电商chap5电子商务安全技术

1、 电子商务概论 邵兵家 主编 高等教育出版社 2011版第5章 电子商务安全技术 电子商务概论 邵兵家 主编 高等教育出版社 2011版 学习目标学习目标n了解电子商务面临的主要安全威胁了解电子商务面临的主要安全威胁 n了解电子商务对安全的基本要求了解电子商务对安全的基本要求 n 熟悉电子商务常用的安全技术熟悉电子商务常用的安全技术n 掌握防火墙的功能和工作原理掌握防火墙的功能和工作原理n了解电子商务常用的加密技术了解电子商务常用的加密技术n了解电子商务的认证体系了解电子商务的认证体系n 掌握掌握SSL和和SET的流程和工作原理的流程和工作原理 电子商务概论 邵兵家 主编 高等教育出版社 20

2、11版案例：案例：n随着经济信息化进程的加快，计算机网络上的破坏活随着经济信息化进程的加快，计算机网络上的破坏活动也随之猖獗起来，已对经济秩序、经济建设、国家动也随之猖獗起来，已对经济秩序、经济建设、国家信息安全构成严重威胁。信息安全构成严重威胁。n消费者对网上交易的网络安全缺乏信心，使得越来越消费者对网上交易的网络安全缺乏信心，使得越来越多消费者不愿在网上购物。多消费者不愿在网上购物。 电子商务概论 邵兵家 主编 高等教育出版社 2011版n20002000年年2 2月月8 8日到日到1010日，一伙神通广大的神秘黑客在三天日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、

3、美国有限新闻的时间里接连袭击了互联网上包括雅虎、美国有限新闻等在内的五个最热门的网站，导致世界五大网站连连瘫等在内的五个最热门的网站，导致世界五大网站连连瘫痪。痪。n20002000年年9 9月，月， Western UnionWestern Union公司的公司的1500015000张信用卡被窃张信用卡被窃取，致使该商务网站不得不关闭取，致使该商务网站不得不关闭5 5天。天。n同年同年1212月，月，creditcards.corncreditcards.corn网站被窃取了网站被窃取了5500055000张信张信用卡，其中的用卡，其中的2500025000张信用卡号码在网上公诸于众。张信用

4、卡号码在网上公诸于众。 电子商务概论 邵兵家 主编 高等教育出版社 2011版n20022002年年, ,一名只有一名只有1616岁的中学生黑客侵入某银行岁的中学生黑客侵入某银行的网络系统，窃取了的网络系统，窃取了100100万元人民币。万元人民币。n更著名的案例则是美国花旗银行被黑客入侵，更著名的案例则是美国花旗银行被黑客入侵，窃取了上千万美金，举世为之震惊。窃取了上千万美金，举世为之震惊。 电子商务概论 邵兵家 主编 高等教育出版社 2011版nhttp:/ 1.8万银行卡失密万银行卡失密nhttp:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版电子商务安全技术电子商务安全技术

5、5.1 电子商务安全电子商务安全5.2 防火墙技术防火墙技术5.3 数据加密技术数据加密技术5.4 认证技术认证技术5.5 安全技术协议安全技术协议 电子商务概论 邵兵家 主编 高等教育出版社 2011版电子商务系统安全的概念电子商务系统安全的概念n电子商务系统硬件安全电子商务系统硬件安全 n电子商务系统软件安全电子商务系统软件安全 n电子商务系统运行安全电子商务系统运行安全 n电子商务安全立法电子商务安全立法 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.1电子商务安全电子商务安全5.1.1电子商务的安全性问题电子商务的安全性问题1在网络的传输过程中信息被截获在网络的传输过程中信

6、息被截获 2传输的文件可能被篡改传输的文件可能被篡改 3伪造电子邮件伪造电子邮件 4假冒他人身份假冒他人身份 5不承认或抵赖已经做过的交易不承认或抵赖已经做过的交易 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.1.2电子商务的安全要求电子商务的安全要求n信息的保密性信息的保密性 n保密性，是指商业信息在传输过程或存储保密性，是指商业信息在传输过程或存储中不被泄漏。中不被泄漏。n通过对相应的信息进行加密来保证用户信通过对相应的信息进行加密来保证用户信息不被盗取。息不被盗取。n通过在必要的结点设置防火墙可以防止非通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。法用

