數(shù)字證書的內(nèi)容課件

1、本章主要內(nèi)容：電子商務(wù)安全要求與安全內(nèi)容防火墻等網(wǎng)絡(luò)安全技術(shù)加密技術(shù)和認(rèn)證技術(shù)SSL與SET第3章 電子商務(wù)安全技術(shù)13.1 電子商務(wù)安全要求3.1.1 電子商務(wù)所面臨的安全問題電子商務(wù)中的安全隱患可分為如下幾類： 1.信息的截獲和竊取 2.信息的篡改 3.信息假冒 4.交易抵賴2計算機安全分類實體安全 機房、線路及主機等的物理安全網(wǎng)絡(luò)與信息安全 包括網(wǎng)絡(luò)的暢通、準(zhǔn)確，網(wǎng)上系統(tǒng)、程序和數(shù)據(jù)安全，電子商務(wù)安全。應(yīng)用安全 包括程序開發(fā)運行、輸入輸出、數(shù)據(jù)庫等安全。3為什么網(wǎng)絡(luò)安全如此重要Web ServerThe InternetEncryption線路安全客戶安全連接安全 The Intrane

2、tWeb ServerWeakness: External access now granted. Are applications and network secure?信息資本Enterprise Network沒有邊界沒有中央管理是開放的、標(biāo)準(zhǔn)的沒有審計記錄INTERNET4網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵 非授權(quán)訪問、冒充合法用戶等。拒絕服務(wù) 部分或徹底地阻止計算機或網(wǎng)絡(luò)正常工作。盜竊信息 指無須利用你的計算機就可獲取數(shù)據(jù)信息。5網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者。“記錄”追求者。低級失誤和偶然事件。6網(wǎng)絡(luò)安全不單是技術(shù)問題機構(gòu)與管理法律與法規(guī)經(jīng)

3、濟實力技術(shù)與人才7安全性需要代價安全性與方便性安全性與性能安全性與成本8減少安全威脅的主要策略 修補系統(tǒng)漏洞 系統(tǒng) 病毒檢查 系統(tǒng) 直接安全 管理 空閑機器安全 管理 廢品處理安全 管理 口令安全 管理 加密 系統(tǒng) 認(rèn)證、授權(quán) 系統(tǒng) Internet防火墻 系統(tǒng) 捕捉闖入者 系統(tǒng)政策、法律、守則、管理Internet 防火墻 授權(quán)、認(rèn)證 加密 審計、監(jiān)控 93.1.2 電子商務(wù)安全需求機密性完整性認(rèn)證性不可抵賴性有效性10主要包括以下幾個方面：信息的保密性：電子商務(wù)系統(tǒng)應(yīng)該對主要信息進(jìn)行保護，阻止非法用戶獲取和理解原始數(shù)據(jù)。2.數(shù)據(jù)完整性：電子商務(wù)系統(tǒng)應(yīng)該提供對數(shù)據(jù)進(jìn)行完整性認(rèn)證的手段，確保網(wǎng)

4、絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。 電子商務(wù)系統(tǒng)對信息安全的要求11用戶身份驗證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)行身份鑒別的機制。 一般可以通過數(shù)字簽名和數(shù)字證書相結(jié)合的方式實現(xiàn)用戶身份的驗證，證實他就是他所聲稱的那個人。數(shù)字證書應(yīng)該由可靠的證書認(rèn)證機構(gòu)簽發(fā)，用戶申請數(shù)字證書時應(yīng)提供足夠的身份信息，證書認(rèn)證機構(gòu)在簽發(fā)證書時應(yīng)對用戶提供的身份信息進(jìn)行真實性認(rèn)證。 電子商務(wù)系統(tǒng)對信息安全的要求124.授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作。5.數(shù)據(jù)原發(fā)者鑒別：電子商務(wù)系統(tǒng)應(yīng)能提供對數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實來自原發(fā)者。這個要求可以通過數(shù)據(jù)完整性及

5、數(shù)字簽名相結(jié)合的方法來實現(xiàn)。 電子商務(wù)系統(tǒng)對信息安全的要求136.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)據(jù)原發(fā)者不能抵賴自己曾做出的行為，也不能否認(rèn)曾經(jīng)接到對方的信息，這在交易系統(tǒng)中十分重要。7.合法用戶的安全性：合法用戶的安全性是指合法用戶的安全性不受到危害和侵犯，電子商務(wù)系統(tǒng)和電子商務(wù)的安全管理體系應(yīng)該實現(xiàn)系統(tǒng)對用戶身份的有效確認(rèn)、對私有密匙和口令的有效保護、對非法攻擊的有效防范等， 電子商務(wù)系統(tǒng)對信息安全的要求148.網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全，保護硬件資源不被非法占有，軟件資源免受病毒的侵害。 電子商務(wù)系統(tǒng)對信息安全的要求153.1.3

6、電子商務(wù)安全內(nèi)容 電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全,兩者相輔相成，缺一不可。 計算機網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo)。16 商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。3.1.3 電子商務(wù)安全內(nèi)容17電子商務(wù)安全構(gòu)架交易安全技術(shù)安全應(yīng)用協(xié)議SET、SSL安全認(rèn)證手段數(shù)字簽名、C

