电子商务安全实验报告

实验名称：实验名称：电子商务安全技术电子商务安全技术 20100811262010081126 吕吕吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商 务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。 要求搜集的电子商务安全威胁案例不少于 3 个，了解不同类型电子商 务网站所采取的电子商务安全措施和技术。 答答: : 电子商务安全的协议有：电子商务安全的协议有： PKIPKI 协议：协议：PKI 是 Public Key Infrastructure 的缩写，是指用公钥概念和技术 来实施和提供安全服务的具有普适性的安全基础设施。PKI 技术是信息安全技术的 核心，也是电子商务的关键和基础技术。PKI 的基础技术包括加密、数字签名、数 据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力 于促进以因特网为基础的电子商务技术发展的国际财团 CommerceNet 协会提出的 安全传输协议，主要利用密钥对加密的方法来保障 W eb 站点上的信息安全。S- HTTP 被设计为作为请求 /响应的传输协议HTTP 的一种安全扩展版本，正 是这一特点使得 S-HTTP 与 SSL 有了本质上的区别，因为 SSL 是一种会话保护 协议。S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上 与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（安全套接层协议（SSL）: SSL 能使客户机与服务器之间的通信不被攻击者窃 听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在 TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立 于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加 密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加 密，从而保证了在因特网上通信的机密性。 安全电子交易协议（安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把 对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络 上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书 标准与数字签名、报文摘要、数字信封、双重签名等。 电子商务安全的措施有：电子商务安全的措施有： 加密技术加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一 定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密 性。 数字签名：数字签名： 数字签名如同手写签名,在电子商务中有如下优点:（1) 发送者事 后不能否认自己发送的报文签名。 （2) 接受者能够核实发送者发送的报文签名。 （3) 接受者不能伪造发送者的报文签名。 （4) 接受者不能对发送者的报文进行篡改。 （5) 交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对 称加密算法,实现方式为:发送方从报文文本中生成一个 128 位的散列值,并用自己的 私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为 报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文 中计算出 128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解 密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。 数字时间戳：数字时间戳：数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日 期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数 字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网 络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它 由三个部分组成:需要加盖时间戳的文件的摘要、DTS 收到文件的日期和时间以及 DTS 的数字签名 数字证书：数字证书：数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期 和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字 时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络 安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由 三个部分组成:需要加盖时间戳的文件的摘要、DTS 收到文件的日期和时间以及 DTS 的数字签名 安全协议技术：安全协议技术：目前常用的安全协议主要有两种：SSL 协议（安全套接层协议） 和 SET 协议（安全电子交易协议） 。SSL 协议是由 Netscape 公司提出的安全交易协 议，该协议主要目的是解决 T C P /I P 协议不能确认用户身份的问题，在 Socket 上 使用非对称的加密技术，以保证网络通信服务的安全性。4SET 是由 Visa 和 MasterCard 两大信用卡公司联合 IBM, Microsoft, GTE ,Verisign , SA IC 等公司与 1996 年 6 月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交 易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码 体制和 X . 5 0 9 数字证书标准，主要应用于保障网上购物信息的安全性。 （2）访问不同类型的电子商务站点，上网搜集相关资料，了解国内网上支 付在安全方面的解决方案。 答：目前中国所有电子支付服务提供商都还是使用简单的用户名 / 密码认证机制， 虽然某些电子支付服务提供商增加了一个安全控件，但还是存在以下两大严重安全问题： (1)用户的身份认证问题：由于涉及到资金问题，越来越多的黑客和木马软件就盯 上了电子支付服务，而电子支付服务提供商现有的用户登录系统是简单的用户名 / 密码单一认证机制，可以说毫无安全性可言，非常容易被非法窃取而导致用户 的资金被盗。 (2)电子邮件泄密问题：由于电子支付服务提供商的电子支付服务的原理是通过电 子邮件通知来收款和付款的，而电子邮件在互联网上是明文传输的，非常容易被 非法窃取，而一旦用户的电子邮件内容被非法窃取，则此笔交易款就极有可能也 非常容易被非法盗走。 由于以上两大问题，就开始采用“双重认证 (two-factor authentication) ”技 术来解决电子支付的在线身份盗窃问题，其实就是使用用户的个人数字证书来实 现安全的身份认证和电子邮件加密。 