1、第四章第四章 电子商务安全的技术保障电子商务安全的技术保障2011.09第四章第四章 电子商务安全的技术保障电子商务安全的技术保障目目 录录4.1 电子商务的安全要求电子商务的安全要求4.2 防火墙技术防火墙技术4.3 物理隔离技术物理隔离技术4.4 入侵检测技术入侵检测技术4.5 安全扫描技术安全扫描技术4.6 网络防病毒技术网络防病毒技术4.7 加密技术加密技术4.8 认证技术认证技术4.9 安全协议安全协议4.10 本章小结本章小结一一.网络防病毒技术网络防病毒技术网网络络防防病病毒毒技技术术4.6病毒的防护历来是系统安全要解决的一大难题,必须采取病毒的防护历来是系统安全要解决的一大难题
2、,必须采取多方面的防止措施。网络防病毒技术包括预防病毒、检测多方面的防止措施。网络防病毒技术包括预防病毒、检测病毒和消除病毒病毒和消除病毒3种技术。种技术。预防病毒预防病毒检测病毒检测病毒消除病毒消除病毒通过自身常驻系统内存,优先获得通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行病毒进入计算机系统和对系统进行破坏。破坏。通过对计算机病毒通过对计算机病毒的特征来进行判断的特征来进行判断的侦测技。的侦测技。通过对计算机病毒的分析通过对计算机病毒的分析,开发出具有杀除
3、病毒程,开发出具有杀除病毒程序并恢复原文件的软件。序并恢复原文件的软件。第四章第四章 电子商务安全的技术保障电子商务安全的技术保障目目 录录4.1 电子商务的安全要求电子商务的安全要求4.2 防火墙技术防火墙技术4.3 物理隔离技术物理隔离技术4.4 入侵检测技术入侵检测技术4.5 安全扫描技术安全扫描技术4.6 网络防病毒技术网络防病毒技术4.7 加密技术加密技术4.8 认证技术认证技术4.9 安全协议安全协议4.10 本章小结本章小结前言前言加加密密技技术术4.7密码理论与技术主要包括两部分,即基于数学的密码理论密码理论与技术主要包括两部分,即基于数学的密码理论与技术和非数学的密码理论与技
4、术。与技术和非数学的密码理论与技术。基于数学的密码理论与技术非数学的密码理论与技术非数学的密码理论与技术信息隐形、量信息隐形、量子密码、基于子密码、基于生物特征的识生物特征的识别理论与技术别理论与技术公钥密码、分组公钥密码、分组密码、序列密码、密码、序列密码、数字签名、数字签名、Hash函数、身份识别、函数、身份识别、密钥管理、密钥管理、PKI技技术术一一.数据加密概述数据加密概述加加密密技技术术4.7即使有人知道加密程序的细节,没有细节加密所用的密钥即使有人知道加密程序的细节,没有细节加密所用的密钥也无法解开加密的消息。也无法解开加密的消息。用基于数学算法的用基于数学算法的程序和保密的密钥程
5、序和保密的密钥对信息进行编码,对信息进行编码,生成难以理解的字生成难以理解的字符串符串.密文可以经过相应密文可以经过相应的逆变换还原成明的逆变换还原成明文文.加密程序的逻辑称加密程序的逻辑称为加密算法。如果为加密算法。如果把加密解密的变换把加密解密的变换处理过程抽象成数处理过程抽象成数学函数,这个函数学函数,这个函数便是加密算法便是加密算法.加密加密算法算法解密解密加密加密二二.加密算法加密算法加加密密技技术术4.7目前,加密算法很多,根据密钥性质不同,可分为对称加目前,加密算法很多,根据密钥性质不同,可分为对称加密体制和非对称加密体制两大类。密体制和非对称加密体制两大类。又称为公开密钥,加密
6、时使用加密密钥,解密时要使用又称为公开密钥,加密时使用加密密钥,解密时要使用不同的解密密钥,加密密钥和解密密钥不同,这种密码不同的解密密钥,加密密钥和解密密钥不同,这种密码体制的代表是体制的代表是RSA算法。算法。对称密对称密码体制码体制非对称非对称密钥密密钥密码体制码体制又称为秘密密钥,其特点是加密密钥与解密又称为秘密密钥,其特点是加密密钥与解密密钥相同,对称密钥体制中最有代表性的、密钥相同,对称密钥体制中最有代表性的、使用最为广泛的是使用最为广泛的是1977年由美国标准局颁布年由美国标准局颁布的的DES算法。算法。二二.加密算法(续)加密算法(续) 加加密密技技术术4.7对称加密方法的特点
