项目八-电子商务安全技术

河南财政税务高等专科学校李瑶河南财政税务高等专科学校河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶目录工程八电子商务平安河南财政税务高等专科学校李瑶序言河南财政税务高等专科学校李瑶8.1电子商务平安概述8.1.1电子商务系统的平安威胁8.1.2电子商务的平安性要求河南财政税务高等专科学校李瑶案例以“淘宝〞为诱饵让买家上当当日正打算给充值的陈小姐在淘宝网上搜索时看到卖家“信誉天使5〞在卖移动充值卡，面值100元的卖85元。陈小姐马上和“信誉天使5〞联系，后者表示自己也是从其他网站上拿货，而且只有在产生交易订单后才能拿货。他让陈小姐登录网站，用他给的用户名和密码进入然后充值1元钱，再把交易订单发给他。陈小姐进入该网站登录后看到页面上有一个网上银行支付系统，于是就填了自己的招商银行信用卡账号和密码进行支付，但结果显示密码错误、交易不成功。陈小姐以为密码输入有误，正当她想第二次输入的时候，却突然收到招行发来的“已网络消费499元〞的短信提醒。这时，陈小姐恍然大悟，自己的信用卡账号和密码已被“信誉天使5〞盗取了。她马上打银行热线冻结账户，但在短短几分钟内还是又被消费了200元。河南财政税务高等专科学校李瑶黑客拿专用盗号器打劫网银病毒名称：

中文名称：网银黑客盗号器61440

病毒类型：盗号木马

病毒目的：盗窃用户的网银账号

本期医生：咖啡猪

河南财政税务高等专科学校李瑶

“掌柜的，你这件商品有么？〞+淘宝商品的链接

账号平安警惕网络陷阱识别钓鱼网站河南财政税务高等专科学校李瑶

电子商务究竟面临怎样的平安威胁？河南财政税务高等专科学校李瑶电子商务开展面临的挑战无法真正确认彼此的身份信息在互联网被窃听，导致信息泄漏信息被篡改，导致信息不完整用户对发送信息进行抵赖，没有抗抵赖的依据网上应用系统效劳器用户数据库窃听篡改抵赖?假冒的站点?假冒的用户如何打造真正诚信的电子商务环境？河南财政税务高等专科学校李瑶电子商务缺乏诚信的核心问题网络中，我如何能相信你？无法真正代表电子商务参与者的真实身份；从而，也无法保证网上信息的真实性；由于没有可供仲裁或公证的用户签名记录，用户随时都可以抵赖在网上做过的任何事情；从而，也无法实现最终成交时签署电子合同；当然，也无法实现放心的网上支付、签署电子合同。解决身份认证和网上行为抗抵赖已刻不容缓！河南财政税务高等专科学校李瑶卖方买方系统中心安全性破坏被人假冒竞争者的威胁付款后不能收到商品信用的威胁机密性丧失假冒的威胁拒绝服务网络诈骗河南财政税务高等专科学校李瑶8.1.2电子商务的平安性要求信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。信息的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。河南财政税务高等专科学校李瑶信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶平安认证手段数字摘要、数字签名、数字信封、CA体系…平安应用协议SET、SSL、S/HTTP、S/MIME…根本加密算法非对称密钥加密、对称密钥加密、DES、RSA…电子商务业务系统电子商务支付系统电子商务平安交易体系河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文复原成明文。加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。河南财政税务高等专科学校李瑶一般的数据加密模型:河南财政税务高等专科学校李瑶8.2.1传统的代换密码早在几千年前人类就已有了通信保密的思想和方法。如最古老的铠撒密码(Caesarcipher)。在这种方法中，a变成D，b变成E，c变成F，……z变成C。例如，english变成IRKPMWL。其中明文用小写字母，密文用大写字母。假设允许密文字母表移动k个字母而不是总是3个，那么k就成为循环移动字母表通用方法的密钥。河南财政税务高等专科学校李瑶明文:abcdefghijklmnopqrstuvwxyz

密文:TUVWXYZABCDEFGHIJKLMNOPQRS

在这个加密表下，明文与密文的对照关系就变成：

明文：baidu

密文：UTBWN河南财政税务高等专科学校李瑶最迟在公元9世纪，阿拉伯的密码破译专家就已经娴熟地掌握了用统计字母出现频率的方法来击破简单替换密码。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶复式代换密码给自然语言频率

