第三章电子商务的关键技术

第三章电子商务的关键技术第1页，课件共57页，创作于2023年2月3.1电子商务的技术体系3.1.1电子商务的技术体系框架3.1.2电子商务的技术分类第2页，课件共57页，创作于2023年2月3.1.1电子商务的技术体系框架工程建设过程应用的过程电子商务环境应用层应用平台层网络层

公共基础层EC技术是一种多技术的集合体，包括：获得数据处理数据交换数据自动识别数据图1EC的技术体系图第3页，课件共57页，创作于2023年2月3.1.2电子商务的技术分类计算机技术通信技术与网络技术软件工程与网络编程技术数据库与数据仓库技术EC安全保密技术电子支付技术EC物流技术计算机综合应用技术第4页，课件共57页，创作于2023年2月3.2电子商务的安全技术3.2.1电子商务安全概述3.2.2加密技术3.2.3认证技术3.2.4签名技术3.2.5公钥基础设施第5页，课件共57页，创作于2023年2月3.2.1电子商务安全概述电子商务中的安全隐患可分为如下几类：1.信息的截获和窃取

2.信息的篡改

3.信息假冒

4.交易抵赖一、电子商务所面临的安全问题第6页，课件共57页，创作于2023年2月二、电子商务的安全要求在网络基础设施上开展电子交易EC交易方EC交易方Internet或其他网络设施电子商务交易示意图第7页，课件共57页，创作于2023年2月二、电子商务的安全要求（续）电子商务的安全要求分为：EC交易方自身网络安全电子交易数据的传输安全电子商务的支付安全信息的保密性身份的真实性信息的完整性不可否认性第8页，课件共57页，创作于2023年2月三、电子商务安全内容

