电子商务应用课程教学课件PPT格式电子商务应用安全.ppt

1、第三章 电子商务应用安全,第三章 电子商务应用安全,应知目标 通过本模块的学习，了解电子商务面临的安全威胁与安全需求，了解并掌握电子商务的安全技术数字机密技术、数字摘要技术、数字签名技术、数字时间戳的工作机理，了解数字证书的基本概念与CA中心的功能；了解并掌握SSL和SET安全协议的基本原理与工作程序。,第三章 电子商务应用安全,应会目标 通过本模块的学习，会识别电子商务中存在的安全威胁；会分析保障电子商务安全的各种对策；会申请与配置数字证书；会使用数字证书对信息进行加密与签名。,第三章 电子商务应用安全,导入案例 2012年5月29日，北京大学互联网安全技术北京市实验室联合中国软件评测中心召

2、开媒体发布会，对外发布了网站用户口令处理安全性外部测评报告。报告显示，国内网站对用户口令的处理方式存在很大的差异，在安全性方面问题十分突出，此次评测选取的100个流行网站中，仅有8个网站采取了充分的安全措施，有59个网站没有采取任何安全措施，更有85个网站直接拿到了用户的口令原文。,第三章 电子商务应用安全,导入案例,第三章 电子商务应用安全,导入案例 本次测评抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站，在一定程度上客观地反映了当前互联网公共网站对于用户口令处理的现状和问题，本次报告的发布，希望能够引起网民用户、网站开发者、网站运营者、政府主管部门

3、等对于用户口令处理安全性的重视，并通过各方面努力，来共同加强个人信息保护，营造一个健康有序的互联网环境。电子商务类网站用户口令处理情况如图3-1所示。 问题：(1)电子商务的安全威胁有哪些？ (2)电子商务通过哪些方法来防范各种安全威胁？,3.1电子商务安全问题概述,3.1.1 电子商务面临的安全性问题 一、物理设备的安全问题 设备的安全主要是指物理设备即硬件设施是否安全，能否正常运行。 二、软件漏洞 操作系统的安全漏洞 网络协议的安全漏洞 网络服务软件的安全漏洞,3.1电子商务安全问题概述,3.1.1 电子商务面临的安全性问题 三、黑客的攻击 系统的中断与瘫痪 信息被窃取 信息被篡改 信息被

4、伪造 信息被否认或抵赖,3.1电子商务安全问题概述,3.1.1 电子商务面临的安全性问题 四、计算机病毒的危害 五、安全管理不完善,3.1电子商务安全问题概述,3.1.2 电子商务的安全需求 一、保密性 二、完整性 三、不可抵赖性 四、真实性 五、可靠性,3.2数字机密性技术,机密技术是保护信息安全的主要手段之一，它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。它不仅具有保证信息机密性的信息加密功能，而且可以利用其他基本原理进行数字签名、身份验证、系统安全等功能。使用密码技术不仅可以保证信息的机密性，可以保证信息的完整性和确切性，防止信息被篡改、伪造和假冒。,3.2数字机密性技

5、术,加密就是使用加密密钥通过加密设备或数学算法来重新组织数据，将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的形式，这种不可理解的内容叫做密文，这个过程就是即加密。解密是加密的逆过程，即合法接收者用解密密钥将密文还原成原来的可以理解的明文。,3.2数字机密性技术,3.2.1 对称密钥加密法 一、对称密钥加密法的定义与应用原理 对称密钥加密(Symmetric key Cryprography)也称单密钥加密或私有密钥加密，就是指在计算机网络甲、乙两用户之间通信时，发送方甲为了保护传输的明文信息不被第三方窃取，采用密钥A对信息进行加密而形成密文M并且发送给接收方乙，接

6、受方乙用同样的一把密钥A对收到的密文M进行解密，得到明文信息，从而完成密文通信目的的方法。这种信息加密传输方式就称为对称密钥加密法。,3.2数字机密性技术,3.2.1 对称密钥加密法,3.2数字机密性技术,3.2.1 对称密钥加密法 二、对称密钥加密法的常用算法 DES算法及其各种变形、国际数据加密算法IDEA以及 RC4、RC5等 三、对称密钥加密法的优缺点 优点：加密和解密速度快 缺点：对称密钥难于满足开放式计算机网络环境的需求、若用户与多方通信时，不便于密钥的分配与管理、不能进行用户身份的认定,3.2数字机密性技术,3.2.2 非对称密钥加密法 一、非对称密钥加密法的定义与应用原理 非对

7、称密钥加密(Asymmetric key Cryptography)也称双密钥加密或公开密钥加密，是指在计算机网络甲、乙两用户之间进行通信时，发送方甲为了保护传输的明文信息不被第三方窃取，采用密钥A对信息进行加密，形成密文M并且发送给接收方乙，接收方乙用另一把密钥B对收到的密文M进行解密，得到明文信息，完成密文通信目的的方法。,3.2数字机密性技术,3.2.2 非对称密钥加密法 一、非对称密钥加密法的定义与应用原理 加密模型,3.2数字机密性技术,3.2.2 非对称密钥加密法 一、非对称密钥加密法的定义与应用原理 认证模型,3.2数字机密性技术,3.2.2 非对称密钥加密法 二、非对称密钥加密

8、法的常用算法 RSA算法、ECC算法、DSA算法 三、非称密钥加密法的优缺点 优点：认证较为方便；分配简单；支持对传输信息的数字签名，解决数据的否认与抵赖问题 缺点：运算速度较慢,3.3数字摘要技术,3.3.1数字摘要的定义 所谓数字摘要(Digital Digest)，是发送者对被传送的一个信息报文根据某种数学算法算出一个信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给接收者，接收者应用此摘要值检验信息报文在网络传送过程中有没有发生改变，以此判断信息报文的真实与否。,3.3数字摘要技术,3.3.2数字摘要的应用原理,3.3数字摘要技术,3.3.3常用的Hash算法 报文摘要算法

