第8章 电子商务安全管理

2020/5/27,1,电子商务,主讲：王利荣Email:jswlr南通大学商学院,2020/5/27,2,第八章电子商务的安全管理,教学目的：1、了解电子商务面临的安全问题，明确网络交易的风险；2、熟悉解决电子商务安全的主要思路及措施；3、重点掌握主要的安全技术：加密技术、数字签名及数字认证技术；4、熟悉数字证书的类型，了解CA中心的职责及我国CA中心的发展现状。,2020/5/27,3,第八章电子商务的安全管理,主要内容：8.1电子商务的安全问题8.2电子商务的数据加密技术8.3电子商务的认证技术,2020/5/27,4,8.1电子商务的安全问题,电子商务的安全威胁电子商务的安全管理要求与思路,2020/5/27,5,一、电子商务的安全威胁,买方面临的威胁：卖方提供虚假信息冒名顶替、抵赖个人信息被泄密、被改,卖方面临的威胁计算机网络系统被破坏商业机密被泄露，信息被篡改买方提供虚假订单，抵赖,案例,2020/5/27,6,电子商务的安全威胁可分为如下几类：,电子商务系统风险信息风险信用风险,电子商务交易风险,2020/5/27,7,二、电子商务的安全管理要求,1、电子商务的安全管理要求系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。交易文件的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。,2020/5/27,8,不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的，防止冒名发送数据。,在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性、交易者身份真实性最为关键。,2020/5/27,9,2、电子商务安全管理思路,管理方面的措施社会的政策与法律保障技术方面的措施,建立各种管理制度，并加强监管,图,2020/5/27,10,8.2数据加密技术,加密技术是保证网络、信息安全的核心技术。加密-将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密。密文-这种不可理解的形式称为密文。解密解密是加密的逆过程，即将密文还原成明文。,加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。,2020/5/27,11,一般数据加密模型,2020/5/27,12,数据加密的例子：,例：原信息为：Howareyou加密后为：LSAEVICSY,原文,密文,在实际加密过程中，算法是不变的，但密钥是变化的-加密技术的关键是密钥,？若密钥4换成7，结果会怎么样呢？,abcd.wxyzEFGH.ABCD将上述两组字母分别对应，即差4个字母，这条规则就是加密算法，其中的4为密钥。,2020/5/27,13,数据加密技术主要分两类：,对称加密技术非对称加密技术（公钥加密技术）,2020/5/27,14,一、对称加密技术,对称加密技术是指文件加密和解密使用同一把密钥。对称加密算法的典型代表是DES算法，该算法由于安全性高，加密速度快，被广泛应用。,？,？,2020/5/27,15,优点:安全性高，加密速度快适合对信息量大的文件进行加密缺点:,对称加密技术的特点,密钥必须通过除网络以外的途径传递；当某个用户希望与N个用户进行秘密通信时，使用不同密钥则密钥量多，管理难度大；对称加密是建立在共同保守秘密的基础之上的，任何一方泄密都会造成密钥的失效，有潜在危险。,2020/5/27,16,二、非对称加密技术,当网络用户数很多时，对称密钥的管理十分繁琐。为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)。,2020/5/27,17,非对称加密技术使用两把不同的钥匙（一对钥匙），其中一把用于加密，另一把用于解密。,二、非对称加密技术,较著名的算法是RSA算法,18,非对称加密技术用于保密应用的原理,接收方公钥,接收方私钥,在保密应用时，发件人用收件人的公钥将信件加密发给收件人，收件人收到密文后，用自己的私钥解密。,密文,明文,密文,2020/5/27,19,非对称加密技术的特点,优点：密钥较少(n:1)，在网络中容易实现密钥管理；便于进行数字签名，从而保证数据的不可抵赖性。缺点：加密解密速度慢-不适合对数据量较大的报文进行加密。,2020/5/27,20,对称与非对称加密技术对比,2020/5/27,21,在该系统中，用对称加密算法作为数据的加密算法对数据进行加密，用非对称加密算法作为密钥的加密算法，对密钥进行加密。,对称与非对称技术相结合的综合保密系统-数字信封,这样的系统既能发挥对称加密算法加密速度快、安全性好的优点，又能发挥非对称加密算法密钥管理方便的优点，扬长避短。,2020/5/27,22,对称与非对称技术相结合的综合保密系统-数字信封,明文,密文,明文,A密钥,加密的密钥,A密钥,发送方A,接收方B,密文,加密的密钥,2020/5/27,23,8.3认证技术,这就是认证技术要解决的问题,2020/5/27,8.3认证技术,鉴别用户身份,信息完整性防止抵赖,保证交易安全,2020/5/27,25,一、数字摘要,-也称为安全Hash编码法，是用来保证信息完整性的一项技术。它是由RonRivest发明的一种单向加密算法，其加密结果是不能解密的。定义：所谓数字摘要，是指通过单向Hash函数，将明文加密而形成的一串128bit固定长度的密文。,数字摘要类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹。,2020/5/27,26,不同的明文形成的摘要总是不相同的同样的明文其摘要必定一致;即使知道了摘要也不能推出其明文。,数字摘要验证信息完整性的原理,可以通过数字摘要鉴别其明文的真伪。只有数字摘要完全一致，才可以证明信息在传送过程中是安全可靠，没有被篡改。,2020/5/27,27,数字摘要的验证过程,文件,Hash,摘要,发送端,Internet,文件,Hash,摘要,接收端,摘要,对比,2020/5/27,28,数字摘要的使用过程,对文件使用Hash算法得到数字摘要；将数字摘要与文件一起发送；接收方将收到的文件应用单向Hash函数产生一个新的数字摘要；将新的数字摘要与发送方发来的数字摘要进行比较，若两者相同则表明文件在传输中没有被修改，否则就说明文件被修改过。