电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。第9页，课件共57页，创作于2023年2月

商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。三、电子商务安全内容（续）第10页，课件共57页，创作于2023年2月四、电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术法律、法规、政策第11页，课件共57页，创作于2023年2月3.2.2数据加密技术一、数据加密概述二、对称加密系统三、非对称加密系统四、两种加密系统的结合使用第12页，课件共57页，创作于2023年2月一、数据加密概述加密技术是最基本的信息安全技术，是实现信息保密性的一种重要手段，目的是为了防止除合法接收者以外的人获取敏感机密信息。所谓信息加密技术，就是用基于数学方法的程序和保密的密钥对原始信息进行重新编码，把计算机数据变成一堆杂乱无章难以理解的字符串从而隐藏信息的内容，也就是把明文变成密文。第13页，课件共57页，创作于2023年2月加密：加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。一、数据加密概述第14页，课件共57页，创作于2023年2月明文：人或机器能够读懂和理解的信息称为明文，它可以是文本、数字化语音流或数字化视频信息等。密文：通过数据加密的手段，将明文变换成晦涩难懂的信息称为密文。加密过程：将明文转变成密文的过程。解密过程：加密的逆过程，即将密文转换成明文的过程。密钥：用于加、解密过程中的一些特殊信息(参数)，它是控制明文与密文之间变换的关键，可以是数字、词汇或语句等。密钥可以分为加密密钥和解密密钥，分别使用于加密过程和解密过程。数据加密的术语：第15页，课件共57页，创作于2023年2月举例将字母A、B、C、……X、Y、Z的自然顺序保持不变，但使之与E、F、G、……B、C、D相对应，即相差4个字母顺序。这条规则就是加密算法，其中4即为密钥。明文字母abcdefghijklm密文字母EFGHIJKLMNOPQ明文字母nopqrstuvwxyz密文字母RSTUVWXYZABCD若原信息是Howareyou，依照这个加密算法和密钥，则加密后的密文就是LSAEVICSY。第16页，课件共57页，创作于2023年2月举例如果将密钥换成7，则得到的密文又是不同的。第17页，课件共57页，创作于2023年2月二、对称加密系统1.概念对称加密又叫做私有密钥加密其特点是数据的发送方和接收方使用同一把私有密钥，即把明文加密成密文和把密文解密成明文用的是同一把私有密钥。这就要求通信双方必须都要获得这把钥匙并保持它的秘密。对于一个比较好的对称加密系统来说，除非在解密时能提供正确的密钥，否则是不可能利用解密功能来获得明文信息的。第18页，课件共57页，创作于2023年2月2.对称加密的过程利用私有密钥进行对称加密的过程是：发送方用自己的私有密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文。整个加解密过程如图所示。二、对称加密系统第19页，课件共57页，创作于2023年2月3.典型的加密算法：数据加密标准DES（DataEncryptionStandard）国际信息加密算法IDEA(InternationalDataEncryptionAlgorithm)高级加密标准AES（AdvancedEncryptionStandard）除此之外，对称加密算法还包括有：3DES、RC4、RC5等二、对称加密系统第20页，课件共57页，创作于2023年2月4.对称加密系统的优缺点分析使用对称加密系统对信息进行加密和解密具有计算量小、加密速度快、效率高的优点，一般广泛应用于对大量数据文件的加解密过程中。同时也存在缺点：密钥的安全分发过程比较复杂和困难。密钥的管理工作巨大二、对称加密系统第21页，课件共57页，创作于2023年2月三、非对称加密系统1.不对称加密系统的概念不对称加密又称为公开密钥加密。公开密钥密码体制出现于1976年，在采用公开密钥加密系统进行数据的加解密时要使用一个密钥对，其中一个用于加密（予以公开，称为加密密钥或公开密钥PublicKey(PK)），而另一个则用于解密（保密持有，称为解密密钥或私有密钥SecretKey(SK)）；加密算法E和解密算法D也都是公开的，PK与SK成对出现，它们在数学上彼此关联，但不能从公开密钥PK推断出私有密钥SK。第22页，课件共57页，创作于2023年2月公开密钥加解密算法的特点如下：用加密算法E和加密密钥PK对明文X加密后，再用解密算法D和解密密钥SK解密，即可恢复出明文；或写成：DSK[EPK(X)]=X；加密算法和加密密钥不能用来解密，即EPK[EPK(X)]≠X；在计算机上可以容易地产生成对的PK和SK；从已知的PK实际上不可能（或者说很难）推导出SK。第23页，课件共57页，创作于2023年2月2.不对称加密的过程公开加密系统对于信息的加密和解密过程是：发送方用接收方的公开密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文。整个加解密过程如图所示：三、非对称加密系统第24页，课件共57页，创作于2023年2月3.典型的加密算法：RSA(1978年由美国麻省理工学院的三位教授RonaldRivest、AdiShamir、LeonardAdleman联合发明，它是第一个成熟的，迄今为止理论上最为成熟的公开密钥体制。)除此之外，不对称加密算法还包括有：Elgamal算法、DSA算法等三、非对称加密系统第25页，课件共57页，创作于2023年2月4.不对称加密系统的优缺点分析由于公开密钥加密必须要由两个密钥的配合使用才能完成加密和解密的全过程，因而有助于加强数据的安全性。密钥少而便于管理。网络中的每一个贸易方只需要妥善保存好自己的解密密钥，则n个贸易方仅需要产生n对密钥。不需要采用秘密的通道和复杂的协议来传送、分发密钥。三、非对称加密系统但公开密钥加解密也有缺点，主要是加解密速度很慢，所以它不适合于对大量文件信息进行加解密，一般只适合于对少量数据(如对密钥)进行加解密。第26页，课件共57页，创作于2023年2月四、两种加密系统的结合使用正是因为对称加密系统和不对称加密系统各有所长，所以在实际应用中，往往将它们结合起来使用，对于要传输的数据使用对称加密系统加密，而对称加解密过程的密钥则使用不对称加密系统加密，这样既保证了数据安全又提高了加解密的速度，以起到扬长避短的目的。第27页，课件共57页，创作于2023年2月结合使用的过程：发送方生成一个共享会话密钥，并对要发送的信息用该密钥进行对称加密；发送方用接收方的公开密钥对会话密钥进行加密；发送方把加密后的信息和加密后的私有密钥通过网络传送到接收方；接收方用自己的私有密钥对发送方传送过来的加密后的会话密钥进行解密，得到双方共享的会话密钥；接收方用会话密钥对接收到的加密信息进行解密，得到信息的明文。四、两种加密系统的结合使用第28页，课件共57页，创作于2023年2月上述整个过程如图所示：第29页，课件共57页，创作于2023年2月3.2.3数字摘要技术假定从发送方给接收方的消息不需要保密，但接收方需要确保该消息在传输过程中没有被篡改或伪造过，这就需要使用进行信息完整性保护的一些技术。消息验证码（MessageAuthenticationCode，

