《電子商務(wù)安全技術(shù)》 課件 模塊三 電子交易安全技術(shù)_第1頁
《電子商務(wù)安全技術(shù)》 課件 模塊三 電子交易安全技術(shù)_第2頁
《電子商務(wù)安全技術(shù)》 課件 模塊三 電子交易安全技術(shù)_第3頁
《電子商務(wù)安全技術(shù)》 課件 模塊三 電子交易安全技術(shù)_第4頁
《電子商務(wù)安全技術(shù)》 課件 模塊三 電子交易安全技術(shù)_第5頁
已閱讀5頁,還剩72頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

電子交易安全技術(shù)模塊三學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書學(xué)習(xí)單元3安全電子交易協(xié)議學(xué)習(xí)單元4移動(dòng)電子商務(wù)安全技術(shù)學(xué)習(xí)單元一數(shù)據(jù)加密技術(shù)學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)1.數(shù)據(jù)加密的定義數(shù)據(jù)加密就是指將一條消息通過加密密鑰和加密函數(shù)轉(zhuǎn)換成無意義的密文,接收者再通過解密函數(shù)和解密密鑰將密文還原成明文的過程。一、數(shù)據(jù)加密概述2.加密系統(tǒng)的組成加密技術(shù)在政治、經(jīng)濟(jì)和軍事等各個(gè)領(lǐng)域都得到了非常廣泛的應(yīng)用,它是傳送保密信息的主要手段。加密所涉及的一些專業(yè)術(shù)語如下:(1)明文(plaintext,P):可以理解的信息原文。(2)加密(encryption,E):用某種方法偽裝明文,以隱藏真實(shí)內(nèi)容的過程。(3)密文(ciphertext,C):經(jīng)過加密,將明文變換成不容易理解的信息。(4)解密(decryption,D):將密文恢復(fù)成明文的過程。(5)算法(algorithm,A):用于加密或解密的方法。在現(xiàn)代密碼學(xué)中,算法就是一個(gè)用于加密和解密的數(shù)學(xué)函數(shù)。(6)密鑰(key,K):用來控制加密和解密算法的實(shí)現(xiàn)。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)加密系統(tǒng)的大致結(jié)構(gòu)如圖3-1-1所示。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)3.數(shù)據(jù)加密、解密的過程加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種加密算法進(jìn)行處理,使其成為不可讀的一段密文,密文只有在輸入相應(yīng)的密鑰之后才能顯示出原來的內(nèi)容,通過這樣的方式使數(shù)據(jù)不被竊取。而解密的過程與加密恰恰相反,如圖3-1-2所示。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)4.加密技術(shù)在電子商務(wù)中的作用加密技術(shù)是電子商務(wù)中主要采取的安全技術(shù)手段。采用加密技術(shù)可以防止用戶的數(shù)據(jù)被讀取,避免敏感信息被泄露,滿足信息保密性的需求,防止數(shù)據(jù)被更改,滿足信息完整性的需求,是保證信息保密性、完整性、可用性的有力手段。加密技術(shù)還可以有效地用于身份認(rèn)證、數(shù)字簽名等,以確認(rèn)交易雙方的身份。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)1.按發(fā)展階段分類(1)古典密碼古典密碼的編碼方法主要有兩種:置換和代換。將明文中的字母重新排列,字母本身不變,但其位置發(fā)生改變,這樣編成的密碼稱為置換密碼。最簡單的置換密碼是把明文中的字母順序倒過來,然后截成固定長度的字母組作為密文。代換密碼則是將明文中的字符替代成其他字符。二、數(shù)據(jù)加密技術(shù)的分類(2)近現(xiàn)代密碼密碼學(xué)的發(fā)展與計(jì)算機(jī)技術(shù)的發(fā)展密不可分。隨著計(jì)算機(jī)性能的提高,密碼技術(shù)得到很大提升。近現(xiàn)代數(shù)據(jù)加密技術(shù)主要包括對稱加密技術(shù)(如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、高級加密標(biāo)準(zhǔn)AES)和非對稱加密技術(shù)(如公開密鑰密碼體制RSA),這些技術(shù)也成為現(xiàn)代信息安全的主要支撐。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)2.按加密方式分類(1)流密碼流密碼也稱序列密碼,是以最小單位比特作為一次加密、解密的操作元素,采用設(shè)計(jì)好的算法進(jìn)行加密與解密操作,但密鑰長度與明文長度一致,加密的效率低。分組密碼解決了這個(gè)問題,分組密碼是將明文消息編碼劃分成n個(gè)組,每個(gè)組有m個(gè)字節(jié),每組分別在密鑰的控制下進(jìn)行加密和解密。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)(2)分組密碼分組密碼取用明文的一個(gè)區(qū)塊和密鑰,輸出相同大小的密文區(qū)塊。由于信息通常比單一區(qū)塊還長,所以有各種方式將連續(xù)的區(qū)塊編織在一起?,F(xiàn)代密碼技術(shù)中的DES和AES就是分組密碼標(biāo)準(zhǔn),盡管AES將逐步取代DES,但現(xiàn)在DES依然很流行,從自動(dòng)交易機(jī)、電子郵件到遠(yuǎn)端存取,DES在非常多的應(yīng)用上被使用。也有其他的分組密碼,它們的品質(zhì)和應(yīng)用各不相同。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)3.按密鑰方式分類(1)對稱加密技術(shù)對稱加密技術(shù)又稱私鑰加密技術(shù),即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù),如圖3-1-3所示。