1 / 36

电子商务安全与认证

电子商务安全与认证. 第一节 电子商务与信息安全 一、电子商务安全的现状 计算机安全问题基本可以分为两大类:黑客和计算机病毒。 二、电子商务安全的要素 1 )可靠性 2) 机密性 3) 完整性 4) 有效性 5) 不可抵赖性. 第二节 信息加密概述. 任何一个加密系统至少包括下面四个组成部分: ( 1 )未加密的报文,也称明文。 ( 2 )加密后的报文,也称密文。 ( 3 )加密解密设备或算法。 ( 4 )加密解密的密钥。. 一、密码的分类 1 )按应用技术或历史发展阶段划分类 ( 1 )手工密码 ( 2 )机械密码

gzifa
Download Presentation

电子商务安全与认证

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 电子商务安全与认证 • 第一节 电子商务与信息安全 • 一、电子商务安全的现状 • 计算机安全问题基本可以分为两大类:黑客和计算机病毒。 • 二、电子商务安全的要素 • 1)可靠性 • 2)机密性 • 3)完整性 • 4)有效性 • 5)不可抵赖性

  2. 第二节 信息加密概述 • 任何一个加密系统至少包括下面四个组成部分: (1)未加密的报文,也称明文。 • (2)加密后的报文,也称密文。 (3)加密解密设备或算法。 (4)加密解密的密钥。

  3. 一、密码的分类 • 1)按应用技术或历史发展阶段划分类 • (1)手工密码 • (2)机械密码 • (3)电子机内乱密码 • (4)计算机密码

  4. 2)按保密程度划分类 • (1)理论上保密的密码 • (2)实际上保密的密码 • (3)不保密的密码 • 3)按密钥方式划分类 • (1)对称式密码 • (2)非对称式密码 • (3)散列编码

  5. 4)按明文形态分类 • (1)模拟型密码 • (2)数字型密码 • 5)按编制原理划分类 可分为移位、代替和置换三种以及它们的组合形式

  6. 二、加密的优势与加密强度

  7. 2)加密强度 • 首先是算法的强度 • 第二个因素是密钥的保密性 • 第三个因素是密钥长度 • 三、加密技术 • 1)DES数据加密标准 • 2)IDEA国际数据加密算法 • 3)clipper加密芯片 • 4)公开密钥密码体制 • 非对称加密安全可靠,但加密速度慢,所以一般只适合加密较短的信息,如信用卡号、对称密钥等。

  8. 第三节 电子商务中加密技术的综合运用 • 一、数字信封 • 每当发信方需要发送信息时首先生成一个对称密钥,用这个对称密钥加密所需发送的原文。然后用收信方的公开密钥加密这个对称密钥,连同加密了的原文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥,再用该对称密钥解密出真正的原文。

  9. 二、数字指纹 • 数字指纹解决了防止网上伪造的问题,保证了文档的完整性。 • 由于技术上的原因,非对称密钥密码体系不适合对数据量较大的报文加密(例如,RSA要求报文的长度必须小于密钥的长度),所以,目前报文的加密大量使用的仍然是对称密钥密码体系。为了用非对称密钥密码体系对报文进行数字签名,人们采用了数字指纹加密技术,这一加密方法亦称安全Hash编码法,该编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文,这128位的密文就是所谓的数字指纹,又称信息鉴别码,它有固定的长度,且不同的明文摘要成的密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便成为验证明文是否是“真身”的指纹了。数字指纹的应用使交易文件的完整性(不可修改性)得以保证。

  10. 三、数字签名 • 数字签名技术解决了发送者的身份认证问题。 • 数字签名技术就是将非对称密钥加密体系和数字指纹结合起来,实现数字签名的过程如下: • (1)被发送的原文用Hash算法加密产生128位的数字摘要。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,这样就保证了报文的不可更改性。 • (2)发送方用自己的私有密钥对摘要再加密,就形成了数字签名。 • (3)将原报文和加密的摘要同时发送给接收方。 • (4)接收方用发送方的公开密钥对摘要解密,同时对收到的原来用HASH算法再生成一个摘要。 • (5)比较两个摘要,如果一致,说明了报文确实来自发送者,并且在传输过程中没有被破坏或者修改过。

