版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第三章电子商务务安全第一节电电子子商务安安全面临临的问题题、要素素及内容容第二节计计算算机网络络安全技技术第三节电子商务务交易安安全技术术第四节电子商务务安全交交易协议议单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议一、电子子商务面面临的安安全问题题信息泄漏1在电子商务中表现为商业机密的泄漏,指交易双方进行交易的内容被第三方窃取,或者交易一方提供给另一方使用的文件被第三方非法使用。信息假冒冒3当攻击者者掌握了了网络信信息数据据规律或或解密了了商务信信息以后后,可以以假冒合合法用户户或发送送信息来来欺骗其其他用户户。信息的篡改2在电子商务中表现为商业信息的真实性和完整性的问题。交易抵赖4发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易。病毒问题5随着互联网技术的发展,各种新病毒及其变种迅速增加。黑客问题6黑客攻击所使用的方法不同,产生的危害程度也不同。二、电子子商务的的基本安安全要素素电子商务的基本安全
要素有效性认证性机密性完整性不可抵赖性如何保证证电子形形式的贸贸易信息息的有效效性则是是开展电电子商务务的前提提。要预防非非法的信信息存取取和信息息在传输输过程中中被非法法窃取。。完整性一一般可通通过提取取信息的的数据摘摘要方式式来获得得。不可抵赖赖性可通通过对发发送的消消息进行行数字签签名来获获取。一般都通通过证书书机构CA和数字证证书来实实现。三、电子子商务安安全的内内容电子商务务安全从从整体上上可分为为两大部部分:计计算机网网络安全全和商务务交易安安全。交易安全技术安全管理体系网络安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称秘钥算法病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律法规、政策电子商务务安全框框架计算机网网络安全全的内容容包括::计算机机网络设设备安全全、计算算机网络络系统安安全、数数据库安安全等。。其特征征是针对对计算机机网络本本身可能能存在的的安全问问题,实实施网络络安全增增强方案案,以保保证计算算机网络络自身的的安全性性为目标标。商务交易易安全则则紧紧围围绕传统统商务在在互联网网上应用用时产生生的各种种安全问问题,在在计算机机网络安安全的基基础上,,如何保保障电子子商务过过程的顺顺利进行行,即实实现电子子商务的的保密性性、完整整性、可可鉴别性性、可不不伪造性性和不可可抵赖性性。单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议一、计算算机网络络的潜在在安全隐隐患企业内部部的典型型风险有有:没有有好的备备份系统统导致数数据丢失失;有外外来磁盘盘携带的的病毒攻攻击计算算机系统统;业务务人员的的误操作作;删除除了不该该删除的的数据,,且无法法恢复;;系统硬硬件、通通信网络络或软件件本身出出故障。。如果企业业的内部部网连接接上Internet,则Internet本身的不不安全性性对企业业内部信信息系统统带来的的潜在风风险主要要有:外外部非法法用户潜潜入系统统胡作非非为,甚甚至破坏坏系统;;数据丢丢失,机机密信息息泄漏;;互联网网本身固固有的风风险的影影响;网网络病毒毒的攻击击。二、计算算机网络络安全体体系要加强主主机本身身的安全全,做好好安全配配置,及及时安装装安全补补丁程序序,减少少漏洞;;要用各各种系统统漏洞检检测软件件定期对对网络系系统进行行扫描分分析,找找出可能能存在的的安全隐隐患,及及时修补补;对敏敏感的设设备和数数据要建建立必要要的物理理或逻辑辑隔离措措施;安安装防病病毒软件件,加强强内部网网的整体体防病毒毒措施;;建立详详细的安安全审计计日志,,以便检检测并跟跟踪入侵侵攻击等等。