网络安全技术及应用 贾铁军10-12章电子商务安全新

1、贾铁军 沈学东 苏庆刚等编著机械工业出版社网络平安技术及应用第11章 电子商务平安 本章要点 电子商务的平安需求 电子商务的SSL、SET 协议 基于SSL 协议Web 效劳器构建 移动电子商务的平安与WPKI 技术 网络平安技术及应用第11章 电子商务平安教学目标 了解电子商务的平安需求 理解电子商务的SSL、SET 协议 掌握基于SSL 协议Web 效劳器构建 掌握移动电子商务的平安与WPKI 技术 网络平安技术及应用第11章 电子商务平安11.1 电子商务平安概述 电子商务概述1. 电子商务的概念(1) 电子商务Electronic Commerce，简称EC指的是利用现代信息技术，进行

2、简单、快捷、低本钱的交易方式，买卖双方不谋面地进行各种商贸活动。 电子商务通过网络信息系统和其他通讯方式进行的。内容包括电子交易的方式和商业及贸易活动两个方面。 网络平安技术及应用第11章 电子商务平安1. 电子商务的概念(2) 电子商务系统结构和构成分别如下图。 网络平安技术及应用第11章 电子商务平安2. 电子商务系统的分类(1) 1按商业活动运作方式分类分为：完全电子商务和不完全电子商务两类。 2按电子商务应用效劳的领域范围分类分为： 1企业Business对终端客户Customer的电子商务即B2C； 2企业对企业的电子商务即B2B。网络平安技术及应用第11章 电子商务平安2. 电子商

3、务系统的分类(2) 3按开展电子交易的信息网络范围分类分为：本地电子商务、远程国内电子商务和全球电子商务三类。 4按商贸处理的平安可靠程度分类分为： 1普通电子商务系统 2基于平安数据交换协议和运作机制的电子商务系统 网络平安技术及应用第11章 电子商务平安 电子商务平安的概念(1) 电子商务平安性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。 电子商务对平安的根本要求： 授权的合法性 不可抵赖性 信息的保密性 交易者身份的真实性 信息的完整性 存储信息的平安性。 网络平安技术及应用第11章 电子商务平安 电子商务平安的概念(2) 电子商务平安从整

4、体上可分为两大局部：计算机网络平安和商务交易平安。计算机网络平安与商务交易平安实际上是密不可分的，两者相辅相成，缺一不可。 电子商务平安具体涉及以下五个方面： 1电子商务系统硬件(物理)平安 2电子商务系统软件平安 3电子商务系统运行平安 4电子商务交易平安 5电子商务平安立法网络平安技术及应用第11章 电子商务平安11.1.3 电子商务的平安问题(1) 电子商务的交易双方都面临着平安威胁。主要包括以下几个方面： 1. 销售企业面临的威胁 1中央系统平安性被破坏 2竞争者检索商品递送状况 3客户资料被竞争者获取 4被他人假冒而损害公司的信誉 5消费者提交订单后不付款 6虚假订单 7获取他人的机

5、密数据网络平安技术及应用第11章 电子商务平安11.1.3 电子商务的平安问题(2) 2. 消费者面临的平安威胁 消费者面临的平安威胁主要包括： 1虚假订单 2付款后不能收到商品 3机密性丧失 4拒绝效劳网络平安技术及应用第11章 电子商务平安11.1.3 电子商务的平安问题(3) 3. 电子商务风险及平安问题 从整个电子商务系统着手分析，可以将电子商务的平安问题归结四类风险：数据传输风险、信用风险、管理风险和法律方面风险。 电子商务的平安性主要包括五个方面：系统的可靠性、交易的真实性、数据的平安性、数据的完整性、交易的不可抵赖性。网络平安技术及应用第11章 电子商务平安11.1.3 电子商务

6、的平安问题(4) 3. 电子商务风险及平安问题 一般来说商务平安中普遍存在着以下几种平安风险和隐患： 1窃取信息 2篡改信息 3假冒 4恶意破坏 电子商务的平安交易主要保证以下四个方面： 1信息保密性 2交易者身份确实定性 3不可否认性 4不可修改性 网络平安技术及应用第11章 电子商务平安11.1.4 电子商务的平安要素(1) 1. 电子商务的平安素 1交易数据的有效性 2商业信息的机密性 3交易数据的完整性 4商务系统的可靠性 5交易的不可否认性 EC系统提供可靠的平安效劳包括：鉴别效劳、访问控制效劳、机密性效劳、不可否认效劳等。网络平安技术及应用第11章 电子商务平安11.1.4 电子商