解密带来的难题河南财政税务高等专科学校李瑶谢尔比乌斯创造的加密电子机械名叫ENIGMA，在以后的年代里，它将被证明是有史以来最为可靠的加密系统之一。三个局部：键盘、转子和显示器。一共有26个键，键盘排列接近我们现在使用的计算机键盘。河南财政税务高等专科学校李瑶ENIGMA加密的关键：这不是一种简单替换密码。同一个字母在明文的不同位置时，可以被不同的字母替换，而密文中不同位置的同一个字母，可以代说明文中的不同字母，频率分析法在这里就没有用武之地了。这种加密方式被称为“复式替换密码〞。为了使消息尽量地短和更难以破译，空格和标点符号都被省略。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶反射器河南财政税务高等专科学校李瑶发信人首先要调节三个转子的方向，使它们处于17576个方向中的一个〔事实上转子的初始方向就是密匙，这是收发双方必须预先约定好的〕，然后依次键入明文，并把闪亮的字母依次记下来，然后就可以把加密后的消息用电报的方式发送出去。工作原理河南财政税务高等专科学校李瑶三个转子不同的方向组成了26*26*26=17576种不同可能性；三个转子间不同的相对位置为6种可能性；连接板上两两交换6对字母的可能性数目非常巨大，有种；于是一共有，大约为，即一亿亿种可能性。破解的艰难性河南财政税务高等专科学校李瑶“一战〞解密文件刺激德国河南财政税务高等专科学校李瑶二战前英格码的生产装备情况河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶英格码破解大师阿兰·图灵(AlanTuring)河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶

对称密钥加密对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。河南财政税务高等专科学校李瑶对称加密算法明文密文Alice明文BobEncryptDecrypt对称密钥(A&B共享)HiBobAliceHiBobAliceC=E(M,K)M=D(C,K)C=密文M=明文K=密钥E=加密算法D=解密算法!!??乱码信息偷听者aN!3q*nB5+河南财政税务高等专科学校李瑶1〉在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2〉当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大。3〉对称加密是建立在共同保守秘密的根底之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。河南财政税务高等专科学校李瑶

非对称密钥加密与RSA算法河南财政税务高等专科学校李瑶非对称加密算法的根本过程河南财政税务高等专科学校李瑶最著名的算法--RSA现在公钥密码体系用的最多是RSA算法，它是以三位创造者〔Rivest、Shamir、Adleman〕姓名的第一个字母组合而成的。河南财政税务高等专科学校李瑶LenAdlemanRonRivestAdiShamir河南财政税务高等专科学校李瑶(LefttoRight:RonRivest,AdiShamir,LenAdleman)2002年图灵奖获得者--RSA-2002河南财政税务高等专科学校李瑶RonaldL.RivestRivest博士现任美国麻省理工学院电子工程和计算机科学系教授。河南财政税务高等专科学校李瑶AdiShamirShamir是以色列Weizmann科学学院应用数学系的教授。河南财政税务高等专科学校李瑶LenAdlemanAdleman现在是美国南加州大学的计算机科学以及分子生物学教授。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶RSA和DES相结合的综合保密系统—数字信封在实践中，为了保证电子商务系统的平安、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。在该系统中，用DES算法作为数据的加密算法对数据进行加密，用RSA算法作为DES密钥的加密算法，对DES密钥进行加密。这样的系统既能发挥DES算法加密速度快、平安性好的优点，又能发挥RSA算法密钥管理方便的优点，扬长避短。河南财政税务高等专科学校李瑶数字信封发送方采用对称密钥加密信息，然后将此对称密钥用接收方的公开密钥加密之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥翻开数字信封，得到对称密钥，然后使用对称密钥解开信息。平安性能高，保证只有规定的接收方才能阅读信的内容。发送端接收端原信息密文对称密钥加密internetinternet密文数字信封原信息对称密钥解密接收者公钥加密数字信封对称密钥接收者私钥解密对称密钥河南财政税务高等专科学校李瑶1数字摘要2数字签名3数字时间戳河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶数字摘要散列函数与指纹相象比原物〔本人〕信息量小与本人一一对应无法找到相同指纹的两个人知道了指纹，无法重建一个人河南财政税务高等专科学校李瑶数字摘要数字摘要是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数，也就是Hash函数。

一般来说，平安Hash标准的输出长度为160位，这样才能保证它足够的平安。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶发送端接收端原信息数字签名用发送方的私有密钥对数字摘要进行加密得的数字签名，因此数字签名是只有信息的发送者才能产生而别人无法伪造的一段数字串，有确认对方的身份，防抵赖的作用；接收方用发送方的公开密钥对数字签名进行解密，用数字摘要原理保证信息的完整和防篡改性。摘要Hash函数加密数字签名发送者私钥加密internetinternet原信息数字签名摘要摘要Hash函数加密发送者公钥解密对比河南财政税务高等专科学校李瑶数字时间戳digitaltime-stamp对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳效劳。河南财政税务高等专科学校李瑶发送端第三方原信息数字时间戳摘要Hash函数加密新摘要Hash函数加密第三方私钥加密数字时间戳internet摘要摘要时间加时间internet数字时间戳摘要时间河南财政税务高等专科学校李瑶在电子文件中，同样需对文件的日期和时间信息采取平安措施，而数字时间戳效劳〔DTS：digitaltime-stampservice〕就能提供电子文件发表时间的平安保护。