三、常用用的计算算机网络络安全技技术(一)病病毒及黑黑客防范范技术计算机病病毒是带带有一段段恶意指指令的程程序,一一旦用户户运行了了被病毒毒感染的的程序,,它就会会隐藏在在系统中中不断感感染内存存或硬盘盘上的程程序。黑客程序序实际上上是人们们编写的的程序,,它能够够控制和和操纵远远程计算算机,一一般由本本地和远远程两部部分程序序组成。。考虑到到黑客程程序的危危害性,,把黑客客程序也也归于计计算机病病毒。1.单机病病毒1)单机病病毒的种种类单机病毒毒就是以以前的DOS病毒、Windows病毒和能能在多操操作系统统下运行行的宏病病毒。DOS病毒是在在MS-DOS及其兼容容操作系系统上编编写的病病毒程序序,例如如以前著著名的““黑色星星期五””“DIR”等病毒毒。Windows病毒是在在Win3.x//Win9.x上编写的的纯32位病毒,,例如4月26日危害全全球的CIH病毒等。。宏病毒是是利用Office特有的““宏”编编写的病病毒,它它专门攻攻击微软软Office系列Word和Excel文件。2)单机病病毒的防防范考虑到每每种杀毒毒产品都都有其局局限性,,所以最最好准备备几套杀杀毒软件件,用它它们来交交叉杀毒毒,杀毒毒软件还还要及时时升级;;定期用用杀毒软软件检查查硬盘,,如果用用的是Win9.x(CIH病毒对WINNT和WIN2000不起作用用),每每月的26号前一定定要检查查是否有有CIH病毒,或或者将系系统日期期跳过26号。2.网络病病毒及其其防范特洛伊木木马是一一种黑客客程序,,与病毒毒有些区区别,特特洛伊木木马本身身一般并并不破坏坏受害者者硬盘上上的数据据,它只只悄悄地地潜伏在在被感染染的计算算机里,,一旦这这台计算算机上网网,就可可能大祸祸临头。。特洛伊木木马病毒毒的防范范方法是是:不要要轻易泄泄漏IP地址,下下载来历历不明的的软件时时要警惕惕其中是是否隐藏藏了特洛洛伊木马马,使用用下载软软件前一一定要用用特洛伊伊木马检检测工具具进行检检查。2)邮件病病毒邮件病毒毒和普通通病毒是是一样的的,只不不过由于于它们主主要通过过电子邮邮件传播播,所以以才称为为“邮件件病毒””,一般般通过邮邮件中““附件””夹带的的方法进进行扩散散,一旦旦你收到到这类E-mail,运行了了附件中中的病毒毒程序,,就能使使你的计计算机染染毒。邮件病毒毒的防范范方法是是:不要要打开陌陌生人来来信中的的附件,,特别是是“.exe”等可执执行文件件;养成成用最新新杀毒软软件及时时查毒的的好习惯惯,不要要急于打打开附件件中的文文件,先先将其保保存在特特定目录录中,然然后用杀杀毒软件件进行检检查;收收到自认认为有趣趣的邮件件时,不不要盲目目转发,,因为这这样会帮帮助病毒毒的传播播;对于于通过脚脚本“工工作”的的病毒,,可采用用在浏览览器中禁禁止Java或ActiveX运行的方方法来阻阻止病毒毒的发作作。3)脚本病病毒脚本病毒毒的前缀缀是:Script。脚本病病毒的共共有特性性是使用用脚本语语言编写写,通过过网页进进行传播播的病毒毒,如红红色代码码(Script..Redlof)。脚本本病毒还还会有如如下前缀缀:VBS、JS(表明是是何种脚脚本编写写的),,如欢乐乐时光((VBS..Happytime)、十四四日(Js.Fortnight..c.s)等。4)蠕虫病病毒蠕虫病毒毒的前缀缀是:Worm。这种病病毒的共共有特性性是通过过网络或或者系统统漏洞进进行传播播,很大大部分的的蠕虫病病毒都有有向外发发送带毒毒邮件,,阻塞网网络的特特性。3.网上炸炸弹及其其防范1)IP炸弹IP炸弹一般般是指用用专用的的攻击软软件(如如WinNuke、IGMPNuke等)发送送大量的的特殊数数据,对对远程计计算机中中的Windows系统的漏漏洞进行行攻击,,造成对对方的Windows蓝屏死机机。