电子商务安全技术2

第8讲

电子商务安全技术8.1电子商务安全隐患电子商务的安全性主要是计算机网络的安全性发展而来的。由于电子商务是利用计算机网络的信息交换来实现电子交易，所以凡是涉及到计算机网络的安全问题无疑对电子商务都有重要意义。电子商务所面临的安全威胁1．信息泄露2．信息篡改3．信息假冒4．交易抵赖5．信息伪造电子商务的安全需求安全需求授权合法性不可抵赖性保密性身份真实性信息的完整形存储信息的安全性8.2电子商务务安全技技术个人网购购安全，，你该怎怎么做？？8.2电子商务务安全技技术主要的电电子商务务安全技技术有：：信息加密密技术(P242)数字签名名(P247)数字证书书(P246)防火墙(P235)数据加密密技术一、加密密的含义义为了防止止合法接接收人之之外的人人获取信信息，必必须对所所发送的的信息进进行加密密。加密密的目的的是使不不应了解解该数据据信息的的人不能能够知道道和识别别。所谓加密密，就是是把数据据信息即即明文转转换为不不可辨识识的形式式即密文文的过程程。加密和解解密过程程依靠两两个元素素：算法和密密钥。加密系统统基本概概念(1)明文：需需要加密密的报文文；(2)密文：加加密以后后形成的的报文；；(3)解密：是是加密的的逆过程程，即将将密文还还原成原原来可理理解的形形式。(4)加密、解解密的算算法：算算法是加加密或解解密的一一步一步步的过程程。(5)密钥：用用于加密密和解密密的钥匙匙。加密与解解密过程程将字母A、B、C、……X、Y、Z的自然顺顺序保持持不变，，但使之之与E、F、G、……B、C、D相对应，，即相差差4个字母顺顺序。这这条规则则就是加加密算法法，其中中4即为密钥钥。算法+密钥算法+密钥二、加密密方法加密方法法分为传统加密密方法和现代加密密方法，也称为为对称式加加密方法法和非对称式式加密方方法。（1）传统加加密方法法的共同同特点是是采用单单钥技术术，即加加密和解解密过程程中使用用同一密密钥，所所以它也也称为对对称式加加密方法法，或称称对称密密钥系统统。（2）现代加加密方法法的共同同特点是是采用双双钥技术术，也就就是加密密和解密密过程中中使用两两个不同同的密钥钥，它也也称为非非对称式式加密方方法，也也称为非非对称密密钥系统统。对称式加加密方法法对称加密密与解密密过程原文text密文原文textufvu+1-1相同（1）优点：：可以简简化加密密处理，，具有很很高的保保密强度度。如果果交易的的双方能能够确保保密钥在在密钥交交换阶段段未曾泄泄露，那那么交易易信息的的保密性性就可以以通过对对称密钥钥加密算算法加密密信息来来实现。。（2）缺点：：密钥使使用一段段时间后后就要更更换，而而在密钥钥传递过过程中要要保证不不能泄密密；由于于交易对对象较多多，使用用相同的的密钥就就没有安安全意义义，而使使用不同同的密钥钥则密钥钥量太大大，难于于管理；；无法满满足不认认识的人人进行私私人谈话话的保密密性要求求；难以以解决数数字签名名的验证证问题。。主要采用用的数据据加密标标准是DES算法。将原文进进行置换换，得到到64位的杂乱乱无章的的明文组组。将明文组组分成两两段。用密钥（（56位）进行行变换，，并在给给定的条条件下进进行多达达16次迭代。。整数n的10进制位数分解的运算次数所需时间(1000000次/秒)501．4×10103．9小时1009．0×101274年2001．2×10233．8×109年5001．3×10394．2×1025年非对称式式加密方方法“非对称称式”加加密方法法由美国国斯坦福福大学赫赫尔曼教教授1977年提出出，它它主要要是指指每个个人都都拥有有一对对唯一一对应应的密密钥：：一把公公钥(PublicKey)和一把把私钥钥(PrivateKey)，前者用用于加加密，，后者者用于于解密密。这种方方法也也称为为双钥钥技术术。公钥是是公开开的，，私钥钥是保保密的的，公公钥和和私钥钥不同同，公公钥也也不能能推导导出私私钥。。非对称称密钥钥加密密解密密过程程发送者者的私私钥？？发送者者的公公钥？？接收者者的私私钥？？接收者者的公公钥？？公钥加加密系系统的的优缺缺点优点：：密钥分分配简简单：用户户可以以把用用于加加密的的公钥钥，公公开地地分发发给任任何需需要的的其他他用户户。