版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第五章电子商务安全
与传统商务比,电子商务优势突出。虽然我国网络购物人数达6329万人(2008\6,占网民的25.0%),已跻身十大网络应用之列。但仍有3/4网民似乎对网络购物不感兴趣。比较国外的发展状况,韩国网民网络购物比例为57.3%,美国为66%。均高于中国网络购物的使用率。中国网民不进行网上交易的主要原因是什么?引言:电子商务与网络安全现状
网民不进行网上交易的原因(CNNIC)交易安全性得不到保障61.5%产品质量、售后服务得不到保障45.7%担心隐私受侵犯28.2%条件不允许23.3%付款不方便21.7%送货不及时10.7%价格不够诱人10.2%商品数量和种类不够丰富8.3%其他4.0%比例电脑感染病毒90.8%账号/个人信息被盗、被改44.8%网上遭到黑客攻击26.7%被仿冒网站欺骗23.9%都没有碰到过2.5%其他1.2%网民中网络安全问题发生的比率在诸多因素中,交易安全性得不到保障高居首位.历次CNNIC调查反映,网民对安全的担忧一直居高不下。EB安全问题来自其载体—互联网。近10年来,各国因网络安全受到侵犯的比例以及因电子商务安全问题所造成的经济损失逐年上升。
即使是美国大公司的主干网,甚至白宫、国防部也常受黑客骚扰。(如黑客们曾用电子邮件炸弹袭击了Yahoo、eBay等著名网站。白宫网站也曾被换成五星红旗。)
我国从93年起,黑客的活动就未停止过。97年后,黑客日益猖獗,逐步转向EB领域,国内各大网络几乎都不同程度地遭到黑客的攻击。
病毒的危害更是层出不穷,防不胜防,如2001年的“尼姆达”、2002年“求职信”、2003年的“冲击波”等病毒…都曾使我国计算机大面积感染;最近,各种木马泛滥,严重影响互联网的应用和网民们的安全。
总之,电子商务就是在这样一个充满危险的互联网虚拟空间中运行。
如何消除网民们的担忧,如何保障网络及交易安全,不断满足电子商务的安全要求,进而保障电子商务的健康、快速发展,是本章的主要内容。
互联网的安全威胁主要来自:病毒;黑客;计算机网络系统本身的缺陷(如网络硬件故障、网络软件的漏洞和“后门”)以及使用者的疏忽等。
保障网络安全应综合考虑:法律、道德、管理、技术等因素。目前,技术是最有效的防范措施。本章主要从技术角度进行分析。
本章的主要内容5.1电子商务安全性要素5.2电子商务安全技术5.3电子商务安全协议5.4计算机病毒防范5.5防火墙技术
5.1
电子商务安全性要素1、可靠性(系统的可靠程度)2、真实性(交易方身份的真实性)3、机密性(数据不泄露,保密)4、完整性(数据不丢不改)5、有效性(主要指数据电文的有效性)6、不可抵赖性7、内部网的严密性5.2
电子商务安全技术早期常用的安全措施目前常用的新安全措施
1、部分告知2、另行确认3、黑名单
4、会员制5、损失限定6、数据备份1、加密技术2、数字信封3、数字摘要4、数字签名5、数字时间戳6、数字证书
5.2.1加密技术1、密码学概述密码学分密码编码学和密码分析学,是在破译和反破译的过程中发展起来的。加密包含两个元素:密钥和加密算法.密钥是用来对文本进行编码(加密)和解码(解密)的数字。解密是加密的逆过程。加密算法就是用基于数学计算方法与一串数字(密钥)对普通的文本进行编码,产生不可理解的密文的一系列步骤。
2、加密和解密的示范
以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为17,加密算法为将明文加上密钥17,就得到一个密码表表8.2.1一个简单的密码表
字母
ABC…Z空格,./:?明文
010203…26272829303132密文
181920…43444546474849
以上实例在计算机网络时代显得过于简单,瞬间即可被破译。因此密钥和加密算法是安全的关键。从理论上,密钥越长越安全,40位是最低要求。加密算法的公布,在各国都有严格的控制,美国不但禁止公布有些加密算法的细节,也禁止出口这些算法。3、加密的分类
按密钥和相关加密程序类型可把加密分为:对称加密和非对称加密。1)对称加密