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)對稱加密技術(shù)在電子商務(wù)交易過程中存在以下問題:1)在首次通信前,要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個(gè)共同的密鑰,可能需要借助郵件和電話等其他相對不夠安全的手段來進(jìn)行密鑰的傳遞。2)當(dāng)通信對象增多時(shí),需要相應(yīng)數(shù)量的密鑰,密鑰的數(shù)量難于管理,很難適應(yīng)開放社會(huì)中大量的信息交流。3)對稱加密建立在共同保守秘密的基礎(chǔ)之上,在管理和分發(fā)密鑰的過程中,任何一方的泄密都會(huì)造成密鑰的失效,存在潛在的危險(xiǎn)和管理的難度。4)對稱加密技術(shù)一般不能提供信息完整性的鑒別,它無法驗(yàn)證發(fā)送者和接收者的身份。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)(2)非對稱加密技術(shù)非對稱加密技術(shù)又稱公鑰加密技術(shù),這種技術(shù)的加密密鑰和解密密鑰是不同的,公開密鑰(公鑰)對外公布,私有密鑰(私鑰)只有持有人知道。公鑰與私鑰必須成對出現(xiàn),也就是說如果用某人的公鑰對數(shù)據(jù)進(jìn)行加密,那么只有用此人對應(yīng)的私鑰才能解密,如果用私鑰對數(shù)據(jù)進(jìn)行加密,那么只有使用對應(yīng)的公鑰才能解密,如圖3-1-4所示。學(xué)習(xí)單元1數(shù)據(jù)加密技術(shù)學(xué)習(xí)單元二公鑰基礎(chǔ)設(shè)施與數(shù)字證書1.傳統(tǒng)商務(wù)和電子商務(wù)的身份認(rèn)證方法身份認(rèn)證是指電子商務(wù)過程中確認(rèn)交易雙方身份的過程。人們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界,每個(gè)人都擁有獨(dú)一無二的物理身份。如何保證操作者的物理身份與數(shù)字身份相對應(yīng),就成為一個(gè)很重要的問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題。一、公鑰基礎(chǔ)設(shè)施體系學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書如果要簽訂一份有效的合同,傳統(tǒng)商務(wù)和電子商務(wù)都需要采用一些認(rèn)證的方法,其對應(yīng)關(guān)系見表3-2-1。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書公鑰的分發(fā)雖然不需要保密,但需要保證公鑰的真實(shí)性,就好像銀行的客服電話,雖然不需要保密,但需要保證真實(shí)性,如果被人替換,就可能給用戶帶來風(fēng)險(xiǎn)。公鑰被調(diào)包的風(fēng)險(xiǎn)如圖3-2-1所示。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書2.公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure,PKI)是利用公鑰密碼理論和技術(shù)為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券等網(wǎng)絡(luò)應(yīng)用提供的一套安全技術(shù)的平臺(tái),它是創(chuàng)建、頒發(fā)、管理、撤銷數(shù)字證書等一系列基礎(chǔ)服務(wù)的所有軟硬件的集合。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。從技術(shù)層面上看,PKI是以公鑰密碼體系為理論基礎(chǔ),以認(rèn)證機(jī)構(gòu)(certificateauthority,CA)為核心,以數(shù)字證書為工具來提供安全服務(wù)功能的。所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng),都可歸結(jié)為PKI系統(tǒng)的一部分。PKI的主要目的是通過自動(dòng)管理密鑰和證書,為用戶建立一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù),從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性和有效性。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(1)PKI的基本組成一個(gè)完整的PKI系統(tǒng)一般有CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、PKI應(yīng)用接口等基本組成部分。1)CA。CA是PKI的核心執(zhí)行機(jī)構(gòu),是PKI的主要組成部分,業(yè)界人士通常稱它為認(rèn)證中心。從廣義上講,CA還應(yīng)該包括證書申請注冊機(jī)構(gòu)(registrationauthority,RA),它是數(shù)字證書申請注冊、簽發(fā)和管理的機(jī)構(gòu)。CA的主要職責(zé)包括驗(yàn)證并標(biāo)識(shí)證書申請者的身份,對證書申請者的信用度、申請證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查,從而確保證書與身份綁定的正確性。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書2)數(shù)字證書庫。數(shù)字證書簡稱證書,它是網(wǎng)上實(shí)體身份的證明。證書是由具備權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā)的,因此,它是權(quán)威性的電子文檔。證書庫是證書的集中存放地,是網(wǎng)上的一種公用信息庫,用戶可以從中獲得其他用戶的證書和公鑰。系統(tǒng)必須確保證書庫的完整性,防止證書被偽造、篡改。3)密鑰備份及恢復(fù)系統(tǒng)。密鑰備份及恢復(fù)是密鑰管理的主要內(nèi)容,用戶可能會(huì)由于某些原因?qū)⒔饷軘?shù)據(jù)的密鑰丟失,從而使已被加密的密文無法解開。為避免這種情況的發(fā)生,PKI提供了密鑰備份與密鑰恢復(fù)機(jī)制。