第4章电子商务安全

桂林电子科技大学计算机控制学院第四章电子商务安全（ElectronicCommerceSecurity）4.1电子商务面临的安全问题4.2电子商务安全的对策4.3数据加密技术4.4数据签名技术4.5安全认证技术4.6电子商务安全应用协议4.7防火墙技术桂林电子科技大学计算机控制学院4.1电子商务面临的安全问题●信息泄露●信息篡改●信息破坏：丢失、中断●信息假造：假冒、抵赖●计算机病毒桂林电子科技大学计算机控制学院电脑犯罪:50个国家有信息恐怖组织,计算机犯罪年增长率152%。每次计算机犯罪损失46万美元,而每次抢劫平均损失仅24美元。美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。桂林电子科技大学计算机控制学院网络部件的不安全因素●电磁泄漏●搭线窃听●非法终端●非法入侵●注入非法信息●线路干扰●意外原因●病毒入侵桂林电子科技大学计算机控制学院软件的不安全因素●安全功能不健全（TCP/IP）●特洛伊木马(FTP)●要害程序非法使用或破坏●用户未分类标识●处理错误●程序变更无记录桂林电子科技大学计算机控制学院工作人员的不安全因素●保密观念不强或不懂保密规则●业务不熟练●规章制度不健全●素质差、缺乏责任心●故意非法访问●超越权限操作●窃取系统或用户信息桂林电子科技大学计算机控制学院●自然灾害：地震、台风、洪水●人为灾害：火灾、盗窃…...环境的不安全因素桂林电子科技大学计算机控制学院4.2电子商务安全的对策1、电子商务的安全要求●身份的真实性●信息的保密性●信息的完整性●信息的不可抵赖性桂林电子科技大学计算机控制学院2、技术对策：●数据加密●CA认证、数字签名●防火墙●安全工具包/软件●访问控制●数据完整性控制●网络安全检测设备桂林电子科技大学计算机控制学院3、管理对策：●人员管理制度电子商务安全运作基本原则：双人负责原则、任期有限原则、最小权限原则。●保密制度●跟踪、审计、稽核制度●网络系统的日常维护制度●病毒防范制度桂林电子科技大学计算机控制学院1、数据加密模型2、数据加密算法3、数据加密的应用4.3数据加密技术桂林电子科技大学计算机控制学院1、数据加密模型E加密D解密明文X明文X密文C密文C截取者解密密钥Kd加密密钥Ke桂林电子科技大学计算机控制学院1、数据加密算法●古典加密解密方法凯撒密码:明文—ABCDEFGHIJKLMNOP…密文—defghijklmnopqrs…实例:CHINA---fklqd换位密码:明文—COMPUTERSECURITY分组—COPUTERSECURITY密文—ceuorrpsiuettcy桂林电子科技大学计算机控制学院●散列编码散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变，原散列值就会与由接收者所收消息计算出的散列值不匹配。桂林电子科技大学计算机控制学院●对称加密对称加密，它用且只用一个密钥对信息进行加密和解密。桂林电子科技大学计算机控制学院SecuritySchemesSecretKeyCryptography(Symmetric对称)ScrambledMessageOriginalMessageSenderInternetScrambledMessageKeysender(=Keyreceiver)EncryptionOriginalMessageReceiverKeyreceiverDecryption桂林电子科技大学计算机控制学院●非对称加密1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统。在此系统中有一对密码，给别人用的就叫公钥，给自己用的就叫私钥。用公钥加密后的密文，只有私钥能解。桂林电子科技大学计算机控制学院非对称加密技术示意图桂林电子科技大学计算机控制学院PublicKeyCryptography(Asymmetric非对称)SenderOriginalMessageScrambledMessageScrambledMessagePublicKeyreceiverOriginalMessageReceiverPrivateKeyreceiverInternetSecuritySchemes(cont.)MessageSenderOriginalMessageScrambledMessageScrambledMessagePrivateKeysenderOriginalMessageReceiverPublicKeysenderInternetDigitalSignature桂林电子科技大学计算机控制学院RSA的算法基于大整数的分解，算法如下：①选取两个足够大的素数P和Q②计算P和Q相乘的乘积n＝P×Q③找出一个小于n的数e，使其与（P－1）×（Q－1）互为素数；桂林电子科技大学计算机控制学院④另找一个数d，使其满足：（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）为相除取余；(n，e)即为公钥；（n，d）为私钥。加密和解密的运算方式为：明文M＝Cd（MODn）；密文C＝Me（MODn）桂林电子科技大学计算机控制学院假定P＝3，Q＝11，则n=P×Q＝33，选择e=3，因为3和20没有公共因子。（3×d）MOD（20）＝1，得出d＝7。从而得到（33，3）为公钥；（33，7）为私钥。加密过程为将明文M的3次方模33得到密文C，解密过程为将密文C的7次方模33得到明文。下表显示了非对称加密和解密的过程。桂林电子科技大学计算机控制学院明文M密文C解密字母序号M3M3（MOD33）C7C7（MOD33）字母A01101101AE0512526803181017605EN142744057812514NS196859281349292851219SZ26175762012800000026Z桂林电子科技大学计算机控制学院安全强度129位十进制/429位BIT数1600部电脑，43个国家、600多人，8个月1994年分解出64位和65位两个因子。