电子商务安全技术课件

1、8 电子商务安全技术8 电子商务安全技术教学目标关键词汇 通过本章的学习，了解电子商务中的安全需求、电子商务的安全隐患、电子商务安全体系以及安全模型，掌握相关的电子商务安全技术，尤其是加密技术和认证技术。加密 （Encryption）认证 （Certificate Authority， CA）公钥基础设施（Public Key Infrastructure，PKI）数字签名 （Digital Signature， DS）第1页，共22页。8 电子商务安全技术8 电子商务安全技术8.1 电子商务安全概述8.2 电子商务的安全体系8.3 加密技术8.4 认证技术 习题与思考题第2页，共22页。8.

2、1 电子商务安全概述8 电子商务安全技术8.1.1 电子商务的安全威胁 所谓安全威胁，是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可以分为故意的（如黑客攻击）和偶然的（如信息被发往错误的地址）。 在电子商务活动中所面临的安全威胁主要有： 信息泄露 信息完整性破坏 业务拒绝 非法使用 系统穿透 植入 否认第3页，共22页。8 电子商务安全技术8.1.2 电子商务安全业务 在电子商务中，需要以下几种安全业务： （1）认证业务 （2）保密业务 （3）访问控制业务 （4）不可否认业务 （5）数据完整性业务 （6）匿名性业务第4页，共22页。8 电子商务安

3、全技术8.1.3 电子商务的安全机制电子商务的安全机制归结为以下五大类：（1）威慑机制；（2）预防机制；（3）检查机制（4）恢复机制；（5）纠正机制。相应地，实现电子商务的安全技术可归结为以下7类：（1）密码技术；（2）认证技术；（3）访问控制技术；（4）病毒防治技术；（5）信息内容识别技术；（6）网络安全监控技术；（7）网络隐患扫描技术。返回第5页，共22页。8.2 电子商务的安全体系8 电子商务安全技术8.2.1 电子商务的主要安全要素 有效性 可靠性 机密性 完整性 不可抵赖性 审查能力8.2.2 电子商务管理上的安全措施 首先要引起足够重视，制定安全规划和标准。 其次制定详细的安全行为

4、规范。 最后注意安全条例的执行保障。第6页，共22页。8 电子商务安全技术8.2.3 电子商务法律上的安全保障 主要涉及的法律要素有： （1）有关电子商务交易各方合法身份认证的法律。 （2）有关保护交易者个人及交易数据的法律，本着最小限度收集个人数据、最大限度保护个人隐私的原则来制定法律，以消除人们对泄露个人隐私以及重要个人信息的担忧，从而吸引更多的人上网参与电子商务。 （3）有关电子商务中电子合同合法性及如何进行认证的法律。 （4）有关网络知识产权保护的法律。第7页，共22页。8 电子商务安全技术8.2.4 电子商务的安全交易体系图8.1 电子商务安全交易体系第8页，共22页。8 电子商务安

5、全技术8.2.5 电子商务的安全模型图8.2 信息系统安全层次模型第9页，共22页。8 电子商务安全技术8.2.6 电子商务安全交易的有关标准和实施方法（1）早期曾采用过的方法： 部分告知(Partial Order) 另行确认(Order Confirmation) 在线服务(Online Service)（2）近年推出的安全交易标准： 安全超文本传输协议(S-HTTP) 安全套接层协议(SSL，Secure Sockets Layer) 安全交易技术协议(STT，Secure Transaction Technology) 安全电子交易协议(SET，Secure Electronic Tr

6、ansaction) 返回第10页，共22页。8.3 加 密 技 术8 电子商务安全技术8.3.1 保密理论基础 保密学是研究信息系统安全保密的科学，利用它可以将所写的单词和其他种类的信息进行转换，从而使得未经验证的访问者无法正确理解信息的内容。保密学包括两个分支：密码学和密码分析学。密码学是对信息进行编码，将原始信息转换成难以阅读和理解的形式的一门学科。密码分析学是对加密信息进行研究分析，破译密码的一门学科。 密码学的起源可以追溯到恺撒大帝时代，当时，密码技术就用来防止机密信息泄露。8.3.2 加密技术的基本概念 加密技术是实现电子商务安全的一种重要手段，目的是为了防止合法接受者之外的人获取

