三章 电子商务信息安全

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Click to edit Master title style,第三章,电子商务信息安全,电子商务信息安全要素,1,电子商务信息安全技术,2,数字证书与认证中心,3,信息安全协议,4,3.1电子商,务,务信息,安,安全要,素,素,3.1,.,.1信息的,保,保密性,信息的,保,保密性是指信,息,息在传,输,输过程,或,或存储,过,过程中,不,不被他,人,人窃取,。,。,3.1电子商,务,务信息,安,安全要,素,素,3.1,.,.2信息的,完,完整性,信息的,完,完整性是从信,息,息传输,和,和存储,两,两个方,面,面来看,的,的。在,存,存储时,，,，要防,止,止非法,篡,篡改和,破,破坏网,站,站上的,信,信息。,在,在传输,过,过程中,，,，接收,端,端收到,的,的信息,与,与发送,的,的信息,完,完全一,样,样，说,明,明在传,输,输过程,中,中信息,没,没有遭,到,到破坏,。,。,3.1电子商,务,务信息,安,安全要,素,素,3.1,.,.3信息的,不,不可否,认,认性,信息的,不,不可否,认,认性是指信,息,息的发,送,送方不,能,能否认,已,已发送,的,的信息,，,，接收,方,方不能,否,否认已,收,收到的,信,信息。,3.1电子商,务,务信息,安,安全要,素,素,3.1,.,.4交易者,身,身份的,真,真实性,交易者,身,身份的,真,真实性是指交,易,易双方,确,确实是,存,存在的,，,，不是,假,假冒的,。,。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,加密和,解,解密,加密是指将,数,数据进,行,行编码,，,，使它,成,成为一,种,种不可,理,理解的,形,形式，,这,这种不,可,可理解,的,的内容,叫,叫做密,文,文。,解密是加密,的,的逆过,程,程，即,将,将密文,还,还原成,原,原来可,理,理解的,形,形式。,加密和,解,解密过,程,程依靠,两,两个元,素,素：算法和密钥。算法,是,是加密,或,或解密,的,的一步,一,一步的,过,过程，,在,在这个,过,过程中,需,需要一,串,串数字,，,，这个,数,数字就,是,是密钥,。,。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,密码系,统,统的构,成,成,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,密码系,统,统的构,成,成,密码系,统,统的工,作,作过程,是,是，发,送,送方用,加,加密密,钥,钥Ke和加密,算,算法E，对明,文,文M加密，,得,得到的,密,密文C，然后,传,传输密,文,文C。接收,方,方用解,密,密密钥Kd（与加,密,密密钥Ke成对）,和,和解密,算,算法D，对密,文,文解密,，,，得到,原,原来的,明,明文M。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,密码系,统,统的构,成,成,密码系,统,统使用,的,的密码,体,体制，,按,按密钥,的,的形式,可,可以分,为,为两类,：,：通用,密,密钥密,码,码体制,和,和公开,密,密钥密,密,密码体,制,制。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,通用密,钥,钥密码,体,体制,通用密,钥,钥密码,体,体制的,加,加密密,钥,钥Ke和解密,密,密钥Kd是通用,的,的，即,发,发送方,和,和接收,方,方使用,同,同样的,密,密钥，,也,也称之,为,为“传,统,统密码,体,体制”,。,。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.1信息加,密,密技术,公开密,钥,钥密码,体,体制,公开密,钥,钥密码,体,体制的,加,加密密,钥,钥Ke与解密,密,密钥Kd不同，,只,只有解,密,密密钥,是,是保密,的,的，称,为,为私人,密,密钥（private key），而,加,加密密,钥,钥完全,公,公开，,称,称为公,共,共密钥,（,（publickey）。该,系,系统也,称,称为“,非,非对称,密,密码体,制,制”。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.2数字摘,要,要和数,字,字签名,数字摘,要,要,数字摘,要,要（digital digest）也称,安,安全Hash（散列,）,）编码,法,法（SHA，SecureHashAlgorithm）或MD5（MD：Standardsfor MessageDigest）。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.2数字摘,要,要和数,字,字签名,数字摘,要,要,该编码,法,法采用,单,单向Hash函数将,需,需加密,的,的明文,“,“摘要,”,”成一,串,串128bit的密文,，,，这一,串,串密文,也,也称为,数,数字指,纹,纹，它,有,有固定,的,的长度,，,，且不,同,同的明,文,文摘要,成,成密文,，,，其结,果,果总是,不,不同的,，,，而同,样,样的明,文,文其摘,要,要必定,一,一致。