当用用户在聊聊天室聊聊天时,,其IP地址很容容易被别别人查到到,如果果对方要要发起攻攻击,只只要用专专用软件件攻击用用户的IP就可以了了。对付IP炸弹最好好的办法法是安装个人人防火墙墙。2)邮件炸炸弹邮件炸弹弹的原理理是向有有限容量量的信箱箱投入足足够多或或者足够够大的邮邮件,使使邮箱崩崩溃。防范邮件件炸弹的的方法有有以下几几种:①①在邮邮件软件件中设置置好防范范项目;;②在在邮件服服务器上上设置过过滤器,,防范邮邮件炸弹弹;③使使用删删除E-mail炸弹的工工具;④④谨慎慎使用自自动回信信。(二)身身份识别别技术1.口令传统的认认证技术术主要采采用基于于口令的的认证方方法。但是,传传统的认认证技术术也有一一些不足足之处。。用户每每次访问问系统时时都要以以明文方方式输入入口令,,很容易易泄漏;;口令在在传输过过程中可可能被截截获;系系统中所所有用户户的口令以文件件形式存存储在认认证方,,攻击者者可以利利用系统统中存在在的漏洞获获取系统统的口令令文件;;用户在在访问多多个不同同安全级级别的系统统时,都都要求用用户提供供口令,,用户为为了记忆忆的方便便,往往采用用相同的的口令;;只能进进行单向向认证,,即系统统可以认认证用户,,而用户户无法对对系统进进行认证证。2.标记方方法标记是个个人持有有物,作作用类似似于钥匙匙,标记记上记录录着用于于机器识识别的个个人信息息。常用用的标记记有磁介介质、智智能卡。。3.生物特特征法每个人都都有唯一一且稳定定的特征征,如指指纹、眼眼睛以及及说话和和书写等等做事的的标准方方法。生生物特征征法是基基于物理理特征或或行为特特征自动动识别人人员的一一种方法法,其优优点是严严格依据据人的物物理特征征并且不不依赖任任何迸被被拷贝的的文件或或可被破破解的口口令,所所以它是是数字证证书或智智能卡的的选择。。(三)防防火墙技技术1.防火墙墙概述1)防火墙墙的概念念防火墙是是指一个个由软件件和硬件件设备组组合而成成,处于于企业或或网络群群体计算算机与外外界通道道(Internet)之间,,在内部部网与外外部网之之间实施施安全防防范的系系统,可可被认为为是一种种访问控控制机制制,用于于限制外外界用户户对内部部网络访访问及管管理内部部用户访访问外界界网络的的权限,,即确定定哪些内内部服务务允许外外部访问问,以及及允许哪哪些外部部访问访访问内部部服务。。防火墙公司内部网络数据库服务器电子邮件服务器电子邮件服务器客户机外部网Intranet防火墙的的示意图图2)防火墙墙的设计计原则第一,一一切未被被允许的的就是禁禁止的。。基于该该准则,,防火墙墙应封锁锁所有信信息流,,然后对对希望提提供的服服务逐项项开放,,只有经经过精挑挑细选的的服务才才被允许许使用。。第二,一一切未被被禁止的的就是允允许的。。基于该该准则,,防火墙墙应转发发所有信信息流,,然后逐逐项屏蔽蔽可能有有害的服服务,从从而可为为用户提提供更多多的服务务。3)防火墙墙的实现现技术按照建立立防火墙墙的主要要途径,,防火墙墙的实现现技术可可分为分分组过滤滤、代理理服务和和应用网网关。分组过滤滤技术是是一种简简单、有有效的安安全控制制技术,,它通过过在网络络间相互互连接的的设备上上加载允允许、禁禁止来自自某些特特定的源源地址、、目的地地址、TCP端口号等等规则,,对通过过设备的的数据包包进行检检查,限限制数据据包进出出内部网网络。代理服务务是运行行于内部部网络与与外部网网络之间间的主机机之上的的一种应应用。应用网关关技术是是建立在在网络应应用层上上的协议议过滤,,它针对对特别的的网络应应用服务务协议,,即数据据包分析析并形成成相关的的报告。。2.防火墙墙的原理理1)防火墙墙设计的的基本原原则①由内内到外,,或由外外到内的的业务流流均经过过防火墙墙;②只只允许许本地安安全策略略认可的的业务流流程通过过防火墙墙;③尽尽可能能控制外外部用户户访问专专用网,,应当严严格限制制外部人人员进入入专用网网中;④④具有有足够的的透明性性,保证证正常业业务流通通;⑤具具有抗抗穿透攻攻击能力力,强化化记录、、审计和和报警功功能。