对称加密又称私有密钥加密,它用且只用一个密钥对信息进行加密和解密。因此,发送方和接收方都必须知道密钥。对称加密技术可参见下图图4.1对称加密技术示意图*对称加密的优点:加密和解密都较快。*对称加密的缺点:(1)靠双方共同保密,要防任一方任意泄密和更改;(2)需维护的密钥数多(一个贸易方有n个贸易伙伴,就要维护n个专用密钥;n个伙伴间互相通信总计要有n(n-1)/2个密钥);(3)最关键的问题是贸易双方在交换(尤其是在公共网络上)这把密钥时的安全问题。*思考题:贸易双方如何在互联网上交换对称密钥?2)非对称加密
1977年麻省理工学院三教授(Rivest、Shamir和Adleman)发明RSA公开密钥密码系统。在此系统中有一对密码,给别人用的叫公钥,给自己用的叫私钥。用公钥加密后的密文,只有私钥能解。其关键在于:人们不能在有效时间内从公钥推导出私钥,故其保密性较好。
非对称加密技术应用之一:下图实现:信息机密发给特定的接收方(用接收方的公钥加密)非对称加密技术示意图非对称加密技术应用之二:
发送方不可抵赖(用发送方的私钥加密)。明文密文发送方私钥明文密文发送方公钥加密解密发送方接收方传输*非对称加密的优点:1、在多人之间进行保密信息传输所需的密钥组合数量很小;2、公钥没有特殊的发布要求,可以在网上公开(因此,公钥的传递不成问题);3、可实现电子签名(见后面的电子签名技术)。(思考题:利用非对称加密如何实现电子签名?)*非对称加密的缺点:加密和解密花费的时间长。*非对称加密还产生一个问题:如何保证一个公钥与它声称的身份相符?总之,对称和非对称加密各有优劣,如何扬长避短,是安全技术研究的重要课题,在实践中的数字信封、电子签名技术等都是其综合利用。5.2.2数字信封技术数字信封技术可解决前面的思考题(对称加密中密钥的分发问题)。是如何解决的呢?(看图4.3)相当于给对称密钥加了个信封.
数字信封技术是结合了对称密钥加密技术和非对称加密技术优点的一种加密技术,它克服了对称加密中密钥分发困难和非对称加密中加密时间长的问题,使用两个层次的加密来获得公开密钥技术的灵活性和对称密钥技术的高效性。数字信封技术的工作原理是使用对称密钥来加密数据,然后将此对称密钥用接收者的公钥加密,称为加密数据的“数字信封”,将其和加密数据一起发送给接收者。接收者接收后先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据。其工作原理如图所示。数字信封技术
⑥⑤④③②①原文密文密文原文对称密钥发送方接受方公钥
密钥密文密钥密文对称密钥接受方私钥接受方5.2.3
数字摘要(散列编码)
散列编码是用散列算法求出某个消息的散列值(摘要)的过程。每一信息对应于唯一的散列值,故散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变,原散列值就会与由接收者所收消息计算出的散列值不匹配。数字摘要(散列编码)示意图:可用来验证信息的完整性(不可修改性)数字摘要A数字摘要A原文数字摘要B传输原文散列编码
散列
编码比
对发送方接收方5.2.4电子签名技术1、电子签名的重要性:#从课程与知识的角度,它是前面所学技术的综合,复杂度高,是课程重点与难点;
#从EB实际应用角度,意义重大。《电子签名》法是我国第一部(目前唯一)正式的EB法律。
提出问题:(1)什么是电子签名?(2)它能否起到手写签名同样的作用?(3)它是怎样综合运用多项加密技术以达到应有的作用?2、手写签名的功能:1)不可抵赖性2)不可修改性电子签名要代替手写签名,至少应达到这两项功能。使用EB安全技术实现这两项功能理论上并不难:1)不可抵赖性(非对称加密的第二种应用)2)不可修改性(加密技术;
数字摘要)3、电子签名及其使用方法
看下图
首先,从技术的角度看,电子签名是如何形成的?接受方公钥接受方私钥密钥对哈希函数对称密钥密文对称密钥密文对称密钥哈希函数对称密钥3加密4解密数字摘要发送方私钥1加密密文2加密密文传输传输发送方公钥6解密7对比5解密密钥对发送方接受方原文件电子签名(密文)原文件电子签名数字摘要数字摘要从图中所示可见:电子签名采用了三重加密。第一重目的是为防止发送方抵赖;第二重快速加密、机密传输;第三重目的是为保证机密的传给特定的接收方。此外,数字摘要还保障(验证)数据在传输途中是否完整和未被修改。因此其过程较为复杂,我们看分解图。接受方公钥接受方私钥密钥对哈希函数对称密钥密文对称密钥密文对称密钥哈希函数对称密钥3加密4解密数字摘要发送方私钥1加密密文2加密密文传输传输发送方公钥6解密7对比5解密密钥对发送方接受方原文件电子签名(密文)原文件电子签名数字摘要数字摘要
