電子商務安全實驗報告

實驗名稱：電子商務安全技術2010081126呂呂一、實驗目的：通過本實驗加深對電子商務安全威脅、重要性的理解，了解電子商務安全的措施及相關技術。二、實驗內(nèi)容：（1）上網(wǎng)搜集電子商務安全威脅的案例，分析電子商務安全的協(xié)議及措施。要求搜集的電子商務安全威脅案例不少于3個，了解不同類型電子商務網(wǎng)站所采取的電子商務安全措施和技術。答:電子商務安全的協(xié)議有：PKI協(xié)議：PKI是PublicKeyInfrastructure的縮寫，是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。PKI的基礎技術包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。安全超文本傳輸協(xié)議（S-HTTP）：安全超文本傳輸協(xié)議（S-HTTP）是致力于促進以因特網(wǎng)為基礎的電子商務技術發(fā)展的國際財團CommerceNet協(xié)會提出的安全傳輸協(xié)議，主要利用密鑰對加密的方法來保障Web站點上的信息安全。S-HTTP被設計為作為請求/響應的傳輸協(xié)議———HTTP的一種安全擴展版本，正是這一特點使得S-HTTP與SSL有了本質(zhì)上的區(qū)別，因為SSL是一種會話保護協(xié)議。S-HTTP的主要功能是保護單一的處理請求或響應的消息，這在某種程度上與一個消息安全協(xié)議保護電子郵件消息的工作原理相似。安全套接層協(xié)議（SSL）:SSL能使客戶機與服務器之間的通信不被攻擊者竊聽，并且始終保持對服務器進行認證，還可選擇對客戶進行認證。SSL建立在TCP協(xié)議之上，它的優(yōu)勢在于與應用層協(xié)議獨立無關，應用層協(xié)議能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法、通信加密的協(xié)商以及服務器的認證工作。在此之后，應用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證了在因特網(wǎng)上通信的機密性。安全電子交易協(xié)議（SET）:SET協(xié)議采用了對稱密鑰和非對稱密鑰體制，把對稱密鑰的快速、低成本和非對稱密鑰的有效性結(jié)合在一起，以保護在開放網(wǎng)絡上傳輸?shù)膫€人信息，保證交易信息的隱蔽性。其采用的核心技術包括：電子證書標準與數(shù)字簽名、報文摘要、數(shù)字信封、雙重簽名等。\電子商務安全的措施有：加密技術:加密技術是電子商務的最基本信息安全防范措施,其原理是利用一定的加密算法將明文轉(zhuǎn)換成難以識別和理解的密文并進行傳輸從而確保數(shù)據(jù)的保密性。數(shù)字簽名：數(shù)字簽名如同手寫簽名,在電子商務中有如下優(yōu)點:（1)

發(fā)送者事后不能否認自己發(fā)送的報文簽名。（2)

接受者能夠核實發(fā)送者發(fā)送的報文簽名。（3)

接受者不能偽造發(fā)送者的報文簽名。（4)

接受者不能對發(fā)送者的報文進行篡改。（5)

交易中的某一用戶不能冒充另一用戶作為發(fā)送者或接受者。數(shù)字簽名也是采用非對稱加密算法,實現(xiàn)方式為:發(fā)送方從報文文本中生成一個128位的散列值,并用自己的私有密鑰對這個散列值進行加密,形成發(fā)送方的數(shù)字簽名;然后,將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接受方;報文的接受方首先從接受到的原始報文中計算出128

位的散列值,再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,那么接受方就能確認該數(shù)字簽名是發(fā)送方的。數(shù)字時間戳：數(shù)字時間戳(DTS

,Digital

time-stamp)

,如同傳統(tǒng)商務中的日期和時間,在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務（DTS）是網(wǎng)絡安全服務項目，由專門的機構提供。時間戳是一個經(jīng)加密后形成的憑證文檔。它由三個部分組成:需要加蓋時間戳的文件的摘要、DTS收到文件的日期和時間以及DTS

的數(shù)字簽名數(shù)字證書：數(shù)字時間戳(DTS

,Digital

time-stamp)

,如同傳統(tǒng)商務中的日期和時間,在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務（DTS）是網(wǎng)絡安全服務項目，由專門的機構提供。時間戳是一個經(jīng)加密后形成的憑證文檔。它由三個部分組成:需要加蓋時間戳的文件的摘要、DTS收到文件的日期和時間以及DTS

的數(shù)字簽名安全協(xié)議技術：目前常用的安全協(xié)議主要有兩種：SSL協(xié)議（安全套接層協(xié)議）和SET協(xié)議（安全電子交易協(xié)議）。SSL

協(xié)議是由Netscape公司提出的安全交易協(xié)議，該協(xié)議主要目的是解決T

C

P

/I

P

協(xié)議不能確認用戶身份的問題，在Socket

上使用非對稱的加密技術，以保證網(wǎng)絡通信服務的安全性。4SET是由Visa

和MasterCard

兩大信用卡公司聯(lián)合IBM,

Microsoft,

GTE

,Verisign

,

SA

IC等公司與1996年6月共同推出的以信用卡支付為基礎的電子商務安全協(xié)議,其中涵蓋了電子交易中的交易協(xié)定、信息保密、數(shù)據(jù)完整、數(shù)字認證和數(shù)字簽名等。它采用公鑰密碼體制和X

.