河南财政税务高等专科学校李瑶数字时间戳效劳〔DTS〕是网上平安效劳工程，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个局部：

①需加时间戳的文件的摘要(digest)；

②DTS收到文件的日期和时间；

③DTS的数字签名。河南财政税务高等专科学校李瑶

数字签名和数字信封的比较？课后作业河南财政税务高等专科学校李瑶1数字证书2认证中心3身份认证河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶1数字证书数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体〔如个人用户、效劳器等〕的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。1.数字证书的概念河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶数字证书的类型〔一〕按照主体不同个人数字证书：通常装在浏览器内，并通过电子邮件进行操作企业证书：通过效劳器提供凭证软件证书河南财政税务高等专科学校李瑶〔二〕按照数字证书的应用角度效劳器证书：效劳器证书被安装于效劳器设备上，用来证明效劳器的身份和进行通信加密。效劳器证书可以用来防止假冒站点。电子邮件证书：电子邮件证书可以用来证明电子邮件发件人的真实性。河南财政税务高等专科学校李瑶收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改正。

另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非平安网络传输，只有接收方的持有者才可能翻开该邮件河南财政税务高等专科学校李瑶客户端个人证书：客户端证书主要被用来进行身份验证和电子签名。平安的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。河南财政税务高等专科学校李瑶2认证中心〔CA--CertificateAuthority〕。也称之为电子证书认证中心，是承担网上平安电子交易认证效劳，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。河南财政税务高等专科学校李瑶国外的认证中心通常是企业性的效劳机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥根底设施〔PKI〕。河南财政税务高等专科学校李瑶认证中心的主要功能证书发放证书更新证书撤销证书验证河南财政税务高等专科学校李瑶认证中心的功能模块和层次结构〔一〕功能模块证书发放审核部门证书发放操作部门接受用户证书申请的证书受理者证书作废表河南财政税务高等专科学校李瑶〔二〕认证中心的层次根CA品牌CA地方CA持卡人CA、商家CA上一级的CA负责下一级CA数字证书的申请、签发和管理，每一份数字证书都和上一级的签名证书相关联。河南财政税务高等专科学校李瑶我国认证中心现状我国平安认证体系(CA)可分为金融CA与非金融CA两种类型来处理。在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设〞的方针进行。在非金融CA方面，最初主要由中国电信负责建设。河南财政税务高等专科学校李瑶我国的CA又可分为行业性CA和区域性CA两大类。行业性CA：中国金融认证中心〔CFCA〕和中国电信认证中心〔CTCA〕是行业性CA中影响最大的两家。区域性CA大多以地方政府为背景，以公司机制来运作，如广东CA中心〔CNCA〕、上海CA中心(SHECA)、深圳CA中心(SZCA)，其中影响最大的是广东CA中心〔CNCA〕和上海CA中心(SHECA)。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶CFCA是全国惟一的金融根认证中心，由中国人民银行负责统一规划管理，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东开展银行、深圳开展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设，由银行卡信息交换总中心承建，建立了SETCA和Non-SETCA两套系统，于2000年6月29日正式开始为全国的用户提供证书效劳。⑴中国金融认证中心〔CFCA〕河南财政税务高等专科学校李瑶在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一般脱机进行。品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶⑵中国电信认证中心〔CTCA〕河南财政税务高等专科学校李瑶⑶广东CA及“网证通〞〔NETCA〕系统河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶⑷上海CA〔SHECA〕上海市CA中心是中国第一个CA认证中心，创立于1998年，经过国家批准并被列为信息产业部全国的示范工程。河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶中国协卡认证体系〔SHECA〕是在遵循PKI架构标准体系根底上，根据中国国情，由上海、北京、天津三地发起，由上海市电子商务平安证书管理中心〔简称上海CA中心〕设计、建设、并组织运行，联合国内多家CA机构和地区行业联合共建的认证体系。河南财政税务高等专科学校李瑶国内主要的电子商务认证中心北京数字证书认证中心：深圳市电子商务认证中心：广东省电子商务认证中心：海南省电子商务认证中心：湖北省电子商务认证中心：上海电子商务平安证书管理中心：中国数字认证网：山西省电子商务平安认证中心：中国金融认证中心：天津电子商务运作中心：天威诚信CA认证中心：河南财政税务高等专科学校李瑶电子商务身份认证的目标信息来源的可信性完整性。信息没有被修改、延迟和替换；不可抵赖性。信息的发送方或接收方不能否认访问控制。拒绝非法用户访问。3身份认证河南财政税务高等专科学校李瑶用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。这种身份认证方法操作十分简单，但最不平安不能抵御口令猜测攻击。四种常用的身份认证方式(1)口令方式河南财政税务高等专科学校李瑶(2)标记方式河南财政税务高等专科学校李瑶