,2020/5/27,29,二.数字签名,传统商务中确认文件真实性和法律效力的一种最为常用的手段是在书面文件上亲笔签名或盖章。其作用有两方面：,1、因签名难以否认，从而确认签名者已同意文件内容；2、因签名难以仿冒，从而确定文件是真的这一事实。,2020/5/27,30,二、数字签名,在电子商务活动中，交易双方不见面，传统签字方式很难应用于这种网上交易，那么在网络传递的文件上如何签名盖章呢，如何使彼此的要约、承诺具有可信赖性？,数字签名-可解决这一难题,2020/5/27,31,数字签名-建立在非对称（公钥）加密体制基础上，是非对称加密技术的另一类应用。它把非对称加密技术和数字摘要结合起来，形成了实用的数字签名技术。,数字签名的含义和作用,2020/5/27,32,非对称加密技术用于验证的原理,2020/5/27,33,数字签名和验证的过程,买方：签名过程,合同,Hash函数,摘要,私钥,数字签名,传给卖方,卖方接收,卖方：接收、验证过程,摘要,2020/5/27,34,报文的发送方从原文中生成一个数字摘要，再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。发送方将数字签名作为附件与原文一起发送给接收方。接收方用发送方的公钥对已收到的加密数字摘要进行解密；接收方对收到的原文用Hash算法得到接收方的数字摘要；将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。,数字签名和验证的具体步骤,2020/5/27,35,数字签名的作用,确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。,由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。,2020/5/27,36,三.数字时间戳,在书面合同文件中，日期和签名均是十分重要的防止被伪造和篡改的关键性内容。在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。,2020/5/27,37,文件,摘要1,摘要1,私钥,数字时间戳,数字时间戳,第三方DTS,发送方,数字时间戳产生的过程,2020/5/27,38,用户首先将需要时间戳的文件用Hash算法加密得到数字摘要；然后将数字摘要发送到专门提供数字时间戳服务的DTS机构；DTS机构在原数字摘要上加上收到文件摘要的时间信息，用自己的私钥对其进行加密，产生数字时间戳发还给用户；用户可以将收到的数字时间戳发送给自己的商业伙伴以证明文件上的时间的真实性。,数字时间戳产生的过程,2020/5/27,39,需加时间戳的文件的数字摘要DTS机构收到文件摘要的日期和时间DTS机构的数字签名,数字时间戳包括三个部分：,2020/5/27,40,四、数字证书,数字证书是标志网络用户身份信息的一系列数据，是用于证明某一主体（如个人用户、服务器等）的身份的一种权威电子文档，由可信任的、公正的第三方权威机构(CA中心)颁发。拥有数字证书者可以将其证书提供给其他人、WEB站点及网络资源以证实他的合法身份，并且与对方建立加密的、信任的通信。,2020/5/27,41,1、数字证书的作用,数字证书提供了一种在网上验证身份的方式，主要采用了非对称加密，以及对称密钥加密、数字签名、数字信封等技术，为每一个用户提供了一个唯一的标识。数字证书对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性、交易主体身份的真实性和签名信息的不可否认性。,2020/5/27,42,2、数字证书的内容,L数字证书的内部格式遵循X.509标准。X.509是由国际电信联盟(ITUT)制定的数字证书标准。根据这项标准，证书包括申请证书个人的信息和发行证书机构的信息。,2020/5/27,43,2020/5/27,44,2020/5/27,45,3.数字证书的类型,（1）个人数字证书（2）单位证书（3）服务器证书（4）代码签名证书,2020/5/27,46,五.认证中心（CertificateAuthority，CA）,认证中心：也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施（PKI）。,2020/5/27,47,1、认证中心的职能,核发证书证书更新证书撤销证书验证,2020/5/27,48,在双方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处,图证书的树形验证结构,2、证书的树形验证结构,2020/5/27,49,行业性CA区域性CA,（三）我国认证中心现状,中国金融认证中心（CFCA）中国电信认证中心（CTCA）中国邮政认证中心外经贸部CA等,广东CA中心（CNCA）上海CA中心(SHECA)深圳CA中心(SZCA)等,大多以地方政府为背景，以公司机制运作,2020/5/27,50,国内主要的电子商务认证中心,北京数字证书认证中心：深圳市电子商务认证中心：广东省电子商务认证中心：海南省电子商务认证中心：湖北省电子商务认证中心：上海电子商务认证中心：中国数字认证网：山西省电子商务认证中心：中国金融认证中心：天津电子商务运作中心：,小结,本章介绍了电子商务所面临的安全问题，指出了解决这些问题的具体方法，如保证网络平台安全的防火墙技术，保证机密性的私有/公开密钥加密技术以及结合两者优点的数字信封技术，保证数据完整性的数字签名以及数字时间戳等系列安全技术措施。与电子商务技术永远都在不断往前发展一样，安全策略也永远都不会有一个终极版本，它必定会在业界人士的不断努力下，越来越趋于成熟、趋于完善。为了国家的安全，电子商务系统中所涉及到安全理论和技术只能靠自主开发，不能靠引进。,2020/5/27,52,一、思考题1、电子商务面临哪些安全问题？电子商务对安全的要求主要体现在哪些方面？2、对称加密和非对称加密技术的基本原理是什么，有哪些区别？3：数字签名使用的主要技术有哪些？并简述数字签名的产生和验证过程；4、什么是数字证书?数字证书有哪些类型？认证中心有什么作用？二、操作题1、登录广东CA认证中心，完成试用型数字证书的申请、安装；2、应用安装的数字证书，收发加密和带数字