2)防火墙墙的组成成防火墙主主要由5部分组成成:即安安全操作作系统、、过滤器器、网关关、域名名服务和和E-mail处理。安全操作作系统可可以保护护防火墙墙的代码码和文件件免遭入入侵者攻攻击;过过滤器则则执行由由防火墙墙管理机机构制定定的一组组规则,,检验各各数据组组决定是是否允许许运行;;应用网网关可以以在TCP//IP应用级上上控制信信息流和和认证用用户;域域名访问问使专用用网的域域名与Internet相隔离,,专用网网中主机机的内部部IP地址不至至于暴露露给Internet中的用户户;函件件处理能能力保证证专用网网中用户户和Internet用户之间间的任何何函件交交换都必必须经过过防火墙墙处理。。IP级数据高级协议访问域名访问E-mail内部网
(Intranet)因特网
(Internet)安全操作系统E-mail处理域名服务网关代理过滤器防火墙的的组成3)防火墙墙不能对对付的安安全威胁胁首先,防防火墙不不能防止止专用网网内部用用户对资资源的攻攻击,它它只是设设在专用用网和Internet之间,对对其间的的信息流流进行干干预的安安全设施施。其次,如如果专用用网中有有些资源源绕过防防火墙直直接与Internet连通,则则得不到到防火墙墙的保护护。另外,从从病毒防防护来看看,一般般防火墙墙不对专专用网提提供防护护外部病病毒的侵侵犯。4)防火墙墙的分类类(1)分组过过滤网关关,按源源地址和和目的地地址或业业务(即即端口号号)卸包包(组)),并根根据当前前组的内内容作出出决定。。(2)应用级级网关,,在专用用网和外外部网之之间建立立一个单单独的子子网,它它将内部部网屏蔽蔽起来。。(3)线路级级网关,,它使内内部与外外部网之之间实现现中继TCP连接。3.防火墙墙产品1)CheckpointFirewall-1Checkpoint公司是一一家专门门措施网网络安全全产品开开发的公公司,是是软件防防火墙领领域中的的佼佼者者,其旗旗舰产品品CheckpointFirewall-1在全球软软件防火火墙产品品中位居居第一。。2)Sonicwall系列防火火墙Sonicwall系列防火火墙是SonicSystem公司针对对中小型型企业需需求开发发的产品品,并以以其高性性能和极极具竞争争力的价价格受到到中小企企业和ISP公司的青青睐。3)NetScreen防火墙NetScreen公司推出出的NetScreen防火墙是是一种新新型的网网络安全全硬件产产品,把把多种功功能诸如如流量控控制、负负载均衡衡、VPN等集成到到一起,,优势在在于采用用了新的的体系结结构,可可以有效效地消除除传统防防火墙实实现数据据加盟时时的性能能瓶颈,,能实现现最高级级别的IP安全保护护。4)AlkatelIntenetDeices系列防火火墙IntenetDeices公司专门门从事高高性能计计算机网网络安全全系统的的设计、、开发、、销售和和服务,,其产品品系列IntenetDeices1000//3000/5000和IntenetDeices10K分别适用用于小型型、中型型、大型型网络环环境。其其中IntenetDeices3000、IntenetDeices5000及IntenetDeices10K带有VPN功能,支支持VPN用户。5)NAIGauntlet防火墙NAI公司是全全球著名名的网络络安全产产品提供供商,其其产品包包括网络络检测、、防火墙墙以及防防病毒产产品等。。(四)虚虚拟专用用网技术术虚拟专用用网是用用于Internet电子交易易的一种种专用网网络,它它可以在在两个系系统之间间建立安安全的通通道,非非常适合合电子数数据交换换。在虚虚拟专用用网中交交易双方方比较熟熟悉,而而且彼此此之间的的数据通通信量很很大。只只要交易易双方取取得一致致,在虚虚拟专用用网中就就可以使使用比较较复杂的的专用加加密和认认证技术术,这样样可以大大大提高高电子商商务的安安全性。。