收藏 分销(赏)

电子商务系统安全与安全技术.pptx

上传人:精**** 文档编号:6432562 上传时间:2024-12-08 格式:PPTX 页数:99 大小:1.02MB 下载积分:18 金币
下载 相关 举报
电子商务系统安全与安全技术.pptx_第1页
第1页 / 共99页
电子商务系统安全与安全技术.pptx_第2页
第2页 / 共99页


点击查看更多>>
资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第七章 电子商务安全体系,单击此处编辑母版样式,单击此处编辑幻灯片母版样式,第二层,第三层,第四层,第五层,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第七章 电子商务安全体系,单击此处编辑母版样式,单击此处编辑幻灯片母版样式,第二层,第三层,第四层,第五层,*,*,第七章 电子商务安全体系,1,电子商务系统安全与安全技术,第1页,第七章 电子商务安全体系,7.1 电子商务系统安全概述,7.2 电子商务安全技术,2,电子商务系统安全与安全技术,第2页,7.1 电子商务系统安全概述,7.1.1 电子商务中存在安全隐患和威胁,Internet安全隐患主要表现在以下四个方面:,1开放性,2传输协议,TCP/IP,协议本身没有采取任何办法来保护传输内容不被窃取。数据在传输过程中可能会遭到IP窥探、同时信号淹没、TCP会话劫持、复位与结束信号攻击等威胁。,3操作系统漏洞,4信息电子化可信度,3,电子商务系统安全与安全技术,第3页,Internet安全隐患给电子商务带来以下安全威胁:,商务信息被,篡改、偷窃或丢失,;,商业机密在传输过程中被第三方得悉,甚至被恶意,窃取、篡改和破坏,;,冒充,虚假身份交易对象及虚假订单、协议;,贸易对象,抵赖,因为计算机系统,故障,对交易过程和商业信息安全所造成破坏。,4,电子商务系统安全与安全技术,第4页,7.1.2 电子商务安全性需求,1,保密性:,确保信息不会被非授权人或实体窃取。预防入侵者侵入系统;对商务机密(如信用卡信息等)要先经过加密处理,再送到网络传输。,2,完整性:,完整性是指数据在输入和传输过程中,要求能确保数据一致性,预防数据被非授权建立、修改和破坏。同时要预防数据传送过程中丢失和重复,以确保信息传送次序统一。,3,不可抵赖性:,信息不可抵赖性是指信息发送方不可否定已经发送信息,接收方也不可否定已经收到信息。,5,电子商务系统安全与安全技术,第5页,4,真实性:,指商务活动中交易者身份真实性,亦即是交易双方确实是存在,不是假冒。前提。,5,可靠性:,指电子商务系统可靠性,指因为计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生潜在威胁状态下,而仍能确保系统安全、可靠。,6内部网,严密性,:,6,电子商务系统安全与安全技术,第6页,7.1.3 安全管理,1电子商务系统安全管理对策,企业应该制订网络交易系统安全管理制度包含:,(1)人员管理制度。严格电子商务人员选拔;落实工作责任制;落实考评制度。,(2)保密制度。划分信息安全防范重点,提出对应保密办法,并加强对密钥管理。密钥管理必须贯通于密钥产生、传递和销毁全过程。,(3)跟踪、审计、稽核制度。,(4)系统日常维护制度。,(5)病毒防范制度。,(6)应急办法。灾难恢复:硬件恢复,数据恢复,7,电子商务系统安全与安全技术,第7页,2网络安全技术对策,(1)网络安全检测设备,实施安全监控。,SAFE suite网络安全监控系统。,(2)开发各种含有较高安全性访问设备,用于支持身份认证、小批量购置授权及实际和虚拟访问控制,如安全磁盘、智能卡等。,(3)建立安全防火墙体系。,(4)加强数据加密工作。,(5)数据完整性控制,包含数据是否来自正确发送方而非假冒者,接收内容与发送时是否一致,数据有没有重复接收等。,8,电子商务系统安全与安全技术,第8页,(6)建立认证中心,并建立证书认证与发放。(7)建立合理判别机制。在对等实体间交换认证信息,以检验和确认对等实体正当性。判别机制能够采取报文判别,也能够采取数字署名或终端识别等各种方式。,(8)通信流控制。传送伪随机数据、填充报文和改变传输路径。,另外,还有保护传输线路安全、访问控制、路由选择机制、端口保护、安全检测、审查和跟踪等办法。,9,电子商务系统安全与安全技术,第9页,3电子商务安全法律保护,电子商务安全主要包括法律要素有:,(1)相关认证(CA)中心法律。