第七章電子交易安全

第七章電子交易安全第1頁，課件共50頁，創(chuàng)作于2023年2月9/7/202317.1.1電子商務(wù)面臨的安全問題

一、中斷系統(tǒng)，破壞系統(tǒng)的有效性二、竊聽信息，破壞系統(tǒng)的機(jī)密性三、篡改信息，破壞系統(tǒng)的完整性四、偽造信息，假冒身份，破壞系統(tǒng)的真實(shí)性五、對(duì)交易進(jìn)行抵賴六、內(nèi)部網(wǎng)絡(luò)被病毒攻擊第2頁，課件共50頁，創(chuàng)作于2023年2月9/7/202327.1.2電子商務(wù)安全的主要要求一、安全性二、機(jī)密性三、完整性四、真實(shí)性五、不可抵賴性第3頁，課件共50頁，創(chuàng)作于2023年2月9/7/202337.1.3電子商務(wù)安全體系一、計(jì)算機(jī)網(wǎng)絡(luò)安全

1.病毒防范技術(shù)

2.身份識(shí)別技術(shù)

3.防火墻技術(shù)

4.虛擬專用網(wǎng)絡(luò)技術(shù)VPN二、商務(wù)交易安全7.1.2電子商務(wù)安全的主要要求第4頁，課件共50頁，創(chuàng)作于2023年2月9/7/202347.2數(shù)據(jù)加密技術(shù)

是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的措施之一，包括病毒防范技術(shù)、身份識(shí)別技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)

第5頁，課件共50頁，創(chuàng)作于2023年2月9/7/202357.2.1數(shù)據(jù)加密的一般模型一、加密的概念定義：就是采用數(shù)學(xué)方法對(duì)原始信息（明文）進(jìn)行組織，將明文轉(zhuǎn)換成無意義的文字（密文），阻止非法用戶了解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。

第6頁，課件共50頁，創(chuàng)作于2023年2月9/7/202367.2.1數(shù)據(jù)加密的一般模型加密技術(shù)兩個(gè)基本因素：算法和密鑰算法：將普通文本與一串?dāng)?shù)字的結(jié)合，產(chǎn)生不可理解的密文的步驟。

密鑰：用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。第7頁，課件共50頁，創(chuàng)作于2023年2月9/7/202375.3.2加密技術(shù)

是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的措施之一，包括病毒防范技術(shù)、身份識(shí)別技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)一、加密的概念定義：就是采用數(shù)學(xué)方法對(duì)原始信息（明文）進(jìn)行組織，將明文轉(zhuǎn)換成無意義的文字（密文），阻止非法用戶了解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。加密技術(shù)兩個(gè)基本因素：算法和密鑰

算法：將普通文本與一串?dāng)?shù)字的結(jié)合，產(chǎn)生不可理解的密文的步驟。

密鑰：用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。第8頁，課件共50頁，創(chuàng)作于2023年2月9/7/20238加密密鑰鑰K1解密密鑰K2明文M加密算法解密算法解密密鑰K2解密算法解密密鑰2數(shù)據(jù)加/解密的一般模型第9頁，課件共50頁，創(chuàng)作于2023年2月9/7/20239一、私鑰加密

即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。發(fā)送方密鑰加密接收方同鑰解密一般文件加密文件解密文件所收文件因特網(wǎng)第10頁，課件共50頁，創(chuàng)作于2023年2月9/7/202310二、公鑰加密和RAS算法特點(diǎn)：

★加密算法和解密算法都是公開的。★不能根據(jù)公鑰計(jì)算出私鑰★公鑰和私鑰均可以作為加密密鑰，用其中一把密鑰來加密，就只能用另一把密鑰來解密★加密密鑰不能用來解密。發(fā)送方公鑰加密接收方私鑰解密一般文件加密文件解密文件所收文件因特網(wǎng)第11頁，課件共50頁，創(chuàng)作于2023年2月9/7/202311特性對(duì)稱非對(duì)稱密鑰的數(shù)目單一的密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開密鑰管理簡(jiǎn)單不好管理需要數(shù)字證書及可靠第三者相對(duì)速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用第12頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023127.3安全認(rèn)證技術(shù)7.3.1數(shù)字摘要（報(bào)文或消息摘要）一、定義指用發(fā)送方私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

第13頁，課件共50頁，創(chuàng)作于2023年2月9/7/202313第14頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023147.3.2數(shù)字信封技術(shù)第15頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023157.3.3數(shù)字簽名技術(shù)一、數(shù)字簽名的概念

1.定義：指用發(fā)送方私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

2.保證：①接受者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名②發(fā)送者時(shí)候不能抵賴對(duì)報(bào)文的簽名③接受者不能偽造對(duì)報(bào)文的簽名第16頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023167.3.2數(shù)字簽名技術(shù)二、數(shù)字簽名的實(shí)現(xiàn)過程第17頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023177.3.3數(shù)字簽名技術(shù)三、加強(qiáng)的數(shù)字簽名