7、户对网络资源的不正当的存取。 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.1.2电子商务的安全要求电子商务的安全要求n信息的完整性信息的完整性 n完整性，是指商业信息在传输和存储中保证数据一完整性，是指商业信息在传输和存储中保证数据一致性致性 。n电子伪装是最常见的破坏信息完整性的技术电子伪装是最常见的破坏信息完整性的技术。所谓所谓电子伪装，就是在网络上某人伪装成他人或者是某电子伪装，就是在网络上某人伪装成他人或者是某个网站伪装成另一个网站个网站伪装成另一个网站 。 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.1.2电子商务的安全要求电子商务的安全要求n信息的不可否

8、认性信息的不可否认性 n不可抵赖性，是指商业信息的发送方和接收方均不可抵赖性，是指商业信息的发送方和接收方均不得否认已发或已收的信息不得否认已发或已收的信息。n这就需要利用数字签名和身份认证等技术确认对这就需要利用数字签名和身份认证等技术确认对方身份。一经确认，双方就不得否认自己的交易方身份。一经确认，双方就不得否认自己的交易行为行为。n交易者身份的真实性交易者身份的真实性 n系统的可靠性系统的可靠性 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.2防火墙技术防火墙技术nIntranet的安全概念的安全概念n保护企业内部资源，防止外部入侵，控保护企业内部资源，防止外部入侵，控制和监

9、督外部用户对企业内部网的访问。制和监督外部用户对企业内部网的访问。n控制、监督和管理企业内部对外部控制、监督和管理企业内部对外部Internet的访问的访问 电子商务概论 邵兵家 主编 高等教育出版社 2011版判断题：判断题：n有人说网络防火墙是一堵能防火的有人说网络防火墙是一堵能防火的墙，对吗？墙，对吗？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版防火墙防火墙n由硬件设备和软件系统组合而成，在内由硬件设备和软件系统组合而成，在内部网和外部网之间的界面上构造的保护部网和外部网之间的界面上构造的保护屏障屏障n防火墙软件通常是在防火墙软件通常是在TCP/IP网络软件的网络软件的基础上

10、进行改造和再开发形成的。目前基础上进行改造和再开发形成的。目前使用的产品分为两类：包过滤型和应用使用的产品分为两类：包过滤型和应用网关型网关型 电子商务概论 邵兵家 主编 高等教育出版社 2011版常用的防火墙类型常用的防火墙类型n包过滤型防火墙包过滤型防火墙n动态检查流过的动态检查流过的TCP/IP报文头，检查报报文头，检查报文头中的报文类型、源文头中的报文类型、源IP地址、目的地址、目的IP地地址、源端口号等域，根据事先定义的规址、源端口号等域，根据事先定义的规则，决定哪些报文允许流过，哪些报文则，决定哪些报文允许流过，哪些报文禁止通过。禁止通过。n（相当于门卫的作用）（相当于门卫的作用）

11、 电子商务概论 邵兵家 主编 高等教育出版社 2011版 电子商务概论 邵兵家 主编 高等教育出版社 2011版应用网关型防火墙应用网关型防火墙n使用代理技术，在内部网和外部网之间设置一使用代理技术，在内部网和外部网之间设置一个物理屏障。个物理屏障。n对于外部网用户或内部网用户的服务请求，防对于外部网用户或内部网用户的服务请求，防火墙的代理服务机制对用户的真实身份和请求火墙的代理服务机制对用户的真实身份和请求进行合法性检查，决定接受还是拒绝。对于合进行合法性检查，决定接受还是拒绝。对于合法的请求，代理服务机制连接内部网和外部网，法的请求，代理服务机制连接内部网和外部网，并作为通信的终结，保护内

12、部网络资源不受侵并作为通信的终结，保护内部网络资源不受侵害。害。 电子商务概论 邵兵家 主编 高等教育出版社 2011版n代理服务机制是应用服务，叫代理服务代理服务机制是应用服务，叫代理服务程序，是根据需要编写的。若要增加新程序，是根据需要编写的。若要增加新的应用服务，则必须编写新的程序。的应用服务，则必须编写新的程序。 电子商务概论 邵兵家 主编 高等教育出版社 2011版代理服务型防火墙的工作原理代理服务型防火墙的工作原理 电子商务概论 邵兵家 主编 高等教育出版社 2011版 防火墙安全策略防火墙安全策略n没有被列为允许访问的服务都是被没有被列为允许访问的服务都是被禁止的禁止的n没有被列

