第六章电子商务安全管理与技术

1、第六章电子商务安全管理和技术，6.1电子商务安全6.2密码学和数据加密技术6.4数字签名和认证技术6.5防火墙技术6.6虚拟专用网(VPN )技术6.7其他安全技术，6.1电子商务安全，6 (2)机密性。 (3)完整性。 (4)可靠性/不可否认性/鉴别。 (5)审查能力。 回到主页，6.1.2电子商务存在的安全问题是电子商务系统，存在的安全威胁主要是(1)系统透明。 (二)违反认可规则。 (3)嵌入后门程序。 (4)通信监视。 (5)通信干扰。 (6)中断。 (七)拒绝服务。 (八)否定。 回到首页，6.1.3电子商务安全技术电子商务的基本问题之一是现有网络技术，如互联网web、数据加密、PK

2、I-CA认证系统、防火墙技术、虚拟专用网技术、各种交易此外，返回到主页，6.2安全协议、6.2.1安全协议的基本概念即安全协议是两个以上的参加者关于安全任务(加密、认证、密钥分发等)，并用于抵抗攻击任务的一系列过程。 现在返回主页. 6.2.2安全套接字层协议(SSL )1.安全套接字层(SSL )主要用于提高应用程序之间的数据的安全系数。 2 .安全套接字协议的作用(1)用户和服务器的合法性认证。 (2)加密数据以隐藏被传送的数据。 (3)保护数据的完整性。 返回首页，3 .安全插座协议的实现过程(1)投入阶段。 (2)密码交换阶段。 (3)会谈密码阶段。 (4)检查阶段。 (5)顾客认证阶

3、段。 (6)结束阶段。 回到首页，6.2.3安全电子交易协议(SET) 1.安全电子交易协议SET主要是为解决用户、商家和银行之间用信用卡支付的交易而设计的，包括支付信息的机密、支付过程的完整性、商家和汽车SET的核心技术主要有公钥加密、电子数字签名、电子信封、电子安全证书等。 回到主页，保证2. SET协议的作用(1)电子商务参加者信息的相互隔离。 (2)保证互联网上信息的安全传输。 (3)要解决很多认证问题，除了消费者的信用卡认证外，还需要网上商店的可信度认证、消费者、网上商店和银行之间的认证。 (4)保证网络交易的实时性。 (5)规范协议和消息格式。 回到主页，3. SET协议的工作原理

4、主要包括以下七个步骤： (1)消费者在网络上选择的东西。 (2)通过电子商务服务器联系网上商店，网上商店应答，向消费者传达订单情况。 (3)消费者选择支付方式，确认订单，发出支付指令(此时SET介入)。 (4)在set中，消费者必须在订单和支付指令上数字签名。 返回主页，(5)网上商店收到订单后，要求消费者银行付款批准，交易批准后，将确认信息返回网上商店。 (6)网上商店将订单确认信息发送给消费者，消费者方面的软件可以记录交易日志以准备将来的询问。 (7)网上商店发送商品或提供服务，将钱从消费者账号转移到店铺账号，或通知发行卡银行支付请求。 回到主页，4. SET和SSL的区别实际上是SET是

5、完全适合于认证中心和密码技术组合的电子商务的密码技术协议，安全套接字层(SSL )密码方式只是实现了传输密码和数据完整性，在两台计算机之间是安全的返回首页，SET的技术特征是： (1)在订单信息和支付信息上双重签名。(2)采用信息摘要技术保证了交易的完整性。 (3)将公开密钥系统和密钥系统组合来进行加密，SSL仅采用公开密钥系统。 与SSL相比，SET在应用层实现了数据加密和完整性，因此SET成为国际公认的互联网电子商务安全标准，非常详细地反映了电子商务关系者之间存在的各种关系。 返回首页，SET的购物模式如下图所示。 返回主页，6.2.4其他安全协议1 .安全交易技术协议(STT )安全交易