5

0

9

數(shù)字證

4.使用安全電子交易協(xié)議(SET:SecureElectronicTransactions)。是由VISA和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務活動中各方的權利義務關系，給定交易信息傳送流程標準。SET協(xié)議保證了電子商務系統(tǒng)的保密性、完整性、不可否認性和身份的合法性。阿里巴巴支付機制：阿里巴巴，作為家喻戶曉的電子商務網(wǎng)站，它的支付方式也同樣的令人耳熟能詳：支付寶，就是旗下提供的第三方支付平臺，它保證了買賣雙方交易的安全性與便捷性。盡管現(xiàn)在支付寶已經(jīng)得到普及，但是相對那些有在網(wǎng)上購物的欲望但無法使用支付寶的人來說，郵局匯款、銀行轉(zhuǎn)賬信用卡支付和網(wǎng)上銀行支付無非是最好的選擇。（4）網(wǎng)上閱讀資料，查看電子商務安全交易協(xié)議中SET中用到的雙重簽名技術的過程是如何的。答：雙重簽名是為了保證在事務處理過程中三方安全傳輸信息的一種技術，用于三方通信時的身份認證和信息完整性、交易防抵賴的保護。雙重數(shù)字簽名的實現(xiàn)步驟如下：

(1)信息發(fā)送者A對發(fā)給B的信息1生成信息摘要1。

(2)信息發(fā)送者A對發(fā)給C的信息2生成信息摘要2。

(3)信息發(fā)送者A把信息摘要1和信息摘要2合在一起，對其生成信息摘要3，并使用自己的私鑰簽名信息摘要3。

(4)信息發(fā)送者A把信息1、信息摘要2和信息摘要3的簽名發(fā)給B，B不能得到信息2。

(5)信息發(fā)送者A把信息2、信息摘要1和信息摘要3的簽名發(fā)給C，C不能得到信息1。

(6)B接收信息后，對信息1生成信息摘要，把這信息摘要和收到的信息摘要2合在一起，并對其生成新的信息摘要，同時使用信息發(fā)送者A的公鑰對信息摘要3的簽名進行驗證，以確認信息發(fā)送者A的身份和信息是否被修改過。

(7)C接收信息后，對信息2生成信息摘要，把這信息摘要和收到的信息摘要1合在一起，并對其生成新的信息摘要，同時使用信息發(fā)送者A的公鑰對信息摘要3的簽名進行驗證，以確認信息發(fā)送者A的身份和信息是否被修改過。

（5）以中國工商銀行網(wǎng)上銀行為例，描述在網(wǎng)銀上操作，是如何保障安全的？包括從一登錄到交易成功的整個過程。答：網(wǎng)銀登錄過程：客戶端首先要安裝網(wǎng)銀頒發(fā)的數(shù)字證書，用于身份認證。進入https安全頁面，在客戶端產(chǎn)生對稱密鑰，用服務器的公鑰進行加密（公鑰由網(wǎng)銀頒發(fā)的數(shù)字證書里獲?。瑫r客戶端把會話內(nèi)容用所產(chǎn)生的對稱密鑰加密，傳送時包括的內(nèi)容為：銀行的數(shù)字簽名、加密的會話內(nèi)容、加密的對稱密鑰。每次會話都通過這種方式保障安全。如果轉(zhuǎn)賬時，需要插入usbkey，usbkey里面的內(nèi)容可以認為是客戶端的私鑰，相當于客戶端秘密持有的信息，插入usbkey后，會把轉(zhuǎn)賬內(nèi)容用客戶端私鑰加密，用于服務器端再次確認此轉(zhuǎn)賬信息是由客戶端發(fā)出的，客戶端不可否認。由于互聯(lián)網(wǎng)是一個開放的網(wǎng)絡，客戶在網(wǎng)上傳輸?shù)拿舾行畔?如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生，網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施，使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。SSL協(xié)議是由Netscape首先研制開發(fā)出來的，其首要目的是在兩個通信間提供秘密而可靠的連接，大部分Web服務器和瀏覽器都支持此協(xié)議。用戶登錄并通過身份認證之后，用戶和服務方之間在網(wǎng)絡上傳輸?shù)乃袛?shù)據(jù)全部用會話密鑰加密，直到用戶退出系統(tǒng)為止。而