电子商务安全技术课件

电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术第六章第六章 电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术n在信息经济的发展过程中，我们越来越依赖于网络。在信息经济的发展过程中，我们越来越依赖于网络。n随随着着经经济济信信息息化化进进程程的的加加快快，计计算算机机网网络络上上的的破破坏坏活活动动也也随随之之猖猖獗獗起起来来，已对经济秩序、经济建设、国家信息安全构成严重威胁。已对经济秩序、经济建设、国家信息安全构成严重威胁。20002000年年2 2月月8 8日日到到1010日日，一一伙伙神神通通广广大大的的神神秘秘黑黑客客在在三三天天的的时时间间里里接接连连袭袭击击了了互互联联网网上上包包括括雅雅虎虎、美美国国有有限限新新闻闻等等在在内内的的五五个个最最热热门的网站，导致世界五大网站连连瘫痪。门的网站，导致世界五大网站连连瘫痪。20002000年年9 9月月，Western Western UnionUnion公公司司的的1500015000张张信信用用卡卡被被窃窃取取，致致使该商务网站不得不关闭使该商务网站不得不关闭5 5天。天。同同年年1212月月，creditcardscreditcards.corn.corn网网站站被被窃窃取取了了5500055000张张信信用用卡卡，其中的其中的2500025000张信用卡号码在网上公诸于众。张信用卡号码在网上公诸于众。n消消费费者者对对网网上上交交易易的的网网络络安安全全缺缺乏乏信信心心，使使得得越越来来越越多多消消费费者者不不愿愿在在网网上购物。上购物。资料信息：资料信息：7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 教学目标：教学目标：通过本章的学习要求学生了解电子商务的相通过本章的学习要求学生了解电子商务的相关安全技术，掌握病毒防范技术、防火墙技术关安全技术，掌握病毒防范技术、防火墙技术和加密算法基本原理和算法，了解电子商务的和加密算法基本原理和算法，了解电子商务的相关安全协议。相关安全协议。教学重点和难点：教学重点和难点：1 1、电子商务安全要素及策略、电子商务安全要素及策略 2 2、防火墙技术与加密技术、防火墙技术与加密技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术6.6.1 1 电子商务中安全要素及面临的安全问题电子商务中安全要素及面临的安全问题6.2 6.2 病毒及黑客防范技术病毒及黑客防范技术6.3 6.3 防火墙技术防火墙技术6.4 6.4 加密算法加密算法 6.5 6.5 基于公开密钥体系体系的数字证书认证技术基于公开密钥体系体系的数字证书认证技术6.6 6.6 电子商务安全交易协议电子商务安全交易协议教学内容：教学内容：7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术6.6.1 1 电子商务中安全要素及面临的安全问题电子商务中安全要素及面临的安全问题 u身份确认身份确认 u 1、工商管理登记、工商管理登记u 2、身份证、见面、身份证、见面u交易保证交易保证 u 1、合同的不可否认性（白纸黑字、合同的不可否认性（白纸黑字、字迹、公章）字迹、公章）u 2、有效性（第三方公证、鉴定）、有效性（第三方公证、鉴定）u 3、合法权益保护（法律保护、属、合法权益保护（法律保护、属地原则）地原则）u 4、单据传输有形、单据传输有形 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术一、电子商务具备的基本安全要素 有效性机密性完整性可靠性/不可抵赖性/可鉴别性审查能力 二、电子商务系统安全环境二、电子商务系统安全环境 网络安全、通信安全、商务交易安全以及物理网络安全、通信安全、商务交易安全以及物理设备环境的安全设备环境的安全 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术三、电子商务中面临的安全问题三、电子商务中面临的安全问题（一）计算机实体方面（一）计算机实体方面 病毒、黑客、断电、打雷、静电、盗窃以及物理设施的损坏和破坏。病毒、黑客、断电、打雷、静电、盗窃以及物理设施的损坏和破坏。（二）信息方面（二）信息方面 冒名偷窃、篡改数据、信息丢失、虚假信息、信息传递中的破坏。冒名偷窃、篡改数据、信息丢失、虚假信息、信息传递中的破坏。（三）信用方面（三）信用方面 买卖双方抵赖否认行为以及商品质量不符合要求。买卖双方抵赖否认行为以及商品质量不符合要求。（四）管理方面（四）管理方面 人员管理、机构管理、流程管理和技术管理。人员管理、机构管理、流程管理和技术管理。（五）（五）法律方面法律方面 法律滞后、法律调整以及法律效力。法律滞后、法律调整以及法律效力。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术四、电子商务系统安全策略四、电子商务系统安全策略l机构与管理机构与管理l法律与法规法律与法规l经济实力经济实力l技术与人才技术与人才政策、法律、守则、管理政策、法律、守则、管理Internet防火墙防火墙授权、认证授权、认证加密加密审计、监控审计、监控数据信息安全数据信息安全软件系统安全措施软件系统安全措施通讯网络安全措施通讯网络安全措施硬件系统安全措施硬件系统安全措施物理实体安全环境物理实体安全环境管理细则管理细则 保护措施保护措施法律法律 规范规范 道德道德 纪律纪律 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术安全具体应用策略安全具体应用策略交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安安全全管管理理体体系系网络安全技术网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代理服务分组过滤和代理服务等等法律、法规、政策法律、法规、政策 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术五、电子商务交易过程中安全性要求五、电子商务交易过程中安全性要求v信信息息的的保保密密性性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。