13、为禁止访问的服务都是被没有被列为禁止访问的服务都是被允许的允许的 电子商务概论 邵兵家 主编 高等教育出版社 2011版课堂思考题：课堂思考题：n上面哪一种防火墙安全策略更好？上面哪一种防火墙安全策略更好？为什么？为什么？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版防火墙的局限性防火墙的局限性n不能阻止来自内部的破坏不能阻止来自内部的破坏n不能保护绕过它的连接不能保护绕过它的连接n无法完全防止新出现的网链威胁无法完全防止新出现的网链威胁n不能防止病毒不能防止病毒 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.3 数据加密技术：数据加密技术：n加密和解密加密和解密n加密技

14、术，就是采用合适的加密算法（实际加密技术，就是采用合适的加密算法（实际上是一种数学方法）把原始信息（称为上是一种数学方法）把原始信息（称为“明明文文”）转换成一些晦涩难懂的或者偏离信息）转换成一些晦涩难懂的或者偏离信息原意的信息（称为原意的信息（称为“密文密文”），从而达到保），从而达到保障信息安全目的的过程。障信息安全目的的过程。n加密系统包括信息（明文和密文）、密钥加密系统包括信息（明文和密文）、密钥（加密密钥和解密密钥）、算法（加密算法（加密密钥和解密密钥）、算法（加密算法和解密算法）三个组成部分。和解密算法）三个组成部分。 电子商务概论 邵兵家 主编 高等教育出版社 2011版例如：将

15、例如：将2626个英文字母个英文字母a a、b b、c c、d d、e e、fxfx、y y、z z分别对应变换为分别对应变换为c c、d d、e e、f f、g g、hzhz、a a、b b，即字母顺序保持，即字母顺序保持不变，但使之分别与相差不变，但使之分别与相差2 2个字母的字个字母的字母相对应。若现在有明文母相对应。若现在有明文“hello”hello”，则按照该加密算法和密钥，对应密文则按照该加密算法和密钥，对应密文为为“jgnnq”jgnnq”。 电子商务概论 邵兵家 主编 高等教育出版社 2011版对称密钥系统对称密钥系统n对称加密技术（对称加密技术（Symmetric Encr

16、yptionSymmetric Encryption）又称）又称为私钥或单钥加密为私钥或单钥加密n在这种加密体系中，加密和解密均使用同一个在这种加密体系中，加密和解密均使用同一个密钥或者本质上相同（即其中一个可以通过另密钥或者本质上相同（即其中一个可以通过另一个密钥推导）的一对密钥。一个密钥推导）的一对密钥。 电子商务概论 邵兵家 主编 高等教育出版社 2011版对称密钥系统对称密钥系统 电子商务概论 邵兵家 主编 高等教育出版社 2011版优缺点优缺点 ：n对称加密技术的优点在于算法简单，加密、解密速度对称加密技术的优点在于算法简单，加密、解密速度快。快。n通讯双方需要借助于邮件和电话等其它

17、相对不够安全通讯双方需要借助于邮件和电话等其它相对不够安全的手段，在首次通讯前协商出一个共同的密钥。的手段，在首次通讯前协商出一个共同的密钥。n为了保证数据的安全性，就必须对每一个合作者都需为了保证数据的安全性，就必须对每一个合作者都需要使用不同的密钥。在要使用不同的密钥。在InternetInternet这一用户众多的通信这一用户众多的通信渠道上，对称密钥的数量将非常巨大，密钥难于管理。渠道上，对称密钥的数量将非常巨大，密钥难于管理。如：如： 假设有假设有3 3个人两两通信，需要个人两两通信，需要3 3个密钥；如果有个密钥；如果有1010个人，就需要个人，就需要4545个密钥；个密钥；n n

18、个人则需要个人则需要 ？个密个密钥。钥。 电子商务概论 邵兵家 主编 高等教育出版社 2011版对称密钥系统续对称密钥系统续n解决了信息的何种安全需求？解决了信息的何种安全需求？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版对称密钥系统解决了：对称密钥系统解决了：n保密性问题保密性问题 电子商务概论 邵兵家 主编 高等教育出版社 2011版对称密钥系统尚未解决：对称密钥系统尚未解决：n完整性问题完整性问题n不可否认性不可否认性 电子商务概论 邵兵家 主编 高等教育出版社 2011版消息摘要（数字摘要）消息摘要（数字摘要）n又称安全又称安全Hash编码法编码法 电子商务概论 邵兵家 主