1.加密報(bào)文的數(shù)字簽名

2.雙重?cái)?shù)字簽名第18頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023187.3.4數(shù)字時(shí)間戳(DTS)一、定義是一個(gè)經(jīng)加密后形成的憑證文檔二、組成

1.需加時(shí)間戳的文件的摘要

2.DTS收到文件的日期和時(shí)間

3.DTS的數(shù)字簽名三、數(shù)字時(shí)間戳的實(shí)現(xiàn)過程第19頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023197.3.5數(shù)字證書1.定義就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)。

2.證書內(nèi)容證書的版本號(hào)；數(shù)字證書的序列號(hào)；證書擁有者的姓名；證書擁有者的公開密鑰；公開密鑰的有效期；簽名算法；辦理數(shù)字證書的單位；辦理數(shù)字證書單位的數(shù)字簽名第20頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023207.3.5數(shù)字證書三、數(shù)字證書的管理

1.證書的頒發(fā)

2.證書的使用

3.證書的驗(yàn)收

4.數(shù)字證書的分類第21頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023217.3.5數(shù)字證書四、數(shù)字證書的分類

1.個(gè)人數(shù)字證書

2.機(jī)構(gòu)數(shù)字證書

3.服務(wù)器證書

4.SSL服務(wù)器證書第22頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023227.3.6身份認(rèn)證一、身份認(rèn)證的概念

1.可信性

2.完整性

3.不可抵賴性

4.訪問控制二、身份識(shí)別方法

1.口令認(rèn)證

2.基于智能卡

3.生物特征法第23頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023237.4PKI與認(rèn)證機(jī)構(gòu)7.4.1公鑰基礎(chǔ)設(shè)施

1.PKI的概念定義：以公共密鑰加密技術(shù)為基礎(chǔ)技術(shù)手段實(shí)現(xiàn)安全性的一種技術(shù)體系

2.PKI的體系結(jié)構(gòu)

1)認(rèn)證機(jī)構(gòu)CA2)證書和證書庫

3)密鑰備份及恢復(fù)

4)密鑰和證書的更新

5)證書歷史檔案

6)應(yīng)用接口系統(tǒng)第24頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023247.4.1公鑰基礎(chǔ)設(shè)施三、PKI結(jié)構(gòu)模型與層次模型

1.PKI結(jié)構(gòu)模型

2.PKI層次模型四、PKI技術(shù)的信任服務(wù)

1.認(rèn)證

2.支持密鑰管理

3.完整性與不可否認(rèn)

第25頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023257.4.1公鑰基礎(chǔ)設(shè)施五、PKI的標(biāo)準(zhǔn)

1.X.209(1988)ASN.1基本編碼規(guī)則的規(guī)范

2.X.500(1993)信息技術(shù)之開放系統(tǒng)互聯(lián)

3.PKCS系列標(biāo)準(zhǔn)

4.OCSP在線證書狀態(tài)協(xié)議第26頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023267.4.1公鑰基礎(chǔ)設(shè)施六、PKI的應(yīng)用領(lǐng)域

1.虛擬的專用網(wǎng)

2.安全電子郵件

3.Web安全

4.電子商務(wù)的應(yīng)用七、PKI的優(yōu)勢(shì)及其發(fā)展

1.屬性證書

2.漫游證書第27頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023277.4.2安全認(rèn)證機(jī)構(gòu)一.CA的概念定義：指受法律承認(rèn)的可信任的權(quán)威機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理電子證書，使網(wǎng)上通信的各方能互相確認(rèn)身份。二.CA的職能

1.證書發(fā)放第28頁，課件共50頁，創(chuàng)作于2023年2月9/7/202328

1）網(wǎng)上申請(qǐng)

a.Web申請(qǐng)

證書初始化請(qǐng)求信息證書初始化應(yīng)答信息申請(qǐng)表請(qǐng)求信息申請(qǐng)表應(yīng)答信息證書請(qǐng)求信息證書應(yīng)答信息

申請(qǐng)書認(rèn)證機(jī)構(gòu)第29頁，課件共50頁，創(chuàng)作于2023年2月9/7/202329

2）通過E-mail申請(qǐng)

證書申請(qǐng)初始化請(qǐng)求證書申請(qǐng)初始化應(yīng)答證書請(qǐng)求信息證書應(yīng)答信息申請(qǐng)書認(rèn)證機(jī)構(gòu)第30頁，課件共50頁，創(chuàng)作于2023年2月9/7/202330

2）離線申請(qǐng)

2.證書更新

3.證書撤銷

4.證書驗(yàn)證認(rèn)證中心（RCA)品牌認(rèn)證中心（BCA)區(qū)域性認(rèn)證中心（CCA)CCAMCAPCA持卡人簽名商家簽名商家密鑰交換交付網(wǎng)關(guān)簽名交付網(wǎng)關(guān)密鑰交換認(rèn)證中心體系第31頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023317.5安全認(rèn)證機(jī)構(gòu)7.5.1安全套接層協(xié)議一、SSL的概念