小结:前面的分析讲解过程实际上已经回答了我们之前提出的三个问题。1)电子签名的概念(技术角度)
电子签名(DigitalSignature)技术是将数字摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。2)电子签名的使用过程(方法):(1)发送方首先用哈希函数从明文文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。(2)发送方选择一个对称密钥对文件加密,然后通过网络传输到接收方,最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。(3)发送方用接收方的公钥给对称密钥加密,并通过网络把加密后的对称密钥传输到接收方。(4)接收方使用自己的私钥对密钥信息进行解密,得到对称密钥。(5)接收方用对称密钥对文件进行解密,得到经过加密的电子签名。(6)接收方用发送方的公钥对数字签名进行解密,得到电子签名的明文。
3)电子签名技术可起到手写签名同样的作用。
即它与书面签名一样能确认两点:
(1)信息是签名者发送的(不可抵赖)
(2)信息自签发后到收到止(传输途中)未作任何修改
4、电子签名的优点
事实上,除具备手工签名的全部功能外,电子签名还具有可(利用互联网)远程传递、传输速度快、更难伪造等优点。
因此,电子签名技术在电子商务安全保密系统中,有特别重要的地位。《电子签名法》也赋予电子签名与手工签名同等法律效力。思考:
如果电子合同中要用此技术,如何保证双方都不可抵赖,且任一方在收到后不可任意修改合同中的内容?电子签名技术能否实现这些要求?如何实现呢?5.2.5认证技术(CA)由于电子商务是在网络中完成,交易双方互相之间不见面,为了保证每个人及机构(如银行、商家)都能唯一而且被无误地识别,这就需要进行身份认证。1)认证中心(CA)
电子商务认证授权机构也称为电子商务认证中心(CertificateAuthority,CA)。CA就是承担网上安全电子交易的认证服务,它能签发数字证书,并能确认用户身份的服务机构。CA通常是一个服务性机构,主要任务是受理数字证书的申请,签发及管理数字证书。
2)认证中心的职能认证中心具有下列4大职能:(1)证书发放可以有多种方法向申请者发放证书,可以发放给最终用户签名的或加密的证书。(2)证书更新持卡人证书、商户和支付网关证书应定期更新,更新过程与证书发放过程是一样的。(3)证书撤消证书的撤消可以有许多理由,如私钥被泄密,身份信息的更新或终止使用等。(4)证书验证
认证证书是通过信任分级体系来验证的,每一种证书与签发它的单位相联系,沿着该信任树直接到一个认可信赖的组织,就可以确定证书的有效性。
3)认证体系的结构
认证体系呈树型结构,根据功能的不同,认证中心划分成不同的等级,不同等级的认证中心负责发放不同的证书。图4.5为CA体系示意图。CA体系示意图4)数字证书(1)数字证书的概念
数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。(2)数字证书的类型①客户证书证实客户身份和密钥所有权。②服务器证书证实服务器的身份和公钥。③安全邮件证书证实电子邮件用户的身份和公钥。④CA机构证书证实认证中心身份和认证中心的签名密钥。
(3)数字证书的内容①证书数据
版本信息;证书序列号;
CA所使用的签名算法;
发行证书CA的名称;
证书的有效期限;
证书主题名称;
被证明的公钥信息的特别扩展。②发行证书的CA签名
(4)数字证书的有效性只有下列条件为真时,数字证书才有效。①证书没有过期②密钥没有修改③用户有权使用这个密钥④证书必须不在无效证书清单中
5)世界著名的认证中心Verisign
世界上较早的数字证书认证中心是美国的Verisign公司()。认证中心VeriSign的主页6)中国知名的认证中心①中国数字认证网(
)②中国金融认证中心(