7、是无论加密还是解密都使用对称加密方法的特点是无论加密还是解密都使用同一把密钥,即加密密钥和解密密钥相同。同一把密钥,即加密密钥和解密密钥相同。对称对称加密加密工作工作原理原理In tern et或或 其其他他 网网 络络密密 文文密密 文文明明 文文明明 文文发发 送送 方方接接 收收 方方密密 钥钥密密 钥钥解解 密密加加 密密二二.加密算法(续)加密算法(续) 加加密密技技术术4.7DES即数据加密标准。美国国家标准局为了能使在即数据加密标准。美国国家标准局为了能使在政府部门进行非机密信息处理时保证数据的安全。政府部门进行非机密信息处理时保证数据的安全。密钥数目问题,如何保存和管理密钥数目
8、问题,如何保存和管理密钥将成为一大难题。密钥将成为一大难题。安全传送密钥也是一个难题。安全传送密钥也是一个难题。由于数据发送方和接收方都使用同由于数据发送方和接收方都使用同一密钥,无法鉴别发送方和接收方一密钥,无法鉴别发送方和接收方的身份。的身份。对称对称加密加密体制体制在电在电子商子商务中务中所存所存在的在的问题问题二二.加密算法(续)加密算法(续) 加加密密技技术术4.7非对称加密体制,允许通信双方在不安全的媒体非对称加密体制,允许通信双方在不安全的媒体上交换信息,安全地达成一致的密钥。上交换信息,安全地达成一致的密钥。明文明文密文密文明文明文密文密文Internet或其或其他网络他网络发
9、送方发送方接收方接收方进行加密进行加密进行解密进行解密首先取得接收方的公开密钥首先取得接收方的公开密钥用接收方的私有密钥用接收方的私有密钥然后用接收方的公开密钥然后用接收方的公开密钥非对非对称加称加密体密体制工制工作原作原理理二二.加密算法(续)加密算法(续) 加加密密技技术术4.7非对称加密的特点是安全性好,但速度较慢,不非对称加密的特点是安全性好,但速度较慢,不适合对大的文件进行加密,所以在实际操作中,适合对大的文件进行加密,所以在实际操作中,人们采用对称加密与非对称加密相结合的办法人们采用对称加密与非对称加密相结合的办法在多人之间进行保密信息传输所在多人之间进行保密信息传输所需的密钥组合
10、数量很小。需的密钥组合数量很小。密钥的发布不成问题。密钥的发布不成问题。公开密钥系统可实现数字签名。公开密钥系统可实现数字签名。非非对对称称加加密密体体制制的的优优点点二二.加密算法(续)加密算法(续)加加密密技技术术4.7据统计数字表明,对系统安全的攻击很多是针对密钥进行据统计数字表明,对系统安全的攻击很多是针对密钥进行的攻击,因此如何有效地管理密钥是一个必须解决的问题。的攻击,因此如何有效地管理密钥是一个必须解决的问题。对称加密是基于共同保守秘密来实现对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须的。采用对称加密技术的贸易双方必须保证采用的是相同的密钥,要保证彼此保证采
11、用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同事还要设密钥的交换是安全可靠的,同事还要设定防止密钥泄密和更改密钥的程序。定防止密钥泄密和更改密钥的程序。贸易伙伴间可以使用数字证书(公开密钥证书)贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟制定的标准来交换公开密钥。国际电信联盟制定的标准X.500对数字证书进行了定义,数字证书能够起对数字证书进行了定义,数字证书能够起到标识贸易方的作用,是目前电子商务广泛采用到标识贸易方的作用,是目前电子商务广泛采用的技术之一。的技术之一。对对称称密密钥钥管管理理公公开开密密钥钥管管理理三三.数字签名数字签名加加密密技技术术4.