密钥保保存量量少：公钥钥加密密系统统允许许用户户事先先把公公钥发发表或或刊登登出来来，从从而解解决了了密钥钥的发发布和和管理理问题题，成成为目目前商商业密密码的的核心心。利利用公公钥加加密技技术可可以实实现数字签签名，，确认认对方方身份份。可以以满足足互不不认识识的人人之间间进行行私人人谈话话的保保密性性需求求。缺点主主要是是加密密、解解密速速度较较慢。。数字信信封“数字字信封封”(也称电电子信信封)技术，，就是是对称密密钥和和公开开密钥钥的结结合的的技术术，从从而既既有公公开密密钥技技术的的灵活活性，，又有有对称称密钥钥技术术的高高效性性。数字字信封封技术术在外层使使用公公开密密钥加加密技技术，享受受到公公开密密钥技技术的的灵活活性，，内层使使用对对称密密钥匙匙加密密，密钥钥长度度通常常较短短，使使得公公开密密钥加加密的的相对对低效效率被被限制制在最最低限限度内内，实实现优优势互互补。。数字信信封工工作过过程消息摘摘要和和数字字签名名一、消消息摘摘要消息摘摘要(messagedigest)方法即即数字字指纹纹消息摘摘要方方法解解决了了信息息的完整性性问题题。2．消息息摘要要的特特征（1）消息息摘要要是一一个唯唯一对对应一一个消消息的的值。。（2）它由由单向Hash加密算算法对一个个消息息作用用而生生成，，有固固定的的长度度(128bit)的密文文。这这一串串密文文也称称为数数字指指纹。。（3）所谓单单向是是指不不能被被解密密。（4）不同的的消息息其摘摘要不不同，，相同同消息息其摘摘要相相同。。因此摘摘要成成为消消息的的“指指纹””，以以验证证消息息是否否是““真身身”。。消息摘摘要过过程二、数数字签签名(digitalsignature)1、概念念数字签签名（（DigitalSignature）技术术是将将摘要要用发送者者的私私钥加加密，与原原文一一起传传送给给接收收者，，接收收者只只有用用发送者者的公公钥才能解解密被被加密密的摘摘要。。数字签签名与与书面面文件件签名名有相相同之之处，，采用用数字字签名名，能能确认认以下下两点点．（1）信息息是由由签名名者发发送的的；（2）信息息自签签发后后到收收到为为止未未曾作作过任任何修修改。。2、数字字签名名的作作用（1）接收收者能能够核实对报文文的签签名；；（2）发送送者事事后不能抵抵赖对报文文的签签名；；（3）接收收者不能伪伪造对报文文的签签名。。数字签签名主主要目目的是是用来来识别别信息息来源源，本身身不具具备对对信息息加密密的功功能。。3、数字字签名名方法法Hash签名是最主主要的的数字字签名名方法法。它它的主主要方方式是是，报文的的发送送方从从明文文文件件中生生成一一个128比特的的数字字摘要要。发送方方用自自己的的私钥钥对这个个散列列值进进行加加密来来形成成发送送方的的数字字签名名。然后后该数数字签签名将将作为为附件件和报报文一一起发发送给给接收收方。。报文文的接接收方方首先先从接接收到到的原原始报报文中中计算算出128比特的的数字字摘要要，接接着用用发送方方的公公钥来对报报文附附加的的数字字签名名解密密。数字签签名过过程数字时时间戳戳数字时间戳戳(DigitalTime－Stamp)就是用来证明消息的的收发时间间的，以防抵抵赖行为发发生。它由专门的的网络服务务机构提供供。用户首首先将需要要加时间戳戳的文件经经加密后形形成数字摘摘要，然后后将摘要发发送到专门门提供数字字时间戳服服务（DigitalTime－StampService，DTSS）的权威机机构，该机机构对原摘摘要加上时时间后，进进行数字签签名，用私私钥加密，，并发送给给原用户。。1.数字时间戳戳的作用书面签署文文件的时间间是由签署署人自己写写上的，而而数字时间间戳是由DTSS认证单位来来加的，并并以收到文文件的时间间为依据。。（1）对已加盖盖时间戳的的文件不可可能做丝毫毫改动（即即使仅1bit）。（2）要想对某某个文件加加盖与当前前日期和时时间不同的的时间戳是是不可能的的。2.时间戳的组组成时间戳是一一个经过加加密而形成成的凭证文文档，由三三部分组成成：①