19、编 高等教育出版社 2011版采用采用Hash函数对需要加密的明文变换函数对需要加密的明文变换成一串固定长度为成一串固定长度为128bit的密文，的密文，这串密文就叫做这串密文就叫做数字摘要数字摘要,也叫做也叫做数数字指纹字指纹。 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字摘要具有以下特点： 第一、同样的明文其数字摘要是惟一的；第一、同样的明文其数字摘要是惟一的； 第二，不同的明文其数字摘要必定不同；第二，不同的明文其数字摘要必定不同； 第三、通过数字摘要不可能经过逆运算生第三、通过数字摘要不可能经过逆运算生成原文。成原文。为什么说以上特点对消息摘要技术来说缺为什么说以上特点对

20、消息摘要技术来说缺一不可？一不可？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版消息摘要（续）消息摘要（续）n解决信息的何种安全需求？解决信息的何种安全需求？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版消息摘要解决了：消息摘要解决了：n完整性问题完整性问题 电子商务概论 邵兵家 主编 高等教育出版社 2011版消息摘要尚未解决：消息摘要尚未解决：n保密性问题保密性问题n不可否认性不可否认性 电子商务概论 邵兵家 主编 高等教育出版社 2011版公钥和私钥系统公钥和私钥系统 采用非对称加密技术对数据进行加密时，它采用非对称加密技术对数据进行加密时，它需要一对密钥（这对密钥无

21、法相互推导），通需要一对密钥（这对密钥无法相互推导），通信一方需要在属于自己的密钥对中选择一个密信一方需要在属于自己的密钥对中选择一个密钥作为公开密钥，简称公钥，并将其告诉其他钥作为公开密钥，简称公钥，并将其告诉其他用户；另一个密钥作为私人密钥，简称私钥，用户；另一个密钥作为私人密钥，简称私钥，由自己妥善保管。由自己妥善保管。 电子商务概论 邵兵家 主编 高等教育出版社 2011版公开密钥使用密钥对，如果用公开密钥对数据加公开密钥使用密钥对，如果用公开密钥对数据加密，只有用对应的私人密钥才能解密；如果用密，只有用对应的私人密钥才能解密；如果用私人密钥对数据加密，那么只有用对应的公开私人密钥对数

22、据加密，那么只有用对应的公开密钥才能解密。正是加密和解密使用的是两个密钥才能解密。正是加密和解密使用的是两个不同的密钥，所以这种算法叫非对称加密算法，不同的密钥，所以这种算法叫非对称加密算法，也叫做也叫做“非对称加密技术（非对称加密技术（Asymmetric Asymmetric EncryptionEncryption）”。 电子商务概论 邵兵家 主编 高等教育出版社 2011版公钥和私钥系统公钥和私钥系统 电子商务概论 邵兵家 主编 高等教育出版社 2011版优缺点优缺点 ：n非对称密钥系统的优点在于密钥的管理非常简单和安非对称密钥系统的优点在于密钥的管理非常简单和安全。全。n非对称密钥体

23、系也有其缺点，那就是密钥较长，加密、非对称密钥体系也有其缺点，那就是密钥较长，加密、解密花费时间长、速度慢，一般不适合于对数据量较解密花费时间长、速度慢，一般不适合于对数据量较大的文件加密，而只适用于对少量数据加密。大的文件加密，而只适用于对少量数据加密。利用非对称加密算法和对称加密算法的各自优点，安全利用非对称加密算法和对称加密算法的各自优点，安全专家们设计出了一些综合保密系统。专家们设计出了一些综合保密系统。 电子商务概论 邵兵家 主编 高等教育出版社 2011版公钥和私钥系统续公钥和私钥系统续n解决信息的何种安全需求？解决信息的何种安全需求？ 电子商务概论 邵兵家 主编 高等教育出版社