v信信息息的的完完整整性性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术v信信息息的的不不可可否否认认性性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。v交交易易者者身身份份的的真真实实性性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。v系系统统的的可可靠靠性性：这是指计算机及网络系统的硬件和软件工作的可靠性。v在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术对应的技术解决手段对应的技术解决手段 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术6.2 6.2 病毒及黑客防范技术病毒及黑客防范技术 一、病毒概述（一）病毒是人为编制的程序；其次，病毒具有传染性。（一）病毒是人为编制的程序；其次，病毒具有传染性。1987年10月，世界第一例计算机病毒（Brian）在美国发现，它是一种系统引导型病毒。（二）病毒种类 1、单机病毒：CIH病毒、DOS病毒、Windows病毒、宏病毒。2、网络病毒：特洛伊木马、邮件病毒、IP炸弹、ICQ/QICQ炸弹（三）病毒特点 1.1.破坏性：破坏性：凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用CPU时间和内存开销，对数据或文件进行破坏等。2.2.隐蔽性：隐蔽性：病毒程序大多夹在正常程序之中，很难被发现。3.3.潜伏性：潜伏性：病毒侵入后，一般不立即活动，等条件成熟后才作用。4.4.传染性：传染性：病毒通过修改别的程序，并把自身的拷贝包括进去。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术二、病毒防范二、病毒防范(一)计算机病毒消毒可分为手工消毒和自动消毒手工消毒和自动消毒两种方法。u手工消毒方法使用DEBUG、PCTOOLS等简单工具，借助于对某种病毒的具体认识，从感染病毒的文件中，清除病毒代码，使之康复。手工消毒操作复杂，速度慢，风险大，需要熟练的技能和丰富的知识。u自动消毒方法使用自动消毒软件自动清除患病文件中的病毒代码，使之康复。自动消毒方法操作简单、效率高、风险小。u如果两种方法仍不奏效，最后一种办法就是对软盘进行格式化，或对硬盘进行低级格式化。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术1.备份：对所有的软件（甚至操作系统）和重要的数据进行备份，并制定应付突发情况的应急方案。2.预防：提高警惕性，实行安全制度，例使用正版杀毒软件安装防火墙等。3.检测：使用杀病毒软件来检测、报告并杀死病毒。4.隔离：隔离携带病毒的部件或者重要数据隔离存放。5.恢复：杀毒或清除被病毒感染的文件。6.控制权限：防止非法访问和进入。7.高度警惕网络陷阱8.不打开陌生地址的电子邮件（二）计算机病毒的具体防范策略：（二）计算机病毒的具体防范策略：7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术Packet-Packet-SwitchedSwitched LeasedLeased Line LineWorkgroupWorkgroup广域网广域网INTERNETINTERNET局域网局域网PCPC杀毒软件杀毒软件SERVERSERVER杀毒软件杀毒软件杀毒防火墙杀毒防火墙PCPC杀毒软件杀毒软件远程工作站远程工作站网络防毒手段 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术三、黑客三、黑客 （一）、概述 一类是骇客骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧，他们追求的是从侵入行为本身获得巨大的满足。另一类黑客是窃客窃客，他们的行为带有强烈的目的性，早期这些黑客主要窃取国家情报、科研情报，而现在的目标大都瞄准了银行的资金和电子商务交易过程。（二）、黑客入侵手段 1、口令攻击：监视网络通信，获取目标信息，破译口令。2、服务攻击：向目标服务主机发送大量数据，让其死机等。3、大量的电子邮件使主机瘫痪。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 4、计算机病毒或者木马程序 5、IP地址欺骗（三）黑客防范策略黑客防范策略 1、入侵检测 2、防火墙 3、物理隔离 将计算机硬盘分成两个分区，内网和外网各一个。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术6.3 防火墙技术防火墙技术 一、防火墙定义一、防火墙定义 是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问以及管理内部用户访问外界网络的权限，是一种安全访问控制机制。二、防火墙的基本准则二、防火墙的基本准则 一切未被允许的就是禁止的一切未被允许的就是禁止的 防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允许的一切未被禁止的就是允许的 防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术一个典型防火墙的构成一个典型防火墙的构成 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术三、防火墙的功能三、防火墙的功能保保护护数数据据的的完完整整性性。