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它被視為

Internet上

Web瀏覽器和服務(wù)器的標(biāo)準(zhǔn)安全性措施。SSL提供了用于啟動(dòng)

TCP/IP連接的安全性“信號(hào)交換”。這種信號(hào)交換導(dǎo)致客戶和服務(wù)器同意將使用的安全性級(jí)別，并履行連接的任何身份驗(yàn)證要求。它通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

第32頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023327.5.1安全套接層協(xié)議二、SSL提供的安全服務(wù)

1.加密處理

2.保證信息的完整性

3.提供較完善的認(rèn)證服務(wù)三、SSL的規(guī)范

1.SSL記錄協(xié)議

2.SSL握手協(xié)議四、SSL的工作流程第33頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023337.5.1安全套接層協(xié)議第34頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023347.5.2安全電子交易協(xié)議一、SET的概念ET協(xié)議是針對(duì)開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由Visa和Mastercard聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問題。第35頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023357.5.2安全電子交易協(xié)議二、SET的特征1.保證信息的機(jī)密性，保證信息安全傳輸，不能被竊聽，只有收件人才能得到和解密信息。2.保證支付信息的完整性，保證傳輸數(shù)據(jù)完整地接收，在中途不被篡改。3.認(rèn)證商家和客戶，驗(yàn)證公共網(wǎng)絡(luò)上進(jìn)行交易活動(dòng)的商家、持卡人及交易活動(dòng)的合法性。4.廣泛的互操作性，保證采用的通訊協(xié)議、信息格式和標(biāo)準(zhǔn)具有公共適應(yīng)性。從而可在公共互連網(wǎng)絡(luò)上集成不同廠商的產(chǎn)品。

第36頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023367.5.2安全電子交易協(xié)議三、SET的運(yùn)作流程第37頁，課件共50頁，創(chuàng)作于2023年2月9/7/202337其具體流程為：持卡人在商家的WEB主頁上查看在線商品目錄瀏覽商品。持卡人選擇要購(gòu)買的商品。持卡人填寫定單，定單通過信息流從商家傳過來。持卡人選擇付款方式，此時(shí)SET開始介入。持卡人發(fā)送給商家一個(gè)完整的定單及要求付款的指令。在SET中，定單和付款指令由持卡人進(jìn)行數(shù)字簽名。同時(shí)利用雙重簽名技術(shù)保證商家看不到持卡人的帳號(hào)信息。商家接受定單后，向持卡人的金融機(jī)構(gòu)請(qǐng)求支付認(rèn)可。通過Gateway到銀行，再到發(fā)卡機(jī)構(gòu)確認(rèn)，批準(zhǔn)交易。然后返回確認(rèn)信息給商家。

第38頁，課件共50頁，創(chuàng)作于2023年2月9/7/202338商家發(fā)送定單確認(rèn)信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。商家給顧客裝運(yùn)貨物，或完成訂購(gòu)的服務(wù)。到此為止，一個(gè)購(gòu)買過程已經(jīng)結(jié)束。商家可以立即請(qǐng)求銀行將貨款從購(gòu)物者的帳號(hào)轉(zhuǎn)移到商家?guī)ぬ?hào)，也可以等到某一時(shí)間，請(qǐng)求成批劃帳處理。商家從持卡人的金融機(jī)構(gòu)請(qǐng)求支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)時(shí)間間隔。前三步與SET無關(guān)，從第四步開始SET起作用。在處理過程中，通信協(xié)議、請(qǐng)求信息的格式、數(shù)據(jù)類型的定義等，SET都有明確的規(guī)定。在操作的每一步，持卡人、商家、網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份，以確認(rèn)對(duì)方身份。

第39頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023397.5.2安全電子交易協(xié)議五、SET所采用的安全措施

1.加密技術(shù)

2.數(shù)字簽名

3.電子認(rèn)證

4.電子信封

5.雙重簽名第40頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023407.5.2安全電子交易協(xié)議六、SET的認(rèn)證

1.證書持卡人證書商家證書

2.CA功能接收注冊(cè)請(qǐng)求處理、批準(zhǔn)/拒絕請(qǐng)求頒發(fā)證書

3.證書的樹形驗(yàn)證結(jié)構(gòu)

第41頁，課件共50頁，創(chuàng)作于2023年2月9/7/2023417.6防火墻技術(shù)7.6.1防火墻定義一、定義防火墻（FireWall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對(duì)內(nèi)部的非法訪問難以有效地控制，因此，防火墻最適合于相對(duì)獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的單一網(wǎng)絡(luò)。第42頁，課件共50頁，創(chuàng)作于2023年2月9/7/202342

客戶機(jī)電子郵件服務(wù)

Web服務(wù)器

數(shù)據(jù)庫服務(wù)器公司內(nèi)部網(wǎng)絡(luò)外部網(wǎng)Internet防火