24、2011版公钥和私钥系统解决了：公钥和私钥系统解决了：n保密性问题保密性问题n不可否认性不可否认性 电子商务概论 邵兵家 主编 高等教育出版社 2011版公钥和私钥系统尚未解决：公钥和私钥系统尚未解决：n完整性问题完整性问题公钥和私钥系统公钥和私钥系统是对称加密系统的补充是对称加密系统的补充 电子商务概论 邵兵家 主编 高等教育出版社 2011版课堂应用：课堂应用：n请设计一个加密方案，能同时满足请设计一个加密方案，能同时满足保密性、完整性和不可否认性三种保密性、完整性和不可否认性三种要求。要求。 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.4 认证技术：认证技术：1、数字签名、

25、数字签名n原理：非对称密钥系统原理：非对称密钥系统+消息摘要消息摘要 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字签名的操作步骤：数字签名的操作步骤： 1 1、发送方用、发送方用Hash编码法对被传编码法对被传输的文件进行加密产生数字摘要；输的文件进行加密产生数字摘要； 2 2、发送方再用、发送方再用自己的私钥自己的私钥对数字对数字摘要加密，从而实现了摘要加密，从而实现了数字签名数字签名； 3 3、将被传输的原文和加密了的数、将被传输的原文和加密了的数字摘要同时传输给对方；字摘要同时传输给对方； 电子商务概论 邵兵家 主编 高等教育出版社 2011版n 4、接收方用发送方的公钥对

26、数字、接收方用发送方的公钥对数字摘要解密，同时对收到的原文用摘要解密，同时对收到的原文用Hash编码法编码法加密又产生一个数字摘加密又产生一个数字摘要，将两个数字摘要进行比较，若要，将两个数字摘要进行比较，若二者一致，则说明传输过程中信息二者一致，则说明传输过程中信息没有被破坏或篡改过，否则不然。没有被破坏或篡改过，否则不然。 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字签名数字签名（续）（续）n解决信息的何种安全需求？解决信息的何种安全需求？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字签名解决了：数字签名解决了：n完整性问题完整性问题n不可否认性不可否认性 电子

27、商务概论 邵兵家 主编 高等教育出版社 2011版数字签名尚未解决：数字签名尚未解决：n保密性问题保密性问题 电子商务概论 邵兵家 主编 高等教育出版社 2011版改善提案：改善提案：n数字签名方法如何改进才能满足数字签名方法如何改进才能满足保密性的要求？保密性的要求？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版明文密文发送方接收方加密解密接收方的公钥签名明文签名接收方的私钥发送方的私钥发送方的公钥 电子商务概论 邵兵家 主编 高等教育出版社 2011版2、数字时间戳、数字时间戳n数字时间戳服务数字时间戳服务（DTS:digital time-stamp service）就是一种为

28、电子文件发表时间提供）就是一种为电子文件发表时间提供安全保护的技术。它是由专门的认证机构提供安全保护的技术。它是由专门的认证机构提供的电子商务安全服务项目，用于证明信息的发的电子商务安全服务项目，用于证明信息的发送时间。送时间。n原理：原理：对消息摘要加盖时间戳对消息摘要加盖时间戳 电子商务概论 邵兵家 主编 高等教育出版社 2011版它是一个经加密后形成的凭证文档，包它是一个经加密后形成的凭证文档，包括三个部分括三个部分 1、需要加时间戳的文件的数字摘要；、需要加时间戳的文件的数字摘要； 2、DTS收到需要加时间戳的文件的日期收到需要加时间戳的文件的日期和时间；和时间； 3、DTS的数字签名

29、。的数字签名。 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字时间戳与书面签署的日期和时间的数字时间戳与书面签署的日期和时间的区别在于区别在于：第一、书面文件上的日期和时间是由第一、书面文件上的日期和时间是由签署人自己写上的，而数字时间戳签署人自己写上的，而数字时间戳则是由则是由DTS加上的；加上的；第二、数字时间戳的日期和时间是第二、数字时间戳的日期和时间是DTS收到用户的数字摘要的日期和收到用户的数字摘要的日期和时间。时间。 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字时间戳的产生过程数字时间戳的产生过程 Hash算法 原文 摘要 1 加时间 数字 时间戳 Int

