tǒng)安全20

與對(duì)稱加密算法不同,非對(duì)稱加密算法需要兩個(gè)密鑰:公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對(duì),如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密,只有用對(duì)應(yīng)的私有密鑰才能解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰,所以這種算法叫作非對(duì)稱加密算法。電子商務(wù)系統(tǒng)安全21

非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是:甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開;得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方;甲方再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。電子商務(wù)系統(tǒng)安全22

非對(duì)稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費(fèi)時(shí)間長、速度慢,它不適合于對(duì)文件加密而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。電子商務(wù)系統(tǒng)安全非對(duì)稱密鑰密碼體系的優(yōu)缺點(diǎn):23

數(shù)字信封也稱電子信封,是公鑰密碼體制在實(shí)際中的一個(gè)應(yīng)用,是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。電子商務(wù)系統(tǒng)安全數(shù)字信封24

在數(shù)字信封中,信息發(fā)送方采用對(duì)稱密鑰來加密信息內(nèi)容,然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱數(shù)字信封)之后,將它和加密后的信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解開加密信息。這種技術(shù)的安全性相當(dāng)高。電子商務(wù)系統(tǒng)安全25數(shù)字信封主要包括數(shù)字信封打包和數(shù)字信封拆解,數(shù)字信封打包是使用對(duì)方的公鑰將加密密鑰進(jìn)行加密的過程,只有對(duì)方的私鑰才能將加密后的數(shù)據(jù)(通信密鑰)還原;數(shù)字信封拆解是使用私鑰將加密過的數(shù)據(jù)解密的過程。電子商務(wù)系統(tǒng)安全26數(shù)字信封采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了對(duì)稱密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱密碼加密信息,再利用接收方的公鑰加密對(duì)稱密碼,被公鑰加密后的對(duì)稱密碼被稱之為數(shù)字信封。在傳遞信息時(shí),信息接收方若要解密信息,必須先用自己的私鑰解密數(shù)字信封,得到對(duì)稱密碼,才能利用對(duì)稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。電子商務(wù)系統(tǒng)安全272.4數(shù)字簽名和數(shù)字指紋電子商務(wù)系統(tǒng)安全

采用數(shù)據(jù)加密技術(shù)后,信息傳輸?shù)谋C苄缘靡越鉀Q。但是,我們?nèi)绾蝸泶_保交易文件的完整性和交易的不可抵賴性呢?這就是數(shù)字指紋和數(shù)字簽名要解決的問題!28電子商務(wù)系統(tǒng)安全

發(fā)送者A用其私人加密密鑰IKA對(duì)報(bào)文X進(jìn)行運(yùn)算,將運(yùn)算結(jié)果X’傳送給接受者B。B用已知A的公開解密密鑰PKA進(jìn)行解密運(yùn)算得出X,從而證實(shí)報(bào)文X只能是A發(fā)送的。因?yàn)槌镣鉀]有別人具有A的加密密鑰IK,所以,除A外沒有別人能產(chǎn)生X‘。這樣,報(bào)文X就被A簽名,并被B證實(shí)了A的簽名。非對(duì)稱密鑰密碼體系實(shí)現(xiàn)數(shù)字簽名29電子商務(wù)系統(tǒng)安全

上述過程只對(duì)報(bào)文進(jìn)行了簽名。對(duì)傳送的報(bào)文X本身卻未加密。因?yàn)榻氐降拿芪腦’,并知道發(fā)送者身分的人,很容易獲得發(fā)送者的公開密鑰PKA,并用PKA對(duì)X’進(jìn)行運(yùn)算,便可獲得報(bào)文X。A希望對(duì)報(bào)文加密,可以使用B的公開密鑰PKB進(jìn)行加密。30電子商務(wù)系統(tǒng)安全

總之,A在向B發(fā)送報(bào)文時(shí),可以使用PKB和IKA分別完成對(duì)報(bào)文的加密和數(shù)字簽名,而B在接受到A發(fā)送的報(bào)文后,可以使用IKB和PKA分別完成對(duì)報(bào)文的解密和數(shù)字簽名的確認(rèn)。31電子商務(wù)系統(tǒng)安全

數(shù)字指紋加密技術(shù)又稱安全HASH編碼法,該方法采用單向HASH函數(shù)將需要加密的明文“摘要”成一串128位的密文,這128位的密文就是數(shù)字指紋,它有固定的長度,且不同的明文摘要成的密文,其結(jié)果總是不同,而同樣的明文其摘要必定一致。數(shù)字指紋的應(yīng)用使交易文件的完整性(不可修改性)得以保證。數(shù)字指紋32電子商務(wù)系統(tǒng)安全被發(fā)送的原文用HASH算法加密產(chǎn)生128位的數(shù)字摘要。發(fā)送方用自己的私人密鑰對(duì)摘要再加密,形成數(shù)字簽名。將原報(bào)文和加密的摘要同時(shí)發(fā)送給接收方。接收方用發(fā)送方的公開密鑰對(duì)摘要解密A。同時(shí)將收到的原文用HASH算法加密產(chǎn)生摘要B。將A、B比較,如果兩者一致,則成功。數(shù)字簽名的過程:332.5數(shù)字證書電子商務(wù)系統(tǒng)安全

采用數(shù)據(jù)加密技術(shù)后,信息傳輸?shù)谋C苄缘靡越鉀Q;采用數(shù)字指紋加密技術(shù)后,交易文件的完整性得以保證;采用數(shù)字簽名技術(shù)后,交易的不可抵賴性得以保證。但是,如何確保交易各方的身份呢?這就是數(shù)字證書要解決的問題。34電子商務(wù)系統(tǒng)安全

數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù),經(jīng)證書授權(quán)中心數(shù)字簽名,包含公開密鑰擁有者信息及公開密鑰,其作用類似于現(xiàn)實(shí)生活中的身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的,人們可以在交往中用它來識(shí)別對(duì)方的身份。數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。35電子商務(wù)系統(tǒng)安全數(shù)字證書的類型:個(gè)人證書企業(yè)(服務(wù)器)數(shù)字證書軟件(開發(fā)者)數(shù)字證書36電子商務(wù)系統(tǒng)安全

數(shù)字證書采用非對(duì)稱密鑰密碼體系。每個(gè)用戶自己設(shè)定一把特定的私有密鑰,用它進(jìn)行解密和簽名;同

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論