7、A體系基本加密算法對稱和非對稱密算法安全管理體系網(wǎng)絡(luò)安全技術(shù)病毒防范身份識別技術(shù)防火墻技術(shù)分組過濾和代理服務(wù)等法律、法規(guī)、政策183.2 計算機網(wǎng)絡(luò)安全技術(shù)4.2.1 計算機網(wǎng)絡(luò)的潛在安全隱患企業(yè)內(nèi)部計算機系統(tǒng)面臨的風(fēng)險Internet本身的不安全性對企業(yè)內(nèi)部信息系統(tǒng)帶來的潛在風(fēng)險從純技術(shù)角度上來看，存在著薄弱性。19 3.2.2 計算機網(wǎng)絡(luò)安全體系在實施網(wǎng)絡(luò)安全防范措施時要考慮以下幾點： 加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞； 用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時加以修補； 從路由器到用戶各級建立完善的訪問控制措施，安裝

8、防火墻，加強授權(quán)管理和認(rèn)證；20 利用數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施； 對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施； 對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行數(shù)據(jù)加密； 安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施； 建立詳細(xì)的安全審計日志，以便檢測并跟蹤入侵攻擊等 3.2.2 計算機網(wǎng)絡(luò)安全體系214.2.3 常用的計算機網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（Virtual Private Network，VPN）22病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅 一是來自文件下載 ；二是網(wǎng)絡(luò)化趨勢。措施安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；加強數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和

9、數(shù)據(jù)要建立必要的物理或邏輯隔離措施等23布署和管理防病毒軟件布署一種防病毒的實際操作一般包括以下步驟：1制定計劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。2調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。3測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。 3.2.2 計算機網(wǎng)絡(luò)安全體系244維護：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)行升級，徹底理解這種防病毒系統(tǒng)的重要方面。5系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防

10、病毒軟件安裝在整個網(wǎng)絡(luò)范圍內(nèi)。4.2.3 常用的計算機網(wǎng)絡(luò)安全技術(shù)25Packet- Switched Leased LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠(yuǎn)程工作站網(wǎng)絡(luò)防毒手段26口令標(biāo)記方法生物特征法身份識別技術(shù)27認(rèn)證的主要手段 對用戶擁有的東西進(jìn)行鑒別，如IC卡等 對用戶的生物特征進(jìn)行鑒別，如指紋、視網(wǎng)膜血管分布等 對用戶所知道的進(jìn)行鑒別，如口令等283防火墻技術(shù)1.基本概念 防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。 防

11、火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。29設(shè)計防火墻的準(zhǔn)則一切未被允許的就是禁止的 防火墻應(yīng)封鎖所有信息流，然后對希望提供的服務(wù)逐項開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務(wù)范圍受到限制。一切未被禁止的就是允許的 防火墻轉(zhuǎn)發(fā)所有信息流，然后逐項屏蔽有害的服務(wù)。這種方法構(gòu)成了更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。但在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)管人員的疲于奔命可能很難提供可靠的安全防護。30什么是防火墻？防火墻：在被保護網(wǎng)絡(luò)和Internet之間， 或者和其它網(wǎng)絡(luò)之間限制訪問的 軟件和硬件的

12、組合。防火墻31防火墻的主要功能能做什么？安全把關(guān)網(wǎng)絡(luò)活動統(tǒng)計內(nèi)部隔離不能做什么？不能防范內(nèi)部入侵不能防范新的威脅控制粒度粗32保護數(shù)據(jù)的完整性。可依靠設(shè)定用戶的權(quán)限和文件保護來控制用戶訪問敏感性信息，可以限制一個特定用戶能夠訪問信息的數(shù)量和種類；保護網(wǎng)絡(luò)的有效性。有效性是指一個合法用戶如何快速、簡便地訪問網(wǎng)絡(luò)的資源；保護數(shù)據(jù)的機密性。加密敏感數(shù)據(jù)。防火墻的功能33防火墻的基本原理數(shù)據(jù)過濾：一個設(shè)備采取的有選擇地控制來往于網(wǎng)絡(luò)的數(shù)據(jù)流的行動。數(shù)據(jù)包過濾可以發(fā)生在路由器或網(wǎng)橋上。屏蔽路由器34防火墻的基本原理（續(xù)）代理服務(wù)：代理服務(wù)是運行在防火墻主機上的應(yīng)用程序或服務(wù)器程序。它在幕后處理所有In

13、t-ernet用戶和內(nèi)部網(wǎng)之間的通訊以代替直接交談。代理服務(wù)35一個典型的防火墻構(gòu)成“無人區(qū)”防火墻36構(gòu)筑防火墻需考慮的主要因素你的公司要控制什么或要保護什么你的公司要控制或要保護到什么程度 財政預(yù)算 技術(shù)問題：屏蔽路由器還是代理服 務(wù)器.37虛擬專用網(wǎng)技術(shù)（Virtual Private Network，VPN） 虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的通道，非常適合于電子數(shù)據(jù)交換（EDI）。38 在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，這樣就可以