,这,这样，,这,这串摘,要,要便可,成,成为验,证,证明文,是,是否“,真,真身”,的,的“指,纹,纹”了,。,。数字,摘,摘要的,应,应用使,信,信息的,完,完整性,（,（不可,修,修改性,）,）得以,保,保证。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.2数字摘,要,要和数,字,字签名,数字签,名,名,数字签,名,名能确,认,认以下,两,两点：,其一，,信,信息是,由,由签名,者,者发送,的,的；,其二，,信,信息自,签,签发后,到,到收到,为,为止未,曾,曾作过,任,任何,修改。,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.2数字摘,要,要和数,字,字签名,数字签,名,名,3.2电子商,务,务信息,安,安全技,术,术,3.2,.,.2数字摘,要,要和数,字,字签名,数字签,名,名,发送方,用,用SHA编码加,密,密产生128bit的数字,摘,摘要；,发送方,用,用自己,的,的私人,密,密钥（Private Key）对摘,要,要加密,，,，形成,数,数字签,名,名；,将原文,和,和加密,的,的摘要,同,同时传,输,输给对,方,方；,接受方,用,用授信,方,方的公,共,共密钥,（,（PublicKey）对摘,要,要解密,，,，同时,对,对收到,的,的信息,用,用SHA编码加,密,密产生,又,又一摘,要,要；,将解密,后,后的摘,要,要和收,到,到的信,息,息在受,信,信方重,新,新加密,产,产生的,摘,摘要互,相,相对比,。,。,3.3数字证,书,书与认,证,证中心,3.3,.,.1数字证,书,书,数字证,书,书原理,数字证,书,书（digital ID）又称为,数,数字凭,证,证，数,字,字标识,，,，是一,个,个经证,书,书认证,机,机构（CA）数字,签,签名的,包,包含用,户,户身份,信,信息以,及,及公开,密,密钥信,息,息的电,子,子文件,，,，是用,电,电子手,段,段来证,实,实一个,用,用户的,身,身份和,对,对网络,资,资源访,问,问的权,限,限，是,各,各实体,（,（消费,者,者、商,户,户/企业、,银,银行等,）,）在网,上,上进行,信,信息交,流,流及商,务,务活动,的,的电子,身,身份证,。,。,3.3数字证,书,书与认,证,证中心,3.3,.,.1数字证,书,书,数字证,书,书的类,型,型,个人数,字,字证书,企业（,服,服务器,）,）数字,证,证书,软件（,开,开发者,）,）数字,证,证书,3.3数字证,书,书与认,证,证中心,3.3,.,.2认证中,心,心,基本概,念,念,认证中,心,心(CA，Certification Authority)就是承,担,担网上,安,安全电,子,子交易,认,认证服,务,务、签,发,发数字,证,证书、,并,并能确,认,认用户,身,身份的,服,服务机,构,构。,3.3数字证,书,书与认,证,证中心,3.3,.,.2认证中,心,心,认证中,心,心的作,用,用,证书的,颁,颁发,证书的,更,更新,证书的,查,查询,证书的,作,作废,证书的,归,归档,3.3数字证,书,书与认,证,证中心,3.3,.,.2认证中,心,心,认证分,级,级体系,3.3数字证,书,书与认,证,证中心,3.3,.,.3数字证,书,书的申,请,请和使,用,用,目前，,在,在上海,市,市数字,证,证书认,证,证中心,，,，用户,可以申,请,请数字,证,证书。,3.3数字证,书,书与认,证,证中心,3.3,.,.3数字证,书,书的申,请,请和使,用,用,3.4信息安,全,全协议,3.4,.,.1SSL安全协,议,议,SSL（SecureSocketsLayer）的中译,名,名叫安,全,全套接,层,层协议,，,，是1994年底由Netscape研制并,实,实现。,SSL协议的,最,最基本,目,目标是,进,进行服,务,务器/客户机,方,方式进,行,行通讯,的,的两个,应,应用程,序,序之间,保,保证其,通,通讯内,容,容的保,密,密性和,数,数据的,完,完整性。,SSL协议层,包,包括两,个,个协议,子,子层：SSL记录协,议,议与SSL握手协,议,议。,3.4信息安,全,全协议,3.4,.,.1SSL安全协,议,议,SSL安全协,议,议提供,三,三个方,面,面的保,障,障：,认证客,户,户机和,服,服务器,的,的合法,性,性。,加密数,据,据以隐,藏,藏被传,送,送的数,据,据。,维护数,据,据的完,整,整性。,3.4信息安,全,全协议,3.4,.,.2SET安全协,议,议,SET协议，,即,即“安,全,全电子,交,交易”,协,协议，,是,是为了,确,确保网,上,上交易,的,的安全,可,可靠，,由,由两个,国,国际信,用,用卡集,团,团VISA和MasterCard联合发,起,起制定,的,的。,3.4信息安,全,全协议,3.4,.,.2SET安全协,议,议,SET安全协,议,议提供,五,五个方,面,面的保,障,障：,保证信,息,息在Internet上安全,传,传输。,保证电,子,子商务,参,参与者,信,信息的,相,相互隔,离,离。,解决多,方,方认证,问,问题。,保证网,上,上交易,的,的实时,性,性，使,所,所有的,支,支付过,程,程都是,在,在线的,。,。,要求软,件,件遵循,相,相同协,议,议和消,息,息格式,。,。,