电子商务系统的安全控制培训课件.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第五章 电子商务系统安全控制要求和基本安全控制方法,电子商务应用服务层关键问题是交易安全性，它包括用户，数据，通信和交易过程本身。,本章首先提出电子商务,安全基本要求,然后介绍,安全控制方法,(加密技术概念,原理以及实现方式),相关,协议,等，,使大家对电子交易安全体系有一个基本认识。,电子商务系统的安全控制培训课件,第1页,本章内容,1.电子商务安全控制要求,2.安全控制方法,3.支持安全交易协议,4.电子支付类型,中银电子钱包网上购物流程,IBM电子商城软件支持电子现金流图,电子商务系统的安全控制培训课件,第2页,5.1,电子商务安全控制要求,电子贸易操作安全基本要求：,信息保密性,交易者身份认证（确认和判别）,不可否定性（交易确实定性）,信息完整性（信息准确可靠,不可修改）,它包括到两个方面问题：,加密,和,判定,电子商务系统的安全控制培训课件,第3页,5.2 安全控制方法,1.密码技术,2.,数字署名,3.,数字证书与认证机构,电子商务系统的安全控制培训课件,第4页,1.密码技术,采取密码技术对信息加密:,加密,:对信息进行编码,使它成为不可了解内容即:密文,解密,:加密逆过程,将密文还原为原来信息,明文(原有信息)密文 明文,加密:对信息进行编码,解密:对信息解码,Happy New Year,每个字母用前一字母代替,例G代替H,Gzoox Mdv Xdzq,密文,Happy New Year,明文,明文,每个字母用后一个字母代替,换位是简单编码方法,电子商务系统的安全控制培训课件,第5页,加密方法,基于密钥加密方法有两个元素：,算法,与,密钥,加密算法,是将普通文本或信息与,一串数字,（密钥）相结合而产生密文,规则,。是加密解密一步一步过程,密钥,:这个规则需要一串数字,这个数字是密钥.,比如,将字母 a、b、c、d.w、x、y、z 自然次序保持不变,使之与 E、F、G、H.Z、A、B、C、D分别对应，即相差4个字母。这条,规则,就是加密,算法,，其中,4,为,密钥,。,若原信息为 How are you，按照这个加密算法和密钥，加密后密文是 LSAEVICSY,电子商务系统的安全控制培训课件,第6页,基于密钥加密方法优点,加密技术关键是密钥,，加密算法设计困难，而且算法普通公开，基于密钥改变处理了这一难题。,采取一个算法与许多人实现保密通信,。发送方基于一个算法，使用不一样密钥向多个接收者发送密文。,密文被破译，只需更换一个新密钥,，继续通信。,密钥位数决定加密系统坚固性,。密钥位数越长，破译时间越长，难度越大。,比如，一个16位密钥有216次方（65536）种不一样密钥。次序猜测65536种密钥对于计算机是轻易。假如100位密钥，计算机猜测密钥时间需要好几个世纪。,电子商务系统的安全控制培训课件,第7页,加密方法类别,对称密钥加密,非对称密钥加密(公钥/私钥),消息摘要,电子商务系统的安全控制培训课件,第8页,1)对称密钥加密,接、收双方采取同一密钥加密和解密。,缺点:,密钥保管复杂：通信方越多,冒用密钥机率越高，可相互读取他人信件，无保密性.,无身份判别：无法验证消息发送者和接收者身份,明文,密文,明文,密钥加密,密钥解密,电子商务系统的安全控制培训课件,第9页,2)非对称加密（公钥/私钥）,非对称加密基于,一对密钥,要求密钥成对使用,密钥正确特征：加密和解密分别采取两个密钥实现，不能由一方推导出另一方。用一个密钥进行加密信息只有采取另一个密钥才能解开。,一对密钥中，一个称为,私钥,（私有密钥），一个称为,公钥,（公共密钥）。用公钥加密信息只能用私有密钥解密，反之亦然。