可可依依靠靠设设定定用用户户的的权权限限和和文文件件保保护护来来控控制制用用户户访访问问敏敏感感性性信信息息，可可以以限限制制一一个个特特定用户能够访问信息的数量和种类；定用户能够访问信息的数量和种类；保保护护网网络络的的有有效效性性。有有效效性性是是指指一一个个合合法法用用户户如如何何快速、简便地访问网络的资源，防止外来攻击；快速、简便地访问网络的资源，防止外来攻击；保护数据的机密性，加密敏感数据。保护数据的机密性，加密敏感数据。注意：注意：不能防范内部入侵不能防范内部入侵 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术四、防火墙的基本原理（一）数据过滤：（一）数据过滤：一个设备采取的有选择地一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。滤可以发生在路由器或网桥上。屏蔽路由器 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术防火墙的基本原理（二）应用网关（二）应用网关（三）代理服务：（三）代理服务：代理服务是运行在防火墙代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后主机上的应用程序或服务器程序。它在幕后处理所有处理所有IntInt-erneternet用户和内部网之间的通讯用户和内部网之间的通讯以代替直接交谈。以代替直接交谈。代理服务 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 6.4 6.4 加密算法加密算法 一、加密技术概述 （一）加密 就是采用合适的加密算法（实际上是一种数学方法）把原始信息（称为“明文”）转换成一些晦涩难懂的或者偏离信息原意的信息（称为“密文”），从而达到保障信息安全目的的过程。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术将明文数据进行某种变换，使其成为不可理解将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的的形式，这个过程就是加密，这种不可理解的形式称为形式称为密文密文。解密是加密的逆过程，即将密文还原成明文。解密是加密的逆过程，即将密文还原成明文。加密和解密必须依赖两个要素：加密和解密必须依赖两个要素：算法和密钥算法和密钥。算法是加密和解密的计算方法；密钥是加密所算法是加密和解密的计算方法；密钥是加密所需的一串数字。需的一串数字。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术(二二)加密系统加密系统加密系统包括信息信息（明文和密文）、密钥密钥（加密密钥和解密密钥）、算法算法（加密算法和解密算法）三个组成部分。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术二、对称加密技术二、对称加密技术（一）对称加密技术对称加密技术（Symmetric Encryption）又称为私钥或单钥加密，在这种体系中，加密和解密均使用同一个密钥或者本质上相同（即其中一个可以通过另一个密钥推导）的一对密钥。即加密算法公开，Ke=Kd 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）加密例子（二）加密例子 单字母加密方法例：明文（记做例：明文（记做m）为为“important”，Key=3，则密文（记做则密文（记做C）则为则为“LPSRUWDQW”。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术例：如果明文例：如果明文m m为为“important”important”，则密文则密文C C则为则为“RNKLIGZMZ”RNKLIGZMZ”。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术例例3 3：思考：算法与密钥？思考：算法与密钥？7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（三）、对称加密技术优缺点（三）、对称加密技术优缺点1 1在在首首次次通通信信前前，双双方方必必须须通通过过除除网网络络以以外外的的另另外外途途径径传递统一的密钥。传递统一的密钥。2 2当当通通信信对对象象增增多多时时，需需要要相相应应数数量量的的密密钥钥。例例如如一一个个拥拥有有100100个个贸贸易易伙伙伴伴的的企企业业，必必须须要要有有100100个个密密钥钥，这这就就使密钥管理和使用的难度增大。使密钥管理和使用的难度增大。3 3对对称称加加密密是是建建立立在在共共同同保保守守秘秘密密的的基基础础之之上上的的，在在管管理理和和分分发发密密钥钥过过程程中中，任任何何一一方方的的泄泄密密都都会会造造成成密密钥钥的的失效，存在着潜在的危险和复杂的管理难度。失效，存在着潜在的危险和复杂的管理难度。4 4 难以进行身份认证难以进行身份认证但是加密和解密速度快，适合大量数据的加密与解密。但是加密和解密速度快，适合大量数据的加密与解密。常用的有常用的有DESDES算法等。算法等。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术三、非对称加密技术三、非对称加密技术 （公开密码密钥体制）公开密码密钥体制）（一）与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥公开密钥(Public Key，公钥)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。一个公开发布，用于加密，称为公开密钥一个公开发布，用于加密，称为公开密钥（Public-KeyPublic-Key）；）；另一个由用户自己秘密保存，另一个由用户自己秘密保存，用于解密，称为私有密钥（用于解密，称为私有密钥（Private-KeyPrivate-Key）。）