必须由国家法律来要求CA中心设置程序和设置资格以及必须负担法律义务和责任,也必须由法律来要求由何部门来对CA中心进行监管。,(2)相关保护个人隐私、个人秘密法律。(3)相关电子协议法律。对数字署名、电子商务凭证正当性给予确认。,(4)相关电子商务消费者权益保护法。,(5)相关网络知识产权保护法律。,10,电子商务系统安全与安全技术,第10页,案例:IKEA企业域名被抢注,原告英特艾基系统有限企业上诉:,其在世界29个国家和地域拥有以“IKEA”命名大型经营家俱和家居用具专卖店,1983年在中国取得“IKEA”、IKEA及图形组合商标和汉字“宜家”注册商标,在90多个国家和地域注册了“IKEA”、IKEA及图形组合商标,11,电子商务系统安全与安全技术,第11页,案例:IKEA企业域名被抢注,当该企业准备在中国互联网上注册宜自己拥有注册商标“IKEA”未标志域名时,发觉被告北京国网信息有限责任企业已经先注册了域名“”,其抢注三级域名ikea与原告注册商标“IKEA”比较,二者读音、文字外形、字母组合、消费者呼叫方式等方面完全相同,所以被告抢注域名是对原告已经使用多年含有独创性注册商标公然仿冒,12,电子商务系统安全与安全技术,第12页,案例:IKEA企业域名被抢注,1998年原告在中国支付广告费用600万人民币,1999年为1700万人民币,被告抢注域名后,长久空置没有使用,其行为违反了保护工业产权巴黎条约标准立场,与中华人民共和国民法通则第4条要求老实信用标准冲突,应属不正当竞争行为,13,电子商务系统安全与安全技术,第13页,案例:IKEA企业域名被抢注,原告诉至法院,请求法院判令被告马上停顿使用和注销“”域名,由被告负担案件诉讼费用,14,电子商务系统安全与安全技术,第14页,案例:IKEA企业域名被抢注,被告辨称,我企业域名系经过中国政府授权中国互联网络信息中心依法审查同意注册应受法律保护,我企业注册“ikea”主页准备在因特网开展语音信箱服务,“ikea”含义是I和Kea结合,分别代表Internet和一个鹦鹉含义,15,电子商务系统安全与安全技术,第15页,案例:IKEA企业域名被抢注,被告辨称,我企业并不知道原告商标“ikea”,何谈剽窃和模仿,域名和商标是两种完全不一样客体,对商标保护并不能延伸到域名上,我企业基于自己创意注册域名,并不违法法律要求。,请求法院依法驳回原告全部诉讼请求,16,电子商务系统安全与安全技术,第16页,案例:IKEA企业域名被抢注,经审理查明:,原告英特艾基系统有限企业是注册商标“IKEA”注册权人,该商标起源于1947年瑞典农场主Ingovar Kampargd独创设计,原告已经在90多个国家和地域注册了“IKEA”、IKEA及图形组合商标该注册商标已经有几十年历史,且其法律状态及使用从未间断,17,电子商务系统安全与安全技术,第17页,案例:IKEA企业域名被抢注,经审理查明:,1999年原告在世界范围内投入“IKEA”商标宣传和推广费用为三亿七千三百万美元,1983年原告在商品中国和商品国际上分别了注册了“IKEA”、IKEA及图形组合商标和汉字“宜家”注册商标,1998年原告先后在上海和北京开设了以“IKEA”为标志大型家居专卖店,18,电子商务系统安全与安全技术,第18页,案例:IKEA企业域名被抢注,经审理查明:,1997.11.19,被告在中国互联网络申请注册了“”域名,原告提出证据证实被告出注册“”域名外,还注册了philips/omega/polo等世界著名品牌或商品域名,且均空置未在互联网上使用,对原告提供证据,原告未提供其它反驳证据,19,电子商务系统安全与安全技术,第19页,案例:IKEA企业域名被抢注,法院认为:,原告英特艾基系统有限企业是注册商标“IKEA”注册权人原告已经在90多个国家和地域注册了“IKEA”、IKEA及图形组合商标该,且其法律状态及使用从未间断,所以应认定“IKEA”未驰名商标,20,电子商务系统安全与安全技术,第20页,案例:IKEA企业域名被抢注,法院认为:,被告将原告“IKEA”驰名商标作为域名使用,轻易误导消费者认为该域名注册人是“IKEA”驰名商标持有些人或与其有某种合作关系,被告客观上利用了附着于该驰名商标上良好信誉。,且因为域名在因特网上使用唯一性,使得该驰名商标注册权人在因特网上行使该商标权收到妨碍,故认定被告上述行为对该驰名商标注册权人商标专用权组成了侵害。