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。(3)人体生物学特征方式河南财政税务高等专科学校李瑶

使用CA中心颁发的数字证书进行网上身份的识别。(4)PKI方式河南财政税务高等专科学校李瑶目前大多数商务网站使用用户名和口令的方式来对用户进行认证，这种方式需要站点收集所有注册用户的信息，维护庞大的用户信息数据库。同时这种传统登录机制的平安性也比较脆弱，容易遭到外界的攻击破坏。数字证书的平安与认证功能消除了传统的口令机制中内在的平安脆弱性，为每个用户提供唯一的标识，以便利的方式来访问Web效劳器，降低了网站的维护和支持本钱。河南财政税务高等专科学校李瑶8.2.4电子商务中的主要平安协议1.SSL协议2平安电子交易协议〔SET〕河南财政税务高等专科学校李瑶1SSL协议河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶SSL的体系结构：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供平安支持。SSL协议可分为两层：SSL记录协议：它建立在可靠的传输协议〔如TCP〕之上，为高层协议提供数据封装、压缩、加密等根本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

河南财政税务高等专科学校李瑶SSL协议

SSL平安套接层协议适用于点对点之间的信息传输通过在浏览器软件和WWW效劳器建立一条平安通道SSL协议根本结构

SSL记录协议用来封装高层的协议。

SSL握手协议能够通过特定的加密算法相互鉴别

电子商务安全技术

安全交易协议SSL协议河南财政税务高等专科学校李瑶电子商务中的SSL协议过程：客户购置信息发送给商家商家将信息转发给银行银行验证客户信息的合法性通知商家付款成功商家通知客户购置成功并发货河南财政税务高等专科学校李瑶2SET协议SET〔SecureElectronicTransaction即平安电子交易协议〕是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业标准，其实质是一种应用在Internet上、以信用卡为根底的电子付款系统标准，目的是为了保证网络交易的平安。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。河南财政税务高等专科学校李瑶SET的特点：信息的保密性信息的完整性对持卡者帐号的认证对商家的认证河南财政税务高等专科学校李瑶SET协议

SET协议提供对消费者、商家和收单行的认证确保交易数据的平安性、完整性和交易的不可否认性SET协议设计思想

保证信息的加密性、验证交易各方保证支付的完整性和一致性、保证互操作性

收单行

商家

用户

购物信息

支付信息

转移存款SET保证商家看不到卡号，数字签名商家的信息用商家公钥加密

银行的信息用银行的公钥加密

用户的信息用自己的私钥加密

电子商务安全技术

安全交易协议SET协议河南财政税务高等专科学校李瑶SET的流程河南财政税务高等专科学校李瑶

SET和SSL的相同和不同之处？思考题河南财政税务高等专科学校李瑶SET和SSL的比较相同点：两种都是应用于电子商务用的网络平安协议。都能保证交易数据的平安性、保密性和完整性。都采用了公钥机制和信息摘要。每一次交易操作都很多，所以效劳器负载大河南财政税务高等专科学校李瑶SSLSET层次主要是在传输层主要是在应用层安全没有对商家的认证增加了对商家的认证加密所有传输的信息都进行加密，但过程较短（用户和商店端）仅对敏感信息加密，但过程较长（用户，商家，支付网关，认证中心）应用主要是Web和电子邮件主要是信用卡河南财政税务高等专科学校李瑶河南财政税务高等专科学校李瑶计算机病毒概述计算机病毒产生的历史计算机病毒概念计算机病毒的特点河南财政税务高等专科学校李瑶计算机病毒概念计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。狭义的定义就是病毒程序通过修改〔操作〕而传染其他程序，即修改其他程序使之含有病毒自身的精确版本或可能演化的版本、变种或其他病毒繁衍体。河南财政税务高等专科学校李瑶计算机病毒的特点可执行的程序传染性潜伏性可触发性破坏性攻击性针对性衍生性河南财政税务高等专科学校李瑶计算机病毒类型病毒类型传染机理传染目标传染途径防治方