。密钥是一对，但密钥是一对，但Ke Ke KdKd 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）（二）RSA算法算法实例：实例：RSARSA的算法的算法1)选取两个足够大的质数P和Q；如：P=101，Q=1132)计算P和Q相乘所产生的乘积n=PQ；如：n=114133)找出一个小于n的数e，使其符合与（P1）（Q1）互为质数；如：取e=35334)另找一个数d，使其满足（ed）mod（P1）（Q1）1（其中mod为相除取余）；如：取d=65975)（n，e）即为公开密钥；（n，d）即为私用密钥；6)加密：C=E(M)=Me mod n(由明文M到密文C)解密：M=D(C)=Cd mod n(由密文C到明文M)即无论哪一个质数先与原文加密，均可由另一个质数解密。但要用一个质数来求出另一个质数，则是非常困难的。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（三）两种加密算法的比较（三）两种加密算法的比较特特 性性对对 称称非非 对对 称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单不好管理简单不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者解决了对称加密算法存在的问题解决了对称加密算法存在的问题相对速度相对速度非常快非常快慢慢用途用途用来做大量资料的用来做大量资料的加密加密用来做加密小文件或对信息签字用来做加密小文件或对信息签字等不太严格保密的应用等不太严格保密的应用 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术数字信封数字信封数字信封（也称为电子信封）并不是一种新的加密体系，它只是把两种密钥体系结合起来，获得了非对称密钥技术的灵活和对称密钥技术的高效。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术四、信息摘要四、信息摘要采用单向Hash函数对文件进行变换运算得到摘要码，并把摘要码和文件一同送给接收方，接收方接到文件后，用相同的方法对文件进行变换计算，用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。其过程如下：对原文使用Hash算法得到数字摘要；将数字摘要与原文一起发送；接收方将收到的原文应用单向Hash函数产 生一个新的数字摘要；将新的数字摘要与发送方发来的数字摘要 进行比较，若两者相同则表明原文在传 输中没有被修改，否则就说明原文被修改过。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术五、数字签名五、数字签名(一一)数字签名的含义和作用数字签名的含义和作用 在在书书面面文文件件上上亲亲笔笔签签名名或或盖盖章章是是传传统统商商务务中中确确认认文文件件真真实实性性和和法法律律效效力力的的一一种种最最为为常用的手段。常用的手段。作作用用:确确认认当当事事人人的的身身份份，起起到到了了签签名名或或盖盖章章的的作作用用。能能够够鉴鉴别别信信息息自自签签发发后后到到收收到为止是否被篡改。到为止是否被篡改。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。完善的数字签名技术具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力，在电子商务安全服务中的源鉴别、完整性服务、不可否认性服务方面有着特别重要的意义。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）数字签名和验证的过程发送方私钥 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术数字签名和验证的具体步骤如下：报文的发送方从原文中生成一个数字摘要，再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。发送方将数字签名作为附件与原文一起发送给接收方。接收方用发送方的公钥对已收到的加密数字摘要进行解密；7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术接收方对收到的原文用Hash算法得到接收方的数字摘要；将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术数字签名使用的是发发送送方方的的密密钥钥对对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；密钥加密解密过程使用的是接接收收方方的的密密钥钥对对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司发送密文，但只有该公司才能解密，其他人不能解密；（三）数字签名与加密过程密钥对使用差别（三）数字签名与加密过程密钥对使用差别 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术六、身份认证六、身份认证认证技术是保证电子商务交易安全认证技术是保证电子商务交易安全的一项重要技术。主要包括的一项重要技术。主要包括身份认身份认证和信息认证证和信息认证。前者用于鉴别用户。前者用于鉴别用户身份，后者用于保证通信双方的不身份，后者用于保证通信双方的不可抵赖性以及信息的完整性。可抵赖性以及信息的完整性。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术1 1、口令方式口令方式 用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统根据保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。