當(dāng)用戶證書生成時(shí),加密密鑰即被CA備份存儲(chǔ);當(dāng)需要恢復(fù)時(shí),用戶只需向CA提出申請,CA就會(huì)為用戶自動(dòng)進(jìn)行恢復(fù)。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書4)證書作廢處理系統(tǒng)。證書作廢處理系統(tǒng)是PKI的一個(gè)重要組件。同其他證件一樣,CA簽署的證書同樣具有有效期和作廢的情況,PKI必須提供一系列證書作廢機(jī)制。證書作廢處理一般有三種策略:作廢一個(gè)或多個(gè)主體的證書,作廢由某一對密鑰簽發(fā)的所有證書,作廢由某CA簽發(fā)的所有證書。5)PKI應(yīng)用接口。PKI的價(jià)值在于能方便地為用戶提供加密、數(shù)字簽名等安全服務(wù)。因此,一個(gè)完整的PKI必須提供良好的應(yīng)用接口,使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI通信,確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性,同時(shí)降低管理維護(hù)成本。網(wǎng)上用戶常接觸到的客戶端證書就與瀏覽器接口有關(guān),證書申請人通過瀏覽器申請、下載證書,并將證書安裝在瀏覽器上即可使用。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(2)PKI的功能PKI安全平臺(tái)提供智能化的信任服務(wù)與有效的授權(quán)服務(wù)。其中,信任服務(wù)主要是解決在網(wǎng)絡(luò)中如何確認(rèn)“你是你、我是我、他是他”,即交易者的真實(shí)身份的確認(rèn)問題,PKI是在網(wǎng)絡(luò)上建立信任體系最行之有效的技術(shù);授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”,即交易者權(quán)限問題。PKI所提供的SP包括以下幾個(gè)方面。1)身份認(rèn)證。PKI通過數(shù)字證書進(jìn)行認(rèn)證,認(rèn)證時(shí)對方知道你就是你。在這里,證書是一個(gè)可信的第三方證明,通過它,通信雙方可以安全地進(jìn)行互相認(rèn)證,而不用擔(dān)心對方是假冒的。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書2)密鑰管理。通信雙方可以在認(rèn)證的基礎(chǔ)上協(xié)商一個(gè)密鑰,PKI能夠提供可信的、可管理的密鑰運(yùn)行機(jī)制。PKI的普及能夠保證在全網(wǎng)范圍內(nèi)提供全面的密鑰恢復(fù)與管理能力,保證網(wǎng)上活動(dòng)健康有序地發(fā)展。3)完整性和不可抵賴性。完整性和不可抵賴性是PKI提供的最基本的服務(wù)。PKI提供的完整性是由第三方仲裁的,并且這種由第三方進(jìn)行仲裁的完整性是通信雙方都不可抵賴的。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書3.PKI的常見應(yīng)用(1)基于PEM的PKI電子郵件的安全問題集中表現(xiàn)在兩個(gè)方面:①在通信雙方全然不知的情況下,所傳遞的郵件信息被截取、閱讀或篡改;②無法確定所收取的郵件是否真的來自發(fā)信人,即可能收到的是別人偽造的郵件。上述兩個(gè)問題,第一個(gè)主要是安全問題,第二個(gè)主要是信任問題。電子郵件同樣需要保密性、完整性、不可抵賴性和可鑒別性。這些安全需求可從PKI技術(shù)獲得,一方面利用數(shù)字證書和私鑰,用戶可以對其所發(fā)的電子郵件進(jìn)行數(shù)字簽名,另一方面利用加密技術(shù)可以保障電子郵件內(nèi)容的機(jī)密性。為此,1993年Internet協(xié)會(huì)制定了PEM標(biāo)準(zhǔn),以確保電子郵件協(xié)議的安全并支持PKI。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(2)基于SET的PKI以Visa和MasterCard為首的兩大國際信用卡組織聯(lián)合開發(fā)了SET協(xié)議,它是一個(gè)為支持在互聯(lián)網(wǎng)上進(jìn)行在線零售時(shí)用銀行卡支付而達(dá)成的綜合協(xié)議和基礎(chǔ)規(guī)范。SET環(huán)境的參與方包括發(fā)卡機(jī)構(gòu)、持卡人、商家、清算銀行(支持商家進(jìn)行銀行卡處理的金融機(jī)構(gòu))、支付網(wǎng)關(guān)(由清算銀行或第三方操作的為商家處理支付的系統(tǒng))以及CA。在SET中,運(yùn)用公鑰技術(shù)來對交易中所有參與方的身份進(jìn)行驗(yàn)證,并對所有敏感的交易數(shù)據(jù)進(jìn)行加密。后者還包括了對從持卡人到支付網(wǎng)關(guān)的支付指令進(jìn)行保護(hù),這樣銀行卡號就不會(huì)暴露在商家的系統(tǒng)中,而這往往是容易泄露秘密的地方。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(3)基于SSL的PKISSL協(xié)議是一種在網(wǎng)絡(luò)上基于RSA和保密密鑰的,用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù),其優(yōu)勢如圖3-2-2所示。現(xiàn)在主要的瀏覽器都支持SSL協(xié)議。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書SSL協(xié)議具有三個(gè)特性:一是保密性,加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??;二是鑒別性,包括可選的客戶端認(rèn)證和強(qiáng)制的服務(wù)器端認(rèn)證;三是完整性,傳送的消息包括消息完整性檢查。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書SSL證書包含通配符證書和多域名證書兩個(gè)類型。