,惯用公钥/私钥算法：,RSA,算法,电子商务系统的安全控制培训课件,第10页,非对称加密过程,原来信息（明文）,明文,加密信息（密文）,密文,Internet,收件者公钥,收件者私钥,加密,解密,电子商务系统的安全控制培训课件,第11页,非对称加密优点,公开公布公钥：,企业能够经过服务器等方式公布公钥，其不一样合作者能够方便地取得公钥，采取公钥发送信息，企业只需保管好私钥，利用私钥接收信息。既减低密钥传递风险，又确保了信息保密性。,身份判别功效：,识别私钥使用者身份。如：使用用户A公钥解开某条密文，可证实该密文只能是用户A发送（用户A使用私钥发送）。,电子商务系统的安全控制培训课件,第12页,公钥/私钥应用：,保密,：,李明,刘立,李明私钥,刘立私钥,密文,确保只有刘立能够解读该信息,判别,：,刘立,李明,密文,李明公钥,判别发件人：只有李明能够发送该信息,刘立公钥,电子商务系统的安全控制培训课件,第13页,3)消息摘要,此加密方法不采取密钥,采取一个安全散列,(,Hash 函数,),算法将明文“,摘要,”成一串,固定长度,密文,(亦称数字指纹)。,明文,Hash,函数,输入,消息摘要,输出,SHA：160位,MD5；128位,电子商务系统的安全控制培训课件,第14页,消息摘要性质：,假如改变输入消息（明文）中任何内容，输出摘要将发生改变。即：输入消息每一位变动对输出摘要每一位都有影响。,一样明文其消息摘要必定一致,，不一样明文其消息摘要总是不一样。,目标,：验证实文是否为原文。,明文,Hash,函数,消息摘要,一一对应,电子商务系统的安全控制培训课件,第15页,2,数字署名,证实发 件人身份和文件有效性,：,1.身份验证：,信息是由署名者发送,2.信息完整性：信息自签发后到收到为止未作任何修改,实现方法:,非对称加密,+,信息,摘要,数字署名,数字署名是实现认证主要工具,电子商务系统的安全控制培训课件,第16页,数字署名产生,首先进行明文处理：用,Hash,函数将明文（原来信息）,处理为,信息摘要,（数字串），用你,私钥,加密,信息摘要,得到了你,数字署名,。,发送,：数字署名和明文一起发送到接收端,确认数字署名,使用你,公钥,解密,数字署名,得到,信息摘要，,用,Hash,函数,处理明文也得到,信息摘要，,比较两个信息摘要,，如一致确认该数字署名有效，且明文完整准确。,证实一个数字署名过程,电子商务系统的安全控制培训课件,第17页,明文,Hash,函数,信息摘要,私钥加密,数字署名,传输,公钥解密,信息摘要,Hash,函数,信息摘要,信息完整,是,证实数字署名过程,为防止明文发送，可用对称加密再加密明文,电子商务系统的安全控制培训课件,第18页,3 数字证书与认证机构,数字证书：,用电子方式证实一个用户身份和对网络资源访问权限。,数字证书类别：,个人数字证书,:个人用户凭证,安装在客户浏览器上,帮助其个人在网上进行安全交易操作:,访问需客户验证安全网站,发送带自己署名电子邮件,用对方数字证书向对方发送加密邮件,企业数字证书：,为企业服务器提供数字凭证,可在Web站点进行安全电子交易:,开启SSL安全通道,使用户和服务器之间数据传送以加密形式进行,要求客户出示数字证书,确保服务器不被未授权用户侵入,电子商务系统的安全控制培训课件,第19页,数字证书普通内容,持证人身份信息：姓名，地址，电子邮件地址,公布证书机构数字署名和身份信息,持证人公开密钥,数字证书使用期,证书类别,数字证书证书号码,电子商务系统的安全控制培训课件,第20页,认证机构：,负担网上安全电子交易认证服务机构，验证交易双方身份。,主要任务,：,受理数字证书申请，处理，同意/拒绝申请，颁发数字证书和管理、搜索、验证数字证书。,认证机构是一个权威机构,，确保了电子贸易规范行为。实际运作中可由大家信任一方担任如：银行担任认证中心。,国内外认证中心:,Versign是第一家商业性证书授予机构,也是Microsoft 和Netscape首选数字标识提供商.,首都在线:国内首家安全电子邮件认证站点(),主要为个人方法数字证书,以收发安全电子邮件.,电子商务系统的安全控制培训课件,第21页,认证中心(CA)树形结构,CA结构呈树形结构,每一个,数字证书,与数字化签发证书,认证中心,署名证书,关联。