7、信息系统的机密信息。所谓加密技术就是采用数学方法（加密算法）对原始信息进行再组织，使得加密后的信息成为一种不可理解的形式。解密是加密的逆过程，通过相同的或者另一个复杂函数和一个解密密钥，将密文还原成原来可理解的形式明文。第11页，共22页。8 电子商务安全技术8.3.3 密码系统组成所有的密码系统都具有四个基本组成部分：（1）明文；（2）密文；（3）加密算法；（4）密钥。8.3.4 数据加密的一般模型图8.3 数据加密的一般模型第12页，共22页。8 电子商务安全技术8.3.5 对称密钥加密体制 对称密钥加密原理 对称密钥加密体制（Symmetric Key Crypt System）是指在对

8、信息进行加密和解密过程中使用同一个密钥，该密钥被称为私钥（Private Key）。这种体制的加密密钥和解密密钥是相同的或者本质上是相同的（即从其中一个很容易地推出另一个）。根据加密模式不同，又可以分为两种：（1）序列密码；（2）分组密码。 对称密钥加密体制常用算法 数据加密标准DES（Data Encryption Standard）算法有三个参数：密钥、数据和工作模式。 对称密钥加密体制存在的问题 （1）通信双方的密钥安全交换问题；（2）多密钥分发与管理问题；（3）无法满足互不相识的人进行私人谈话的保密需求；（4）难以解决数字签名的问题；（5）用穷尽搜索法破译DES已成为可能。第13页，共

9、22页。8 电子商务安全技术8.3.6 非对称密钥加密体制 非对称密钥加密原理 非对称密钥是指：密钥被分解为一对，其中一对作为公开密钥或加密密钥，另一对作为专用密钥或解密密钥，而且这对密钥中的任何一把都可以作为公用密钥，并通过非保密方式向他人公开；另一把则作为私人密钥（解密密钥），由个人加以保存。 非对称密钥加密体制常用算法 RSA （Rivest、Shanir、AdlemanA）算法是非对称密钥加密体制中一种比较成熟的算法。实施RSA公开密钥密码体制的步骤有：设计密钥、设计密文、恢复明文。 RSA算法中素数的选取问题 为了增强RSA算法的抗攻击性，对素数P、Q的选取通常要达到以下要求： P与

10、Q应为安全素数，P为安全素数是指P=2a+1，而a为素数。 P与Q应为强素数，P为强素数是指P+1有大素数因子。 P与Q有足够的距离。返回第14页，共22页。8.4 认 证 技 术8 电子商务安全技术8.4.1 数字签名技术 为使数字签名能代替传统的签名，必须满足下面三个条件： （1）接收者能够核实发送者对报文的签名； （2）发送者事后不能抵赖对其报文的签名； （3）接收者无法伪造对报文的签名。 数字签名技术的含义 数字签名：信息发送方对要发送的信息或摘要用发送者的私钥加密，然后传送给接收者。接收者收到信息后，只有用发送者的公钥才能对被加密的信息或信息摘要解密。 数字签名的作用 （1）对信息发

11、送方身份认证；（2）验证信息的完整性； （3）防止交易中的抵赖行为。数字签名的方法 （1）RSA签名；（2）DSS签名；（3）Hash签名。第15页，共22页。8 电子商务安全技术8.4.2 数字证书 数字证书的概念 数字证书（Digital Certificate）也叫数字凭证、公开密钥证书，它是一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档，用电子手段来证实一个用户的身份和对网络资源的访问权限。 数字证书的内容一般包括：证书拥有者的名称，命名规则一般采用X.500格式；证书拥有者的公钥；公钥的有效期；颁发数字证书的单位名称；颁发数字证书单位的数字签名；数字证书的序号；证书拥有者

