电子商务安全三

第三章电子商务安全学习目标1.了解电子商务安全的主要问题。2.掌握防火墙的功能与分类。3.理解VPN的虚拟专用性。4.掌握VPN的分类。5.掌握对称加密和非对称加密的工作原理。本章主要内容第一节电子商务安全概述第二节电子商务中的网络安全技术第三节加密技术及其应用第四节认证与识别技术第五节电子商务安全交易标准第三节加密技术及其应用一、加密技术的原理二、对称密钥体制三、非对称密钥体制四、密钥管理技术五、加密技术的应用一、加密技术的原理加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将原始信息（明文）转换成无意义的或难以理解的字符串（密文），这个变换处理的过程称之为加密。

当数据被合法接收者接收后，可通过一定的算法将密文还原为明文，这个变换处理的过程称为解密。

加密：就是把信息转换为不可辨识的形式的过程。

解密：将信息内容转变为明文的过程。

明文密文密文明文加密技术加密密钥明文密文明文密文图3.1

加解密过程示意图互联网解密密钥明文：信息未加密前的形式，即信息原始形式。密文：明文经过加密伪装后的信息形式。加密：明文采用某种加密算法变成密文的过程，即对明文实施的变换过程。解密：密文采用某种解密算法变成明文的过程，即对密文实施的变换过程。密钥：为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方掌握的专门信息。与加密有关的概念：密钥的概念加密和解密必须依赖两个要素，这两个要素就是算法和密钥。算法是加密和解密的计算方法；密钥是加密和解密所需的数字。例：采用移位加密法使移动3位后的英文字母表示原来的英文字母（凯撒加密算法）ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC此例中移位规则就是算法，移动的位数3就是密钥。二、对称密钥钥体制1、概念对称密钥体制制是指：加密密和解密密钥钥是相同的或或等价的，双双方使用同一一把密钥对数数据进行加密密和解密，并并且密钥不对对外发布，因因而也称为私私密钥体制。。2、私有密钥进行行对称加密的的过程：（1）发送方用自自己的私有密密钥对要发送送的信息进行行加密；（2）发送方将加加密后的信息息通过网络传传送给接收方方；（3）接收方用发发送方进行加加密的那把私私有密钥对接接收到的加密密信息进行解解密，得到信信息明文。又称秘密密钥钥、私有密钥钥，用且只用用同一个密钥钥对信息进行行加密和解密密。明文密文密文明文加密解密密钥传输发送方接收方对称密钥加解解密过程示意意图：3、对称密钥体制制的优缺点优点：由于加密和解解密有着共同同的算法，从从而计算速度度非常快，且且使用方便，，计算量小，，加密效率高高。3、对称密钥体制制的优缺点缺点：首先，是密钥钥的管理比较较困难，因为为交易双方必必须持有同一一把密钥，且且不能让他人人知道。其次，如何把把新密钥发送送给接收方也也是一个问题题；最后，其规模模很难适应互互联网这样的的大环境，因因为如果某一一交易方有几几个贸易伙伴伴，那他就要要维护几把专专用密钥，因因为每把密钥钥对应了一个个贸易方。结论：对称密钥加密密是指信息发发送方对要发发送的信息进进行加密，变变为密文，密密文通过网络络到达接收方方后，接收方方使用相同的的算法和密钥钥进行解密，，还原成明文文。它只用同一密密钥对信息进进行加密和解解密。由于加密和解解密用的是同同一密钥，所所以发送者和和接收者都必必须知道密钥钥。用对称加密对对信息编码和和解码的速度度很快，效率率也很高，但但也有比较大大的局限性。。所有各方都都必须相互了了解，并且完完全信任，而而且每一方都都必须妥善保保管一份密钥钥。在密钥的的交换过程中中，任何人一一旦截获了它它，就都可用用它来读取所所有加密消息息。三、非对称密密钥体制1、概念非对称密钥体体制也叫公钥钥加密技术。。在公钥加密密系统中，加加密和解密是是相对独立的的，加密和解解密使用两把把不同的密钥钥，加密密钥钥(公开密钥)向公众公开，，谁都可以使使用，解密密钥(秘密密钥)只有解密人自自己知道，非法使用者者根据公开的的加密密钥无无法推算出解解密密钥，顾顾其可称为公公钥密码体制制。2、非对称密钥加加密过程：发送方用接收收方的公开密密钥对要发送送的信息进行行加密；发送方将加密密后的信息通通过网络传送送给接收方；；又称公开密钥钥。一对密钥钥，给别人用用的就叫公钥钥，给自己用用的就叫私钥钥。用公钥加加密后的密文文，只有私钥钥能解密。