,21,电子商务系统安全与安全技术,第21页,案例:IKEA企业域名被抢注,法院认为:,被告对大量著名品牌或商标待价而沽非善意注册行为主观动机十分显著,故被告行为违反了公平竞争、老实信用基本标准,组成了不正当竞争。,22,电子商务系统安全与安全技术,第22页,案例:IKEA企业域名被抢注,法院认定:,被告不但违反了中国互联网络域名注册暂行管理方法相关要求,还有悖保护工业产权巴黎条约精神和中华人民共和国反不正当竞争法基本标准,侵害了原告作为驰名商标权人正当权益,应负担对应民事法律责任。,判决:被告注册域名“”无效,应马上停顿使用并于判决生效后十日内撤消该域名,23,电子商务系统安全与安全技术,第23页,7.2 电子商务安全技术,7.2.1 防火墙技术,1防火墙基本概念,计算机网络防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间结构保护屏障。只有被允许通信才能经过防火墙,从而起到内部网与外部网隔离,能够限制外部用户对内部网络访问和内部用户对外部网络访问。,它控制全部内部网与外部网之间数据流量,预防企业内部信息流入Internet;控制外部有害信息流入Intranet。防火墙还能执行安全策略,统计可疑事件。,24,电子商务系统安全与安全技术,第24页,防火墙基本概念,所谓防火墙,就是在内部网与外部网之间界面上结构一个保护层,并强制全部连接都必须经过此保护层,在此进行检验和连接。只有被授权通信才能经过此保护层,从而保护内部网及外部访问。,25,电子商务系统安全与安全技术,第25页,图7-1 防火墙系统示意图,26,电子商务系统安全与安全技术,第26页,防火墙是一个安全有效防范技术,是访问控制机制、安全策略和防入侵办法。,狭义:防火墙是指安装了防火墙软件主机或路由器系统;,广义:防火墙还包含了整个网络安全策略和安全行为。,防火墙安全策略有两种:,(1)凡是没有被列为允许访问服务都是被禁止。,(2)凡是没有被列为禁止访问服务都是被允许。,27,电子商务系统安全与安全技术,第27页,2防火墙组成,防火墙主要包含安全操作系统、过滤器、网关、域名服务和E-mail处理等五部分,如图7-2所表示。有防火墙可能在网关两侧设置两个内、外过滤器,外过滤器保护网关不受攻击,网关提供中继服务,辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络保护。,28,电子商务系统安全与安全技术,第28页,图7-2 防火墙组成,2防火墙组成,29,电子商务系统安全与安全技术,第29页,防火墙主要目标是控制数据组,只允许正当流经过。它要对内域网和Internet之间传递每一数据组进行干预。过滤器则执行由防火墙管理机构制订一组规则,检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。单纯靠IP地址过滤规则是不安全,因为一个主机能够用改变IP源地址来蒙混过关。,30,电子商务系统安全与安全技术,第30页,3防火墙优点,(1)保护那些易受攻击服务。过滤那些不安全服务,只有预先被允许服务才能经过防火墙。,(2)控制对特殊站点访问。防火墙能控制对特殊站点访问。如有些主机能被外部网络访问而有些则要被保护起来,预防无须要访问。,(3)集中化安全管理。能够将全部修改过软件和附加安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将全部软件分散到各个主机上。,(4)对网络访问进行统计和统计。,31,电子商务系统安全与安全技术,第31页,4防火墙类型,主要可分为,包过滤型,和,应用网关型,两种。,包过滤型,能够动态检验经过防火墙TCP/IP报文头中报文类型、源IP地址、目标IP地址、源端口号等信息,与预先保留清单进行对照,按预定安全策略决定哪些报文能够经过防火墙,哪些报文不能够经过防火墙。,包过滤防火墙优点:价格较低,对用户透明,而且对网络性能影响很小,包过滤不需要用户和密码来登录。速度快而且易于维护。,不能从访问统计中发觉黑客攻击统计。,32,电子商务系统安全与安全技术,第32页,图7-3 包过滤型防火墙工作原理,33,电子商务系统安全与安全技术,第33页,应用网关型,使用代理技术,在内部网与外部网之间建立一个单独子网,该子网有一个代理主机,经过路由器和网关分别与内、外网连接,代理访问主机对外部和内部用户网络服务请求进行认证,对于正当用户服务请求,代理服务主机则连接内部网与外部网,自己作为通信中介,外部用户只能取得经过代理内部网服务,从而保护内部网络资源不受侵害。