)③中国电子邮政安全证书管理中心(/CA/index.htm)④北京数字证书认证中心()⑤广东省电子商务认证中心()⑥上海市电子商务安全证书管理中心有限公司()⑦海南省电子商务认证中心()⑧天津CA认证中心(/ca/ca-1/ca.htm)⑨山东省CA认证中心()5.2.6数字时间戳1)数字时间戳的概念
数字时间戳服务(DigitalTime-StampServiceDTSS)是用来证明消息的收发时间的。用户首先将需要加时间戳的文件经加密后形成文档,然后将摘要发送到专门提供数字时间戳服务的权威机构,该机构对原摘要加上时间后,进行数字签名,用私钥加密,并发送给原用户。需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。作为可信赖的第三方,应请求为服务器端和客户端应用颁发时间戳。打上时间戳就是将一个可信赖的日期和时间与数据绑定在一起的过程。
数字时间戳的应用过程
2)时间戳产生的过程
用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTSS认证单位。DTSS认证单位在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由DTSS认证单位来加的,并以收到文件的时间为依据。
3)数字时间戳的作用
(1)数据文件加盖的时间戳与存储数据的物理媒体无关。(2)对已加盖时间戳的文件不可能做丝毫改动(即使仅lbit)。
(3)要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。
5.3电子商务安全协议1、安全套接层协议SSL(1)安全套接层协议的概念
安全套接层协议(SecureSocketsLayer,SSL),是由网景公司设计开发的,主要用于提高应用程序之间的数据安全系数,实现兼容浏览器和服务器(通常是WWW服务器)之间安全通信的协议。SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中,双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了。在SSL对所有通讯都加密后,窃听者得到的是无法识别的信息。
实现SSL协议的是HTTP的安全版,名为HTTPS。HTTPS协议的使用(2)安全套接层协议的工作原理SSL需要认证服务器,并对两台计算机之间所有的传输进行加密。
SSL用公开密钥(非对称)加密和私有密钥(对称)加密来实现信息的保密。虽然公开密钥非常方便,但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。
(3)建立SSL安全连接的过程
下图显示在eCoin上在登陆(Login)用户名时即进入SSL安全连接。在eCoin上连接交换敏感信息的页面
这时浏览器发出安全警报,开始建立安全连接,见图
。同时验证安全证书,见图。用户单击“确定”键即进入安全连接。浏览器开始建立安全连接
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《酒店新员工培训》课件
- 《教育本质》课件
- 《词类句子成分》课件
- 急性风湿热的健康宣教
- 儿童牙病的健康宣教
- 垂体性闭经的健康宣教
- 孕期水样分泌物的健康宣教
- 《例解决问题》课件
- 武汉大学金融工程学课件-金融工程
- 肾上腺髓质增生的临床护理
- 国开电大《亲子关系与亲子沟通》形考+大作业
- (2024年)中国传统文化介绍课件
- 2024年度武汉天河国际机场免税店经营合同3篇
- 常益长铁路线下工程沉降变形观测及评估实施细则
- 四川省南充市2023-2024学年高一上学期期末考试 政治 含解析
- 【MOOC】土木工程制图-同济大学 中国大学慕课MOOC答案
- 餐厅服务培训
- 2024秋期国家开放大学本科《中国法律史》一平台在线形考(第一至三次平时作业)试题及答案
- 人教版5年级上册音乐测试(含答案)
- 数智时代的商业变革智慧树知到期末考试答案章节答案2024年山东大学(威海)
- 生物化学实验智慧树知到期末考试答案2024年
评论
0/150
提交评论