需要加加载时间戳戳的文件摘摘要；②

认证服服务机构收收到文件的的日期和时时间；③

认证服服务机构的的数字签名名数字证书与与CA认证中心一、数字证证书1、什么是数数字证书也叫数字凭凭证，是网网络通讯中中标志通讯讯各方身份份信息的一一系列数据据，提供一一种在Internet上验证身份的方式。数字证书是是一个经证证书授权中中心数字签签名的包含含公开密钥钥拥有者信信息以及公公开密钥的的文件。2、数字证书书原理简介介数字证书利利用一对互互相匹配的的密钥进行行加密、解解密。每个用户自自己设定一一把特定的的仅为本人人所知的私私有密钥，，用它进行行解密和签名名；同时设定定一把公共共密钥（公公钥）并由由本人公开开，为一组组用户所共共享，用于于加密和验证证签名。当发送一份份保密文件件时，发送送方使用接接收方的公公钥对数据据加密，而而接收方则则使用自己己的私钥解解密。3、数字证书书的组成内内容一个标准的的X．509数字证书内内容：证书的版本本信息；证书的序列列号，每个个证书都有有一个唯一一的证书序序列号；证书所使用用的签名算算法；证书的发行行机构名称称；证书的有效效期，现在在通用的证证书的计时时范围为1950-2049年；证书所有人人的名称；；证书所有人人的公开密密钥；证书发行者者对证书的的数字签名名。4．数字证书书的三种类类型（1）个人（客客户）证书书：又称浏浏览器证书书，是指由由CA认证中心颁颁发的、安安装在客户户浏览器端端使用的个个人或企业业证书。（2）企业（服服务器）数数字证书：：是CA认证中心颁颁发的、安安装在服务务器上用以以证明服务务器身份的的证书。它它通常为网网上的某个个Web服务器提提供数字字证书。。（3）软件（（开发者者）数字字证书：：它通常常为因特特网中被被下载的的软件提提供数字字证书。。查看证书二、认证证中心认证中心心，又称称为证书书授证(CertificateAuthority)中心，是是一个负负责发放放和管理理数字证证书的权权威机构构。认证中心心的功能能证书的颁颁发；证书的更更新；证书的查查询；证书的作作废；证书的归归档。认证的安安全功能能（1）可信性性。信息息的来源源是可信信的，（2）完整性性。信息息在传输输过程中中保证其其完整性性。（3）不可否否认性。。信息的的发送方方不能否否认自己己所发出出的信息息。（4）访问控控制。拒拒绝非法法用户访访问系统统资源，，合法用用户只能能访问系系统授权权和指定定的资源源。认证中心心分类行业、地地方、商商业北京数字字证书认认证中心心为网上电电子政务务和电子子商务活活动提供供数字证证书服务务。湖北省电电子商务务认证中中心提供电子子商务安安全认证证。中国金融融认证中中心支持网上上银行、、网上证证券交易易、网上上购物以以及安全全电子文文件传递递等应用用。天威诚信信CA中心（iTruschinaCA）信产部等等管理部部门批准准开展PKI/CA服务的企企业，专专业、商商业化运运作。国瑞数码码NCS-CA系统提供在线线测试证证书签发发服务。。创原世纪纪信息技技术有限限公司中国电子子商务的的骄傲，，安全认认证的先先锋。CA层次结构构根认证中心品牌认证中心区域认证中心支付网关认证中心支付网关持卡人认证中心商户认证中心商家、银行持卡人数字证书书的申请请私钥（私钥））公钥让我们发发送带有有Yolanda→李长仪发送方：：接收方：：发送方发发送信息息时用____的_____对信息进进行加密密。接收方接接收到信信息后用用____的_____信息进行行解密。。A、YolandaB、李长仪仪C、公钥D、私钥让我们发发送带有有收信人公公钥收信人私私钥如果没有有发信人人的数字证书，，那么收收信人收到的加加密邮件件以附基本的认证技术数字信封数字签名数字时间戳防火墙技技术一、防火火墙（firewal1）的概念念是指一个个由软件件或和硬硬件设备备组合而而成，是是加强因因特网与与内部网网之间安安全防范范的一个个或一组组系统。。它具有限制制外界用用户对内内部网络络访问及及管理内内部用户户访问外外界网络络的权限限。它可以以确定哪哪些内部部服务允允许外部部访问，，哪些外外部服务务可由内内部人员员访问，，即它能能控制网网络内外外的信息息交流，，提供接接入控制制和审查查跟踪，，是一种种访问控控制机制制。二、防火火墙的安安全策略略1．没有被列列为允许许访问的的服务都都是被禁禁止的：这意味味着需要要确定所所有可以以被提供供的服务务以及他他们的安安全特性性，开放放这些服服务，并并将所有有其他末末列入的的服务排排斥在外外，禁止止访问；；2．没有被列列为禁止止访问的的服务都都是被允允许的：这意味味着首先先确定那那些被禁禁止的、、不安全全的服务务，以禁禁止他们们被访问问，而其其他服务务则被认认为是安安全的，，允许访访问。三、防火火墙的类类别1．包过滤滤型防火火墙包过滤型型防火墙墙往往可可以用一台过滤滤路由器器来实现，，对所接接收的每每个数据据包做允允许或拒拒绝的决决定。包过滤路路由器型型防火墙墙的优点点：处理理包的速速度要比比代理服服务器快快；包过滤路路由器型型防火墙墙的缺点点：防火火墙的维维护比较较困难等等。路由器解析包进出上行包过滤方方式是一一种通用用、廉价价和有效效的安全全手段。。之所以以通用，，是因为为它不是是针对各各个具体体的网络络服务采采取特殊殊的处理理方式，，适用于于所有网网络服务务；之所所以廉价价，是因因为大多多数路由由器都提提供数据据包过滤滤功能，，所以这这类防火火墙多数数是由路路由器集集成的；；之所以以有效，，是因为为它能很很大程度度上满足足了绝大大多数企企业安全全要求。。2．双宿网网关防火火墙双宿网关关是一种种拥有两两个连接接到不同同网络上