,代理服务器技术是优点在于能够将被保护网络内部结构屏蔽起来,增强网络安全性能,同时可用于实施较强数据流监控、过滤、统计和汇报等功效。,34,电子商务系统安全与安全技术,第34页,图7-4 应用网关型防火墙工作原理,35,电子商务系统安全与安全技术,第35页,36,电子商务系统安全与安全技术,第36页,7.2.2 加密技术,例子:,打仗,代码以下,1前进 2固守 3撤兵 4求援,密钥:夜来风雨声,花落知多少,指示密文:风,37,电子商务系统安全与安全技术,第37页,7.2.2 加密技术,明文:打算隐蔽起来消息原文,能够直接了解其意义。,密文:利用密码将明文变换成另一个隐蔽形式,不经,解密不能了解其意义。,加密:就是把明文经过一定算法变换为只有知道密钥,人才能看懂密文再发送出去变换过程。,解密:加密逆过程,即由密文恢复出原明文过程。,加密算法:对明文进行加密时所采取一组规则。,密钥:加密和解密算法操作通常都是在一组数据控制,下进行,这组数据叫密钥。,38,电子商务系统安全与安全技术,第38页,密码:明文和加密密钥相结合,然后经过加密算法运算结果。,C=E,K,(m),密钥只能由通信双方来掌握,而加密算法是能够公开。密钥位数越长,存在密钥数越多,安全性越好,密文,密钥,明文,39,电子商务系统安全与安全技术,第39页,7.2.2 加密技术,传统密码加密体制:,恺撒密码,明文:ABCDEFGHIJKLMNOPQRSTUVWXYZ,密文:EFGHIJKLMNOPQRSTUVWXYZABCD,方法:加密时把明文中全部字母都用其右边第K个字母替换,并认为Z后面是A。,k就是密钥。,维吉尼亚(Vigenere)密码,多表替换密码,用26个英文字母循环移位,形成了26行26列方阵。把一个易记单词作为密钥来加密、解密。,40,电子商务系统安全与安全技术,第40页,第01行 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 第02行 B C D E F G H I J K L M N O P Q R S T U V W X Y Z A 第03行 C D E F G H I J K L M N O P Q R S T U V W X Y Z A B 第05行 E F G H I J K L M N O P Q R S T U V W X Y Z A B C D 第13行 M N O P Q R S T U V W X Y Z A B C D E F G H I J K L 第15行 O P Q R S T U V W X Y Z A B C D E F G H I J K L M N 第24行 X Y Z A B C D E F G H I J K L M N O P Q R S T U V W 第25行 Y Z A B C D E F G H I J K L M N O P Q R S T U V W X 第26行 Z A B C D E F G H I J K L M N O P Q R S T U V W X Y,41,电子商务系统安全与安全技术,第41页,7.2.2 加密技术,1.加密技术基本概念,所谓加密技术,,就是指采取数学方法对原始信息进行再组织,使得加密后在网络上公开传输内容对于非法接收者来说成为无意义文字。而对于正当接收者,因为其掌握正确密钥,能够经过解密过程得到原始数据。,在加密和解密过程中,包括信息(明文/密文)、密钥(加密密钥/解密密钥)和算法(加密算法/解密算法)这三项内容。,假如按照收发双方密钥是否相同来分类,能够将加密技术分为对称加密技术和非对称加密技术,两种技术最有名代表分别为DES和RSA。,42,电子商务系统安全与安全技术,第42页,图7-5 数据加密普通模型,43,电子商务系统安全与安全技术,第43页,7.2.2 加密技术,2、对称加密技术,私钥密码技术,特点:,信息加密和解密使用相同密钥,或它们虽不相,同,但能够从其中一个密钥推导出另一个。,算法公开,交换信息双方无须交换加密算法,但,需要交换加密密钥。,采取相同加密算法,共享专用密钥。,第三方获取该密钥,就会造成失密。,N个用户,每个需要维护N把密钥;整个网络中N个用户共需要N*(N-1)把密钥才能确保任意双方通信。,44,电子商务系统安全与安全技术,第44页,对称加密技术,明 文,密 文,明 文,密钥,加密过程,解密过程,对称加密中密钥,45,电子商务系统安全与安全技术,第45页,对称密钥加密,图21 对称密钥加密示意图,HELLO,对称密钥算法,如DES,#.