,沿着,信任树,一直到一个公认信任组织，就可确认该数字证书有效性。,电子商务系统的安全控制培训课件,第22页,认证中心(CA)树形结构,假如对签发证书CA不信任,可验证其身份,逐层进行,一直到公认权威CA机构,就可确信证书有效性,例:C证书是由名称为BCA签发,而B证书是由名称为ACA签发,A是权威机构,通常称为根CA.确信C证书是正当,证书,CA-B,根CA-A,CA-D,CA-E,电子商务系统的安全控制培训课件,第23页,CA认证体系结构,根CA,品牌CA,如：Visa CA,地方 CA,如：Visa 欧洲 CA,持卡人CA,商家CA,支付网关CA,持卡人证书,商家证书,支付网关证书,Visa 亚洲 CA,Visa 美洲 CA,根CA,电子商务系统的安全控制培训课件,第24页,提交用户个人身份信息：身份证，护照，驾照，电子邮件地址等,提交公共密钥,认证机构验证核实,个人数字证书申请过程,以申请电子邮件数字证书为例介绍申请过程:,认证机构颁发证书,发回用户一个确认邮件，通知,证书中信息，同时将证书,安置在用户所用浏览器或电子,邮件应用系统中,电子商务系统的安全控制培训课件,第25页,企业服务器数字证书建立,服务器支持,SSL,技术要求,服务器软件生成一个密钥对,E-MAIL,向认证中心提交申请书（包含自己公钥）,经过认证中心验证，颁发数字证书（用户信息，公钥，对,CA,公共密钥加以确认数字身份链,）,将数字证书放进服务器钥匙环，因而完成钥匙正确建立，使用它确保身份确实认和信息加密。,配置和激活服务器安全机制,电子商务系统的安全控制培训课件,第26页,客户机,：,开启连接,服务器,：,服务器响应，传送自己数字证书，也要求客户数字证书,客户机和服务器采取数字证书相互验证和通信建立过程（,在协议基础上,）,验证服务器数字证书，发送自己数字证书,完成验证后，客户机传送给服务器一个用服务器公钥加密对话密钥,对话密钥是对服务器和客户机会话进行加密对话密钥建立后，客户机和服务器开展安全对话，每个对话密钥只有小时使用期，极难窃听,电子商务系统的安全控制培训课件,第27页,5.3.支持安全交易协议,电子商务系统中与电子交易相关信息有两种：,交易信息和 认证信息,，,为了确保信息传输安全和信息完整准确，在 Internet 网络安全技术基础上专门提出了相关协议,。,主要有：,SSL安全套接字层协议,SET 安全电子交易协议,电子商务系统的安全控制培训课件,第28页,SSL安全套接字层协议,用于确保,服务器与客户机之间,信息保密传输，预防未授权人员窃取，篡改和伪造信息。,实现方式可采取公钥私钥加密信息，服务器验证，和数据集成等形式。,协议位于,传输层与应用层之间,，运行于TCP协议之上一个全新协议层，,用于保护应用层协议如：HTTP，FTP，TELNET通信。,电子商务系统的安全控制培训课件,第29页,提供安全通信功效：,服务器认证，客户机认证,协议是对服务器与客户机之间整个会话进行加密协议，它由两个子协议组成：,握手协议,和,统计协议,握手协议,：约定客户机和服务器之间相互认证所用算法，传送所需含公钥数字证书，建立统计协议所需,对话密钥,统计协议,：处理完整性较验和对数据加密,步骤：,建立连接：,先执行握手协议，,对话密钥通道：,会话过程才可能实现统计协议加密和完整性校验,电子商务系统的安全控制培训课件,第30页,SET 安全电子交易协议,协议是针对,信用卡支付,而保护,交易信息和支付信息安全协议,。它在 Internet TCP/IP 协议基础上实现了电子支付安全操作。,电子商务系统的安全控制培训课件,第31页,协议五大基本元素：,公钥 私钥加密技术,：确保信息保密性,数字认证,：提供交易双方身份判别，使用数字卡交易时，双方,协议软件将验证数字认证信息。,数字署名,：确认交易双方身份。