極速互聯(lián)蘇瑞-電子商務(wù)安全技術(shù)第三講

1、電子商務(wù)安全技術(shù)第三講參考： （1）“數(shù)字信封”：是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信息。 數(shù)字信封4.4.2 基本認(rèn)證技術(shù)1、數(shù)字信封（2）具體做法 發(fā)送方采用對(duì)稱密鑰加密信息 將此對(duì)稱密鑰用接收方的公開(kāi)密鑰加密之后，將它和信息一起發(fā)送給接收方 接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得到對(duì)稱密鑰 使用對(duì)稱密鑰解開(kāi)信息發(fā)送端接收端原信息密文對(duì)稱密鑰加密internet密文數(shù)字信封原信息對(duì)稱密鑰解密接收者公鑰加密數(shù)字信封對(duì)稱密鑰接收者私鑰解密對(duì)稱密鑰internet2、數(shù)字簽名（1）什么是數(shù)字簽名 Digital Signature 數(shù)字簽名是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得

2、到的用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。（2）數(shù)字簽名的作用保證信息完整 信息發(fā)送者身份的驗(yàn)證實(shí)現(xiàn)的基礎(chǔ)加密技術(shù)發(fā)送端接收端原信息摘要Hash函數(shù)加密數(shù)字簽名發(fā)送者私鑰加密internetinternet原信息數(shù)字簽名摘要摘要Hash函數(shù)加密發(fā)送者公鑰解密對(duì)比 數(shù)字簽名具有易更換、難偽造、可進(jìn)行遠(yuǎn)程線路傳遞等優(yōu)點(diǎn)。數(shù)字簽名 （1）采用單向Hash函數(shù)對(duì)文件進(jìn)行變換運(yùn)算得到摘要碼，并把摘要碼和文件一同送給接收方 （2）接收方接到文件后，用相同的方法對(duì)文件進(jìn)行變換計(jì)算 （3）用得出的摘要碼與發(fā)送來(lái)的摘要碼進(jìn)行比較來(lái)斷定文件是否被篡改。保證數(shù)據(jù)的完整性、真實(shí)性3、數(shù)字摘要原信息發(fā)

3、送端接收端摘要Hash函數(shù)加密摘要Hash函數(shù)加密對(duì)比原信息摘要internetinternet4、數(shù)字時(shí)間戳（Digital Time-Stamp，DTS） 時(shí)間戳：提供電子文件發(fā)表時(shí)間的安全保護(hù)，是一個(gè)經(jīng)過(guò)加密后形成的憑證文檔。需加時(shí)間戳的文件摘要DTS收到文件的日期和時(shí)間DTS的數(shù)字簽名保證文件簽署日期的真實(shí)性時(shí)間戳產(chǎn)生過(guò)程： 用戶將需加時(shí)間戳的文件用HASH編碼加密形成摘要 將其發(fā)送到DTS DTS在加入了收到日期和時(shí)間信息后再對(duì)該文件加密和數(shù)字簽名 返回用戶 5、虛擬專用網(wǎng)（VPN，Virtual Private Network） （1） 虛擬專用網(wǎng)（VPN，Virtual Priv

4、ate Network）：利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的專用網(wǎng)絡(luò)。主要通過(guò)加密通信數(shù)據(jù)和雙方的網(wǎng)絡(luò)地址，實(shí)現(xiàn)在公用網(wǎng)上傳輸私有數(shù)據(jù)，并可達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，是一種經(jīng)濟(jì)、安全的網(wǎng)絡(luò)通信。 加密數(shù)據(jù)信息認(rèn)證和身份認(rèn)證提供訪問(wèn)控制：不同用戶有不同的訪問(wèn)權(quán)限虛擬專用網(wǎng)4.5 安全技術(shù)協(xié)議4.5.1 安全套接層協(xié)議（SSL）(一)SSL協(xié)議概述 1、SSL(Secure Sockets Layer)，稱為安全套接層協(xié)議，是一種安全通信協(xié)議。 （1）提供了客戶機(jī)與服務(wù)器之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸。 （2）對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶機(jī)進(jìn)行認(rèn)證。 應(yīng)用層傳輸層SSL 實(shí)現(xiàn)SSL協(xié)

5、議的是HTTP的安全版，名為HTTPS。 HTTP、FTP SSL握手協(xié)議（協(xié)商密鑰） SSL記錄協(xié)議（定義傳輸格式） TCP/IP協(xié)議2、SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議 3、 SSL協(xié)議是目前電子商務(wù)中應(yīng)用最為廣泛的安全協(xié)議之一。 （1）應(yīng)用范圍廣：幾乎所有操作平臺(tái)上的WEB瀏覽器（IE、Netscape）以及Web服務(wù)器都支持SSL協(xié)議。 （2）被大部分WEB瀏覽器和服務(wù)器所內(nèi)置（二）SSL協(xié)議的功能1、SSL服務(wù)器認(rèn)證：客戶機(jī)對(duì)服務(wù)器數(shù)字證書(shū)的檢查2、確認(rèn)用戶身份：服務(wù)器檢查客戶機(jī)數(shù)字證書(shū)的合法性3、保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性：加密技術(shù)中國(guó)銀行：建立SSL安全連接的