单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议一、加密密技术加密技术术是一种种主动的的信息安安全防范范措施,,其原理理是利用用一定的的加密算算法,将将明文转转换成为为无意义义的密文文,阻止止非法用用户理解解原始数数据,从从而确保保数据的的保密性性。明文文变成密密文的过过程称为为加密,,由密文文还原为为明文的的过程称称为解密密,加密密和解密密的规则则称为密密码算法法。在加加密和解解密的过过程中,,由加密密者和解解密者使使用的加加解密可可变参数数叫做密密钥。(一)对对称密钥钥加密体体制对称密钥钥加密是是指信息息的发送送方和接接收方用用一个密密钥去加加密和解解密数据据。加密密过程中中将待加加密数据据分割成成等长的的若干个个分组,,对每个个分组进进行加密密形成加加密后的的分组,,再将各各个分组组组合成成整个密密文;加加密过程程是一个个密钥控控制下的的复杂迭迭代运算算;相对对非对称称加密算算法速度度较快;;对称密密钥的最最大优势势是加/解密速度度快,适适合于对对大数据据量进行行加密,,但密钥钥管理困困难。以恺萨密密码为例例,其原原理是对对于明文文的各个个字母,,根据它它在26个英文字字母表中中的排列列位置,,按某个个固定间间隔n变换字母母,即得得到对应应的密文文。这个个固定间间隔的数数字n就是加密密密钥,,也是解解密密钥钥。密钥钥只有26种,只要要知道了了算法,,最多将将密钥变变换26次做试验验,即可可破解密密码。明文:CRYPTOGRAPHY
密钥:==4
密文:FUBSWRJUDSKB恺萨密码码再如多表表式密码码,本例例中密钥钥字串与与明文同同样长度度(也可可不同长长度),,明文中中每一个个字母往往后移动动的间隔隔,与它它在密钥钥字串中中对应的的字母本本身在字字母表中中的位置置有关。。本例中中,明文文的第1个字母H,对应密密钥字串串的第1个字母E,E在字母表表中的位位置是5,则H往后第5个字母是是L,因此将将H置换为L。依次类类推,明明文每个个字母置置换时,,移动的的间隔不不同。HOWAREYOU明文
+)ENGLANDEN密钥字串
LBCLRRBSH密文多表式密密码DES、RC-5、IDEA等算法均均为分组组加密算算法,其其中DES算法最为为普及和和典型。。DES是美国数数据加密密标准。。该标准准数据分分组长度度为64位,密文文的分组组长度也也是64位,密钥钥长度为为64位,其中中8位奇偶校校验,有有效密钥钥长度为为56位。算法法主要包包括以下下4个步骤::(1)在密钥钥的控制制下生成成参加迭迭代的16个子密钥钥;(2)对明文文分组按按位地址址进行初初始位置置置换;;(3)进行16轮迭代乘乘积变换换;(4)再进行行逆的初初始位置置置换,,即可得得到密文文分组。。(二)非非对称密密钥加密密算法非对称密密钥加密密系统需需要使用用一对密密钥来分分别完成成加密和和解密操操作,一一个公开开发布,,又称为为公开密密钥;另另一个由由用户自自己秘密密保存,,称为私私有密钥钥。信息息发送者者用公开开密钥去去加密,,而信息息接收者者则用私私有密钥钥去解密密。公钥钥机制灵灵活,但但加密和和解密速速度却比比对称密密钥加密密慢得多多。非对称加加密算法法的关键键是寻找找对应的的公钥和和私钥,,并运用用某种数数学方法法使得加加密过程程是一个个不可逆逆过程,,即用公公钥加密密的信息息只能是是用与该该公钥配配对的私私有密钥钥才能解解密。RSA公开密钥钥算法1979年提出的的,既可可用于加加密,又又可用于于数字签签字,是是目前仍仍然安全全并且逐逐步被广广泛应用用的一种种体制,,是一种种国际标标准。