经过数字署名和联机认证确保,持卡人,和,商家,可靠性。,支付系统连接,：实现协议技术集成到现有支付系统中，确保交易准确实时地处理。,操作规则,：一套交易流程要求,电子商务系统的安全控制培训课件,第32页,SET环境中角色,在安全电子交易环境中有五种不一样角色负担着不一样作用。,持卡者,商家,银行,支付网关,认证机构,电子商务系统的安全控制培训课件,第33页,持卡者,消费者和团体购置者。使用支持SET软件如：电子钱包（e-Wallet）经过浏览器在Internet上购物。,电子钱包（e-Wallet）,完成电子支付卡和数字认证书（CA）申请，能够确保持卡者账号信息在交易过程中不被自然泄漏。,商家,提供商品和服务。使用支持SET软件如：,电子收款机（e-Till）,实现安全交易处理。商家在交易开始时提供自己数字认证书,（CA）和结算信用卡银行数字认证书,。,电子商务系统的安全控制培训课件,第34页,银行,：,处理信用卡支付认证和资金结算,支付网关,:,在Internet 商家与银行专有保密网络之间提供一个安全网关。完成二者之间通信,协议转换和进行数据加,解密,以保护银行内部网络安全.,认证机构,发放数字认证书，接收并处理判定数字认证书要求，以确保交易参加者身份确实定性,。,数字认证书,姓名：,数字ID：,颁发认证书机构：,颁发日期：,截止期：,持证人公钥：,电子商务系统的安全控制培训课件,第35页,SET（安全电子交易）系统支付过程,用户,商家,支付网关,银行,认证机构,因特网,专用网,2.申请支付卡 和数字认证书,1.购置信息,3,.商家认证书和结算银行认证书,4.支付信息（支付卡、用户认证书）和 定购信息,5.支付信息,6.支付信息,7.请求对用户认证,8.认证完成,9 同意支付,10 同意支付,电子商务系统的安全控制培训课件,第36页,中银电子钱包网上购物,为了推进国内用户使用中国银行电子借记卡进行网上购物,中国银行推出了中银电子钱包,用于基于SET协议标准网上购物.可从中国银行主页无偿下载.,使用中银电子钱包网上购物程序:,1,.首先持有中国银行,长城电子借记卡,.,2.,用户在自己计算机内安装,中银电子钱包软件,3,.,获取电子证书,:登陆中国银行网站(www.bank-of-)进入申请证书页面,点击“获取证书”,按照提醒输入借记卡卡号及相关信息,并再现取得持卡人电子证书.,4.,登陆到中国银行网上特约商户站点,选购商品,填写送货地址并最终确认订单.,5,.点击长城电子借记卡支付,浏览器会自动开启电子钱包软件.只要按照提醒输入电子钱包密码和借记卡密码即可实时完成在线支付,电子商务系统的安全控制培训课件,第37页,5.4 电子支付类型,在 Internet 上进行支付方法本质上是传统支付电子翻版，与支付相关统计都被虚拟为数据位。,信用卡：使用电子信用卡过程与传统方法相同，仅加入买卖双方身份认证信息和判别处理。,方式：采取支持 SET 协议系统与技术实现信用卡支付,电子支票：它功效是经过资金接收者通知银行进行转 账，方式：使用银行公共密钥加密自己账号以防欺诈，数字认证证实支付者，支付者银行和银行账户。,电子货币：适合用于,Internet,上小数目金额实时支付系统如：网上访问收费。,方式：货币是一串数据位，银行可发行这数据位串或从用户账户划出与货币等值代币。,电子商务系统的安全控制培训课件,第38页,电子商务系统的安全控制培训课件,第39页,思索题,1,电子商务安全控制要求,2,惯用安全控制方法,3,若加密算法和密钥以下:对原信息中每个字母 增加相同字母数为5.请回答以下问题:,a 密钥是多少,b 原信息是 Great,密文是什么,4,对称加密与非对称加密原理与区分,5,数字署名基于哪些基本安全控制方法,以及它能处理什么安全问题,6,数字证书意义和类别,7,认证中心作用和结构,8,支持安全交易协议：SSL和 SET各自功效和原理,电子商务系统的安全控制培训课件,第40页,