6、過(guò)程 （1）顯示在eCoin上在登陸（Login）用戶名時(shí)即進(jìn)入SSL安全連接 （2）這時(shí)瀏覽器發(fā)出安全警報(bào)，開(kāi)始建立安全連接 瀏覽器開(kāi)始建立安全連接 （3）同時(shí)驗(yàn)證安全證書(shū)，用戶單擊“確定”鍵即進(jìn)入安全連接瀏覽器驗(yàn)證服務(wù)器安全證書(shū) （4）顯示在eCoin上的安全連接已經(jīng)建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過(guò)網(wǎng)頁(yè)傳輸?shù)挠脩裘兔艽a都將通過(guò)加密方式傳送。 （5） 當(dāng)加密方式傳送結(jié)束后，瀏覽器會(huì)離開(kāi)交換敏感信息的頁(yè)面，自動(dòng)斷開(kāi)安全連接。離開(kāi)交換敏感信息的頁(yè)面，瀏覽器自動(dòng)斷開(kāi)安全連接 1、SET協(xié)議是針對(duì)開(kāi)放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由Visa和MasterCard聯(lián)合研制的，制定的安全

7、電子交易的一個(gè)國(guó)際標(biāo)準(zhǔn)。 主要目的是解決信用卡電子付款的安全保障性問(wèn)題 2、SET協(xié)議主要是針對(duì)B to C電子商務(wù)的一個(gè)協(xié)議，而且依賴于銀行卡這種目前使用較為廣泛的支付工具。4.6.2 安全電子交易規(guī)范（SET）3、SET的特點(diǎn) (1) 信息的機(jī)密性:對(duì)稱密鑰和非對(duì)稱密鑰相結(jié)合 (2)交易的不可否認(rèn)性：數(shù)字證書(shū)/簽名 （3）數(shù)據(jù)的完整性:數(shù)字簽名 (4)身份的驗(yàn)證:保證信息的真實(shí)性 4、SET的目標(biāo)（1）訂單和個(gè)人賬號(hào)信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取。（2）訂單信息和個(gè)人賬號(hào)信息的隔離（3）解決網(wǎng)絡(luò)認(rèn)證問(wèn)題：消費(fèi)者、商店、銀行、網(wǎng)關(guān)（4）要求軟件遵循相同協(xié)議和

8、消息格式，使不同廠家開(kāi)發(fā)的軟件具有兼容和互操作功能。 在SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署。保證了商家看不到支付信息，而只能看到訂單信息保證了銀行看不到交易內(nèi)容，只能看到帳戶信息 帳戶信息中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對(duì)支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來(lái)?yè)?dān)當(dāng)。 6、SET涉及的主要角色 （1）持卡人:網(wǎng)上消費(fèi)者或客戶，首先應(yīng)向發(fā)卡行提出申請(qǐng)，并安裝電子錢(qián)包軟件。 （2）商家：必須在收單行開(kāi)設(shè)帳戶并且安裝SET商家軟件 （3）支付網(wǎng)關(guān)：收單銀行或指定的第三方操作的專用系統(tǒng)，用于處理支付授權(quán)和

9、支付。 銀行金融網(wǎng)絡(luò)公共網(wǎng)絡(luò)支付網(wǎng)關(guān)（4）收單行：為商戶建立帳戶并處理支付授權(quán)和支付（5）發(fā)卡行：為持卡人建立一個(gè)帳戶并發(fā)行支付卡（6）認(rèn)證機(jī)構(gòu)：向各交易主體頒發(fā)證書(shū)，進(jìn)行身份識(shí)別發(fā)卡銀行持卡人銀行網(wǎng)絡(luò)收單銀行認(rèn)證中心Internet在線商家支付網(wǎng)關(guān)SET的運(yùn)作流程、A先生進(jìn)入網(wǎng)絡(luò)商家訂購(gòu)書(shū)籍，并填寫(xiě)訂購(gòu)數(shù)量、送貨日期等信息；、A先生準(zhǔn)備結(jié)帳，這時(shí)計(jì)算機(jī)中具有SET規(guī)格的“電子錢(qián)包”軟件自動(dòng)啟動(dòng)，并將信用卡信息連同訂單信息分別加密后傳送給商家；、商家B收到該訂單及信用卡信息后，將信用卡信息原封不動(dòng)的傳給收單銀行，以檢查信用卡是否有效；、收單銀行向發(fā)卡銀行確認(rèn)該信用卡數(shù)據(jù)無(wú)誤后，發(fā)出信息通知商家可以接下此筆訂單；、到了結(jié)帳日， A先生會(huì)接到發(fā)卡銀行的信用帳單，而商家則可以拿信用卡授權(quán)碼向收單銀行劃款。持卡人選購(gòu)商品訂單與信用卡信息訂單成立信息電子商家收單銀行發(fā)卡銀行信用卡信息確認(rèn)信息信用卡信息確認(rèn)信息SET與SSL機(jī)制的比較認(rèn)證機(jī)制：SET要求所有參與交易各方均必須先申請(qǐng)數(shù)字證書(shū)以識(shí)別身份，而SSL只有商家 的服務(wù)器需要認(rèn)證，客戶端的認(rèn)證是可選擇的（optional）；設(shè)置成本：希望申請(qǐng)SET交易者除必須申請(qǐng)數(shù)字證書(shū)之外，也必須在