  11. 四、数字时间戮(digital time stamp) • 用户将需要加上时间戳的文件用Hash编码加密形成摘要后,将摘要发送到DTS,由DTS在加入了收到文件摘要的日期和时间信息后,再对该文件加上数字签名,然后发回给用户。必须注意的是,书面签署文件的时间是签署人自己写上的,而数字时间戳则是由DTS加上的,DTS是以收到文件的时间作为确认依据的。

  12. 五、加密技术的综合运用 • 加密技术的综合运用彻底解决了人们担心的电子商务安全认证问题,如图4.2所示,其步骤如下: • (1)A用户用HASH算法对原来进行运算,形成信息摘要,得到摘要A,即数字指纹。 • (2)A用户用自己的私钥加密摘要A,形成A用户的数字签名。 • (3)为了将明文加密发送到B用户,A用户用电脑随机产生的对称密钥加密明文,得到密文。 • (4)为了将对称密钥告诉B用户,A用B用户的公开密钥加密对称密钥,这就是数字信封。 • (5)A将上述(2)(3)(4)的结果发送给B用户。 • (6)B用户用自己的私钥解开对称密钥。 • (7)B用户用对称密钥解开密文,得到明文。 • (8)B用户对明文用HASH算法生成又一摘要B。 • (9)B用户用A用户的公钥解开A用户的数字签名,得到摘要A。 • (10)将摘要A和摘要B进行比较,如果一致,说明明文没有被修改过。

  13. 一、SSL协议(SSL,Security Socket Layer) • 1)客户机(你上网用的电脑)向服务器提出访问要求,比如,你要访问一个安全网站,必须输入对方的网址。 • 2)服务器向客户机发出包含服务器公钥的证书。 • 3)客户机自动验证服务器的证书,如果该证书不在客户机上,则浏览器会提示安全风险。也就是说,如果你愿意访问该网站,你选择确认即可。 • 4)客户机的浏览器自动生成一个对称密钥,用服务器的公钥加密后,发送到服务器,服务器用私钥解密,从而获得客户机的对称密钥。 • 5)此时,客户机与服务器之间的所有交换数据都会用对称密钥自动加密,并且送到对方后会自动解密,从而保证了信息的保密性。 • 以上过程实际上也是数字信封的整个过程,SSL协议完成了数据传输的加密及服务器身份的认定,但是没有进行客户机的数字签名。SSL认证的具体过程请参看本书第五章服务器认证。

  14. 二、SET协议 • SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善。 由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。 • SET 在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET 建立了一种能在互联网上安全使用银行卡进行购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子提供安全措施的规则,是一种能广泛应用于Internet 上的安全电子付款协议,它能够将普遍应用的信用卡试用起始点从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。

  15. 三、安全超文本传输协议(SHTTP)

  16. 四、X.509标准 • X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录款项中获得相应的公开密钥,用于各种安全服务。

  17. 第五节 数字证书和认证中心 • 一、什么是数字证书 • 数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

  18. 二、数字证书的类型 • 1)个人证书 • 2)单位证书 • 3)服务器证书 • 4)安全邮件证书 • 5)代码签名证书 • 6)根证书

  19. 三、电子令牌 • 证书容器是专门用于存储数字证书的安全的载体,遵循规范的技术标准,能够有效的避免由于数字证书下载到本地计算机硬盘而带来的多人公用同一个证书的情况出现,目前比较成熟的产品有电子令牌(也称为USB Token)和智能IC卡,电子令牌实际上是个优盘,内装数字证书

  20. 四、认证中心 • 认证中心,又称CA中心,作为电子商务活动中受信任的第三方,是一个负责发放和管理数字证书的权威机构,并承担对公钥合法性检验的责任。它是为解决电子商务活动中参与各方身份及资信的认定,维护网上交易的安全性,从根本上保障电子商务活动的顺利进行而建立的。 • 1)证书的颁发 • 2)证书的更新 • 3)证书的查询 • 4)证书的作废 • 5)证书的归档