30、ernet 用DTS机构的私钥加密 发送方 DTS机构 Hash算法 加了时间后的新摘要 摘要 1 摘要1 +时间 数字 时间戳 电子商务概论 邵兵家 主编 高等教育出版社 2011版3、数字信封、数字信封n数字信封是一种用加密技术来保证数字信封内数字信封是一种用加密技术来保证数字信封内的内容只有特定的收信人才能阅读的信息安全的内容只有特定的收信人才能阅读的信息安全技术。技术。n在采用对称密钥加密体制对信息加密时，必须在采用对称密钥加密体制对信息加密时，必须要将密钥传送给接收方，为了保证密钥的保密要将密钥传送给接收方，为了保证密钥的保密性，性，发送方用接收方的公钥对包含有对称密钥发送方用接收方

31、的公钥对包含有对称密钥的信息进行加密，这一过程就形成了数字信封的信息进行加密，这一过程就形成了数字信封。接收方用自己的私钥打开数字信封，就可得到接收方用自己的私钥打开数字信封，就可得到对称密钥。对称密钥。 电子商务概论 邵兵家 主编 高等教育出版社 2011版4、数字证书（数字凭证）、数字证书（数字凭证）n认证中心认证中心n数字证书数字证书n数字证书的类型数字证书的类型n认证中心的树形验证结构认证中心的树形验证结构 电子商务概论 邵兵家 主编 高等教育出版社 2011版认证中心认证中心 认证中心认证中心(CA(CA，Certification Certification Authority)A

32、uthority)就是承担网上安全电就是承担网上安全电子交易认证服务、签发数字证书、子交易认证服务、签发数字证书、并能确认用户身份的服务机构。并能确认用户身份的服务机构。 电子商务概论 邵兵家 主编 高等教育出版社 2011版认证中心的作用认证中心的作用n 证书的颁发证书的颁发 、更新、查询、作废和、更新、查询、作废和归档。归档。n http:/ n http:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版著名的认证中心：著名的认证中心： 国际上最著名的认证中心有国际上最著名的认证中心有美国的Verisign公司、AT&T、RSA公司、GTE公司和Microsoft公司等。

33、 我国的认证中心主要有我国的认证中心主要有：中国协卡认证体系（中国协卡认证体系（http:/http:/）中国金融认证中心（http:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版http:/http:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版nhttp:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版NoImage 电子商务概论 邵兵家 主编 高等教育出版社 2011版http:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版 电子商务概论 邵兵家 主编 高等教育出版社 2011版 电子商务概论 邵兵家 主编 高等教育出版社 2011版 电子商

34、务概论 邵兵家 主编 高等教育出版社 2011版http:/http:/ 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字证书数字证书n是标志网络用户身份信息的一系列数据，是标志网络用户身份信息的一系列数据，用来在网络应用中识别通讯各方的身份。用来在网络应用中识别通讯各方的身份。它是由它是由CA为交易者颁发的能证实交易者为交易者颁发的能证实交易者真实身份的电子文件。真实身份的电子文件。n含有证书持有者的有关信息，以标示他含有证书持有者的有关信息，以标示他们的身份们的身份 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字证书可用于：数字证书可用于： 发送安全电子邮件、访问安发

35、送安全电子邮件、访问安全站点、网上证券交易、网上采全站点、网上证券交易、网上采购招标、网上办公、网上保险、购招标、网上办公、网上保险、网上税务、网上签约和网上银行网上税务、网上签约和网上银行等安全电子事务处理和安全电子等安全电子事务处理和安全电子交易活动。交易活动。 电子商务概论 邵兵家 主编 高等教育出版社 2011版n数字签名有时还不能保证发送人就是私数字签名有时还不能保证发送人就是私钥拥有者本人，发送者有可能是窃取了钥拥有者本人，发送者有可能是窃取了私钥的人，此时数字证书将发挥作用。私钥的人，此时数字证书将发挥作用。n数字证书可以证实公钥和私钥的持有人数字证书可以证实公钥和私钥的持有人的

36、真实身份；的真实身份；n数字证书是由被称为认证中心（数字证书是由被称为认证中心（CA）的的第三方机构发行的，其结构由第三方机构发行的，其结构由IETF的的X.509标准规定。标准规定。 电子商务概论 邵兵家 主编 高等教育出版社 2011版n个人或公司可以将其公钥和身份信息发送给个人或公司可以将其公钥和身份信息发送给CA来申请数字证书；来申请数字证书；nCA核实了信息之后，就生成包含申请人公钥核实了信息之后，就生成包含申请人公钥和身份信息的证书，和身份信息的证书，CA用他们的私钥给证书用他们的私钥给证书加密，并将签名证书寄给申请人；加密，并将签名证书寄给申请人；n当有人想向申请人发送信息时，他