RSA的算法如如下:(1)选取两两个足够够大的质质数P和Q;(2)计算P和Q相乘所产产生的乘乘积n=P**Q;(3)找出一一个小于于n的数e,使其符符合与¢¢(n)=(P-1)*(Q-1)互为质质数;(4)另找一一个数d,使其满满足(e*d)mod[[(P-1)*(Q-1)]=1;(5)(n,e)即为公公开密钥钥,(n,d)即为私私有密钥钥;(6)加密和和解密的的运算方方式为::密文c=de(modn);明文文=ee(modn)。这两个质质数无论论哪一个个先与原原文密码码相乘,,对文件件加密,,均可由由另一个个质数再再相乘来来解密。。但要用用一个质质数来求求出另一一个质数数,则是是非常困困难的,,因此将将这一对对质数称称为密钥钥对。特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格
保密的应用对称与非非对称加加密体制制对比(三)散散列函数数散列函数数是对明明文进行行运算后后,可以以生成一一个定长长的摘要要(也叫叫信息认认证码)),明文文发生改改变后该该摘要值值变化较较大,该该函数是是一个单单向函数数,计算算摘要很很容易,,从摘要要计算出出明文是是不可能能的。其其典型的的算法有有MD-5、SHA等。(四)一一种组合合的加密密协议1.加密过过程接收者公钥随机生成一个本次通信的会话密钥非对称密钥加密算法加密后的会话密钥密文密文摘要签字待发明文数据对称分组
加密散列函数生成摘要非对称加密算法加密(签字过程)发送者私钥合并发送至接收者信息加密密签字过过程2.解密过过程接收者私钥非对称加密算法本次通信的会话密钥K对称加密算法解密非对称加密算法解密后的明文散列函数摘要生成摘要对比明文加密后的会话密钥密文密文摘要签字摘要一致信息解密密验证过过程二、认证证技术(一)数数字摘要要数字摘要要也称安全Hash(散列))编码法法(SHA,securehashalgorithm),由RonRivest设计。该该编码法法采用单单向Hash函数将需需加密的的明文““摘要””成一串串128bit的密文,,这一串串密文也也称为数数字指纹纹,它有有固定的的长度,,且不同同的明文文摘要成成密文,,其结果果是不同同的,而而同样的的明文其其摘要必必定一致致。这样样,这串串摘要便便可成为为验证明明文是否否“真身身”的““指纹””了。数数字摘要要的应用用使交易易文件的的完整性性(不可可修改性性)得以以保证。。(二)数数字信封封数字信封封是用加加密技术术来保证证只有规规定的特特定收信信人才能能阅读信信的内容容。在数数字信封封中,信信息发送送方采用用对称密密钥来加加密信息息,然后后将此对对称密钥钥用接收收方的公公开密钥钥来加密密(这部部分称为为数字信信封)之之后,将将它和信信息一起起发送给给接收方方,接收收方先用用相应的的私有密密钥打开开数字信信封,得得到对称称密钥,,然后使使用对称称密钥解解开信息息。(三)数数字签名名把HASH函数和公公钥算法法结合起起来,可可以在提提供数据据完整性性的同时时,也可可以保证证数据的的真实性性。完整整性保证证传输的的数据没没有被修修改,而而真实性性则保证证是由确确定的合合法者产产生的HASH,而不是是由其他他人假冒冒。信息摘要数字签名发送方数字签名摘要摘要信息信息被确认接受方SHA加密PrivateKey加密发送PublicKey解密SHA加密若一致比较
二者数字签名名原理(1)被发送送文件用用安全HASH编码法SHA编码加密密产生128bit的数字摘摘要;(2)发送方方用自己己的私有有密钥对对摘要再再加密,,这就形形成了数数字签名名;(3)将原文文和加密密的摘要要同时传传给对方方;(4)对方用用发送方方的公共共密钥对对摘要解解密,同同时对收收到的文文件用SHA编码加密密产生又又一摘要要;(5)将解密密后的摘摘要和收收到的文文件在接接收方重重新加密密产生的的摘要相相互对比比,如两两者一致致,则说说明传送送过程中中信息没没有被破破坏或篡篡改过。。否则不不然。