电子商务的安全解决方案课件

第4章电子商务的安全解决方案4.1电子商务的安全问题与需求4.2电子商务网络平台的安全与防火墙技术4.3数据机密性技术4.4数据完整性技术4.5数字证书与认证中心CA4.6安全电子商务的SSL与SET协议机制4.1电子商务的安全问题与需求电子商务面临的安全隐患系统的中断与瘫痪信息被窃取信息被篡改信息被伪造对交易行为进行的抵赖电子商务的安全需求保证网络上相关数据流的保密性保证网络上相关商务数据不被随意篡改，即保证相关电子商务信息的完整性保证电子商务各方身份的认定保证电子商务行为发生的事实及发生内容的不可抵赖性保证电子商务系统运行的稳定可靠、快捷，做好数据备份与灾难恢复功能，并保证一定的商务处理速度4.1电子商务的安全问题与需求电子商务的安全解决方案概述电子商务的安全策略定义实现安全的电子商务所需要保护的资源要确定保护的风险涉及的有关电子商务安全的法律法规规划电子商务的具体安全防护机制电子商务的安全方法与工具电子商务业务流程中参与各方的安全需求电子商务相关数据流内容的保密性电子商务数据流内容的完整性保证对电子商务行为和内容的不可否认性处理多方贸易业务中的多边安全认证问题电子商务系统中应用软件、支撑的网络平台的正常运行积极寻求相关管理机构的帮助，理解并有效使用相应的电子商务法律、信用体系保护自己4.2电子商务网络平台的安全与防火墙技术Internet网络平台系统的安全措施保护网络安全的措施全面规划网络平台的安全策略制定网络安全的管理措施使用防火墙尽可能记录网络上的一切活动，定位和分析非法入侵行为注意对网络设备的物理保护检验网络平台系统的脆弱性建立可靠的识别和鉴别机制保护应用安全的措施主要是独立于网络其他的安全防护措施，针对特定应用（如WEB服务器、电子商务应用软件系统）建立的安全防护措施。保护系统安全的措施安装软件时，检查和确认有没有安全漏洞技术与管理相结合，加强认证、审计、安全管理工作对入侵进行检测、审计、追踪4.2电子商务网络平台的安全与防火墙技术防火墙技术与应用防火墙与Web服务器的配置方式业务Web服务器设置在防火墙之间业务Web服务器设置在防火墙之外防火墙的优点防范来自不安全网络的攻击，提高集中安全性借助网络服务选择，保护网络中脆弱的易受攻击的服务可以很方便的检视整个网络的安全性，并具有报警提醒功能，及时反应可以作为部署NAT的逻辑地址增强内部网中资源的保密性，强化私有权防火墙的缺点被动式的安全防护手段，只对已知的网络威胁起作用，不能完全、绝对保证企业内部网络的安全。常见的防火墙软件天网、CheckpointFirewall-II、Sonicwall、网络卫士等4.3数据机密性技术私有密钥加密法英文为SecretKeyCryptography，就是指在计算机网络上甲、乙两用户之间进行通信时，发送方甲为了保护要传输的明文信息不被第三方窃取，采用密钥A对信息进行加密而形成密文M并发送给接收方乙，接收方乙用同样的一把密钥A对受到的密文M进行解密，得到明文信息，从而完成密文通信目的的方法。由于加密解密使用同样的密钥，因此，私有密钥加密法也称为对称密钥加密法。常用的加密算法DES算法及其各种变形、国际数据加密算法IDEA以及RC4、RC5.4.3数据机密性技术公开密钥加密法英文为publicKeyCryptography,就是指在计算机网络上甲、乙两用户之间进行通信时，发送方甲为了保护要传输的明文信息不被第三方窃取，采用密钥A对信息进行加密形成密文M并发送给接收方乙，接收方乙用另一把密钥Ｂ对接收到的密文Ｍ进行解密，得到明文信息完成密文通信的目的的方法。原理是借助密钥生成程序产生密钥Ａ与密钥Ｂ，这两把密钥在数学上相关，称为密钥对。4.3数据机密性技术公开密钥加密法的使用过程乙银行：将２00原资金从本帐号转移至贵行ＫＸＳ帐号上。客户甲