37、们将首先要当有人想向申请人发送信息时，他们将首先要求接收人寄来签名证书，然后发送人使用求接收人寄来签名证书，然后发送人使用CA的公钥来给证书解密；的公钥来给证书解密；n这样，发送人对接收人的身份就会更确信。这样，发送人对接收人的身份就会更确信。 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字证书包括以下内容数字证书包括以下内容n持有者的姓名持有者的姓名n持有者的公钥持有者的公钥n公钥的有效期公钥的有效期n颁发证书单位颁发证书单位n颁发证书单位的数字签名颁发证书单位的数字签名n数字证书的序列号数字证书的序列号 电子商务概论 邵兵家 主编 高等教育出版社 2011版数字证书的类型数字证

38、书的类型1、个人用户证书个人用户证书 个人用户证书又称为客户证书，用个人用户证书又称为客户证书，用来证实客户身份和密钥所有权。来证实客户身份和密钥所有权。2、企业用户证书企业用户证书 它通常为网上的某个它通常为网上的某个Web服务器提供服务器提供数字证书。数字证书。3、安全邮件证书安全邮件证书 用来证实电子邮件用户的身份和公钥。用来证实电子邮件用户的身份和公钥。4、服务器证书服务器证书 服务器证书又称站点证书，是安装在服务器证书又称站点证书，是安装在WEB服务器上的可以让访问者利用网页浏览器来验服务器上的可以让访问者利用网页浏览器来验证网站真实身份的数字证明，且可以通过服务器证证网站真实身份的

39、数字证明，且可以通过服务器证书进行具有书进行具有SSL加密的通讯过程。加密的通讯过程。5、软件数字证书软件数字证书 它通常为因特网中被下载的软件提供它通常为因特网中被下载的软件提供数字证书。数字证书。6、CA证书证书 用来证实用来证实CA中心的身份和中心的身份和CA中心的签名密中心的签名密钥。钥。 电子商务概论 邵兵家 主编 高等教育出版社 2011版认证中心的树形验证结构认证中心的树形验证结构 电子商务概论 邵兵家 主编 高等教育出版社 2011版信息加密与身份认证原理信息加密与身份认证原理 电子商务概论 邵兵家 主编 高等教育出版社 2011版 电子商务概论 邵兵家 主编 高等教育出版社

40、2011版 电子商务概论 邵兵家 主编 高等教育出版社 2011版5.5 安全交易协议安全交易协议 电子商务安全交易协议是保证在线支付电子商务安全交易协议是保证在线支付安全的重要措施。安全的重要措施。 目前，广泛采用的安全交易协议主要有：目前，广泛采用的安全交易协议主要有：1、安全套接层协议、安全套接层协议SSL（Secure Sockets Layer）2、安全电子交易协议、安全电子交易协议SET(Secure Electronic Transaction) 电子商务概论 邵兵家 主编 高等教育出版社 2011版一、安全套接层协议一、安全套接层协议SSLSSL SSL是是1995年由年由Ne

41、tscape公司推出的一种安全公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较通信协议，它能够对信用卡和个人信息提供较强的保护，是一种对计算机之间整个通信过程强的保护，是一种对计算机之间整个通信过程进行加密的协议。它被广泛应用于电子商务的进行加密的协议。它被广泛应用于电子商务的网上购物中。网上购物中。 电子商务概论 邵兵家 主编 高等教育出版社 2011版nSSL支持大量的加密算法和认证方式，这些算支持大量的加密算法和认证方式，这些算法和方式的结合被称为法和方式的结合被称为“加密套件加密套件”。n当客户机与服务器联系时，首先就加密套件达当客户机与服务器联系时，首先就加密套件达成一致，