  21. 以下是我国的部分电子商务认证中心: • 广东省电子商务认证中心 http://www.cnca.net • 安徽省电子商务认证中心 http://www.ahca.org.cn • 上海市电子商务安全证书管理中心有限公司 http://www.sheca.com • 北京数字证书认证中心有限公司 http://www.bjca.org.cn • 山东省数字证书认证管理有限公司http://www.sdca.com.cn • 陕西省数字证书认证中心 http://www.snca.com.cn • 湖北省数字证书认证管理中心 http://www.hbca.org.cn • 广西壮族自治区数字证书认证中心 http://www.gxca.com.cn • 福建省数字安全证书管理有限公司http://www.fjca.com.cn • 江西省数字证书认证中心http://www.jxca.org.cn • 辽宁省数字证书认证中心 http://www.lnca.org.cn • 西部安全认证中心有限责任公司 http://www.cwca.com.cn • 河南省数字证书认证中心 http://www.hnca.com.cn • 浙江省数字认证中心 http://www.zjca.com.cn • 吉林省安信数字证书认证有限公司 http://www.jlca.com.cn • 广东省数字证书认证中心 http://www.gdca.com.cn • 山西省电子商务安全认证中心 http://www.sxca.com.cn • 重庆市数字证书认证中心有限公司 http://www.cqca.net

  22. 第六节 计算机安全 • 一、安全问题的复杂性 • 二、安全问题的类型 • 1)硬件问题 • 2)协议问题 • 3)操作系统问题 • 4)拒绝服务的问题 • 5)数据被侦听的问题 • 6)伪造和篡改问题 • 7)假冒的问题 • 8)电子邮件轰炸 • 9)病毒技术 • 10)其他问题

  23. 第七节 计算机安全的技术防范 • 一、防火墙 • 防火墙是在内部网和互联网之间构筑的一道屏障,是在内外有别及在需要区分处设置有条件的隔离设备,用以保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯。 • 具体来说,防火墙是一类硬件及软件。它控制内部网与互联网之间的所有数据流量,控制和防止内部网中的有价值数据流人互联网,也控制和防止来自互联网的无用垃圾和有害数据流人内部网。简单地说,防火墙成为一个进入内部网的信息都必须经过的限制点,它只允许授权信息通过,而其本身不能被渗透。如果把局域网比作一个要塞,那防火墙就是保护要塞的城墙。 • 防火墙从本质上来说是一种保护装置,是用来保护网络资源、数据以及用户信誉的。它使入侵者要么无法进入内部系统,要么即使进入也带不走有价值的东西。计算机网络系统资源也是一种财富,如果未经允许擅自使用。对拥有者来这就是一种侵犯,防火墙也能有效地防止这种侵犯。

  24. 1)过滤型防火墙:包过滤技术是在网络层对通过的数据包进行过滤的一种技术 。 • 包过滤技术的主要优点有以下两点。 • 方便有效:利用包过滤技术建立起来的防火墙,能有效地防止来自外部网络的侵袭。由于所有将要进入内部网络的数据包都必须接受包过滤器的检查;而且我们可以非常方便地通过修改过滤规则表来适应不断变化的需求。 • 简单易行:建立基于包过滤技术的防火墙非常容易实现,特别是利用合适的路由器来实现防火墙功能时,通常不需再额外增加硬件/软件配置。

  25. 包过滤技术也存在着不足之处: • 一是仅在网络层和传输层实现。 • 二是缺乏可审核性 。 • 三是不能防止来自内部的侵害

  26. 2)代理服务(proxy server)技术 • 代理服务技术是利用一个应用层网关作为代理服务器的,代理服务在应用层上进行,这样就可以防止Internet上的非法用户直接获取Intranet中的有关信息。 • 在Intranet中设置一个代理服务器,将Internet进入Intranet内部的链路分为两段,从Internet到代理服务器的一段和从代理服务器到Intranet内部的另一段,用这种方法将Intranet与Internet隔离开来。 • 所有来自Internet的应用连接请求均被送到代理服务器中,由代理服务器进行安全检查后,再与Intranet中的应用服务器建立连接。所有Internet对Intranet应用的访问都须经过代理服务器,这样,所有Internet对Intranet中应用的访问都被置于代理服务器的控制之下;同样,所有Intranet对Internet服务的访问,也受到代理服务器的监视。代理服务器可以实施较强的数据流监控、过滤、记录和报告等功能,代理服务技术主要通过专用计算机来承担。