%*%,#.%*%,HELLO,对称密钥算法,如DES,图 对称密钥解密示意图,明文 算法对称密钥 密文,明文 算法对称密钥 =密文,特点:加/解密速度快;密钥公布和管理困难;,密钥长度限制(56比特);,46,电子商务系统安全与安全技术,第46页,2对称加密技术(,私钥密码技术,),对称加密技术最含有代表性算法是IBM企业提出DES(Data Encryption Standard)算法,该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准,是当前广泛采取对称加密方式之一,主要应用于银行业中电子资金转账(EFT)领域。,DES综合利用了置换、代替、代数等各种密码技术,把消息分成64位大小块,使用56位密钥。,对密钥进行逐一尝试,就能够破解密文。,只要破译时间超出密文使用期,加密就是有效。,DES替换算法,这些算法中比较有影响有AES算法(Advanced Encryption Standard)和欧洲数据加密标准IDEA。,47,电子商务系统安全与安全技术,第47页,DES设计精巧,实现轻易,使用方便,最主要优点是加密、解密速度快,而且能够用硬件实现。其主要弱点在于密钥管理困难,主要有以下表现:,(1)在首次通信前,双方必须经过除网络以外另外路径传递统一密钥。,(2)当通信对象增多时,需要对应数量密钥。比如,当某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一贸易方)。,(3)对称加密是建立在共同保守秘密基础之上,在管理和分发密钥过程中,任何一方泄密都会造成密钥失效,存在着潜在危险和复杂管理难度。,48,电子商务系统安全与安全技术,第48页,3非对称加密技术(公-私钥加密技术),公钥密码技术,特点:,信息加密和解密使用不一样密钥,加密密钥是能够公开公钥,解密密钥是需要保密私钥。,加密公钥(Public KeyPK)和解密私钥(Private Key,Secret KeySK)是数学相关,加密密钥和解密密钥是成对出现,但不能经过加密密钥来计算出解密密钥。,用户甲公开加密密钥,用户乙要和甲通信,用甲公钥加密信息,这么只有拥有解密私钥甲才能解开此密文。,49,电子商务系统安全与安全技术,第49页,明 文,密 文,明 文,公开密钥,加密过程,解密过程,非对称加密技术中密钥,非对称加密技术(公-私钥加密技术),私有密钥,50,电子商务系统安全与安全技术,第50页,公开密钥加密(非对称密钥加密),公开密钥算法,如RSA,图23 公钥机制加密示意图,HELLO,公开密钥算法,如RSA,#.%*%,#.%*%,HELLO,图 公钥机制解密示意图,Alice Bob公钥 Bob,Alice Bob私钥 Bob,特点:公开公钥,保留私钥;,51,电子商务系统安全与安全技术,第51页,非对称加密技术小结:,用于解密私钥不发往任何地方,公钥在传递和公布过程中即使被截获,因为没有私钥,公钥对入侵者也没有太大意义。,简化了密钥管理,网络中N个用户之间进行通信加密,仅仅需要N对密钥就行了。,数字署名和身份认证是公钥加密算法最经典应用。,Windows NT安全体系中,采取就是非对称加密方法。,用户要对数据进行加密,需要生成一对自己密钥对,其中包含公开密钥和私有密钥。加密、解密算法与公开密钥是公开,而私有密钥由密钥主人自己保管。,特点:公开公钥,保留私钥;,52,电子商务系统安全与安全技术,第52页,RSA算法处理了大量网络用户密钥管理难题,不过它存在主要问题是算法运算速度较慢,较对称密码算法慢几个数量级。,所以,在实际应用中通常不采取这一算法对信息量大信息(如大EDI交易)进行加密。,对于加密量大应用通惯用对称加密方法。,53,电子商务系统安全与安全技术,第53页,什么是对称加密和非对称加密?各有什么特点?,1、对称加密是信息加密和解密使用相同密钥,又称为私钥密码技术。加密算法公开,交换信息双方共享专用密钥。,对称加密是建立在共同保守秘密基础之上,在管理和分发密钥过程中,任何一方泄密都会造成密钥失效,存在着潜在危险和复杂管理难度。,对称加密适合用于大信息量加密,其经典算法是DES。,2、非对称加密是,信息加密和解密使用不一样密钥,使用接收者公钥进行加密,接收者使用自己私钥进行解密,又称为,公-私钥加密技术或公钥加密技术。