7、务的平安要素(2) 2电子商务的平安内容 电子商务的平安主要包括以下4个方面。 1 网络平安技术； 2 平安协议及相关标准标准； 1平安超文本传输协议 2平安套接层协议SSL 3平安交易技术协议STT 4平安电子交易SET协议、UN/ EDIFACT平安等 3 大力加强平安交易监督检查，建立健全各项规章制度和机制； 4强化社会的法律政策与法律保障机制，健全法律制度和完善法律体系。 网络平安技术及应用第11章 电子商务平安11.1.5 电子商务的平安体系(1) 电子商务平安体系包括4 个局部：效劳器端、银行端、客户端与认证机构。 认证机构是电子商务中的关键，认证机构的效劳器通常包括5 个局部：

8、1用户注册机构 2证书管理机构 3数据库系统 4证书管理中心 5密钥恢复中心网络平安技术及应用第11章 电子商务平安11.1.5 电子商务的平安体系(2) 根据电子商务的平安要求，可以构建电子商务的平安体系，如下图。 一个完整的电子商务平安体系由网络根底结构层、PKI体系结构层、平安协议层、应用系统层4局部组成。 网络平安技术及应用第11章 电子商务平安11.2 电子商务的平安技术和标准 电子商务的平安技术 常用的平安技术包括：电子平安交易技术、防火墙技术、硬件隔离技术、数据加密技术、认证技术、平安技术协议、平安检测与审计、数据平安技术、计算机病毒防范技术以及网络商务平安管理技术等。 网络平安

9、技术及应用第11章 电子商务平安 网上交易平安协议1. 平安套接层协议SSL 平安套接层协议(Secure Sockets Layer，简称SSL)为一种传输层技术，主要用于实现兼容浏览器和Web 效劳器之间的平安通信。 SSL 协议是目前网上购物网站中经常使用的一种平安协议。使用它在于确保信息在网际网络上流通的平安性，让浏览器和Web 效劳器能够平安地进行沟通。Microsoft 和Netscape 的浏览器都支持SSL，很多Web 效劳器也支持SSL。网络平安技术及应用第11章 电子商务平安2. SSL提供的效劳 SSL标准主要提供了3 种效劳： 1数据加密效劳 2认证效劳 3数据完整性效

10、劳 网络平安技术及应用第11章 电子商务平安3. SSL工作流程及原理(1) SSL 标准的工作流程主要包括4步： 1SSL 客户机向SSL 效劳器发出连接建立请求，SSL 效劳器响应SSL 客户机的请求； 2SSL 客户机与SSL 效劳器交换双方认可的密码，一般采用的加密算法是RSA 算法； 3检验SSL 效劳器得到的密码是否正确，并验证SSL 客户机的可信程度； 4SSL 客户机与SSL 效劳器交换结束的信息。网络平安技术及应用第11章 电子商务平安3. SSL工作流程及原理(2) SSL 标准的工作原理如下图。网络平安技术及应用第11章 电子商务平安 平安电子交易 平安电子交易Secur

11、e Electronic Transaction，简称SET是一个通过Internet等开放网络进行平安交易的技术标准，SET协议围绕客户、商家等交易各方相互之间身份确实认，采用了电子证书等技术，以保障电子交易的平安。 SET向基于信用卡进行电子化交易的应用，提供了实现平安措施的规那么。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。 网络平安技术及应用第11章 电子商务平安1. SET的主要目标 1信息传输的平安性：信息在因特网上平安传输，保证网上传输的数据不被外部或内部窃取。 2信息的相互隔离：订单信息和个人账号信息的隔离，当包含持卡人账号信息的订单送到商

12、家时，商家只能看到订货信息，而看不到持卡人的账户信息。 3多方认证的解决：要对消费者的信用卡认证；要对网上商店进行认证；消费者、商店与银行之间的认证。 4效仿EDI 贸易形式，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 5交易的实时性：所有的支付过程都是在线的网络平安技术及应用第11章 电子商务平安2. SET的技术范围 SET 的技术范围包括以下几方面： 1加密算法； 2证书信息和对象格式； 3购置信息和对象格式； 4认可信息和对象格式； 5划账信息和对象格式； 6对话实体之间消息的传输协议。网络平安技术及应用第11章

13、 电子商务平安3. SET系统的组成 SET 系统的操作是通过电子钱包、商店效劳器、支付网关和认证中心软件 4 个软件来完成的，分别存储在持卡人、网上商店、银行以及认证中心的效劳器中，相互运作来完成整个SET 交易效劳。一般模型如下图。网络平安技术及应用第11章 电子商务平安4. SET的认证过程(1) 具体主要有4 个业务认证过程： 1注册登记。 2申请数字证书。网络平安技术及应用第11章 电子商务平安4. SET的认证过程(2) 3动态认证。 注册成功以后，便可以在网络上进行电子商务活动。在从事电子商务交易时，SET 系统的动态认证工作过程如图 所示。网络平安技术及应用第11章 电子商务平