数字签名名相对于于手写签签名在安安全性方方面具有有如下好好处:数数字签名名不仅与与签名者者的私用用密钥有有关,而而且与报报文的内内容有关关,因此此不能将将签名者者对一份份报文的的签名复复制到另另一份报报文上,,同时也也能防止止篡改报报文的内内容。(四)数数字时间间戳(digitaltime--stampservice)数字时间间戳服务务是网上上安全服服务项目目,由专专门的机机构提供供。时间间戳是一一个经加加密后形形成的凭凭证文档档,包括括3个部分::一是需需加时间间戳的文文件的摘摘要;二二是DTS收到文件件的日期期和时间间;三是是DTS的数字签签名。数字时间间戳的产产生过程程为:用用户首先先将需要要加时间间戳的文文件用HASH编码加密密形成摘摘要,然然后将该该摘要发发送到DTS,DTS在加入了了收到文文件摘要要的日期期和时间间信息后后,再对对该文件件加密((数字签签名),,然后送送回用户户。(五)数数字证书书1.数字证证书的概概念数字证书书是网络络通信中中标志通通信各方方身份信信息的一一系列数数据,其其作用类类似于现现实生活活中的身身份证,,由权威威机构颁颁发。数数字证书书的格式式一般采采用X.509国际标准准。一个个标准的的X.509数字证书书包含以以下内容容:证书书的版本本信息、、证书的的序列号号、证书书所使用用的签名名算法、、证书的的发行机机构名称称、证书书的有效效期、证证书所有有人的名名称、证证书所有有人的公公开密钥钥、证书书发行者者对证书书的签名名。数字证书书是用来来唯一确确认安全全电子商商务交易易双方身身份的工工具。2.数字证证书类型型1)个人身份证书是符合X.509标准的数字安全证书,证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。3)服务器身份证书符合X.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,用于标识证书持有服务器的身份。2)企业身份证书符合X.509标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。4)企业代码签名证书Netscape版企业代码证书代表软件开发者身份,用于对其开发的软件进行数字签名力。数字证书类型三、认证证中心(一)认认证中心心的概念念认证中心心(CA,certificateauthority)就是承承担网上上安全电电子交易易认证服服务,能能签发数数字证书书,并能能确认用用户身份份的服务务机构。。(二)认认证中心心的职能能证书的颁发认证中心接收、验证用户的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。证书的更新认证中心可以定期更新所有用户的证书,或者根据用户的请求更新用户的证书。证书的查询一是证书申请的查询;二是用户证书的查询。证书的作废当用户的私钥由于泄密等原因造成用户证书需要申请作废时,用户需要向认证中心提出证书作废的请求,认证中心根据用户的请求确定是否将该证书作废。证书的归档认证中心应当具备作废证书和作废私钥的功能。(三)认认证的分分级体系系CA证书是通通过信任任分级体体系来验验证的,,每一种种证书与与签发它它的单位位相联系系,沿着着该信任任树直到到一个公公认可信信赖的组组织,就就可以确确定证书书的有效效性。信信任树““根”的的公开密密钥对所所有CA软件来说说都是已已知的,,因而可可以按次次序地检检验每一一个证书书。根认证(RootCA)品牌认证(BrandCA)区域性证(Get-PoliticalCA)持卡人认证(CardholderCA)商户认证(MerchantCA)支付网关认证(PaymentGatewayCA)持卡人商户支付网关CA证书信任任分级体体系单击此处添加文字内容1电子商务安全面临的问题、要素及内容单击此处添加文字内容2计算机网络安全技术3电子商务交易安全技术4电子商务安全交易协议一、安全全套接层层协议(一)安安全套接接层协议议概述SSL协议分为为两层::SSL握手协议议和SSL记录协议议。