12、7如何辨别谁是信息的发送者以及信息的完整性,为了解决如何辨别谁是信息的发送者以及信息的完整性,为了解决这一问题,人们研制出了数字签名技术。这一问题,人们研制出了数字签名技术。数字数字签名签名工作工作原理原理功能功能接受者可以确认发送者的真实身份。接受者可以确认发送者的真实身份。发送者事后不能否认发送过该报文。发送者事后不能否认发送过该报文。保证报文的准确性和完整性。保证报文的准确性和完整性。三三.数字签名(续)数字签名(续)加加密密技技术术4.7数字签名的类型数字签名的类型公共密钥的数字签名公共密钥的数字签名由于私有密钥的数字签名技术由于私有密钥的数字签名技术需要第三方参与,还必须保证需要第三
13、方参与,还必须保证密钥管理权威机构的安全性和密钥管理权威机构的安全性和可靠性,所以这种机制就给网可靠性,所以这种机制就给网络管理工作带来了诸多不便。络管理工作带来了诸多不便。私有密钥的数字签名私有密钥的数字签名发送方和接收方依照事先约定发送方和接收方依照事先约定的密钥进行加密和解密的算法的密钥进行加密和解密的算法,加密和解密均使用同一密钥,加密和解密均使用同一密钥。数字摘要的数字签名数字摘要的数字签名这一方法与上述只需确认的数这一方法与上述只需确认的数字签名是一致的,不过这里的字签名是一致的,不过这里的CK被定义为被定义为“数字摘要数字摘要”(digital digest)。)。只需确认的数字
14、签名只需确认的数字签名签名方法具有两种相互区别的签名方法具有两种相互区别的功能:确认和保密。功能:确认和保密。四四. PKI加密技术加密技术加加密密技技术术4.7PKI即公共密钥基础设施是一种集中化的、易于管理的网路即公共密钥基础设施是一种集中化的、易于管理的网路安全方案,支持多种形式的数字染整,例如数字加密、数安全方案,支持多种形式的数字染整,例如数字加密、数字签名、不可否认、甄别、密钥管理以及交叉认证等。字签名、不可否认、甄别、密钥管理以及交叉认证等。 证书与认证机构交叉签证数字签名的不可抵赖性加密密钥和签名密钥的分隔证书、密钥的自动更换密钥历史的管理PKI为网络的具体应用提供了以下一些安
15、全支持:为网络的具体应用提供了以下一些安全支持:四四. PKI加密技术(续)加密技术(续)加加密密技技术术4.7PKI加密技术的实施对应用主体和具体技术都必须达到了一加密技术的实施对应用主体和具体技术都必须达到了一些特殊的要求,才能使些特殊的要求,才能使PKI加密技术发挥最大的功效。加密技术发挥最大的功效。 多供应商的认证交多供应商的认证交互即交叉证书互即交叉证书 注废证书注废证书 行业标准行业标准 X.509的技术限制的技术限制 成本要求成本要求 用户的可接受度用户的可接受度 初期准备工作的充分程初期准备工作的充分程度度 是否拥有具备是否拥有具备PKI经验的经验的技术人员技术人员 应用系统对
16、电子证书的应用系统对电子证书的处理处理 扩充性扩充性企业及系统本身企业及系统本身所要具备的条件所要具备的条件技术方面的考虑技术方面的考虑第四章第四章 电子商务安全的技术保障电子商务安全的技术保障目目 录录4.1 电子商务的安全要求电子商务的安全要求4.2 防火墙技术防火墙技术4.3 物理隔离技术物理隔离技术4.4 入侵检测技术入侵检测技术4.5 安全扫描技术安全扫描技术4.6 网络防病毒技术网络防病毒技术4.7 加密技术加密技术4.8 认证技术认证技术4.9 安全协议安全协议4.10 本章小结本章小结一一. 客户认证客户认证认认证证技技术术4.8客户认证是基于用户的客户端主机客户认证是基于用户
17、的客户端主机IP地址的一种认证机制,地址的一种认证机制,允许系统管理员为具有某一特定允许系统管理员为具有某一特定IP地址的授权用户定制访地址的授权用户定制访问权限。问权限。后者则用于保证后者则用于保证通信双方的不同通信双方的不同抵赖性和信息的抵赖性和信息的完整性。在某些完整性。在某些情况下,通过认情况下,通过认证机构所进行的证机构所进行的信息认证比信息信息认证比信息保密更为重要。保密更为重要。前者用于前者用于鉴别用户鉴别用户的身份,的身份,客户认证技术是客户认证技术是保证电子商务交保证电子商务交易安全的一项重易安全的一项重要技术,主要包要技术,主要包括身份认证和通括身份认证和通过电子认证服务过
18、电子认证服务机构所进行的信机构所进行的信息认证。息认证。二二. 身份认证身份认证认认证证技技术术4.8身份认证是判明和确认贸易双方真实身份的重要环节,也身份认证是判明和确认贸易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。是电子商务交易过程中最薄弱的环节。信息的来源是可信信息的来源是可信的,即信息的接收的,即信息的接收者能够确认所获得者能够确认所获得的信息不是由假冒的信息不是由假冒者所发出的。者所发出的。可信性可信性不可否认性不可否认性访问控制访问控制完整性完整性认证机构或信息服务商应当提供如上认证的功能认证机构或信息服务商应当提供如上认证的功能要求信息发送者不要求信息发送者不能