MAC）散列函数第30页，课件共57页，创作于2023年2月消息验证码（MAC）也称为完整性校验值或信息完整性校验值。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。MAC的值与输入信息的每一位都有关系，如果在消息中的任何一位发生了改变，则就会产生出不同的MAC值，接收方就能知道该消息的完整性已遭到了破坏。一、消息验证码（MAC）第31页，课件共57页，创作于2023年2月下图给出了消息验证码的使用过程：伪第32页，课件共57页，创作于2023年2月二、散列函数单向的散列函数是一种计算相对简单但却很难进行逆运算的函数。从数学上来讲，就是当给定一个值x，利用单向的散列函数y=f(x)很容易求出y的值，但是如果给定y，则不可能求出相应的x=f-1(y)。散列函数一般用在数字签名中生成信息摘要MessageDigest（又叫消息摘要，数字摘要），它是一种单向函数，可以很容易的把大量的信息映射成相对较小的信息范围（例如一条成千甚至上百万位长度的信息，经过散列函数的操作，得到的输出信息只有160位长），此外还具有以下特征：第33页，课件共57页，创作于2023年2月（……续前）函数必须是真正单向的，也就是说不可能（或者说很难很难）根据散列形成的摘要来重新计算出原始的信息；散列计算不可能对两条消息求出相同的摘要，哪怕只有一位改变，摘要就完全不同。典型的算法：SHA-1算法、MD5算法第34页，课件共57页，创作于2023年2月3.2.2防火墙技术一、什么是防火墙二、防火墙的分类及原理三、防火墙的优缺点第35页，课件共57页，创作于2023年2月一、什么是防火墙防火墙指的是一个由软件和硬件设备组合而成的，在可信网络和非可信网络之间（如：内部网和外部网之间、专用网与公共网之间）的界面上构造的保护屏障。防火墙第36页，课件共57页，创作于2023年2月防火墙的安全策略1)没有被列为允许访问的服务都是被禁止的:基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他末列入的服务排斥在外,禁止访问;这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。第37页，课件共57页，创作于2023年2月2)没有被列为禁止访问的服务都是被允许的∶基于该准则，防火墙转发所有信息流，然后逐项屏蔽有害的服务。这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。第38页，课件共57页，创作于2023年2月二、防火墙的分类及原理根据防范的方式和侧重点的不同，防火墙可分为三大类：1.数据包过滤2.应用级网关3.代理服务第39页，课件共57页，创作于2023年2月数据过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。屏蔽路由器第40页，课件共57页，创作于2023年2月代理服务：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Int-ernet用户和内部网之间的通讯以代替直接交谈。代理服务第41页，课件共57页，创作于2023年2月三、防火墙的优缺点防火墙的优势防火墙可以作为内外部网络之间的安全屏障。防火墙限制了企业网Intranet对Internet的暴露程度，避免Internet网的安全问题对Intranet的传播。作为网络安全的集中监视点。防火墙是设置网络地址翻译器NAT(NetworkAddresstranslator)的最佳位置。防火墙的局限性防火墙不能阻止来自内部的破坏。防火墙不能保护绕过它的连接。防火墙无法完全防止新出现的网络威胁。防火墙不能防止病毒。第42页，课件共57页，创作于2023年2月11.3.3数字签名技术一、数字签名技术原理二、基于散列函数的数字签名技术第43页，课件共57页，创作于2023年2月一、数字签名技术原理数字签名技术是实现交易安全的核心技术之一，它的实现基础是加密技术。传统书信或文件是根据签名或印章来证明其真实性的，但在计算机网络中传送的信息报文又如何盖章以证明身份呢？这就是数字签名技术要解决的问题。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。第44页，课件共57页，创作于2023年2月利用公开密钥加密系统的验证模式来实现简化的数字签名的过程如下：发送方A用自己的私有密钥对要发送的信息加密，形成数字签名；发送方A将数字签名附在消息后通过网络传送给接收方B；接收方B用发送方A的公开密钥对接收到的签名信息进行解密，得到信息明文；接收方将解密得到的消息与接收到的消息进行比较，若两者相同，则说明消息未被篡改过，并能确认该消息和数字签名是发送方A的。第45页，课件共57页，创作于2023年2月第46页，课件共57页，创作于2023年2月二、基于散列函数的数字签名技术不难发现上述实现数字签名的过程存在着一定的问题，特别是用于处理和通信的成本过高，因为公开密钥加密系统加解密速度本来就比较慢，而这里加密和解密又不得不对整个信息内容进行，并且发送的数据量至少是原始信息的两倍。为了进行改进，可以运用散列函数来进行处理。第47页，课件共57页，创作于2023年2月利用散列函数的数字签名过程如下：发送方对要发送的消息运用散列函数形成数字摘要；发送方用自己的私有密钥对数字摘要进行加密，形成数字签名；发送方将数字签名附在消息后通过网络传送给接收方；接收方用发送方的公开密钥对接收到的签名信息进行解密，得到数字摘要；接收方运用同样的散列函数对接收的消息形成数字摘要；接收方对两个数字摘要进行比较，若两者相同，则说明消息未被篡改过，并能确认该消息和数字签名是发送方的。第48页，课件共57页，创作于2023年2月第49页，课件共57页，创作于2023年2月11.3.4数字证书和认证技术一、数字证书二、公开密钥基础设施PKI第50页，课件共57页，创作于2023年2月一、数字证书1.什么是数字证书数字证书，又称为公开密钥数字证书，是一种由可信任的认证机构CA颁发的，将某用户的身份(证书主体)与他所持有的公开密钥安全地结合在一起的数据结构，在结合之前由一个CA来证实该用户的身份，然后由其对包含该用户的身份及对应公钥的数据文件进行数字签名，以证明数字证书的有效性。第51页，课件共57页，创作于2023年2月2.数字证书的内容和结构数字证书中一般包含证书持有者（证书主体）的名称、公开密钥、认证机构的数字签名，此外还包括证书的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴之间可以利用数字证书来交换彼此的公开密钥。国际电信联盟ITU在制定的X.509标准中，对数字证书进行了详细的定义，该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC9594-8:195标准。一个标准的X.509数字证书包含如下内容：证书的版本信息；证书的序列号（每个证书都有一个唯一的证书序列号）；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。第52页，课件共57页，创作于2023年2月