（一）用户身份认证三种常用基本方式（一）用户身份认证三种常用基本方式 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术2 2、标记方式标记方式 标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。即访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。3 3、人体生物学特征方式人体生物学特征方式 某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，在不同人中完全相同的概率非常小，用它可以直接进行身份认证。但这种方案一般造价较高，适用于保密程度很高的场合。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）数字证书与认证中心（二）数字证书与认证中心认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施（PKI）。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术1.认证中心的职能 认认证证机机构构的的核核心心职职能能是是发发放放和和管管理理用用户户的的数数字字证证书。书。认证中心必须管理它所发的所有证书：用户能够方便地查找各种证书，包括已经撤销的证书；能够根据用户请求或其他信息撤销用户的证书；能够根据证书的有效期自动地撤销证书；能够完成证书数据库的备份工作；有效地保护证书和密匙服务器的安全。特别地保证认证中心的签名密匙不被非法使用。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术认证中心的四大具体职能认认证证中中心心接接受受个个人人、单单位位的的数数字字证证书书申申请请，何何时时申申请请人人的的各各项项资资料料是是否否真真实实，根根据据核核实实情情况况决决定定是是否否颁颁发发数数字字证证书书。认认证证中中心心必必须须做做到到：保保证证所所发发的的证证书书的的序序号号各各不不相相同同；不不同同的的实实体体所所申申请请的的证证书书的的主主体体内内容容不一致；不同主体内容的证书所包含的公开密匙各不相同。不一致；不同主体内容的证书所包含的公开密匙各不相同。核发证书核发证书证书更新证书更新 证证书书使使用用总总是是有有期期限限的的，在在证证书书发发行行签签字字时时都都规规定定了了失失效效日日期期，具具体体使使用用期期长长短短由由CACA根根据据安安全全策策略略来来定定。更更换换过过期期证证书书，密密钥钥对对也也需需要要定定期期更更换换。有有的的密密码码产产品品可可以以自自动动识识别别密密钥钥是是否否过过期期并并更更新新密密钥钥，而而且且与与CACA进进行行必必要要的的通通信信联联络络，而而不不必必惊惊动动注注册册人人。如如果果证证书书更更新新中中有有些些变变动动，如如证证书书中中的的注注册册者者的的身身份份信信息息已已被被改改动动，或或CACA的的发发放放证证书书政政策策要要求求定定期期从从注注册册者者确确认认证证书书的的细细节节，则则应应当当让让注注册册者者参与证书的更新过程。参与证书的更新过程。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术证证书书的的撤撤消消可可以以有有许许多多理理由由，如如发发现现、怀怀疑疑私私钥钥被被泄泄露露或或检检测测出出证书已被篡改，则证书已被篡改，则CACA可以提前撤销或暂停使用该证书。可以提前撤销或暂停使用该证书。申请撤销。注册用户向申请撤销。注册用户向CACA申请撤销其证书。申请撤销其证书。证证书书撤撤销销表表CRL(Certificate CRL(Certificate Revocation Revocation List)List)。CACA要要将将已已撤撤销销证书记入证书记入CRLCRL并公布，共查询。并公布，共查询。证书撤销证书撤销证书验证证书验证SETSET证证书书是是通通过过信信任任分分级级层层次次体体系系（通通常常称称为为证证书书的的树树形形验验证证结结构构）来来验验证证的的。每每一一个个证证书书与与签签发发数数字字证证书书的的机机构构的的签签名名证证书书关关联联。SETSET证证书书的的验验证证采采用用如如下下的的方方法法：在在进进行行交交易易时时，交交易易双双方方通通过过出出示示由由某某CACA签签发发的的证证书书来来证证明明自自己己的的身身份份时时，如如果果对对签签发发证证书书的的CACA不不信信任任，可可逐逐级级验验证证CACA的的身身份份，以以此此类类推推，但但验验证证到到达达相相同同的的公公认认的的权权威威根根认认证证中中心心(Root CA)Root CA)时，就可以确信证书的合法有效性。时，就可以确信证书的合法有效性。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术2.CA的树型验证结构 根根据据功功能能的的不不同同，SETSET认认证证中中心心划划分分成成不不同同的的等等级级，不不同同的的认认证证中中心心负负责责发发放放不不同同的的证证书书。持持卡卡人人证证书书、商商户户证证书书、支支付付网网关关证证书书分分别别由由持持卡卡人人认认证证中中心心（CCACCA，CardHolderCardHolder CACA）、商商户户认认证证中中心心（MCAMCA，Merchant Merchant CACA）、支支付付网网关关认认证证中中心心（PGCAPGCA，Payment Payment Gateway Gateway CACA）颁颁发发，而而CCACCA证证书书、MCAMCA证证书书和和PCAPCA证证书书则则由由品品牌牌认认证证中中心心（BCABCA，Brand Brand CACA）或或区区域域性性认认证证中中心心（GCAGCA，Geo-political Geo-political CACA）来来颁颁发发。BCABCA的的证证书书由由根根认认证证中中心心（RCARCA，Root Root CACA）来来颁颁发发。如图所示。如图所示。