19、否认自己所发出能否认自己所发出的信息,同时,信的信息,同时,信息接收者不能否认息接收者不能否认以已经收到了信息。以已经收到了信息。要求信息在传输过要求信息在传输过程中保持完整,亦程中保持完整,亦即信息接收者能够即信息接收者能够确认所获得的信息确认所获得的信息在传输过程中没有在传输过程中没有被修改、替换和延被修改、替换和延迟。迟。要求能够拒绝非法要求能够拒绝非法用户访问系统资源,用户访问系统资源,合法用户也只能访合法用户也只能访问系统授权及指定问系统授权及指定范围内的资源。范围内的资源。二二. 身份认证(续)身份认证(续)认认证证技技术术4.8一般来说,用户身份认证可通过三种基本方式或其组合方一
20、般来说,用户身份认证可通过三种基本方式或其组合方式来实现。式来实现。用户通过某个秘密信息,例如用户通过用户通过某个秘密信息,例如用户通过自己的口令访问系统资源。自己的口令访问系统资源。用户知道某个秘密信息,并且利用包含这用户知道某个秘密信息,并且利用包含这一秘密信息的载体访问系统资源。一秘密信息的载体访问系统资源。用户利用自身所具有的某些生物学特征,如指用户利用自身所具有的某些生物学特征,如指纹、声音、纹、声音、DNA、视网膜等访问系统资源。、视网膜等访问系统资源。123二二. 身份认证(续)身份认证(续)认认证证技技术术4.8根据在身份认证中采用因素的多少,用户身份认证可以分根据在身份认证中
21、采用因素的多少,用户身份认证可以分为单因素认证、双因素认证、多因素认证等。为单因素认证、双因素认证、多因素认证等。一次口令制一次口令制基于智能基于智能卡的用户卡的用户身份认证身份认证身份认证身份认证的单因素的单因素法法最安全的身份认证机制是一次口令机制,即每次最安全的身份认证机制是一次口令机制,即每次用户登录系统时口令互不相同。一次口令机制主要用户登录系统时口令互不相同。一次口令机制主要有两种实现方式。有两种实现方式。用户身份认证的最简单方法就是口令。系统事先保存每个用户用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元信息,进入系统时用户输入二元组信息,系统将保存的的二元信息,进入
22、系统时用户输入二元组信息,系统将保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法用户信息和用户输入的信息相比较,从而判断用户身份的合法性。性。用户的二元组信息预先存于只能卡中,然后在认证服务用户的二元组信息预先存于只能卡中,然后在认证服务器中存入事先由用户选择的某个随机数。用户访问系统资器中存入事先由用户选择的某个随机数。用户访问系统资源时,用户输入二元组信息。系统首先判断智能卡的合法源时,用户输入二元组信息。系统首先判断智能卡的合法性,然后由智能卡鉴别用户身份。性,然后由智能卡鉴别用户身份。三三. CA认证认证认认证证技技术术4.8CA认证概述。认证概述。 CA中心中心 CA中心
23、职责中心职责CA的功能的功能CA中心就是负责验证公钥主体的真实身份以及它与公钥的匹配关中心就是负责验证公钥主体的真实身份以及它与公钥的匹配关系的机构,在完成验证后,为网络用户发放数字证书。系的机构,在完成验证后,为网络用户发放数字证书。接受注册请求,处理、批准接受注册请求,处理、批准/拒绝请求,颁发证书。拒绝请求,颁发证书。CA认证中心负责对认证中心负责对Internet上的用户进行管理和授权,它接受参与上的用户进行管理和授权,它接受参与电子商务交易各方的申请,审查申请者在真实世界中的资质和身份电子商务交易各方的申请,审查申请者在真实世界中的资质和身份。三三. CA认证(续)认证(续)认认证证
24、技技术术4.8CA认证的过程。认证的过程。电子商务交易的各方向电子商务交易的各方向CA提交自己的公开密钥和其他代表自己身提交自己的公开密钥和其他代表自己身份的信息。份的信息。CA中心在验证了用户的有效身份后,向用户颁发一个附有自己签名中心在验证了用户的有效身份后,向用户颁发一个附有自己签名的证书,该数字证书用的证书,该数字证书用CA的私有密钥进行加密。的私有密钥进行加密。参与电子商务交易的各方如果从同一个参与电子商务交易的各方如果从同一个CA处获得来数字证书或相处获得来数字证书或相互信任为对方签发证书的互信任为对方签发证书的CA的私有密钥进行加密。的私有密钥进行加密。123如果想要验证对方数字