14、安4. SET的认证过程(3) 4商业机构处理。 商业机构处理流程商业机构的处理工作步骤如下图。网络平安技术及应用第11章 电子商务平安5. SET协议的平安技术(1) SET Toolkit是SET 的一个开放工具，任何电子商务系统都可以利用它来处理操作过程中的平安和保密问题。其中支付和认证是其向系统提供的两大主要功能。 主要平安保障有3 个方面： 1用双钥密码体制加密文件； 2增加密钥的公钥和私钥的字长； 3采用联机动态的授权和认证检查，以确保交易过程的平安可靠。 网络平安技术及应用第11章 电子商务平安5. SET协议的平安技术(2) 平安保障措施的技术根底有4个： 1利用加密方式确保信

15、息机密性。 2以数字化签名确保数据的完整性。 3使用数字化签名和商家认证确保交易各方身份的真实性。 4通过特殊的协议和消息形式确保动态交互式系统的可操作性。 网络平安技术及应用第11章 电子商务平安11.3 构建基于SSL的Web平安站点 基于WEB信息平安通道的构建1. 配置DNS、Active Directory及CA效劳 在Windows 2003 Server上建立一个独立根的CA认证效劳器需要有DNS和Active Directory效劳，并需要进行配置。再按照管理工具中的配置效劳器向导操作。为了操作方便，CA认证中心的颁发策略要设置成“始终颁发。 网络平安技术及应用第11章 电子商

16、务平安2. 效劳器端证书的获得与安装 1获得WEB站点数字证书 启动Web效劳器的“Internet信息效劳；在“Internet信息效劳界面中右击要申请数字证书的站点，在弹出的快捷菜单中选择“属性，出现站点属性对话框。翻开IE浏览器,在地址栏中输入认证效劳器名称 / CertSrv; 选择“申请证书。 2安装WEB站点数字证书 3设置“平安通信 属性网络平安技术及应用第11章 电子商务平安3. 客户端证书的获得与安装 客户端如果想通过信息平安通道访问需要平安认证的网站，必须具有此网站信任的CA机构颁发的客户端证书以及CA认证机构的证书链。 1申请客户端证书 2安装证书链或CRL4. 通过平安

17、通道访问WEB网站5. 访问WEB站点网络平安技术及应用第11章 电子商务平安 证书效劳的安装与管理 实现电子商务平安的重要内容是电子商务的交易平安。只有使用具有SSL 及SET 的网站，才能真正实现网上平安交易。SSL 是对会话的保护，SSL最为普遍的应用是实现浏览器和WWW效劳器之间的平安HTTP通信。SSL 所提供的平安业务有实体认证、完整性、保密性，还可通过数字签名提供不可否认性。 网络平安技术及应用第11章 电子商务平安 Web效劳器数字证书的获取 1. 生成Web效劳器数字证书申请文件2. 申请Web 效劳器数字证书网络平安技术及应用第11章 电子商务平安 Web效劳器所SSL设置

18、 1. 在Web 效劳器上设置SSL2. 浏览器的SSL 配置网络平安技术及应用第11章 电子商务平安11.3.5 浏览器数字证书的获取与管理 1. 浏览器数字证书的申请2. 颁发浏览器数字证书3. 获取及安装浏览器数字证书4. 浏览器数字证书的管理网络平安技术及应用第11章 电子商务平安11.3.6 浏览器的SSL设置及访问1. 在浏览器上设置SSL2. 访问SSL 站点 网络平安技术及应用第11章 电子商务平安11.4 电子商务平安解决方案 数字证书解决方案1. 网络银行系统数字证书解决方案2. 网上教育系统数字证书应用方案3. 移动电子商务平安解决方案网络平安技术及应用第11章 电子商务

19、平安 智能卡在WPKI中的应用1. WPKI的根本结构(1) 为了满足无线通信平安需求而研发的无线公钥的平安体系WPKIWireless PKI，可以应用于 、个人数字助理PDA等无线装置，为用户提供身份认证、访问控制和授权、传输保密、资料完整性、不可否认性等平安效劳。 智能卡拥有优秀的平安性，可以作为WPKI体系当中网络平安客户端很好的接入载体。智能卡有处理器，因而能够在卡内实现密码算法和数字签名，并且能够平安地存储私钥。 网络平安技术及应用第11章 电子商务平安1. WPKI的根本结构(2) WPKI由终端、PKI门户、CA、PKI目录效劳器等局部组成密钥管理体系。在WPKI的应用中，还可以设计WAP网关和数据提供效劳器等效劳设备。WPKI的根本结构如下图。 网络平安技