SSL證書適合應(yīng)用在網(wǎng)上銀行、電子商務(wù)、電子政務(wù)、企業(yè)信息化以及公共服務(wù)等領(lǐng)域,可以用來在機(jī)構(gòu)瀏覽器與Web服務(wù)器之間建立安全通道,實(shí)現(xiàn)數(shù)據(jù)信息在客戶端與服務(wù)器之間的加密傳輸,防止數(shù)據(jù)信息的泄露;機(jī)構(gòu)或信賴于證書所證明的基礎(chǔ)信任關(guān)系,并以此進(jìn)行業(yè)務(wù)的實(shí)體,可以通過服務(wù)器證書驗(yàn)證所訪問的網(wǎng)站是否真實(shí)可靠,實(shí)現(xiàn)網(wǎng)站身份的真實(shí)性確認(rèn),為建設(shè)網(wǎng)絡(luò)信任環(huán)境提供基礎(chǔ)性信任服務(wù)。SSL證書提供身份安全鑒別,而且可以保證網(wǎng)站不被假冒。如果在網(wǎng)站上安裝由權(quán)威證書簽發(fā)機(jī)構(gòu)簽發(fā)的SSL證書,最明顯的特征就是在瀏覽器地址欄前面會(huì)出現(xiàn)一個(gè)掛鎖圖標(biāo),并且地址欄顯示以https開頭的網(wǎng)址,如圖3-2-3所示。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書單擊地址欄前面的掛鎖圖標(biāo),還可以進(jìn)一步查看證書的有效性等具體信息,如圖3-2-4所示。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書1.數(shù)字證書的功能和結(jié)構(gòu)(1)數(shù)字證書的功能數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。數(shù)字證書主要有以下功能:二、數(shù)字證書學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書1)信息加密:通過使用數(shù)字證書對信息進(jìn)行加密來保證信息的保密性,采用基于公鑰密碼體系的數(shù)字證書能很好地解決網(wǎng)絡(luò)信息的加密通信。2)數(shù)字簽名:數(shù)字證書可以用來實(shí)現(xiàn)數(shù)字簽名,以防止他人篡改文件,保證文件的正確性、完整性、可靠性和不可抵賴性。3)身份認(rèn)證:利用數(shù)字證書實(shí)現(xiàn)身份認(rèn)證可以解決網(wǎng)上的身份驗(yàn)證問題,能很好地保障電子商務(wù)活動(dòng)中的交易安全。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(2)數(shù)字證書的結(jié)構(gòu)數(shù)字證書中一般包含證書持有者的名稱、公鑰、認(rèn)證中心的數(shù)字簽名,此外還包括密鑰的有效時(shí)間、認(rèn)證中心的名稱以及該證書的序列號等信息。交易伙伴可以利用數(shù)字證書來交換彼此的公鑰。國際電信聯(lián)盟(ITU)在制定的X.509標(biāo)準(zhǔn)中,對數(shù)字證書進(jìn)行了詳細(xì)的定義。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下內(nèi)容(見圖3-2-5):學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書1)版本:標(biāo)識(shí)證書的版本(v1、v2或v3)。2)序列號:由證書頒發(fā)者分配的本證書的唯一標(biāo)識(shí)符。3)簽名算法:用于說明本證書所用的數(shù)字簽名算法,如SHA-1和RSA的標(biāo)識(shí)符用來說明該簽名是利用RSA對SHA-1摘要值加密得來的。4)頒發(fā)者:證書頒發(fā)者的可識(shí)別名,這是必須說明的。5)有效期:證書有效的時(shí)間段。本字段由“NotValidBefore”和“NotValidAfter”兩項(xiàng)組成。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書6)主體:證書擁有者的可識(shí)別名稱。本字段必須是非空的,除非使用了其他名字形式。7)主體公鑰信息:主體的公鑰及算法標(biāo)識(shí)符,這是必須說明的。8)頒發(fā)者唯一標(biāo)識(shí)符:證書頒發(fā)者的唯一標(biāo)識(shí)符,僅在版本2和版本3中要求,屬于可選項(xiàng)。9)主體唯一標(biāo)識(shí)符:證書擁有者的唯一標(biāo)識(shí)符,僅在版本2和版本3中要求,屬于可選項(xiàng)。10)擴(kuò)展:可選的標(biāo)準(zhǔn)和專用擴(kuò)展,僅在版本3中使用。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書2.我國的數(shù)字證書CACA是采用PKI公鑰基礎(chǔ)架構(gòu)技術(shù),專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù),負(fù)責(zé)簽發(fā)和管理數(shù)字證書,且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu),它的作用就像現(xiàn)實(shí)生活中頒發(fā)證件的部門,如護(hù)照辦理機(jī)構(gòu)。步入信息時(shí)代,我國的CA如雨后春筍般發(fā)展起來,CA主要可分為三大類:行業(yè)性CA、區(qū)域性CA和商業(yè)性CA。行業(yè)性CA有中國金融認(rèn)證中心(CFCA)、中國電信安全認(rèn)證中心(CTCA)、中國郵政安全認(rèn)證中心(CPCA)等。區(qū)域性CA主要包括以上海市數(shù)字證書認(rèn)證中心(上海CA中心)為首的UCA協(xié)卡認(rèn)證體系和以廣東省電子商務(wù)認(rèn)證中心為首的“網(wǎng)證通”認(rèn)證體系。另外,還有新興的民間商業(yè)CA,如天威誠信數(shù)字認(rèn)證中心、吉大正元、北京國富安電子商務(wù)安全認(rèn)證有限公司等。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(1)行業(yè)性CA1)中國金融認(rèn)證中心(CFCA)。CFCA于2000年10月開始運(yùn)行,是一個(gè)由13家銀行參與建設(shè)和運(yùn)行的CA認(rèn)證體系。目前CFCA具有覆蓋全國的認(rèn)證服務(wù)體系,提供多種用途的證書和信息安全服務(wù),支持金融領(lǐng)域及其他各界用戶的應(yīng)用需求,包括網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上保險(xiǎn)、網(wǎng)上申報(bào)繳稅、網(wǎng)上購銷和其他安全業(yè)務(wù)[(OA(辦公自動(dòng)化)、MIS(管理信息系統(tǒng))]。