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术认证中心层次结构 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术4、数字证书、数字证书（1 1）概念：又称为数字凭证、数字标识，是一个经证）概念：又称为数字凭证、数字标识，是一个经证书认证机构（书认证机构（CACA）数字签名的包含用户身份信息以及数字签名的包含用户身份信息以及公开密钥信息的电子文件，是用电子手段来证实一个公开密钥信息的电子文件，是用电子手段来证实一个用户的身份和对网络资源访问的权限。是各实体在网用户的身份和对网络资源访问的权限。是各实体在网上进行信息交流及商务活动的电子身份证，上进行信息交流及商务活动的电子身份证，由权威公由权威公正的第三方机构，即正的第三方机构，即CACA中心签发。中心签发。（2 2）数字证书可用于：发送安全电子邮件、访问安全）数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。事务处理和安全电子交易活动。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 （3 3）数字证书的内容）数字证书的内容数字证书包括以下内容如图所示：证书拥有者的姓名；证书拥有者的公钥；公钥的有限期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号等。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图查看证书内容（查看证书内容（1）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图查看证书内容（查看证书内容（2）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图查看证书内容（查看证书内容（3）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（4）数字证书的申请1）下载并安装根证书（如图所示）2）申请证书（如图所示）3）将个人身份信息连同证书序列号一并邮寄到中国数字认证网 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图下载根证书（下载根证书（1）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图下载根证书（下载根证书（2）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图安装根证书（安装根证书（1）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图安装根证书（安装根证书（2）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图查看根证书查看根证书 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图申请个人免费证书申请个人免费证书 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图下载个人证书下载个人证书 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图查看个人证书查看个人证书 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 数字证书应用操作实例（个人证书在安全电子邮件中的应用）（1）在Outlook Express 5 发送签名邮件(如图所示)：1）在Outlook Express 5中设置证书2）发送签名邮件。（2）用Outlook Express 5发送加密电子邮件（如图所示）：1）获取收件人数字证书2）发送加密邮件 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图在在OutlookExpress中设置证书（中设置证书（1）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图在在OutlookExpress中设置证书（中设置证书（2）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图在在OutlookExpress中设置证书（中设置证书（3）7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图发送签名邮件发送签名邮件 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术图图收到签名邮件的提示信息收到签名邮件的提示信息 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（5）数字证书类型个人身份证书企业（服务器）身份证书软件身份证书 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术6.6 6.6 电子商务安全交易协议电子商务安全交易协议一、SSL协议 SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为 Internet 上 Web 浏览器和服务器的标准安全性措施。SSL 提供了用于启动 TCP/IP 连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别，并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术目前目前MicrosoftMicrosoft和和NetscapeNetscape的浏览器都支持的浏览器都支持SSLSSL，很多很多WebWeb服务器也支持服务器也支持SSLSSL。