,加密、解密算法与公开密钥是公开,而私有密钥由接收者自己保管。,非对称加密适合用于小信息量加密,其经典算法是RSA。,54,电子商务系统安全与安全技术,第54页,数字信封技术,对称加密方法:运算效率高,但不适合经过公共网络传递;,公开密钥加密算法:密钥传递简单,但加密算法运算效率低,而且要求加密信息长度小于密钥长度;,数字信封技术结合了传统对称加密方法和公钥密码系统;,利用了对称加密方法高效性和公钥密码系统灵活性;,两个不一样加密过程实现:,1、私有密钥加密、解密;,2、文件本身加密、解密;,55,电子商务系统安全与安全技术,第55页,数字信封技术,发送端,接收端,原,信,息,密,文,对称密钥加密,internet,internet,密,文,数字信封,原,信,息,对称密钥解密,接收者,公钥加密,数字信封,对称密钥,接收者私钥解密,对称密钥,发送方,私有密钥,数字信封技术工作原理,1,2,3,4,56,电子商务系统安全与安全技术,第56页,数字信封概念和原理,数字信封是采取密码技术确保了只有要求接收人才能阅读信息内容。数字信封中采取了私钥密码体制和公钥密码体制。信息发送者首先利用随机产生对称密码加密信息,再利用接收方公钥加密对称密码,,被公钥加密后对称密码被称之为数字信封。,在传递信息时,信息接收方要解密信息时,必须先用自己私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到信息。这么就确保了数据传输真实性和完整性。,57,电子商务系统安全与安全技术,第57页,7.2.3 信息摘要,密钥加密技术只能处理信息保密性问题,对于信息完整性则能够用信息摘要技术来确保。,信息摘要(Message digest)又称Hash算法,是Ron Rivest创造一个单向加密算法,其加密结果是不能解密。,所谓信息摘要,,是指从原文中经过Hash算法(一个单向加密算法)而得到一个固定长度(128位)散列值,不一样原文所产生信息摘要必不相同,相同原文产生信息摘要必定相同。,所以信息摘要类似于人类“指纹”,能够经过信息摘要去判别原文真伪。实质:电子“指纹”不是加密机制,仅是能产生特定信息数据“指纹”,用以标识对应信息没有被改动。,58,电子商务系统安全与安全技术,第58页,图7-6 信息摘要过程,(1)对原文使用Hash算法得到信息摘要;,(2)将信息摘要与原文一起发送;,(3)接收方对接收到原文应用Hash算法产生一个摘要;,(4)用接收方产生摘要与发送方发来摘要进行对比,若二者相同则表明原文在传输过程中没有被修改,不然就说明原文被修改过。,59,电子商务系统安全与安全技术,第59页,原,信,息,发送端,接收端,数字摘要,摘要,Hash函数加密,摘要,Hash函数加密,对比,原,信,息,摘要,internet,internet,60,电子商务系统安全与安全技术,第60页,7.2.4 数字署名,数字署名(Digital signature)是密钥加密和信息摘要相结合技术,用于确保信息完整性和不可否定性。数字署名过程如图7-7所表示。,61,电子商务系统安全与安全技术,第61页,图7-7 数字署名过程,1,2,3,4,5,6,数字署名用发送者私钥加密信息摘要,62,电子商务系统安全与安全技术,第62页,(1)对原文使用Hash算法得到信息摘要;,(2)发送者用自己私钥对信息摘要加密;,(3)发送者将加密后信息摘要与原文一起发送;,(4)接收者用发送者公钥对收到加密摘要进行解密;,(5)接收者对收到原文用Hash算法得到接收方信息摘要;,(6)将解密后摘要与接收方摘要进行对比,相同说明信息完整且发送者身份是真实,不然说明信息被修改或不是该发送者发送。,因为发送者私钥是自己严密管理,他人无法仿冒,同时发送者也不能否定用自己私钥加密发送信息,所以数字署名处理了信息完整性和不可否定性问题。,63,电子商务系统安全与安全技术,第63页,数字署名概念和原理,报文发送方从报文文本中生成一个散列值(或报文摘要)。发送方用自己专用密钥对这个散列值进行加密来形成发送方数字署名。,然后,这个数字署名将作为报文附件和报文一起发送给报文接收方。报文接收方首先从接收到原始报文中计算出散列值(或报文摘要),接着再用发送方公开密钥来对报文附加数字署名进行解密。假如两个散列值相同,那么接收方就能确认该数字署名是发送方。经过数字署名能够实现对原始报文判别和不可抵赖性。