电子商务安全第四章.

第4章电子商务安全电子商务安全概述任务1电子商务安全技术措施任务2电子商务安全交易协议任务3任务1电子商务安全概述阶段1.电子商务安全威胁阶段2.电子商务安全需求阶段1.电子商务安全概述1.卖方面临的安全威胁（1）中央系统安全性被破坏。（2）竞争对手检索商品递送状况。（3）被他人假冒而损害公司的信誉。（4）买方提交订单后不付款。（5）获取他人的机密数据。2.买方面临的安全威胁（1）付款后不能收到商品。（2）机密性丧失。（3）拒绝服务。3.信息传输问题（1）冒名偷窃。（2）篡改数据。（3）信息丢失。（4）信息传递过程中的破坏。（5）虚假信息。4.信用问题（1）来自买方的信用问题。（2）来自卖方的信用风险。（3）买卖双方都存在抵赖的情况。阶段2.电子商务安全需求1.保密性2.完整性3.不可抵赖性任务2电子商务安全技术措施阶段1.信息加密技术阶段2.防火墙技术阶段3.数字认证技术阶段1.信息加密技术1.加密技术概述加密技术是保证信息安全的关键技术。数据加密技术是为提高信息系统及数据的安全性和保密性，使得数据以密文的方式进行传输和存储，防止数据在传输过程中被别人窃听、篡改。数据加密是所有数据安全技术的核心。2.加密的基本原理数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”。加密/解密的原理如下：在发送端将数据变换成某种难以理解的形式，并在接收端进行反变换，以恢复数据的原样。加密/解密的关键是，加密/解密算法的提出和加密/解密模块的实现。电子商务概论2011-8电子商务研究中心116.4.1加密技术字母ABC…Z空格,./：？明文010203…26272829303132密文181920…43444546474849信息Thisisasecret.明文2008091927091927012719050318052029密文3725263644263644184436222035223746表6-2一个简单的密码表3.对称加密和非对称加密（1）对称加密对称加密也叫私有密钥加密，只有一个密钥对信息进行加密与解密，发送者与接收者都必须知道密钥。对称加密系统最著名的是美国数据加密标准DES、高级加密标准AES和欧洲数据加密标准IDEA，典型代表为DES算法。电子商务概论2011-8电子商务研究中心133）对称加密对称加密又称为单钥加密或私钥加密，即收发信双方同用一个密钥去加密和解密数据，常见的对称加密算法为DES（dataencryptstandard）和IDEA等算法,目前广泛使用的是3DES。图6-13对称加密流程示意图（2）非对称加密非对称式加密也称公开密钥加密，它用两个数学相关的密钥对信息进行编码，其中一个叫公开密钥；第二个密钥是私有密钥。当前最著名、应用最广泛的公钥系统是RSA系统。电子商务概论2011-8电子商务研究中心154）非对称加密图6-14非对称加密技术示意图电子商务概论2011-8电子商务研究中心164）非对称加密非对称加密有若干优点：第一，在多人之间进行保密信息传输所需的密钥组合数量很小。发布者只需要一对密钥即可，把公钥告知大家，每个人用公钥加密后的密文相互无法解密，只有发布者能用私钥解密。第二，公钥的发布不成问题，它没有特殊的发布要求，可以在网上公开。第三，非对称加密可用于电子签名。采用非对称加密技术，除签名者外他人无法冒充签名，而且签名者事后也无法否认自己以电子方式签过文档，因为只有签名者拥有私钥。电子商务概论2011-8电子商务研究中心174）非对称加密非对称加密系统也有缺点，例如，加密解密的速度比对称加密的速度慢得多。非对称加密系统并不是要取代对称加密系统，恰恰相反，它们是相互补充的。如可用非对称加密在互联网上传输对称加密系统的密钥，而用对称加密方式加密报文，即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。阶段2.防火墙技术1.防火墙概述防火墙是在两个网络之间强制实施访问控制策略的一个系统或一组系统。防火墙具有以下特性：（1）所有的从内部到外部或从外部到内部的通信都必须经过它；（2）只有有内部访问策略授权的通信才被允许通过；（3）系统本身具有高可靠性。防火墙防火墙2.防火墙的功能（1）过滤不安全的服务和非法用户。（2）控制对特殊站点的访问。（3）作为网络安全的集中监视点。3.防火墙的种类（1）包过滤型防火墙（2）应用网关型防火墙（3）代理服务型防火墙防火墙—包过滤检查在可信网络和互联网之间传输的所有数据，包括数据包的源地址、目标地址及进入可信网络的端口，并根据预先设定的规则拒绝或允许这些包进入防火墙—网关服务器根据所请求的应用，对访问进行限制的防火墙。是应用级的防火墙。防火墙—代理服务器代理服务器英文全称是ProxyServer提供转接功能的服务器，其功能就是代理网络用户去取得网络信息是网络信息的中转站阶段3.数字认证技术1.数字证书原理数字证书（digitalID）又称为数字凭证，数字标识。数字证书采用公开密码密钥体系，即利用一对互相匹配的密钥进行加密、解密。数字证书可用于安全电子邮件、网上缴费、网上炒股、网上招标、网上购物、网上企业购销、网上办公、软件产品、电子资金移动等电子商务活动。