SSLSSL是一种利用公共是一种利用公共密钥技术的工业标准，已经广泛用于密钥技术的工业标准，已经广泛用于InternetInternet，它使用的是它使用的是RSARSA数字签名算法，可以支持数字签名算法，可以支持X.509X.509证证书和多种保密密钥加密算法。其运行机制是：在书和多种保密密钥加密算法。其运行机制是：在建立连接过程中采用公共密钥；在回话过程中采建立连接过程中采用公共密钥；在回话过程中采用专有密钥；加密的类型和强度则在两端之间建用专有密钥；加密的类型和强度则在两端之间建立连接的过程中判断决定。立连接的过程中判断决定。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（一）（一）SSLSSL提供的基本服务功能提供的基本服务功能v信信息息保保密密。使使用用公公共共密密钥钥和和对对称称密密钥钥技技术术实实现现信信息息保保密密。SSLSSL客客户户机机和和SSLSSL服服务务器器之之间间的的所所有有业业务务都都使使用用在在SSLSSL握握手手过过程程中中建建立立的的密密钥钥和和算算法法进进行行加密，这样就防止了某些用户进行非法窃听。加密，这样就防止了某些用户进行非法窃听。v信信息息完完整整性性。确确保保SSLSSL业业务务全全部部到到达达目目的的。如如果果因因特特网网成成为为可可行行的的电电子子商商务务平平台台，应应确确保保服服务务器器和和客客户户机机之之间间的的信信息息内内容容免免受受破破坏坏。SSLSSL利利用用机机密密共享和共享和HashHash函数组提供信息完整性服务。函数组提供信息完整性服务。v相互认证。是客户机和服务器相互识别的过程。相互认证。是客户机和服务器相互识别的过程。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）（二）SSLSSL协议通信过程协议通信过程 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 接接通通阶阶段段：客客户户机机呼呼叫叫服服务务器器，服服务务器回应客户。器回应客户。认认证证阶阶段段：服服务务器器向向客客户户机机发发送送服服务务器器证证书书和和公公钥钥，如如果果服服务务器器需需要要双双方方认认证证，还还要要向向对对方方提提出出认认证证请请求求；客客户户机机用用服服务务器器公公钥钥加加密密向向服服务务器器发发送送自自己己的的公公钥钥，并并根根据据服服务务器器是是否否需需要要认认证证客客户户身身份份，向向服服务器发送客户端证书。务器发送客户端证书。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术确确立立会会话话密密钥钥阶阶段段：客客户户和和服服务务器器之间协议确立会话密钥。之间协议确立会话密钥。会会话话阶阶段段：客客户户机机与与服服务务器器使使用用会会话密钥加密交换会话信息。话密钥加密交换会话信息。结结束束阶阶段段：客客户户机机与与服服务务器器交交换换结结束信息，通信结束。束信息，通信结束。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（三）、（三）、SSLSSL协议的电子交易过程协议的电子交易过程SslSsl协议交易过程协议交易过程 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术客户购买的信息首先发往商家；客户购买的信息首先发往商家；商家再将信息转发银行；商家再将信息转发银行；银银行行验验证证客客户户信信息息的的合合法法性性后后，再通知客户和商家付款成功；再通知客户和商家付款成功；商家再通知客户购买成功。商家再通知客户购买成功。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术二、安全电子交易规范（SET）（一）SET的作用 SET协议是维萨（VISA）国际组织、万事达（MasterCard）国际组织创建，结合IBM、Microsoft、Netscape、GTE等公司制定的电子商务中安全电子交易的一个国际标准。保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息。保证支付信息的完整性，保证传输数据完整地接收，在中途不被篡改。认证商家和客户，验证公共网络上进行交易活动的商家、持卡人及交易活动的合法性。广泛的互操作性，保证采用的通讯协议、信息格式和标准具有公共适应性。从而可在公共互连网络上集成不同厂商的产品。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术（二）、（二）、SETSET的应用流程的应用流程 7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术其具体流程为：持卡人在商家的WEB主页上查看在线商品目录浏览商品。持卡人选择要购买的商品。持卡人填写定单，定单通过信息流从商家传过来。持卡人选择付款方式，此时SET开始介入。持卡人发送给商家一个完整的定单及要求付款的指令。在SET中，定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息。商家接受定单后，向持卡人的金融机构请求支付认可。通过Gateway到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。7/25/2024经济与管理系 林 锐电子商务安全技术电子商务安全技术电子商务安全技术电子商务安全技术 商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将货款从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔。前三步与SET无关，从第四步开始SET起作用。在处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家、网关都通过CA来验证通信主体的身份，以确认对方身份。7/25/2024经济与管理系 林 锐