,64,电子商务系统安全与安全技术,第64页,发送端,接收端,原,信,息,摘要,Hash,函数,加密,数,字,签,名,发送者私钥加密,internet,internet,原,信,息,数,字,签,名,摘要,摘要,Hash函数加密,发送者公钥解密,对比,数字署名工作原理和工作过程,65,电子商务系统安全与安全技术,第65页,数字署名,明文,发送者,报文摘要,用Hash算法运算,用,发送者,私钥加密,明文,密文,用,接收者,公钥加密,接收者,数字署名,密文,用,接收者,私钥解密,明文,报文摘要,用Hash算法运算,用,发送者,公钥解密,报文摘要,数字署名,密文联合发送,比,较,66,电子商务系统安全与安全技术,第66页,数字署名技术,数字署名主要功效,1、确保信息传输中完整性;,单向散列函数确保假如两条信息摘要相同,那么它们信息内容也相同。,2、发送者身份认证;,该密文由发送者私钥生成,其它任何人都不可能产生该密文。,这么能够证实信息是由发送者发出,同时也确认该发送者真实身份。,3、预防交易中抵赖发生。,私钥加密,公钥解密,公钥公开,任何人都能够解开该密文。能够由第三方来裁定发送方是否发生抵赖行为。,67,电子商务系统安全与安全技术,第67页,数字署名技术,数字署名与加密区分,数字署名,数据加密,实现过程与使用密钥,使用发送方密钥对;,发送方用自己私钥加密;,接收方用发送方公钥解密;,使用接收方密钥对;,发送方使用接收方公钥加密;,接收方使用自己私钥解密;,关系,一对多关系;,任何拥有发送方公钥人都能够验证数字署名正确性;,多对一关系;,任何知道接收方公开密钥人都能够向接收方发送加密信息;,目标和作用,主要处理是数字摘要;,为了证实信息确是由某个用户发出;,对网络中是否有些人看到该信息并不关心;,加密信息;,只有拥有接收方私钥人才能对信息解密;,68,电子商务系统安全与安全技术,第68页,7.2.5 数字时间戳,在电子交易中,时间和署名同等主要。,数字时间戳(DTS,Digital Time-Stamp)是由专门机构提供电子商务安全服务项目,用于证实信息发送时间。数字时间戳是一个经加密后形成凭证文档,包含三个部分:时间戳文件摘要、DTS收到文件日期和时间、DTS数字署名。,对于一份长久认定有效署名文件,需要为它加一个数字时间戳。,数字时间戳服务能提供电子文件发表时间安全保护。,69,电子商务系统安全与安全技术,第69页,图7-8 取得数字时间戳过程,1,2,3,4,5,取得数字时间戳用户就能够将它再发送给自己商业搭档以证实信息发送时间。,6,70,电子商务系统安全与安全技术,第70页,7.1.2 电子商务安全性需求,1,保密性:加密技术、数字信封,2,完整性:数字摘要、数字署名,3,不可抵赖性:数字署名,4,真实性:?,5,可靠性:系统软硬件,6内部网严密性:防火墙,71,电子商务系统安全与安全技术,第71页,商务交易判别对方是否可信赖甲方收到乙方数字署名信息用乙方公钥来解密需要首先确定是否真正属于乙方,而不是冒充者。,直接向乙方问询其公钥可能被第三者截获甲方请求把自己公钥发送给甲方,以期待甲方解密特定信息。,需要第三方来验证公钥确实属于乙方。,72,电子商务系统安全与安全技术,第72页,1数字证书(Digital Certificate或Digital ID),1)数字证书基本概念,数字证书是是由权威公正第三方机构,即CA中心签发,电子形式证书,它证实证书中列出用户正当拥有证书列出公钥,即证实一个用户身份及用户对网络资源访问权限。,7.2.6 数字证书与CA认证,73,电子商务系统安全与安全技术,第73页,作用:,数字证书经过CA认可用户个人信息及其公钥信息能够使电子商务买方和卖方在网上拥有正当身份,而且能够有效无误被验证,从而保障网络应用安全性。,内容:,证书内包含用户个人信息和他公钥信息,同时还附有认证中心署名信息。,原理:数字证书采取公私钥密码体制,,每个用户拥有一把仅为本人所掌握私钥,用它进行信息解密和数字署名;同时拥有一把公钥,并能够对外公开,用于信息加密和署名验证。当发送一份保密文件时,发送方使用接收方公钥对数据进行加密,而接收方则使用自己私钥进行解密,这么,信息就能够安全无误地抵达目标地,即使被第三方截获,因为没有对应私钥,也无法进行解密。,74,电子商务系统安全与安全技术,第74页,2)数字证书内容,数字证书由以下两部分组成:,(1)证书数据。证书里数据包含以下信息:,版本信息,用来与X.509未来版本兼容;,证书序列号,每一个由CA发行证书必须有一个惟一序列号;,CA所使用署名算法;,发行证书CA名称;,证书使用期限;,证书主题名称;,被证实公钥信息,,包含公钥算法、公钥位字符串表示(只适合用于RSA加密体制);,包含额外信息尤其扩展。