HTTPS、FTPS、TELNETS、IMAPS等SSL握手协议SSL记录协议TCP传输控制协议IPInternet协议SSL协议与TCP//IP之间的关关系SSL协议提供供的安全全连接具具有以下下3个特点::(1)连接是是保密的,对于于每个连连接都有有一个唯唯一的会会话密钥钥,采用用对称密密钥密码码体制来来加密数数据(如如DES、RC4);(2)连接是是可靠的,消息息的传播播采用消消息验证证算法进进行完整整性检验验(MD5、SHA);(3)对端实实体的鉴鉴别采用用非对称密密码体制制(如RSA)进行认认证。(二)SSL握手协议议1.握手协协议的功功能(1)在客户户端验证证服务器器,SSL协议采用用公钥方方式进行行身份认认证;(2)在服务务器端验验证客户户;(3)客户端端和服务务器之间间协商双双方都支支持的加加密算法法和压缩缩算法,,可选用用的加密密算法包包括:IDEA、RC4、DES、3DES、RSA、DSS、Diffe_hellman、Fortezza、MD5、SHA等;(4)产生对对称加密密算法的的会话密密钥;(5)建立加加密SSL连接。2.握手过过程SSL采用了公开密钥钥和专有密钥钥两种密钥钥,在建建立连接接过程中中采用公公开密钥钥;在会会话过程程中使用用专有密密钥。加加密的类类型和强强度则在在两端之之间建立立连接的的过程中中判断决决定。客户商家银行SSL的工作流流程SSL的工作流流程经历历了以下下几个阶阶段:(1)建立连接接阶段:客户通通过网络络向服务务商打招招呼,服服务商回回应;(2)交换密码码阶段:客户与与服务商商之间交交换双方方认可的的密码;;(3)会谈密码码阶段:客户与与服务商商之间产产生彼此此交谈的的会谈密密码;(4)检验阶段段:检验服服务商取取得的密密码;(5)客户认证证阶段:验证客客户的可可信度;;(6)结束阶段段:客户与与服务商商之间相相互交换换结束信信息。(三)SSL记录协议议SSL记录协议议从高层层接收到到数据后后经过分分段、压压缩和加加密处理理,最后后由传输输层发送送出去。。在SSL协议中,,所有的的传输数数据都被被封装在在记录中中。每个个SSL记录都包包含以下下信息::即内容容类型、、协议版版本号、、长度、、数据有有效载荷荷和信息息验证码码。二、安全全电子交交易协议议(一)安安全电子子交易协协议概述述安全电子子交易是是一个通通过开放放网络进进行安全全资金支支付的技技术标准准,由VISA和Mastercard组织共同同制定,,并于1997年5月联合推
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度特色农业地产委托出售代理合同3篇
- 2024年度智能公寓租赁续约合同3篇
- 2024版二手房租赁附带智能家居系统合同3篇
- 2024年度房地产开发项目风险评估委托合作协议范本3篇
- 模板借款合同
- 2024年版软件实施工程师岗位聘任合同版B版
- 2024年外币借款合同税务筹划与合规性合同范本3篇
- 2024版幼儿园教学质量提升与评估体系合同3篇
- 2024版建筑工程设计合同:住宅小区设计委托书
- 2024版养老院专业保洁服务劳务分包合同样本
- 春节施工现场值班规章制度范文(2篇)
- 2022年公务员多省联考《申论》真题(辽宁A卷)及答案解析
- 专题 与角度有关的计算问题(35题提分练)2024-2025学年七年级数学上册同步课堂(北师大版2024)
- 小丑电影课件教学课件
- 浙江省绍兴市2025届高三上学期一模地理试题 含解析
- 广发银行广告合同
- 安全与急救学习通超星期末考试答案章节答案2024年
- 电动车棚消防应急预案
- 金属冶炼知识培训
- 2024-2025学年度广东省春季高考英语模拟试卷(解析版) - 副本
- 2024年物业转让协议书范本格式
评论
0/150
提交评论