42、选择双方共有的最强的套件。成一致，选择双方共有的最强的套件。n对于网页来说，这种协商过程是从用户点击以对于网页来说，这种协商过程是从用户点击以https而不是而不是http开头的开头的URL链接开始的（如链接开始的（如https:/，而不是而不是http:/），）， https意味着此意味着此后所有的通信都将通过后所有的通信都将通过SSL加密。加密。 电子商务概论 邵兵家 主编 高等教育出版社 2011版SSLSSL协议的主要目标协议的主要目标1、将对称密钥技术和非对称密钥技术相结合，、将对称密钥技术和非对称密钥技术相结合，在浏览器与在浏览器与WEB服务器之间建立一条安全通服务器之间建立一条安

43、全通道，保证在道，保证在Internet中传输文件的保密性，防中传输文件的保密性，防止非法用户进行破译；止非法用户进行破译； 2、利用认证技术和第三方、利用认证技术和第三方CA，识别浏览器与，识别浏览器与WEB服务器之间的身份，确认用户和服务器服务器之间的身份，确认用户和服务器的合法性，确保数据确实被发送到想要发送的的合法性，确保数据确实被发送到想要发送的客户机和服务器上；客户机和服务器上； 3、利用、利用Hash函数和数字签名技术，保证所有函数和数字签名技术，保证所有经过经过SSL处理的信息在传输过程中能完整准确处理的信息在传输过程中能完整准确无误地到达目的地。无误地到达目的地。 电子商务概

44、论 邵兵家 主编 高等教育出版社 2011版nSSLSSL协议满足了电子商务的哪些协议满足了电子商务的哪些安全需求？安全需求？ 电子商务概论 邵兵家 主编 高等教育出版社 2011版工作流程：工作流程：n服务器认证阶段：n1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；n2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；n3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；n4）服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器 电

45、子商务概论 邵兵家 主编 高等教育出版社 2011版n用户认证阶段：n在此之前，客户已经通过了对服务器的认证，这一阶段主要完成服务器对客户的认证。n经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证 电子商务概论 邵兵家 主编 高等教育出版社 2011版 SSL SSL协议的评价协议的评价1、SSL协议的主要优点nSSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍有许多网上商店在使用n 在点对点的网上银行业务中也经常使用，该协议已成为事实上的工业标准。n在市场上已有许多SSL相关产品及工具，它们大多较成熟，能提供相当稳定的服务。n目前

46、，几乎所有操作平台上的WEB浏览器和流行的服务器都支持SSL协议n因此使用SSL协议既方便又经济，而且还能保证数据的安全性、保密性和完整性。 电子商务概论 邵兵家 主编 高等教育出版社 2011版2 2、SSLSSL协议存在的主要问题协议存在的主要问题（1）系统安全性比较差，SSL协议的数据安全性是建立在RSA等算法的安全性上，因此，攻破RSA等算法就等同于攻破了此协议；（2）SSL协议运行的基础是商家对客户信息保密的承诺，因此SSL协议有利于商家而不利于客户。SSL协议的运行过程可以看出，客户的信息首先传到商家，商家阅读后再传给银行，这样，客户的资料完全掌握在商家手中，其安全性便受到威胁。

47、电子商务概论 邵兵家 主编 高等教育出版社 2011版二、安全电子交易协议二、安全电子交易协议SETnSET协议是为了用于解决客户、商家和银行之间通过协议是为了用于解决客户、商家和银行之间通过信用卡支付的交易安全，由信用卡支付的交易安全，由VISA和和MasterCard两大两大信用卡公司于信用卡公司于1997年合作制定的。年合作制定的。n 它是一个为在线交易而设立的一个开放的、以电子它是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。货币为基础的电子付款系统规范。SET在保留对客户在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。信用卡认证的前提下，又增加了对商

48、家身份的认证。n SET主要使用电子认证技术，其认证过程使用主要使用电子认证技术，其认证过程使用RSA和和DES算法，算法，SET规范是目前电子商务中最重要的协规范是目前电子商务中最重要的协议。议。 电子商务概论 邵兵家 主编 高等教育出版社 2011版（一）（一）SETSET协议的主要目标协议的主要目标 1、机密性：SET协议采用非对称密钥加密技术来保证信息传输的机密性；SET协议还可以通过双重签名的方法将信用卡信息直接从客户方透过商家发送给商家的开户行，而避免商家窥探客户的账号信息。 2、完整性：通过SET协议发送的所有报文加密后，将产生一个数字摘要，利用数字摘要的惟一性保证信息传输的完整性； 电子商务概论 邵兵家 主编 高等教育出版社 2011版3、身份的合法性：SET协