具体解决方案是：具体解决方案是： (1)电子支付服务提供商为每个用户颁发一个全球通用的个人数字，证书用于 登录电子支付服务系统的真实身份认证和用于每个交易的数字签名，从而杜绝了口 令泄露而造成的损失和提供了交易不可否认的证据。 (2)由于每个用户都有全球通用的个人数字证书，不仅可以用于身份认证快速安 全登录电子支付服务系统，还可以用于电子邮件数字签名和电子邮件内容加密，所 有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的， 只有用户本人使用其个人数字证书才能阅读，而其他人即使在电子邮件服务器端或 电子邮件传输过程中非法窃取电子邮件支付内容。 数字证书是由权威公正的第三方机构即 CA 中心签发的，以数字证书为核心的加 密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上 传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性， 从而保障网络应用的安全性。 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个 用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥 有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。 （3）进入阿里巴巴电子商务站点，浏览，查阅，体验站点的安全机制和支 付功能。 总结阿里巴巴电子商务站点的安全机制和支付机制。 答：答：阿里巴巴阿里巴巴电子商务安全机制：电子商务安全机制： 1. 数据加密技术。数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措 施其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传 输，从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。 数据加密技术可分为对称密钥加密和非对称密钥加密。 (1)对称密钥加密 (SecretKeyEncryption)。对称密钥加密也叫秘密/专用密 钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。 它的优点是加密、解密速度快，适合于对大量数据进行加密，能够保证数据的机密 性和完整性；缺点是当用户数量大时，分配和管理密钥就相当困难。 (2) 非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密，它 主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥) 公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把密 钥来解密。非对称密钥加密算法的优点是易于分配和管理，缺点是算法复杂，加密 速度慢。 (3)复杂加密技术。由于上述两种加密技术各有长短，目前比较普遍的做法是将两种 技术进行集成。例如信息发送方使用对称密钥对信息进行加密，生成的密文后再用 接收方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接收 方，接收方按相反方向解密后得到明文。 2.数字签名技术。数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码 进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验 证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息 传送的完整性和不可抵赖性。 3. 认证机构和数字证书。认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行，所 以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信 的第三方，用以证实交易双方的身份，数字证书是由认证机构签名的包括公开密钥拥 有者身份信息以及公开密钥的文件。在交易支付过程中，参与方必须利用认证中心签 发的数字证书来证明自己的身份。 4.使用安全电子交易协议使用安全电子交易协议(SET:Secure Electronic Transactions)。是由 VISA 和 MasterCard 两大信用卡组织指定的标准。SET 用于划分与界定电子商务活动中各方的 权利义务关系，给定交易信息传送流程标准。SET 协议保证了电子商务系统的保密性、 完整性、不可否认性和身份的合法性。 阿里巴巴支付机制：阿里巴巴支付机制： 阿里巴巴，作为家喻户晓的电子商务网站，它的支付方式也同样的令人耳熟能详： 支付宝，就是旗下提供的第三方支付平台，它保证了买卖双方交易的安全性与便 捷性。尽管现在支付宝已经得到普及，但是相对那些有在网上购物的欲望但无法 使用支付宝的人来说，邮局汇款、银行转账信用卡支付和网上银行支付无非是最 好的选择。 （4）网上阅读资料，查看电子商务安全交易协议中 SET 中用到的双重签名 技术的过程是如何的。 答：双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术，用于三方通信 时的身份认证和信息完整性、交易防抵赖的保护。 双重数字签名的实现步骤如下： (1)信息发送者 A 对发给 B 的信息 1 生成信息摘要 1。 (2)信息发送者 A 对发给 C 的信息 2 生成信息摘要 2。 (3)信息发送者 A 把信息摘要 1 和信息摘要 2 合在一起，对其生成信息摘要 3，并使用自己 的私钥签名信息摘要 3。 (4)信息发送者 A 把信息 1、信息摘要 2 和信息摘要 3 的签名发给 B，B 不能得到信息 2。 (5)信息发送者 A 把信息 2、信息摘要 1 和信息摘要 3 的签名发给 C，C 不能得到信息 1。 (6)B 接收信息后，对信息 1 生成信息摘要，把这信息摘要和收到的信息摘要 2 合在一起， 并对其生成新的信息摘要，同时使用信息发送者 A 的公钥对信息摘要 3 的签名进行验证， 以确认信息发送者 A 的身份和信息是否被修改过。 (7)C 接收信息后，对信息 2 生成信息摘要，把这信息摘要和收到的信息摘要 1 合在一起， 并对其生成新的信息摘要，同时使用信息发送者 A 的公钥对信息摘要 3 的签名进行验证， 以确认信息发送者 A 的身份和信息是否被修改过。 （5）以中国工商银行网上银行为例，描述在网银上操作，是如何保障 安全的？包括从一登录到交易成功的整个过程。 答：网银登录过程：答：网银登录过程： 客户端首先要安装网银颁发的数字证书，用于身份认证。进入 https 安全页面，在客户 端产生对称密钥，用服务器的公钥进行加密（公钥由网银颁发的数字证书里获取） ，同时客 户端把会话内容用所产生的对称密钥加密，传送时包括的内容为：银行的数字签名、加密 的会话内容、加密的对称密钥。每次会话都通过这种方式保障安全。如果转账时，需要插 入 usbkey，usbkey 里面的内容可以认为是客户端的私钥，相当于客户端秘密持有的信息， 插入 usbkey 后，会把转账内容用客户端私钥加密，用于服务器端再次确认此转账信息是由 客户端发出的，客户端不可否认。 由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在 通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统 一般都采用加密传输交易信息的措施，使用最广泛的是 SSL 数据加密协议。 SSL 协议是由 Net