6、技术协议(STT )。 微软建议在Internet Explorer中采用该技术。 返回首页，2. NetBill协议的步骤如下： (1)客户向商家咨询了某商品的价格。 (2)经营者向该客户报价。 (3)客户告诉商家接受该报价。 (4)经营者把要求的信息商品用密钥k加密后发送给顾客。 (5)客户准备电子采购订单(EPO )，并向供应商发送数字签名的EPO。 返回首页后，(6)商家签EPO，商家也签k的值，并将两者发送到Netbill服务器。 (7)Netbill服务器验证EPO的签名和签名，检查您的帐户，以确保您有足够的资金批准交易，并且EPO的超时值已过期。 如果确认没有问题，Netbill

7、服务器就将客户帐户中相当于商品价格的资金转移到运营商帐户中，并存储密钥k和加密商品的密码文件。 然后，准备包含k值的签名收据，并将该收据发送给商家。 (8)商家将该收据交给客户，客户对步骤4中收到的加密信息商品进行解密。 现在返回主页. 3. Digicash协议Digicash是一种匿名的数字现金协议。 4. First Virtual协议First Virtual让客户可以自由购买商品，First Virtual使用电子邮件来证明与客户的交易。 5 .安全超文本传输协议(S-HTTP )安全超文本传输协议(S-HTTP )对HTTP扩展了安全特性，提高消息安全性，基于SSL技术。 返回主页

8、，6 .因特网电子邮件的安全协议(1)PEM。 PEM是提高互联网电子邮件保密性的标准草案。 (2)S-MIME。 S-MIME (安全的多功能因特网电子邮件扩展)是在RFC1521中记载的多功能因特网电子邮件扩展消息中追加数字签名和加密技术的协议。 (3)PEM-MIME(MOSS )。 MOSS(MIME对象安全服务)结合了PEM和MIME两者的特性。 回到主页，6.3密码学和数据加密技术，6.3.1密码和密钥的基本知识可以采用加密方式隐藏和保护需要保密的信息，非法者不能提取该信息。 隐藏信息原本称为明文，但是通过将一定的加密算法应用于密钥能够将明文转换为另一隐藏的不可思议的形式，称为密钥

9、的转换的过程称为密码。 加密技术有两个要素：算法和密钥。 对数据进行加密的技术分为对称加密(秘密密钥加密)和非对称加密(公开密钥加密)这两种。 此外，返回首页，6.3.2对称加密对称加密或私钥(也称为普通加密)必须由通信双方共享私钥，并且发送和接收数据都使用相同(对称)密钥来加密和解密密文。 最有名的对称密钥加密标准是数据加密标准(DES )。 回到主页，6.3.3非对称加密与对称加密算法不同，非对称加密算法需要公钥和私钥两个密钥。 公开密钥和秘密密钥成对，用公开密钥加密数据时，用秘密密钥加密只能用对应的秘密密钥解密的数据时，只能用对应的公开密钥解密。 由于加密和解密使用两个不同的密钥，因此该

10、算法被称为非对称加密算法。 非对称加密算法主要是RSA、DSA、Diffie-Hellman、PKCS、PGP等。返回首页，6.3.4公钥系统(PKI) PKI技术是信息安全的核心技术。 1.pkipkipki (publickeyinfrastructure的简称)是“公钥系统”，它是一种符合预定标准的密钥管理平台，它可以为所有网络应用提供加密和数字签名等加密服务以及所需的密钥和证书管理系统返回首页，PKI的基本技术有加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 2. PKI的基本配置(1)认证机构(CA) (2)基于数字证书的(3)密钥备份和恢复系统(4)证书撤销系统(5)应

11、用接口(API )返回首页6.4数字签名和认证技术，6.4.1数字签名技术是公开密钥加密技术的应用，用发送侧的秘密密钥加密消息摘要，将其附加给原始信息，称为数字签名。 (1)消息的发送者从消息文本生成128比特或160比特的单向哈希值(或消息摘要)，并用它自己的私钥加密该哈希值以生成发送者的数字签名。 (2)将该数字签名作为信息的附件与信息一起发送给信息的接收者。 返回首页，(3)信息的接收者首先从接收到的原始信息中计算128比特的散列值(或者信息摘要)，然后用发送者的公钥对附加在信息上的数字签名进行解码。 (4)如果这两个哈希值相同，则接收者可以核实数字签名是发送者的。 现在返回主页. 6.