12、的数字签名；证书的版本号。 数字证书可用于：发送安全电子邮件，访问安全站点，网上证券、网上招标采购，网上签约，网上办公，网上缴费，网上税务等网上安全电子事务处理和安全电子交易活动。第16页，共22页。8 电子商务安全技术 数字证书的类型（1）个人数字证书（2）机构数字证书（3）服务器数字证书（4）安全邮件证书（5）代码签名数字证书 数字证书的有效性（1）证书没有过期。（2）密钥没有修改。（3）用户仍然有权使用这个密钥。（4）CA负责回收证书，发布无效证书清单。第17页，共22页。8 电子商务安全技术8.4.3 数字时间戳 数字时间戳的概念 数字时间戳(Digit Timestamp Servi

13、ce，DTS)是用来证明信息的收发时间，它是一个经过加密后形成的凭证文档，共包括三个部分：需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名，它是由专门的DTS机构提供的。数字时间戳要能够保证以下三点： 信息文件加上去的时间戳与存储信息的物理媒介无关； 对已加上数字时间戳的信息文件不能作任何改动和伪造； 在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的。 数字时间戳的产生过程 首先，用户将需要加时间戳的文件用Hash函数编码加密形成摘要，然后把该摘要发送给DTS认证权威机构，DTS认证单位在加入收到文件摘要的日期和时间信息后再对该文件加密（数字签名），最后发送给

14、用户。第18页，共22页。8 电子商务安全技术8.4.4 认证中心电子商务认证授权机构也成为电子商务认证中心（CA, Certificate Authority） CA的职能（1）证书发放；（2）证书更新；（3）证书撤销；（4）证书验证。 CA认证系统（1）安全服务器；（2）CA服务器；（3）注册机构RA；（4）LDAP服务器；（5）数据库服务器。返回第19页，共22页。8 电子商务安全技术知识归纳 当今，电子商务的发展面临着各种安全威胁，电子商务安全技术对保障电子商务稳定发展起着极其重要的作用。企业在开展电子商务的时候，都要积极采取相应的安全措施，以确保自身交易的安全，避免不必要的损失。 现

15、在电子商务所面临的安全威胁主要有：信息泄漏；信息完整性破坏；业务拒绝；非法使用；系统穿透；植入；否认等。相应地也出现了一些安全防护措施，如：认证业务、保密业务、访问控制业务、不可否认业务、完整性业务、匿名性服务。通过这样一些业务来保障电子商务安全。 电子商务的所有活动都需要安全体系的有力支持，安全的电子商务环境包括精心规划的组织管理体系，严密的技术规范，完善的法律政策。 加密技术是电子商务安全中的核心支撑技术，现有的加密技术主要有对称加密体制和非对称加密体制两种，DES和RSA是这两种加密体制的典型算法，在保证信息安全传输的同时，也可以用来对信息来源的确认和保证信息的完整性。信息摘要相当于信息

16、的指纹，可以验证信息的真实性、完整性和有效性。数字签名如同传统的手写签名，它一方面保证了信息来源的可靠性，另一方面也使得信息发送者无法否认自己已发送了信息这一事实。数字证书是一个具有权威性的CA机构颁发的，主要用于电子商务交易中的各个参与实体的身份验证。数字时间戳是由专门的第三方机构DTS为电子文档加上去的电子形式的日期、时间信息，主要用来证实信息的有效性、电子单据收发时间和电子合同的签约时间，一般包括DTS的数字签名。第20页，共22页。习题与思考题8 电子商务安全技术一、选择题1.数字证书采用公钥体制，即利用一对互相匹配的密钥进行（）。A加密B加密、解密C解密D安全认证2.数字时间戳上的时间是由（）决定的。ADTS机构B信息发送方C信息接受方D信息双方3.下列哪种技术是用来验证交易者的身份的？（）A防火墙B信息摘要C数字时间戳D数字签名4.采用数字签名，能够确认以下几点：（）。A保证信息是由对方签名发送的，签名者不能否认或难以否认B保证信息是由签名者自己签名发送的，签名者不能否认或难以否认C保证信息签发后未曾作过任何修改，签发的文件是真实文件D保