接收方公钥明文密文接收方私钥密文明文加密解密密钥对传输发送方接收方非对称密钥示示意图3、非对称密钥体体制的优缺点点优点：在多人之间进进行保密信息息传输所需的的密钥组和数数量很小；解决了密钥的的发布问题；；公开密钥系统统可实现数字字签名。缺点：密钥产生困难难；运算速度慢。。不对称加密系系统加解密有缺点，主要是加解解密速度很慢慢，所以它不不适合于对大大量文件信息息进行加解密密，一般只适适合于对少量量数据进行加加解密。总之，加密技技术：加密技术是电电子商务采用用的最基本的的安全技术，，是解决比如如信息的窃取取、信息的假假冒、信息的的篡改、信息息的抵赖等问问题的一种重重要手段，同同时也是签名名技术、认证证技术的基础础。加密技术是指指将一个信息息（或称明文文）经过加密密密钥及加密密函数转换，，变成无意义义的密文，而而接收方则将将此密文经过过解密函数、、解密密钥还还原成明文。。攻击者即使窃窃取到经过加加密的信息（（密文），也也无法辨识原原文。这样能能够有效地对对抗截收、非非法访问、窃窃取信息等威威胁。数据加加密的过程如如图3.1所示。四、非数学的的加密理论与与技术1、信息隐藏信息隐藏不同同于传统的密密码学技术，，它主要研究究如何将某一一机密信息秘秘密隐藏于另另一公开的信信息中，然后后通过公开信信息的传输来来传递机密信信息。信息隐隐藏技术的应应用举例：数字水印技术术。24252、生物识别传统的身份识别方法主要基于于以下两点：：身份标识物品品：钥匙、证证件、自动取取款机的银行行卡等身份标识知识识：用户名、、密码等由于标识物品品容易丢失或或被伪造，而而标识知识容容易遗忘或记记错，更为严严重的是，传传统身份识别别系统往往无无法区分标识识物品真正的的拥有者和取取得标识物品品的冒充者。。生物识别技术术是以生物技术术为基础、以以信息技术为为手段，将生生物和信息这这两大热门技技术交汇融合合为一体的一一种技术。它它利用了生物物特征的惟一一性、可测量量性、可识别别性的特点。。生物特征有：：手型、指纹纹、脸型、虹虹膜、视网膜膜、脉搏、耳耳廓、DNA等行为特征有：：签字、声音音、按键力度度等原理：生物物识别系统统对生物特特征进行取取样，提取取其唯一的的特征并且且转化成数数字代码，，并进一步步将这些代代码组成特特征模板。。人们同识识别系统交交互进行身身份认证时时，识别系系统获取其其特征并与与数据库中中的特征模模板进行比比较，以确确定是否匹匹配，从而而决定接受受或拒绝。。目前人体特特征识别技技术市场上上占有率最最高的是指纹机和手手形机。总结：加密密技术对称密钥加加密(SymmetricCryptography)非对称密钥钥加密(AsymmetricCryptography)加密技术一、对称密密钥加密技技术1、定义：加加密和解密密均采用同一把密钥钥，而且通信信双方必须须都要获得得这把钥匙匙并保持钥钥匙的秘密密。这时的密钥钥称为对称称密钥，并并且不对外外发布，也也称为私钥钥密码。2、优点：加加密速度快快，适于大大量数据的的加密处理理。3、缺点要求通信双双方相互认认识，保守守密钥。二、非对称称密钥加密密体系信息加密和和解密使用用的是不同同的两个密密钥，称为为“密钥对对”。（1）两个密钥（2）加密密钥不不能用来解解密（3）加密速度较较慢1、缺点2、优点（1）密钥分配配简单（2）不需要秘秘密的通道道和复杂的的协议来传传送密钥第四节认认证与识别别技术一、证书认认证中心（（CA中心）二、数字证证书三、信用认认证四、密钥管管理技术五、加密技技术的应用用一、证书认认证中心（（CA中心）1.何为认证中中心所谓CA(CertificateAuthority)认证中心，，它是采用用公开密钥钥(PublicKeyInfrastructure，PKI)基础架构技技术，专门门提供网络络身份认证证服务，负负责签发和和管理数字字证书，且且具有权威威性和公正正性的第三三方信任机机构。目前前国内的CA认证中心主主要分为区区域性CA认证中心和和行业性CA认证中心。。2.认证中心的的功能认证中心具具有以下5个方面的功功能：（1）证书的颁颁发；（2）证书的更更新；（3）证书的查查询；（4）证书作废废；（5）证书的归归档。38总结认证中心（（CertificationAuthority，CA）是承担网网上安全电电子交易认认证服务、、签发数字字证书并能能确认用户户身份的服服务机构。。CA是基于Internet平台建立的的一个公正的、有有权威性的的、独立的的、广受信信赖的第三方组组织机构，，负责受理理数字证书书的申请、签发数字证书、、管理数字证书，，以保证网网上业务安安全可靠地地进行。二、数字证证书1.