14、提高電子商務(wù)的安全性。 VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù)，其優(yōu)點是經(jīng)濟、便于管理、方便快捷地適應(yīng)變化，但也存在安全性低，容易受到攻擊等問題。虛擬專用網(wǎng)技術(shù)（Virtual Private Network，VPN）39 加密 數(shù)據(jù)加密技術(shù)從技術(shù)上的實現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。 在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對稱密鑰和公開密鑰，采用何處加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強度來作出判斷。 3.3 交易安全技術(shù)403.3.1 加密技術(shù)加密：加密是指對數(shù)據(jù)進(jìn)行編碼使其看起來毫無意義，

15、同時仍保持可恢復(fù)的形式。41加密技術(shù)的主要分類 對稱密匙在對數(shù)據(jù)加密的過程中，使用同樣的密匙進(jìn)行加密和解密。常見密匙算法：DES、IDEA公開密匙/私有密匙與對稱密匙不同，公開密匙/私有密匙使用相互關(guān)聯(lián)的一對算法對數(shù)據(jù)進(jìn)行加密和解密。常見密匙算法：RSA421對稱密鑰加密體制 對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。加密技術(shù)的主要分類43對稱加密技術(shù)1）在首次通信前，雙方必須通過除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。2）當(dāng)通信對象增多時，需要相應(yīng)數(shù)量的密鑰。 3）對稱加密是建立

16、在共同保守秘密的基礎(chǔ)之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復(fù)雜的管理難度。加密技術(shù)的主要分類44對稱密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密匙A解密45 非對稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密，它需要使用一對密鑰來分別完成加密和解密操作，一個公開發(fā)布，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。 信息發(fā)送者用公開密鑰去加密，而信息接收者則用私有密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。 非對稱密鑰加密體制46公開密匙/私有密匙加密老張小李的公開密匙小李

17、老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息47對稱與非對稱加密體制對比特 性對 稱非 對 稱密鑰的數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用484.3.2 信息摘要圖 信息摘要過程493.3.3 數(shù)字簽名圖 數(shù)字簽名過程 503.3.3 數(shù)字簽名發(fā)送方私鑰514.3.4 數(shù)字證書與CA認(rèn)證1數(shù)字證書（Digital Certificate 或Digita

18、l ID） 數(shù)字證書采用公私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。 數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券交易、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動。 522數(shù)字證書包括以下內(nèi)容如圖所示 ： 證書擁有者的姓名； 證書擁有者的公鑰； 公鑰的有限期； 頒發(fā)數(shù)字證書的單位； 頒發(fā)數(shù)字證書單位的數(shù)字簽名； 數(shù)字證書的序列號等。數(shù)字證書的內(nèi)容53圖 查看證書內(nèi)容（1） 數(shù)字證書的內(nèi)容54圖 查看證書內(nèi)容（2） 數(shù)字證書的內(nèi)容55

19、圖 查看證書內(nèi)容（3）數(shù)字證書的內(nèi)容563數(shù)字證書的申請（1）下載并安裝根證書（如圖3438所示）（2）申請證書（如圖3941所示）（3）將個人身份信息連同證書序列號一并郵寄到中國數(shù)字認(rèn)證網(wǎng)數(shù)字證書的內(nèi)容57圖 34 下載根證書（1）數(shù)字證書的內(nèi)容58圖 35 下載根證書（2）數(shù)字證書的內(nèi)容59圖 36 安裝根證書（1）數(shù)字證書的內(nèi)容60圖 37 安裝根證書（2）數(shù)字證書的內(nèi)容61圖 38 查看根證書 數(shù)字證書的內(nèi)容62圖 39 申請個人免費證書數(shù)字證書的內(nèi)容63圖 40 下載個人證書數(shù)字證書的內(nèi)容64圖 41 查看個人證書數(shù)字證書的內(nèi)容65數(shù)字證書應(yīng)用操作實例（個人證書在安全電子郵件中的應(yīng)用

20、）（1）在Outlook Express 5 發(fā)送簽名郵件(如圖4246所示) ：1）在Outlook Express 5中設(shè)置證書2）發(fā)送簽名郵件。（2）用Outlook Express 5發(fā)送加密電子郵件（如圖4750所示） ：1）獲取收件人數(shù)字證書2）發(fā)送加密郵件數(shù)字證書的內(nèi)容66圖 42 在Outlook Express中設(shè)置證書（1） 數(shù)字證書的內(nèi)容67圖 43 在Outlook Express中設(shè)置證書（2）數(shù)字證書的內(nèi)容68圖 44 在Outlook Express中設(shè)置證書（3） 數(shù)字證書的內(nèi)容69圖 45 發(fā)送簽名郵件 數(shù)字證書的內(nèi)容70圖 46 收到簽名郵件的提示信息數(shù)字證書的內(nèi)容71數(shù)字證書應(yīng)用操作實例（個人證書在安全電子郵件中的應(yīng)用）（2）用Outlook Express 5發(fā)送加密電子郵件（如圖4750所示） ：1