9、(MD4、MD5) 安全散列算法(SHA1),3.4数字签名技术,3.4.1数字签名定义 数字签名(Digital Signature)指在要发送的信息报文上附加一个特殊的唯一代表发送者个人身份的标记(数字标签)，要来证明信息报文是由发送者发来的。 可以在提供数据完整性的同时，保证数据的真实性与不可否认性。 完整性是指传输的数据没有被修改，真实性是指确实由合法者产生的Hash函数而不是由其他人假冒。数字签名类似于文档的签名，以防止其抵赖行为。,3.4数字签名技术,3.4.2数字签名的应用原理 对原文使用Hash算法得到信息摘要。 发送者用自己的私钥对信息摘要加密。 发送者将加密后的信息摘要与原

10、文一起发送。 接收者用发送者的公钥对收到的加密摘要进行解密。 接收者对收到的原文用Hash算法得到接收方的信息摘要。 将解密后的摘要与接收方摘要进行对比，相同说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送者发送的。,3.4数字签名技术,3.4.2数字签名的应用原理,3.5数字时间戳,数字时间戳是一个经加密后形成的凭证文档，包括三个部分：时间戳的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。,3.6电子商务认证技术,3.6.1数字证书 一、数字证书的基本概念 数字证书(Digital Certificate或Digital ID)就是网络通信中标志通信各方身份信息的一

11、系列数据，提供了一种在Internet上验证身份的方式，其作用类似于现实生活中的身份证。 数字证书是由权威公正的第三方机构，即CA中心签发的。,3.6电子商务认证技术,3.6.1数字证书 二、数字证书的内容 证书的版本信息。 证书的序列号，每个证书都有一个唯一的证书序列号。 证书所使用的签名算法。 证书的发行机构名称。 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为19502049。 证书主题或使用者。 证书所有人的公开密钥信息。 其他额外的特别扩展信息。 证书发行者对证书的数字签名。,3.6电子商务认证技术,3.6.1数字证书 三、数字证书分类 个人身份证书(客户证书)

12、企业身份证书 服务器数字证书(站点证书) CA证书 安全电子邮件证书,3.6电子商务认证技术,3.6.2认证机构 认证机构(Certificate Authority，CA)也称认证中心，是一个负责发放和管理数字证书的权威机构，是电子商务体系中的核心环节，是电子交易中信赖的基础。,3.6电子商务认证技术,3.6.3数字证书的申请 用户需携带有效证件(身份证件或执照等)及其复印件到CA认证中心申请证书，填写申请表，也可以从网站直接下在证书申请表，填好后交予CA认证中心； CA认证中心录入申请表数据，审核用户身份是否属实(身份审核可能需要一点时间)，如果审核未通过，则CA认证中心拒绝发证； CA认

13、证中心进行身份审核，审核通过后，签发证书； 用户获取证书。,3.7常用的电子商务安全协议,3.7.1安全套接层协议SSL 一、SSL协议简介 SSL协议是一种在持有数字证书的客户端浏览器和远程的www服务器之间，构造安全通信通道并且传输数据的协议。 二、SSL协议的特点 三、建立SSL安全连接的过程,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 一、SET协议简介 SET（Secure Electronic Transaction 即安全电子交易协议）是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用在

14、Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 二、SET协议的特点 机密性、保护隐私、多方认证性、标准性 三、SET协议的参与方 SET支付系统主要由持卡客户(CardHolder)、商家(Merchant)、发卡银行(Issuing Bank)、收单银行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软

15、件。,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 四、SET协议的工作流程 客户利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 通过电子商务服务器与有关网上商家联系，网上商家作出应答，告诉客户所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。 客户选择付款方式，确认订单签发付款指令。此时SET开始介入。,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 四、SET协议的工作流程 在SET中，客户必须对订单和付款指令进行数字签名，同时利用双重签名技术保

16、证商家看不到客户的帐号信息。 网上商家接受订单后，向客户所在发卡银行请求支付认可。信息通过支付网关到收单银行，再到客户的发卡银行确认。批准交易后，返回确认信息给网上商家。 网上商家发送订单确认信息给客户。客户端软件可记录交易日志，以备将来查询。 网上商家发送货物或提供服务并通知收单银行将钱从客户的帐号转移到商店帐号，或通知发卡银行请求支付。,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 四、SET协议的工作流程,3.7常用的电子商务安全协议,3.7.2安全电子交易协议SET 五、SET协议的优缺点 优点：安全 缺点：协议复杂，使用成本高，客户端必须安装“电子钱包”软件，才能适

17、用。同时在SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，整个交易过程花费时间1.52分钟，交易效率低。,总结,目前电子商务面临的安全问题主要是有物理设备的安全问题、软件漏洞、黑客的攻击、计算机病毒的危害等。因此在一个安全的电子商务交易系统中，必须做到保密性、身份认证、信息完整性、不可抵赖性和信息可靠性的安全要求。,总结,电子商务中信息网络安全技术有：加密技术和认证技术，可以用来解决电子商务的安全问题，其中机密技术用来保护信息的机密性、不可抵赖性和信息的完整性，认证技术则解决身份认证问题。SSL、SET等安全协议则是将电子商务的各参与方与信息网络安全技术充分地结合起来，并规范各方的行为与各种技术的运用。随着电子商务安全技术的进步与信用机制的完善，电子商务一定会越来越