桂林电子科技大学计算机控制学院3、数据加密的应用●数据的保密性与完整性●数字签名●数字认证桂林电子科技大学计算机控制学院4.4数据签名技术1、数字签名的概念数字签名（DigitalSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。数字签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。桂林电子科技大学计算机控制学院Hash签名是最主要的数字签名方法：报文的发送方从明文中生成一个128比特的散列值（数字摘要）。发送方用自己的私钥对这个散列值进行加密，形成发送方的数字签名。该数字签名将作为附件和报文一起发送给接收方。报文的接收方从接收到的原始报文中计算出128比特的散列值（数字摘要），接着用发送方的公钥对报文附加的数字签名解密。桂林电子科技大学计算机控制学院图9.3.3数字签名桂林电子科技大学计算机控制学院2、数字签名的使用方法（1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。然后选择一个对称密钥对文件加密，通过网络传输到接收方，并将该数字签名作为附件和报文密文一起发送给接收方。用接收方的公钥将对称密钥加密，并通过网络传输到接收方。桂林电子科技大学计算机控制学院（2）接收方首先，使用自己的私钥对密钥信息进行解密，得到对称密钥。然后，用对称密钥对文件进行解密，得到数字签名的明文，并得到经过加密的数字签名。最后，用发送方的公钥对数字签名进行解密。桂林电子科技大学计算机控制学院接受方公钥接受方私钥密约对哈希函数对称密钥密文对称密钥密文对称密钥哈希函数对称密钥3加密4解密数字签名发送方私钥1加密密文2加密密文传输传输发送方公钥6解密7对比5解密密约对发送方接受方原文件签名密文原文件签名文件数字签名数字签名桂林电子科技大学计算机控制学院3、数字签名的优点●易更换；●难伪造；●不可抵赖；●可进行远程线路传递。桂林电子科技大学计算机控制学院4.5安全认证技术电子商务是在网络中完成的，交易双方互不见面。为了保证每个人及机构（如银行、商家）都能唯一而且被无误地识别，就需要进行身份认证。桂林电子科技大学计算机控制学院认证的目的●真实性，确认身份的真实性●可信性，确认信息来源是可信的●完整性，确认信息没有被篡改●不可抵赖性，接受方不能否认已收到信息●访问控制，拒绝非法访问桂林电子科技大学计算机控制学院一、CA认证中心（CertificateAuthority）电子商务认证授权机构也称为电子商务认证中心（CA），是一个服务性机构，承担网上安全电子交易的认证服务。其任务是受理数字证书的申请，签发及管理数字证书，确认用户身份。桂林电子科技大学计算机控制学院1、认证中心的职能●证书发放可有多种方法向申请者发放证书，可发放给最终用户签名的或加密的证书。●证书更新持卡人证书、商户和支付网关证书应定期更新。●证书撤消若私钥被泄密，身份信息需更新或终止使用等，可撤消证书。●证书验证认证证书是通过信任分级体系来验证的，每一种证书与签发它的单位相联系，沿着该信任树直接到一个认可信赖的组织，就可以确定证书的有效性。桂林电子科技大学计算机控制学院2、认证体系的结构认证体系呈树型结构，不同等级的认证中心负责发放不同的证书。图9.3.5CA体系示意图桂林电子科技大学计算机控制学院3、世界著名的认证中心Verisign世界上较早的数字证书认证中心是美国的Verisign公司（www.verisign.com）。认证中心VeriSign的主页桂林电子科技大学计算机控制学院4、中国知名的认证中心①中国数字认证网（www.ca365.com）②中国金融认证中心（www.cfca.com.cn）③中国电子邮政安全证书管理中心（www.chinapost.com.cn/CA/index.htm）④北京数字证书认证中心（www.bjca.org.cn）桂林电子科技大学计算机控制学院⑤广东省电子商务认证中心（www.cnca.net）⑥上海市电子商务安全证书管理中心有限公司（www.sheca.com）⑦海南省电子商务认证中心（hn.cnca.net）⑧天津CA认证中心（www.ectj.net/ca/ca-1/ca.htm)⑨山东省CA认证中心（www.ca.gov.cn）桂林电子科技大学计算机控制学院二、数字证书数字证书是标志网络用户身份信息和密钥所有权的电子文档（一系列数据），用来在网络通讯中识别通讯各方的身份，在Internet上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张身份证一样，以表明我们的身份或某种资格。桂林电子科技大学计算机控制学院数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。桂林电子科技大学计算机控制学院1、数字证书的类型●客户证书证实客户身份和密钥所有权。●服务器证书证实服务器的身份和公钥。●安全邮件证书证实电子邮件用户的身份和公钥。●CA机构证书证实认证中心身份和签名密钥。桂林电子科技大学计算机控制学院2、数字证书的内容一个标准的X.509数字证书包含以下一些内容：●证书的版本信息●证书的序列号，每个证书都有一个唯一的证书序列号●证书所使用的签名算法桂林电子科技大学计算机控制学院●证书的发行机构名称，命名规则一般采用X.500格式●证书的有效期，现在一般采用UTC格式，计时范围为1950-2049●证书所有人的名称，命名规则一般采用X.500格式●证书所有人的公开密钥●证书发行者对证书的签名桂林电子科技大学计算机控制学院3、数字证书的有效性只有下列条件为真时，数字证书才有效。①证书没有过期②