,75,电子商务系统安全与安全技术,第75页,(2),发行证书CA署名,。证书第二部分包含发行证书CA署名和用来生成数字署名署名算法。任何人收到证书后都能使用署名算法来验证证书是由CA署名密钥签署。,在Internet Explorer浏览器中,能够查看数字证书内容。其方法是:进入IE窗口,依次选择“工具”“Internet”“内容”“证书”,然后选择一个证书类别,再在证书列表中选择一个证书,单击“查看”标签,即可查看所选证书内容。,76,电子商务系统安全与安全技术,第76页,77,电子商务系统安全与安全技术,第77页,3)数字证书类型,(1)个人数字证书,:,个人身份证书:表明和验证个人在网络上身份证书,个人身份证书能够存放在软盘或IC卡中。,个人安全电子邮件证书:个人安全电子邮件证书能够确保邮件真实性和保密性。申请后普通安装在用户浏览器里。用户能够利用它来发送署名或加密电子邮件。,78,电子商务系统安全与安全技术,第78页,(2)单位证书,:,企业身份证书:表明和验证企业用户在网络上身份证书,企业身份证书能够存放在软盘和IC卡中。,企业安全电子邮件证书:,单位(服务器)数字证书:主要用于网站交易服务器,需要和网站IP地址、域名绑定,以确保网站真实性和不被人仿造。目标是确保客户机和服务器之间交易及支付时双方身份真实性、安全性和可信任度等。,(3)信用卡身份证书:,(4)CA证书:,用于证实CA身份和CA署名密钥(署名密钥被用来签署它所发行证书)。,79,电子商务系统安全与安全技术,第79页,2认证中心CA(Certificate Authority),1)CA概述,CA是CA是基于非对称加密体系建立电子商务安全认证机构,是一个负责发放和管理数字证书权威机构。在电子商务交易中,商家、客户、银行身份都要由CA认证。,CA通常是企业性服务机构,主要任务是受理数字凭证申请、签发及对数字凭证管理。,比如,持卡人要与商家通信,就要从公共媒体上取得商家公开密钥,但持卡人无法确定商家不是冒充(有信誉),于是持卡人请求CA对商家认证。CA对商家进行调查、验证和判别后,将包含商家公钥证书传给持卡人。一样,商家也可对持卡人进行验证。这个过程如图7-9所表示。,80,电子商务系统安全与安全技术,第80页,图7-9 CA认证,81,电子商务系统安全与安全技术,第81页,CA通常是企业性服务机构,主要任务是受理数字凭证申请、签发及对数字凭证管理。在实际运作中,CA可由大家都信任一方担当,比如在客户、商家、银行三角关系中,客户使用是由某个银行发卡,而商家又与此银行有业务关系或有账号。在这种情况下,客户和商家都信任该银行,可由该银行担当CA角色,接收、处理他卡客户证书和商家证书验证请求。又比如,对商家自己发行购物卡,则由商家自己担当CA角色。,82,电子商务系统安全与安全技术,第82页,2)CA树形验证结构,认证中心通常采取多层次分级结构,上级认证中心负责签发和管理下级认证中心证书,最下一级认证中心直接面向最终用户。在进行交易时,经过出示由某个CA签发证书来证实自己身份,假如对签发证书CA本身不信任,可逐层验证CA身份,一直到公认权威CA处,就可确信证书有效性。,SET证书正是经过信任层次来逐层验证。每一个证书与数字化签发证书实体署名证书关联。沿着信任树一直到一个公认信任组织,就可确认该证书是有效。比如,C证书是由名称为BCA签发,而B证书又是由名称为ACA签发,A是权威机构,通常称为根(Root)CA,验证到了根CA处,就可确信C证书是正当。证书验证结构如图7-10所表示。,83,电子商务系统安全与安全技术,第83页,图7-10 证书树形验证结构,84,电子商务系统安全与安全技术,第84页,2)CA树形验证结构,证书用户,根CA,二级CA,二级CA,三级CA,三级CA,证书用户,证书用户,85,电子商务系统安全与安全技术,第85页,3)国内外CA中心介绍,当前世界上较早数字认证中心是美国Verisign企业(),该企业成立于1995年。,中国金融认证中心():支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。,中国商务在线():是中国电信CA安全认证中心CTCA。,中国数字认证网():有数字认证
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服