12、4.2数字认证、数字时间戳和数字证书1 .数字认证技术2 .数字时间戳包含(1)需要时间戳的文件摘要(digest )。 (2)DTS接收文件的日期和时间。 (3)DTS的数字签名。 返回首页，3 .数字证书数字证书一般包含以下几点。 (一)数字证书所有者的名字。 (2)数字证书所有者的公钥。 (3)公钥的有效期。 (四)发行数字证书的单位。 (5)数字证书的序列号。 (六)发行数字证书的机构的数字签名。 回到主页，6.4.3电子商务认证中心(CA，CertifiCAte Authority) 1. CA的认证机制CA是政府机构和金融机构等大用户组信赖的第三方，负责证书的发行和管理。 证书申请

13、被批准部门批准后，CA通过注册服务器向申请人发行证书。 电子商务ca系统包括两个大部分： (1)SET CA。 PS PS (也称为金融PS )。 (也称为非金融PS系统)。 返回首页，2. CA的基本功能(1)生成并保管满足安全认证协议要求的公钥和私钥、数字证书及其数字签名。 (2)验证数字证书和数字签名。 (3)管理数字证书，着重于证书的取消管理，同时追求自动管理(非手动管理)。 (4)建立应用程序接口，特别是支付接口。 PS是否有支付接口是能否支持电子商务的关键. 返回主页，6.5防火墙技术，6.5.1防火墙概述1 .防火墙概念防火墙(Fire Wall )将软件和硬件设备(计算机、路由

14、器等)结合起来。 位于企业或网络集团的计算机和外部频道之间，用于增强因特网和内部网之间的安全性的一个或一个组的系统。 提供信息安全服务，实现网络和信息安全的基础设施。 回到主页，2 .防火墙的发展现在的防火墙经历了五个发展阶段。 第一代防火墙技术几乎与路由器同时登场，采用包过滤技术。 1989年，贝尔研究室的Dave Presotto和Howard Trickey发布了第二代防火墙，即电路层防火墙，第三代防火墙应用层防火墙(代理防火墙)的第一个1992年，USC信息科学院的BobBraden开发了基于动态包过滤技术的第四代防火墙。 1998年NAI发布了自适应代理技术，可以说是第五代防火墙，通

15、过其产品Gauntlet Firewall for NT实现，为代理类型的防火墙赋予了新的意义。 返回首页，保护6.5.2防火墙的功能(1)脆弱的服务。 (2)控制对系统的访问。 (3)集中的安全管理。 (4)增强的机密性。 (5)记录和统计网络利用数据及非法利用数据。 (六)战略执行。 返回主页，6.5.3防火墙的分类1 .包过滤第一代防火墙和最基本形式的防火墙通过的网络数据包，是检查、丢弃还是释放，取决于所建立的规则。 这被称为包过滤器防火墙。 本质上，分组过滤防火墙是指示存在多个网络适配器或接口的多地址。 返回首页，创建分组过滤防火墙规则的示例如下： (1)对于来自私有网络的分组，只能通

16、过来自内部地址的分组。 其他数据包包含不正确的数据包标头信息。 (2)在公用网中，只许可目的地地址为80端口的数据包通过。 (3)丢弃从公用网传递的包，这些包有你的网络内的源地址。 (4)丢弃包含源路由信息的包，减少源路由攻击。 返回到主页，2 .状态/动态检测防火墙状态/动态检测防火墙、以及试图跟踪经由防火墙的网络连接和包的防火墙可使用一系列附加标准来确定是否允许或拒绝通信。 在使用基本的包过滤防火墙的通信中应用某种技术实现了。 返回主页，状态/动态检测防火墙可以提供以下附加服务： (1)将某些类型的连接重定向到审计服务。 (2)拒绝携带某数据的网络通信。 连接状态的跟踪方法取决于通过防火墙的包的类型。 (1)TCP数据包。 (2)UDP数据包。 现在返回主页. 3.applicationproxyservice的applicationproxyfirewall不允许实际连接的网络之间直接通信。 相反，它接受来自内部网络的特定用户应用程序的通信，并建立与公共网络服务器不同的连接。 因为网络中的用户不直接与外部服务器通信，所以服务器无法直接访问内部网的任何部分。 此外，如果不在特定应用