※￠℅※№☆¤￠℅☆¤※￠℅￠℅☆¤※¤￠℅☆¤※℅℅№☆乙银行：将２00原资金从本帐号转移至贵行ＫＸＳ帐号上。客户甲

※￠℅※№☆¤￠℅☆¤※￠℅￠℅☆¤※¤￠℅☆¤※℅℅№☆加密解密公开密钥Ｂ私人密钥Ａ网络传输支付通知明文支付通知密文支付通知明文支付通知密文客户甲乙网络银行4.3数据机密性技术私有密钥加密法和公开密钥加密法的比较在加密、解密的处理效率方面DES算法处理速度较快，比RSA明显有优势在密钥的分发与管理方面RSA可公开分配加密密钥，更新密钥也很容易；DES算法要求提前对密钥进行秘密分配传递，需产生和保管巨量的不同密钥。在安全性方面只要密钥够长，112位密钥的DES算法和1024位的RSA算法安全性就很好。在签名和认证方面DES算法原理上不可能实现数字签名和身份认证，RSA算法则能方便容易地进行数字签名和身份认证。4.4数据完整性技术数字摘要英文为DigitalDigest，就是发送者对被传送的一个信息报文，根据某种数学算法计算出一个此信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给接收者，接收者应用此摘要值来检验信息报文在网络传送过程中有没有发生改变来判断信息报文的真实与否。数字摘要是由哈希(Hash)算法计算得到的，所以也成为哈希值。数字摘要的优缺点可以在一定程度上防伪防修改，保证信息原文的真实性，类似于签名的真实性检验，所以数字摘要与公开密钥加密法一起联合应用，能够产生数字签名的效果。但数字摘要技术并不能完全保证数据的完整性，哈希算法是公开的，不能防止行为抵赖。4.4数据完整性技术数字签名的应用示意图见P206图4-84.5数字证书与认证中心CA数字证书在电子商务中，把传统的身份证书改用数字信息形式，有双方都信任的第三方机构发行和管理，以方便在网络上传递与使用，进行身分认证，这就使数字证书。数字证书的内容数据组成版本信息证书序列号CA使用的签名算法证书颁发者信息有效使用期限证书主题或使用者公钥信息其它额外的特别扩展信息发行数字证书的CA签名与签名算法4.5数字证书与认证中心CA数字证书的类型个人数字证书服务器数字证书数字证书有效的条件证书没有过期密钥没有被修改有可信任的响应的颁发机构CA及时管理与回收无效证书，并发行无效证书清单4.5数字证书与认证中心CA认证中心CA即CertificationAuthority，简称CA，使基于Internet平台建立的一个公正的、有权威性的、独立的、广受信赖的组织机构，负责数字证书的发行、管理以及认证服务，以保证网上业务的安全可靠进行。认证中心CA的技术基础PKI体系——公开密钥体系或公开密钥基础，是一种遵循既定标准的密钥管理平台，它能够为所有网路应用服务提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。PKI系统基本包括具有权威的认证中心、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等。4.5数字证书与认证中心CA认证中心CA的主要功能生成密钥对及CA证书验证申请人身份颁发数字证书证书以及持有者身份在线认证查询证书管理及更新吊销证书借助密钥等手段为客户辅助实现数字签名等服务制定相关政策有能力保护证书服务器的安全大型CA机构美国VeriSign公司北京数字证书认证中心BJCA4.6安全电子商务的SSL与SET协议机制基于SSL协议的安全电子商务机制SSL简介SSL协议，英文为SecureSocketLayerProtocol，即安全套接层协议，是Internet上的安全通信服务，也是目前包括网络支付在内的电子商务业务中广泛应用的安全通信协议。SSL结合私有密钥加密法、公开密钥加密法、以及数字摘要技术等，提供了以下基本的安全服务：机密性完整性认证性4.6安全电子商务的SSL与SET协议机制SSL协议的安全电子商务实践示例以信用卡网络支付为例，技术细节过程如下：客户机IE浏览器向银行服务器发送客户端的SSL版本号、密码设置、随机生成的数据和需要服务器使用SSL协议与客户机通信需要的其他信息；服务器向客户机发送服务器端的SSL版本号、密码设置、随机生成的数据和客户机能使用SSL协议与服务器通信需要的其他信息；客户端利用服务器发送来的信息如数字证书来认证服务器的真实身份与取得公开密钥等；根据与服务器协商以及服务器数字证书上的相关信息，利用数字信封技术在客户端软件为将要进行的会话创建会话预密码，用服务器的公钥加密它，向服务器发送加密的会话密钥。4.6安全电子商务的SSL与SET协议机制（接上）选择了不认证或认证客户成功，服务器使用它的私人密钥解密得到预密码，且从相同的预密码开始也得到相同的会话密钥；客户机向服务器发送信息通知以后从客户机来的消息将用会话密钥加密；客户机然后发送一条独立的消息表明握手的客户机部分已经完成；服务器向客户机发送消息通知以后从服务器来的消息将用会话密钥加密，服务器然后发送一条独立的消息表明握手的服务器部分已经完成；SSL握手完成，SSL会话开始，安全通道建立成功，发送支付结算的相关信息如信用卡号与密码等；通信完成后，会话密钥将被丢弃，不再使用。4.6安全电子商务的SSL与SET协议机制基于SET协议的安全电子商务机制SET协议简介所谓SET协议，英文为SecureElectronicTransaction,简称SET，即安全电子交易协议，指为使银行卡在Internet上安全的进行交易提出的一整套完整的安全解决方案。SET协议所要达到的目标机密性保护隐私完整性多方认证性标准性4.6安全电子商务的SSL与SET协议机制基于SET协议的安全电子商务机制SET协议应用系统框架图见P2184.6安全电子商务的SSL与SET协议机制SET协议和SSL协议的比较SSL与SET都采用了公开（非对称）密钥加密法、私有（对称）密钥加密法、数字摘要等加密技术与数字证书等认证手段。SSL是基于传输层的协议，SET使急于应用层的协议；SSL在建立了双方的安全通信通道之后，所有传输的信息都会被加密，而SET则会有选择的加密一部分敏感信息；SSL的证书时发给浏览器软件的，而SET里是与信用卡绑定的；SSL无法完全保证客户的隐私信息，而SET用网关的公开密钥来加密敏感信息，并采用双重签名等方法，以强有力的措施保护了客户的隐私；SSL产品