电子商务概论2011-8电子商务研究中心281）CA认证CA(CertificationAuthority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。2）数字证书的概念与内容数字证书又称为数字凭证或数字标识(DigitalCertificate，DigitalID)，也被称作CA证书，实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在计算机硬盘或IC卡中。2.数字证书的类型（1）个人身份证书（2）个人E-mail证书（3）单位证书（4）单位E-mail证书（5）应用服务器证书（6）代码签名证书3.认证中心的作用（1）证书的颁发（2）证书的更新（3）证书的查询（4）证书的作废（5）证书的归档任务3电子商务安全交易协议阶段1.SSL协议阶段2.SET协议阶段3.SSL协议与SET协议比较阶段1.SSL协议1.SSL协议概述SSL（SecureSocketLayer）安全套接层协议主要适用于点对点之间的信息传输，通过在浏览器软件和服务器建立一条安全通道，从而实现在Internet中传输保密文件。SSL是一个用来保证安全传输文件的协议。它包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。2.SSL的基本结构SSL协议包括两个子协议：SSL记录协议和SSL握手协议。3.SSL协议过程SSL用公钥加密算法使服务器端在客户端得到验证，并传递对称密钥。然后再用对称密钥来更快速地加密、解密数据。4.认证服务器的身份（1）从服务器端传送的证书中获得相关信息（2）验证当天的时间是否在证书的合法期限内（3）验证签发证书的机关是否是客户端信任的（4）验证签发证书的公钥是否符合签发者的数字签名（5）验证证书中的服务器域名是否符合服务器自己真正的域名（6）服务器被验证成功，客户继续进行握手过程（1）从客户端传送的证书中获得相关信息（2）验证用户的公钥是否符合用户的数字签名（3）验证当天的时间是否在证书的合法期限内5.认证客户端的身份（4）验证签发证书的机关是否是服务器端信任的（5）验证用户的证书是否被列在服务器有效用户的信息中（6）验证得到验证的用户是否仍然有权限访问请求的服务器资源第四章电子商务安全3.安全套接层协议（SSL）图4-7建立SSL会话阶段2.SET协议1.SET协议概述SET协议提供对买方、商户和收单行的认证，确保交易数据的安全性、完整性和交易的不可否认性，特别是保证了不会将持卡人的信用卡号泄露给商户。SET协议比SSL协议复杂许多，因为前者不仅加密两个端点间的单个会话，它还可以加密和认定三方间的多个信息。SET交易分三个阶段进行：在购买请求阶段，用户与商家确定所用支付方式的细节；在支付的认定阶段，商家会与银行核实，随着交易的进展，他们将得到付款；在受款阶段，商家向银行出示所有交易的细节，然后银行以适当方式转移存款。2.SET协议的设计指导思想SET协议的设计指导总的思想是：在网络边界安全被攻破时，即使传输的数据被劫取,也无法识别和篡改保证信息的加密性。验证交易各方。保证支付的完整性和一致性。保证互操作性。3.SET协议的优点4.SET协议的缺陷第四章电子商务安全4.安全电子交易协议（SET）6根据购买的借记情况生成每月账单报告4清算所向发卡银行审核账户和余额5发卡行把款项划拨到商家银行1消费者购买商品，选定“使用SET支付”选项2商家和消费者的电脑相互验证身份。使用SET加密并经过验证的订单和支付信息发送到商家服务器上消费者信用卡发卡银行图4-8SET交易的处理过程阶段3.SSL协议与SET协议比较SSL安全协议和SET安全协议各有优缺点，网站在搭建自己的交易系统时，可根据自己的需求和两个协议的特性来选择。从实际运用情况来看，由于SET协议的设置成本较SSL协议高许多，且进入国内市场的时间较短，因此目前SSＬ协议在我国国内约占80%左右。但是由于网上交易的安全性需求的不断增强，SET协议的市场占有率会有较大幅度的提高。用户接口处理速度认证要求安全性协议层和功能应用领域SSL无需安装软件（已被浏览器和Web服务器内置）快无（在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证）较低（公钥加密、信息摘要和MAC检测）传输层（不具备电子商务的商务性、协调性和集成性功能）主要是和Web应用一起工作SET需要安装软件（客户端需要安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应软件）慢（1.5min~2min）需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密必须认证（所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题）较高（公钥加密、信息摘要和数字签名、双重签名）应用层（规范了整个电子商务活动的流程、且制定了严格的加密和认证标准，具有商务性、协调性和集成性功能）SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SETSSL协议和SET协议的比较