CFCA是國內(nèi)能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機(jī)構(gòu)。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書2)中國電信安全認(rèn)證中心(CTCA)。CTCA于1999年6月開始運(yùn)行,是一個(gè)全部由中國電信集團(tuán)建設(shè)和運(yùn)行的CA認(rèn)證體系,主要市場是企業(yè)與個(gè)人的電子商務(wù)應(yīng)用。中國電信已經(jīng)與銀行、證券、民航、工商、稅務(wù)等多個(gè)行業(yè)聯(lián)合開發(fā)了網(wǎng)上安全支付系統(tǒng)、電子繳費(fèi)系統(tǒng)、電子銀行系統(tǒng)、電子證券系統(tǒng)、安全電子郵件系統(tǒng)、電子訂票系統(tǒng)、網(wǎng)上購物系統(tǒng)、網(wǎng)上保稅等一系列基于CTCA安全認(rèn)證系統(tǒng)的電子商務(wù)應(yīng)用,已經(jīng)初步建立起中國電信電子商務(wù)平臺(tái)。3)中國郵政安全認(rèn)證中心(CPCA)。CPCA由國家郵政局牽頭開發(fā),并在各省、自治區(qū)、直轄市建立了證書注冊審批系統(tǒng),構(gòu)成了中國郵政安全認(rèn)證系統(tǒng)。它的業(yè)務(wù)范圍包括提供網(wǎng)上客戶身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)。它可以為用戶提供個(gè)人數(shù)字證書、服務(wù)器數(shù)字證書、機(jī)構(gòu)數(shù)字證書、代碼簽名數(shù)字證書等。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(2)區(qū)域性CA1)上海市數(shù)字證書認(rèn)證中心(上海CA中心)。上海CA中心成立于1998年12月31日,是我國第一家專業(yè)的第三方網(wǎng)絡(luò)安全和信任服務(wù)提供商,專門從事信息安全技術(shù)認(rèn)證、安全信任服務(wù),以及相關(guān)產(chǎn)品的研發(fā)和整合。上海CA中心擁有全國400余個(gè)證書受理網(wǎng)點(diǎn),證書發(fā)放量較大,證書應(yīng)用范圍較廣。2)廣東省電子商務(wù)認(rèn)證中心。廣東省電子商務(wù)認(rèn)證中心已在全國跨省、自治區(qū)、直轄市建立了“網(wǎng)證通”認(rèn)證體系,為實(shí)現(xiàn)各省、自治區(qū)、直轄市認(rèn)證系統(tǒng)的互聯(lián)互通、低成本建設(shè)、高效運(yùn)營奠定了良好的基礎(chǔ)。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書(3)商業(yè)性CA1)天威誠信數(shù)字認(rèn)證中心。天威誠信數(shù)字認(rèn)證中心成立于2000年9月,是我國第一批獲得電子認(rèn)證服務(wù)行政許可的公司之一。2)吉大正元。吉大正元成立于1999年2月,吉林大學(xué)為其主要發(fā)起人和技術(shù)依托。吉大正元認(rèn)證系統(tǒng)是國務(wù)院頒布《商用密碼管理?xiàng)l例》以來,我國第一個(gè)通過國家級鑒定的擁有自主知識(shí)產(chǎn)權(quán)的數(shù)字證書認(rèn)證系統(tǒng)。該系統(tǒng)主要應(yīng)用范圍是數(shù)字證書的生產(chǎn)。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書3)北京國富安電子商務(wù)安全認(rèn)證有限公司(以下簡稱國富安公司)。國富安公司成立于1998年12月,是中國國際電子商務(wù)中心直屬的專業(yè)提供信息安全產(chǎn)品和服務(wù)的高新技術(shù)企業(yè)。國富安公司是首家獲得工業(yè)和信息化部頒發(fā)的電子認(rèn)證服務(wù)許可證資質(zhì)的認(rèn)證機(jī)構(gòu),已經(jīng)在全國各省、自治區(qū)、直轄市設(shè)有眾多證書注冊審批點(diǎn)和技術(shù)支持服務(wù)機(jī)構(gòu),服務(wù)范圍覆蓋全國。學(xué)習(xí)單元2公鑰基礎(chǔ)設(shè)施與數(shù)字證書學(xué)習(xí)單元三安全電子交易協(xié)議1.SET協(xié)議產(chǎn)生的背景在網(wǎng)上購物的環(huán)境中,持卡人希望在交易中保密自己的賬戶信息,使之不被他人盜用;賣方則希望買方的訂單不可抵賴;在交易過程中,交易各方都希望驗(yàn)明其他方的身份,以防止被欺騙。針對這種情況,提出了SET協(xié)議。SET協(xié)議是在B2C上基于信用卡支付模式而設(shè)計(jì)的,采用公鑰密碼和數(shù)字證書技術(shù),解決了消費(fèi)者、商家、銀行之間的通信安全與信息隔離問題。由于它具有保證交易數(shù)據(jù)的完整性、交易的不可抵賴性等優(yōu)點(diǎn),所以成為目前公認(rèn)的信用卡網(wǎng)上交易的國際標(biāo)準(zhǔn)。一、SET協(xié)議概述學(xué)習(xí)單元3安全電子交易協(xié)議2.SET協(xié)議的系統(tǒng)結(jié)構(gòu)線下傳統(tǒng)交易是在消費(fèi)者和商家之間進(jìn)行的,一個(gè)愿買一個(gè)愿賣,一手交錢一手交貨,一般不需要第三方參與。而網(wǎng)上交易的消費(fèi)者和商家未曾謀面,還涉及支付問題,所以必須多方參與,會(huì)涉及銀行、認(rèn)證中心等第三方,如圖3-3-1所示。學(xué)習(xí)單元3安全電子交易協(xié)議SET協(xié)議是一個(gè)基于可信的第三方認(rèn)證中心的方案。它提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可抵賴性。SET協(xié)議系統(tǒng)中各方的作用如下:(1)消費(fèi)者在電子商務(wù)環(huán)境中,消費(fèi)者通過計(jì)算機(jī)與商家進(jìn)行交互,并使用發(fā)卡銀行發(fā)行的銀行卡進(jìn)行支付。