  27. 代理服务技术的主要优点有以下两点。 • ①屏蔽被保护的内部网 由于Internet上的非法用户只能通过代理服务器的方式来访问Intranet,从而无法了解到Intranet中的情况,如主机的名称、1P地址、信息的配置等情况,这样就可以屏蔽受保护的内部网,增强网络的安全性。 • ②对数据流的监控 使用代理服务技术的防火墙软件能够将经过它的正常、异常和非法的数据包记录下来,实施对数据流的监控,并可通过分析统计资料及时发现在内部网中的不安全因素。 • 代理服务技术的主要缺点是:第一,实施技术要求高,由于应用级网关只允许有代理服务的访问通过,所以它要求为每种网络信息服务专门开发出代理服务和相应的监控过滤功能的软件;第二,需要特定的硬件支持,由于代理服务需要处理大量进出Intranet的数据,因而需要使用专门的高性能计算机。

  28. 二、计算机病毒防范 • 1)什么是计算机病毒 • 2)计算机病毒的类型 • (1)开机型病毒 (引导区病毒) • (2)文件型病毒 • (3)复合型病毒 • (4)变种病毒 • (5)宏病毒 • (6)特洛伊木马程序 • (7)计算机蠕虫病毒 • (8)黑客型病毒

  29. 3)计算机病毒的防范措施 • (1)给自己的电脑安装防病毒软件 • (2)认真执行病毒定期清理制度 • (3)控制权限 • (4)高度警惕网络陷阱 • (5)不打开陌生地址的电子邮件

  30. 第八节 计算机安全的管理对策 • 1)人员管理 • 2)保密制度 • 3)系统日志机制 • 4)日常维护制度 • (1)硬件的日常管理与维护 • (2)软件的日常管理与维护 • 5)数据备份和应急措施 • (1)瞬时复制技术 • (2)远程磁盘镜像技术 • (3)数据库恢复技术

  31. 案例网络安全与社会信用仍是电子商务最大难题案例网络安全与社会信用仍是电子商务最大难题 《电子签名法》的正式实施并不能立刻改变传统的商务模式,但电子商务替代传统商务模式的进程将因此大大加速。 05年 4月1日,我国第一部与电子商务相关的法律《电子签名法》正式实施。尽管这是一部非常 重要的商业法律,但不同行业的人对这部法律的态度表现不尽相同。一部法律不能改变市场。但应该看到,市场的变化、电子商务的发展,是催生这部法律的动力。未来,电子签名法对整个电子商务的促进也会逐渐体现出来 以中国人保财险公司的电子保单为例,市民坐在家里或办公室,利用桌上的电脑登录网上电子商务保险平台,在险种菜单中选择需要的险种,通过网上银行转账后,在电脑上就可自动生成一张保单,同时告诉你的保单电子号码和密码。在这张保单上,你会发现保险公司盖了电子公章,而你也在保单上签了自己的包括身份证号码、保单号、密码等信息的签名。在查询保单真实性时,输入你的个人签名信息后,在电脑上即可查到一份有保险公司盖红章的保单。可以下载存到电脑里,或打印在纸上。

  32. 4月1日当天,中国人保财险公司率先在国内推出第一张电子4月1日当天,中国人保财险公司率先在国内推出第一张电子 单。据悉,人保电子商务“e-PICC”推出的电子保单采用了国际 领先的电子签章技术,以保证电子保单的不可篡改性和不可否 认性。客户只需登录e-PICC,选定所要购买的保险产品,在线 支付保费,足不出户即可轻松获得具有法律效力的电子保险单  不过,业内人士指出,在接下来相当长的一段时间内,市场 培育工作显得尤为重要,同时市场培育一定要和应用结合在一 起,例如网上银行、网上支付等已经拥有众多用户的应用,应 该和这些业务结合起来,这对于市场培育和概念普及将起到事 半功倍的作用. 其实,阻碍当前电子交易的最重要因素是网络安全与社 会信用,电子签名法很难单独地解决电子商务中的这些问题, 这些需要社会各阶层的共同努力,而政府在其中发挥着特别重 要的作用。中国历史上长期的中央集权制度积累了较高的政府 信用,因而电子签名在电子政务的应用将有效地促进电子商务 信用环境的改善。这也可以看作是电子签名立法的一种策略考 虑。

More Related