数字证书的的定义数字证书（（DigitalCertificate或DigitalID）又称为数数字凭证，，即用电子子手段来证证实一个用用户的身份份和对网络络资源的访访问权限。。数字证书书是一种数数字标识，，是一个经经证书认证证中心（CA）数字签名名的包含公公开密钥拥拥有者信息息以及公开开密钥的文文件。2.数字证书的的功能数字证书具具有如下5个方面的基基本功能：：（1）身份认证证；（2）保密性；；（3）数据完整整性；（4）不可抵赖赖性；（5）访问控制制。三、信用认认证电子商务信信用认证（（电商认证证）是指由由独立第三三方、权威威的机构，，按照独立立、公正、、客观的原原则，采用用科学的方方法和合理理规范的程程序，经过过行业专家家的权威论论证，从商商务信用角角度对电子子商务经营营主体进行行真实性审审查、信用用状况评价价、信用行行为巡查等等全方面的的第三方信信用服务，，并以简明明的符号和和数字表示示出来，给给消费者、、合作伙伴伴、交易对对象和政府府管理部门门等机构提提供重要参参考。1.信用认证的的过程：信用认证共共分为申请请提交、审审核评价和和结果发布布三个阶段段。2.信用认证的的结果：信用认证结结果由信用用等级和信信用额度两两部分组成成。3.信用认证的的有效期：：信用网站认认证的有效效期为两年年，信用网网店认证的的有效期为为一年。认认证机构采采用例行和和不定期巡巡查的方式式对认证结结果进行动动态核实、、修正，以以确保认证证结果的正正确性、有有效性。四、数字签签名（1）什么是数数字签名DigitalSignature数字签名是是附加在数据据单元上的的一些数据据，这种数数据的接收收者用以确确认其完整整性，并保保护数据，，防止被人人进行伪造造。实现的基础础加密技术（2）数字签名的的作用：接收方可以以确认发送送方的真实实身份发送方事接收方或非法者不能伪造或篡改该报文数字签名的的实现本质质：通过数字签签名可实现现身份认证证、数据的的保密性、、数据的完完整性、信信息传输的的不可抵赖赖性等。数字签名基本认证技技术CA认证：保证数据据的传输安安全数字签名：身份认证证并保证数数据的完整整性、预防防交易抵赖赖数字证书：身份认证证第五节电电子商务安安全交易标标准一、安全全套接层层协议SSL二、安全全电子交交易协议议SET三、Internet电子邮件件的安全全协议四、安全全的超文文本传输输协议S-HTTP五、IP层安全标标准IPSec一、安全全套接层层协议SSL安全套接接层（SecureSocketslayer，SSL）协议是是网景（（Netscape）公司推推出的基基于WEB应用的安安全协议议，SSL协议指定定了一种种在应用用程序协协议（如如：Http、Telnet、NMTP和FTP等）和TCP/IP协议之间间提供数数据安全全性分层层的机制制，它为为TCP/IP连接提供供数据加加密、服服务器认认证和消消息完整整性以及及可选的的客户机机认证，，主要用用于提高高应用程程序之间间数据的的安全性性，对传传送的数数据进行行加密和和隐藏，，确保数数据在传传送中不不被改变变，即确确保数据据的完整整性。1.SSL协议的作作用SSL采用对称称密码技技术和公公开密码码技术相相结合，，解决了了以下几几个问题题：（1）双向认认证，客客户机和和服务器器相互识识别的过过程；（2）对通信信数据进进行加密密；（3）信息完完整性，，确保SSL业务全部部达到目目的。2.SSL协议的体体系结构构SSL协议实际际上是由由握手协协议层和和记录协协议层组组成：SSL记录协议议（SSLRecordProtocol）：建立立在可靠靠的传输输协议（（如TCP）之上，，为高层层协议提提供数据据封装、、压缩、、加密等等基本功功能的支支持。SSL握手协议议（SSLHandshakeProtocol）：建立立在SSL记录协议议之上，，用于在在实际的的数据传传输开始始前，通通讯双方方进行身身份认证证、协商商加密算算法、交交换加密密密钥等等。应用层协议（HTTP、Telnet、FTP、SMTP等）TCP协议IP协议SSL握手协议（HandshakeProtocol）SSL记录协议（RecordProtocol）SSL协议3.SSL安全协议议实现的的步骤（1）客户机机通过网网络向服服务器打打招呼，，并将本本机可支支持的安安全模块块告诉服服务器；；（2）服务器器回应客客户机，，向客户户机发送送本机的的服务器器数字证证书、公公钥，如如果服务务器需要要双方认认证，还还要向对对方提出出认证请请求；（3）客户机机用服务务器公钥钥加密向向服务器器发送自自己的公公钥，根根据服务务器是否否需要认认证客户户身份，，发送客客户端数数字证书书；（4）双方根根据前面面联络的的情况，，确定专专门用于于本次会会话的专专用密钥钥；（5）双方使使用专用用密钥进进行会话话；（6）会话结结束双方方交换结结束信息息。