(2)商家商家提供商品或服務(wù)。在SET協(xié)議中,商家與消費(fèi)者可以進(jìn)行SET,商家必須與相關(guān)的銀行達(dá)成協(xié)議,保證可以接受銀行卡付款。學(xué)習(xí)單元3安全電子交易協(xié)議(3)銀行銀行是指為消費(fèi)者建立賬戶并發(fā)行支付卡的金融機(jī)構(gòu),銀行應(yīng)保證對經(jīng)過授權(quán)的交易進(jìn)行付款。(4)支付網(wǎng)關(guān)支付網(wǎng)關(guān)是指定的第三方用于處理支付卡授權(quán)和支付的網(wǎng)絡(luò)服務(wù)器,是由銀行操作的設(shè)備。(5)認(rèn)證中心認(rèn)證中心提供公鑰認(rèn)證功能。在SET協(xié)議中,每一個(gè)要使用密鑰的角色,如消費(fèi)者、支付網(wǎng)關(guān)、商家等,都被授予一個(gè)數(shù)字證書。而它們通常被建成一種層次結(jié)構(gòu),以便SET協(xié)議的使用方可以通過數(shù)字證書來和另一使用方建立信任關(guān)系。學(xué)習(xí)單元3安全電子交易協(xié)議1.SET協(xié)議的目標(biāo)(1)保證信息的機(jī)密性保證信息在網(wǎng)上安全地傳輸,防止數(shù)據(jù)被第三方竊取,只有收件人才能得到和解密信息。(2)保證信息的完整性提供消費(fèi)者、商家、銀行的認(rèn)證,并定義安全服務(wù)所需要的算法及相關(guān)協(xié)議,保證傳輸數(shù)據(jù)被完整地接收,并在中途不被篡改。二、SET協(xié)議采用的安全技術(shù)及交易流程學(xué)習(xí)單元3安全電子交易協(xié)議(3)解決多方認(rèn)證問題不僅要對消費(fèi)者的信用卡認(rèn)證,還要對商家的信譽(yù)程度進(jìn)行認(rèn)證,同時(shí)還有消費(fèi)者、商家與銀行間的認(rèn)證,從而驗(yàn)證公共網(wǎng)絡(luò)上進(jìn)行交易活動(dòng)的各方及交易活動(dòng)的合法性。(4)保證電子商務(wù)參與者信息的相互隔離消費(fèi)者的資料被加密或打包后經(jīng)過商家到達(dá)銀行,但是商家不能看到消費(fèi)者的賬戶和密碼信息。(5)廣泛的互操作性保證采用的通信協(xié)議、信息格式和標(biāo)準(zhǔn)具有公共適應(yīng)性,從而可在互聯(lián)網(wǎng)上集成不同廠商的產(chǎn)品,促使不同廠家開發(fā)的軟件具有兼容性和互操作性,并且可以在不同的硬件平臺(tái)和操作系統(tǒng)上運(yùn)行。學(xué)習(xí)單元3安全電子交易協(xié)議2.SET協(xié)議的安全技術(shù)SET協(xié)議比SSL協(xié)議更復(fù)雜,因?yàn)镾ET協(xié)議不僅可以加密兩個(gè)端點(diǎn)(瀏覽器和服務(wù)器)間的單個(gè)會(huì)話,還可以加密和認(rèn)證三方間的多個(gè)信息。其核心技術(shù)主要有對稱加密、數(shù)字信封、數(shù)字證書、消息摘要、數(shù)字簽名、雙重簽名等。(1)對稱加密當(dāng)傳送的數(shù)據(jù)比較多時(shí),一般先生成一個(gè)隨機(jī)的對稱密鑰來加密數(shù)據(jù),同時(shí)用接收方交換公鑰來加密這個(gè)對稱密鑰。(2)數(shù)字信封發(fā)送者利用隨機(jī)生成的對稱密鑰加密信息原文后,再用接收者的公鑰對對稱密鑰進(jìn)行加密,形成數(shù)字信封。學(xué)習(xí)單元3安全電子交易協(xié)議(3)數(shù)字證書數(shù)字證書包含了其所有者的公鑰,并且可以通過傳遞驗(yàn)證到根CA來證明其證書的有效性。(4)消息摘要消息摘要散列值是將任意長度的消息轉(zhuǎn)變成固定長度的短消息。散列函數(shù)為每個(gè)消息產(chǎn)生獨(dú)一無二的散列值。SET協(xié)議使用的散列值的長度是160位,使用SHA-1作為它的算法。學(xué)習(xí)單元3安全電子交易協(xié)議(5)數(shù)字簽名數(shù)字簽名是使用某人的私鑰加密特定的消息摘要散列值而得到的結(jié)果,通過這種方法把人同特定消息聯(lián)系起來。(6)雙重簽名雙重簽名的目的是連接兩個(gè)不同接收方的兩條信息,如發(fā)送給商家的訂購信息和發(fā)送給銀行的支付信息。學(xué)習(xí)單元3安全電子交易協(xié)議3.SET協(xié)議的交易流程在SET協(xié)議交易過程中,由于需要對消費(fèi)者、商家、支付網(wǎng)關(guān)等交易各方進(jìn)行身份認(rèn)證,所以它的交易過程相對復(fù)雜。SET協(xié)議的交易流程如圖3-3-2所示。學(xué)習(xí)單元3安全電子交易協(xié)議(1)消費(fèi)者在網(wǎng)上選購好商品,提交訂單(訂單已包含在線商家和購買物品的名稱、數(shù)量、交貨時(shí)間和地點(diǎn)等信息)。(2)電子商務(wù)服務(wù)器與在線商家聯(lián)系,商家做出應(yīng)答,提醒消費(fèi)者檢查確認(rèn)所提交訂單的單價(jià)、應(yīng)付款數(shù)、交貨方式等信息是否準(zhǔn)確。(3)消費(fèi)者選擇付款方式、確認(rèn)訂單、簽發(fā)付款指令,此時(shí)SET協(xié)議介入。(4)消費(fèi)者對訂單和付款指令進(jìn)行數(shù)字簽名,同時(shí)利用雙重簽名技術(shù)使商家看不到其賬號信息。學(xué)習(xí)單元3安全電子交易協(xié)議(5)商家接受訂單后,向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到達(dá)銀行,由發(fā)卡機(jī)構(gòu)審核后返回確認(rèn)信息給商家。(6)商家發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者軟件記錄交易日志以備查詢。(7)商家發(fā)送貨物或提供服務(wù),并通知收單銀行將款項(xiàng)從消費(fèi)者賬號上轉(zhuǎn)移到商家賬號上,或通知發(fā)卡銀行請求支付。學(xué)習(xí)單元3安全電子交易協(xié)議SSL協(xié)議與SET協(xié)議是電子商務(wù)中最常用的兩個(gè)安全協(xié)議。SSL協(xié)議實(shí)現(xiàn)簡單,獨(dú)立于應(yīng)用層協(xié)議,大部分內(nèi)置于瀏覽器和Web服務(wù)器中,在電子交易中應(yīng)用便利。但它是一個(gè)面向連接的協(xié)議,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,不能在多方的電子交易中實(shí)現(xiàn)認(rèn)證。SET協(xié)議在保留對消費(fèi)者信用卡認(rèn)證的前提下增加了對商家身份的認(rèn)證,安全性進(jìn)一步提高。三、SET協(xié)議與SSL協(xié)議的比較學(xué)習(xí)單元3安全電子交易協(xié)議由于兩協(xié)議的網(wǎng)絡(luò)層次、功能、安全性、處理速度等方面都有所區(qū)別,具體見表3-3-1,所以為電子商務(wù)提供的服務(wù)也不同,在實(shí)踐中應(yīng)根據(jù)具體情況選擇獨(dú)立使用或兩者混合使用。學(xué)習(xí)單元3安全電子交易協(xié)議學(xué)習(xí)單元四移動(dòng)電子商務(wù)安全技術(shù)1.移動(dòng)接入移動(dòng)接入是移動(dòng)用戶使用移動(dòng)終端設(shè)備通過移動(dòng)網(wǎng)絡(luò)訪問因特網(wǎng)信息和服務(wù)的基本手段。移動(dòng)網(wǎng)絡(luò)的覆蓋面是廣域的,用戶可以隨時(shí)隨地進(jìn)行電子商務(wù)交易。2.身份鑒別SIM卡的卡號是全球唯一的,每一張SIM卡對應(yīng)一個(gè)用戶,這使得SIM卡成為移動(dòng)用戶天然的身份識(shí)別工具。利用可編程的SIM卡可以存儲(chǔ)用戶的銀行賬號、CA證書等有效憑證,還可以執(zhí)行數(shù)字簽名、加密算法、公鑰認(rèn)證等電子商務(wù)領(lǐng)域必備的安全操作。一、移動(dòng)電子商務(wù)的特點(diǎn)學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)3.移動(dòng)支付移動(dòng)支付是移動(dòng)電子商務(wù)的一個(gè)重要目標(biāo),用戶可以隨時(shí)隨地完成必要的電子支付業(yè)務(wù)。按照交易對象所處的位置,可以將移動(dòng)支付分為遠(yuǎn)程支付、面對面支付、家庭支付等;按照支付發(fā)生的時(shí)間,可以將移動(dòng)支付分為預(yù)支付、在線即時(shí)支付、離線信用支付等。4.信息安全移動(dòng)電子商務(wù)與因特網(wǎng)電子商務(wù)一樣,具有數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可抵賴性及交易雙方的認(rèn)證與授權(quán)等信息安全需求特征。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)1.無線網(wǎng)絡(luò)自身的安全問題無線網(wǎng)絡(luò)由于自身的限制,在給無線用戶帶來通信便捷性和靈活性的同時(shí)也帶來了諸多不安全因素,如容易遭到竊聽、身份被假冒、基站與移動(dòng)服務(wù)中心的通信受到攻擊等。2.移動(dòng)設(shè)備的不安全因素移動(dòng)設(shè)備的不安全因素主要表現(xiàn)在用戶身份、賬號信息和認(rèn)證密鑰丟失,移動(dòng)設(shè)備被攻擊和數(shù)據(jù)被破壞,SIM卡被復(fù)制,射頻識(shí)別(radiofrequencyidentification,RFID)被解密等方面。例如,不法分子取得用戶的移動(dòng)設(shè)備,并從中讀出用戶的資料信息、賬戶密碼等,就可以假冒用戶身份進(jìn)行一些非法活動(dòng)。二、移動(dòng)電子商務(wù)面臨的安全問題學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)3.手機(jī)病毒造成的安全威脅手機(jī)病毒造成的安全威脅包括:用戶信息、銀行賬號和密碼等被竊;傳播非法信息;破壞手機(jī)軟硬件,導(dǎo)致手機(jī)無法正常工作;造成通信網(wǎng)絡(luò)癱瘓。而移動(dòng)設(shè)備相關(guān)清除病毒的軟件還不是很成熟,不能保證所有移動(dòng)設(shè)備不受病毒的侵害。4.移動(dòng)電子商務(wù)平臺(tái)運(yùn)營管理漏洞造成的安全威脅大量移動(dòng)電子商務(wù)運(yùn)營平臺(tái)對于如何管理、如何進(jìn)行安全等級劃分、如何確保安全運(yùn)營,還普遍缺乏經(jīng)驗(yàn)。移動(dòng)電子商務(wù)平臺(tái)設(shè)計(jì)和建設(shè)中做出的一些技術(shù)控制和程序控制缺乏安全經(jīng)驗(yàn),這就需要在運(yùn)營實(shí)踐中對移動(dòng)電子商務(wù)安全內(nèi)容進(jìn)行修正和完善。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)1.移動(dòng)通信系統(tǒng)的安全技術(shù)第一代模擬蜂窩移動(dòng)通信系統(tǒng)(1G)幾乎沒有采取安全措施,移動(dòng)臺(tái)把其電子序列號(ESN)和網(wǎng)絡(luò)分配的移動(dòng)臺(tái)識(shí)別號(MIN)以明文方式傳送至網(wǎng)絡(luò),若二者相符,即可實(shí)現(xiàn)用戶的接入,結(jié)果造成大量的“克隆”手機(jī),使用戶和運(yùn)營商深受其害。三、移動(dòng)接入安全技術(shù)學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)第二代數(shù)字蜂窩移動(dòng)通信系統(tǒng)(2G)主要有基于時(shí)分多址(TDMA)的GSM系統(tǒng)、DAMPS系統(tǒng)及基于碼分多址(CDMA)的CDMAone系統(tǒng)。這兩類系統(tǒng)安全機(jī)制的實(shí)現(xiàn)有很大區(qū)別,但都是基于私鑰密碼體制,采用共享秘密數(shù)據(jù)(私鑰)的安全協(xié)議實(shí)現(xiàn)對接入用戶的認(rèn)證和數(shù)據(jù)信息的保密,在身份認(rèn)證及加密算法等方面存在著許多安全隱患。第三代移動(dòng)通信系統(tǒng)(3G)在2G的基礎(chǔ)上進(jìn)行了改進(jìn),繼承了2G系統(tǒng)安全的優(yōu)點(diǎn),同時(shí)具有新的特性:①實(shí)現(xiàn)了雙向鑒權(quán)認(rèn)證,不僅提供基站對移動(dòng)設(shè)備的認(rèn)證,還提供移動(dòng)設(shè)備對基站的認(rèn)證,可有效防止偽基站的攻擊和盜打現(xiàn)象發(fā)生;②提供接入鏈路信令數(shù)據(jù)的完整性保護(hù);③密鑰長度增加至128位,并改進(jìn)了加密算法等。