4.SSL协议的优优势：（（1）具有一定定的安全全性，能能够抵抗抗某些攻攻击；（（2）具备很很强的灵灵活性，，在浏览览器中大大都建有有SSL功能。5.SSL协议的缺缺陷：客客户仍有有安全性性的顾虑虑。二、安全全电子交交易协议议SETSET协议（SecureElectronicTransaction，即安全全电子交交易）是是由VISA和MasterCard两大信用用卡公司司于1997年5月联合推推出的规规范，用于解决决客户、、商家和和银行之之间通过过信用卡卡支付的的交易安安全。SET协议采用用了RSA公—私钥加密密系统、、数字签签名、数数字证书书认证等等技术，，保证了了支付信信息的保保密性、、完整性性和不可可否认性性，SET协议提供供了客户户、商家家和银行行之间的的身份认认证，而而且交易易信息和和客户信信用卡信信息相互互隔离，，即商家家只能获获得订单单信息，，银行只只能获得得持卡人人信用卡卡的支付付信息，，双方各各取所需需，互不不干扰，，构成了了SET协议的主主要特色色，使得得SET协议有望望成为电电子商务务的规范范。SET协协议是B2C上上基于信信用卡支支付模式式而设计计的，它它保证了了开放网网络上使使用信用用卡进行行在线购购物的安安全。解决客户户、商家家和银行行间信用用卡支付付的交易易安全MasterCard、VISA等共同制制定已成在线线交易的的电子付付款系统统的国际际规范增加了对对商家身身份的认认证1.SET协议的目目标主要要有：（1）保证信信息在Internet上的安全全传输；；（2）订单信信息与个个人账号号信息隔隔离；（3）解决多多方认证证问题；；（4）保证网网上交易易的实时时性；（5）要求软软件遵循循相同协协议和消消息格式式，使不不同厂家家开发的的软件具具有兼容容性和互互操作性性，并且且可以允允许在不不同的硬硬件和操操作系统统平台上上。2.SET协议的参与对对象SET协议规范所涉涉及的对象有有：持卡人、、发卡机构、、商家、银行行以及支付网网关。他们在在SET协议中扮演着着不相同的角角色。（1）持卡人（Cardholder）是指由发卡卡银行所发行行的支付卡的的授权持有者者。（2）商家（Merchant）是指出售商商品或服务的的个人或机构构。（3）支付网关关（paymentgateway）是由收单行行或指定的第第三方操作的的专用系统，，用于处理支支付授权和支支付。（4）收单银行（（Acquirer）是为商户建建立业务联系系的金融机构构。（5）发卡银行（（Issuer）是为持卡人人提供支付卡卡的金融机构构。（6）认证机构（（CertificateAuthority）按照SET交易中的角色色不同，认证证机构负责向向持卡人颁发发持卡人证书书、向商户颁颁发商家证书书、向支付网网关颁发支付付网关证书，，利用这些证证书可以验证证持卡人、商商户和支付网网关的身份。。3.SET协议的交易流流程：（1）消费者利用用自己的PC机通过Internet选定所需购买买的商品，并并在计算机上上输入订货单单，订货单包包括在线商店店、购买物品品名称及数量量、交货时间间及地点等信信息。（2）通过电子商商务服务器与与有关在线商商店联系，在在线商店做出出应答，告诉诉消费者所填填订货单的货货物单价、应应付款数、交交货方式等信信息是否正确确，是否有变变化。（3）消费者选择择付款方式，，确认订单，，签发付款指指令，此时SET开始介入。在在SET中，消费者必必须对订单和和付款指令进进行数字签名名，同时利用用双重签名技技术保证商家家看不到消费费者的账号信信息。（4）在线商店接接受订单，向向消费者所在在银行请求支支付认同，信信息通过支付付网关到收单单银行，再到到电子货币发发行公司确认认。批准交易易后，返回确确认信息给在在线商店。（5）在线商店发发送订单确认认信息给消费费者，消费者者端软件可记记录交易日志志以备将来查查询。（6）在线商店发发送货物，或或提供服务，，并通知收单单银行将钱从从消费者账号号转移到商店店账号，或通通知发卡银行行请求支付。。4.SSL与SET的比较（略））三、Internet电子邮件的安安全协议涉及电子邮件件内容的安全全问题主要有有：（1）发送者身份份认证：即如如何证明电子子邮件内容的的发送者就是是电子邮件中中所声称的发发送者。（2）不可否认：：即发送者一一旦发送了某某封邮件，他他就无法否认认这封邮件是是他发送的。。（3）邮件的完整整性：即能否否保证电子邮邮件的内容不不被破坏和篡篡改。（4）邮件的保