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)如今的5G移動(dòng)通信系統(tǒng)具備比前幾代移動(dòng)通信系統(tǒng)更高的性能,用戶體驗(yàn)速率、連接數(shù)密度和時(shí)延是5G最基本的三個(gè)性能指標(biāo)。5G引入網(wǎng)絡(luò)切片技術(shù),使得運(yùn)營商能夠?yàn)椴煌臉I(yè)務(wù)場景提供定制化的網(wǎng)絡(luò)服務(wù)。每個(gè)切片都可以根據(jù)其業(yè)務(wù)需求進(jìn)行獨(dú)立的安全配置和管理,從而確保切片之間的隔離性和安全性。同時(shí),5G提供了從終端到終端的端到端安全解決方案,包括用戶身份認(rèn)證、數(shù)據(jù)加密、完整性保護(hù)和訪問控制等。這可以確保在數(shù)據(jù)傳輸和處理過程中的安全性,防止數(shù)據(jù)泄露和篡改。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)2.無線局域網(wǎng)的安全技術(shù)(1)MAC地址過濾技術(shù)MAC地址過濾技術(shù)又稱MAC認(rèn)證。由于每個(gè)無線客戶端都有唯一的物理地址,即該客戶端無線網(wǎng)卡的地址(MAC地址),所以可以在無線接入點(diǎn)(accesspoint,AP)中維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。無線網(wǎng)絡(luò)中的MAC地址過濾功能與交換機(jī)上的MAC地址綁定功能類似。MAC地址過濾屬于硬件認(rèn)證而非用戶認(rèn)證,它要求AP中的MAC地址列表必須隨時(shí)更新,并且都是手工操作,擴(kuò)展能力較差,增加無線接入用戶時(shí)比較麻煩,適合在小型網(wǎng)絡(luò)中使用。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)(2)服務(wù)集標(biāo)識(shí)(servicesetID,SSID)匹配技術(shù)SSID被稱為第一代無線安全技術(shù),它會(huì)將SSID輸入AP和客戶端中,只有客戶端的SSID與AP中的SSID一致時(shí)才能接到AP中。尤其當(dāng)網(wǎng)絡(luò)中存在多個(gè)AP時(shí),可以設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)(3)有線對等保密(wiredequivalentprivacy,WEP)安全機(jī)制WEP安全機(jī)制是IEEE802.11標(biāo)準(zhǔn)安全機(jī)制的一部分,用來對在空中傳輸?shù)臄?shù)據(jù)幀進(jìn)行加密,在鏈路層提供保密性和數(shù)據(jù)完整性。共享式WEP加密模式雖然需要SSID信息以及WEP加密密鑰兩方面同時(shí)匹配才能連接無線網(wǎng)絡(luò),理論上安全性高,但由于設(shè)計(jì)上存在缺陷,在實(shí)際使用過程中存在被黑客和非法用戶暴力破解WEP加密密鑰的可能,所以實(shí)際使用安全性相對比較低,默認(rèn)情況下無線路由器等產(chǎn)品不使用該加密模式,如要使用需要用戶手工切換。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)(4)Wi-Fi網(wǎng)絡(luò)安全接入(Wi-Fiprotectedaccess,WPA)安全機(jī)制在無線局域網(wǎng)中,移動(dòng)終端和AP采用靜態(tài)WEP加密,AP和它所聯(lián)系的所有移動(dòng)終端都使用相同的加密密鑰,這便會(huì)帶來以下問題:一旦其中一個(gè)用戶的密鑰泄露,其他用戶的密鑰也無法保密了。靜態(tài)WEP密鑰難于管理,改變密鑰時(shí)要通知所有人,而且靜態(tài)WEP加密有嚴(yán)重的安全漏洞,通過無線監(jiān)聽,在收集到一定數(shù)量的數(shù)據(jù)后就可以破解得到WEP密鑰。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)(5)WPA2安全機(jī)制WPA2是WPA的升級版,采用了更為安全的算法,使用AES的芯片組來支持。截至2006年3月,WPA2已經(jīng)成為一種強(qiáng)制性的標(biāo)準(zhǔn),現(xiàn)在大多數(shù)企業(yè)和家用Wi-Fi產(chǎn)品都支持WPA2。(6)WPA3安全機(jī)制WPA3是Wi-Fi身份驗(yàn)證標(biāo)準(zhǔn)WPA2技術(shù)的后續(xù)版本。WPA3標(biāo)準(zhǔn)將加密公共Wi-Fi網(wǎng)絡(luò)上的所有數(shù)據(jù),可以進(jìn)一步保護(hù)不安全的Wi-Fi網(wǎng)絡(luò)。特別是當(dāng)用戶使用酒店和旅游Wi-Fi熱點(diǎn)等公共網(wǎng)絡(luò)時(shí),借助WPA3創(chuàng)建更安全的連接,讓黑客無法窺探用戶的流量,難以獲得私人信息。WPA3僅有路由器等網(wǎng)絡(luò)設(shè)備支持還不夠,還需要手機(jī)、電腦等Wi-Fi終端的支持才能正常使用。學(xué)習(xí)單元3移動(dòng)電子商務(wù)安全技術(shù)(7)無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)安全機(jī)制當(dāng)前全球無線局域網(wǎng)領(lǐng)域僅有兩個(gè)標(biāo)準(zhǔn),分別是美國行業(yè)標(biāo)準(zhǔn)組織提出的IEEE802.11系列標(biāo)準(zhǔn)(包括802.11a/b/g/n/ac等),以及我國提出的無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(wirelessLANauthenticationandprivacyinfrastructure,WAPI)。WAPI

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論