25、证书的可信程度,即可以利用如果想要验证对方数字证书的可信程度,即可以利用CA的公开密的公开密钥验证其数字签名。钥验证其数字签名。当用户的私有密钥泄露或由于证书的有效期已到,当用户的私有密钥泄露或由于证书的有效期已到,CA中心就需要中心就需要讲该用户的数字证书作废,并要向外界公开作废证书的信息。讲该用户的数字证书作废,并要向外界公开作废证书的信息。45三三. CA认证(续)认证(续)认认证证技技术术4.8电子商务电子商务CA体系包括两大部分,符合体系包括两大部分,符合SET标准的标准的SET CA认证认证体系和基于体系和基于X.509的的PKI CA体系。体系。根根 认认 证证 中中 心心 (
26、R oot C A )品品 牌牌 认认 证证 中中 心心 ( B rand C A )区区 域域 性性 认认 证证 中中 心心 ( G eo-political C A )持持 卡卡 人人商商 户户支支 付付 网网 关关持持 卡卡 人人 认认 证证 中中 心心( C ardholder C A )商商 务务 认认 证证 中中 心心( M erchant C A )支支 付付 网网 关关 认认 证证 中中 心心( P aym ent G atew ay C A )SET CA是一套严密的认证体系,可保证是一套严密的认证体系,可保证B2C类型的电子商务安全顺类型的电子商务安全顺利进行。但利进行。但
27、SET认证结构只适用于卡基支付,对其他支付方式是有认证结构只适用于卡基支付,对其他支付方式是有所限制的。所限制的。 SET中中CA的层次结构如下的层次结构如下三三. CA认证(续)认证(续)认认证证技技术术4.8PKI(Public Key Infrastructure,公钥基础设施)是提供公钥,公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台,目前公认的在大型加密和数字签字服务的安全基础平台,目前公认的在大型开放网络环境下解决信息安全问题是可行、最有效的方法。开放网络环境下解决信息安全问题是可行、最有效的方法。PKI的主要功能和服务的主要功能和服务三三. CA认证(续)认证(续)认认
28、证证技技术术4.8一个典型的一个典型的PKI应用系统包括五个部分:密钥管理系统、证应用系统包括五个部分:密钥管理系统、证书受理子系统、证书签发子系统、证书发布子系统、目录书受理子系统、证书签发子系统、证书发布子系统、目录服务子系统。服务子系统。PKI体系的构成体系的构成四四. 数字证书数字证书认认证证技技术术4.8中华人民共和国电子签名法中华人民共和国电子签名法规定,电子签名认证证书规定,电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。电文或者其他电子记录。数字证书是公开密钥体制(非对称加密体制)下的一种
29、权数字证书是公开密钥体制(非对称加密体制)下的一种权威性的电子文档,是电子商务交易中的一种身份证,用于威性的电子文档,是电子商务交易中的一种身份证,用于证明某一参与交易方的身份及其公开密钥的合法性。证明某一参与交易方的身份及其公开密钥的合法性。.数字证书就是网络通信中标志通信各方身份信息的一系列数据数字证书就是网络通信中标志通信各方身份信息的一系列数据,提供了一种在,提供了一种在Internet上验证您身份的方式,其作用类似于公上验证您身份的方式,其作用类似于公司的营业执照或日常生活中的身份证明文件。司的营业执照或日常生活中的身份证明文件。数字证书是一个经证书授权中心数字签名的、包数字证书是一
30、个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。含公开密钥拥有者信息以及公开密钥的文件。定义定义1定义定义2定义定义3四四. 数字证书(续)数字证书(续)认认证证技技术术4.8数字证书是一份文档,记录了用户的公开密钥和其他身份数字证书是一份文档,记录了用户的公开密钥和其他身份信息。信息。数字证书的内容组成数字证书的内容组成认认 证证 机机 构构 数数 字字 签签 名名数数 字字 签签 名名算算 法法 识识 别别公公 钥钥 值值证证 书书认认 证证 机机 构构 的的签签 字字 密密 钥钥证证 书书 格格 式式 版版 本本证证 书书 序序 列列 号号 码码 ( 证证 书书 )
31、证证 书书 识识 别别 符符 ( 发发 证证 机机 构构 )证证 书书 发发 行行 机机 构构 名名 ( X 500名名 )使使 用用 期期 限限 ( 起起 止止 日日 期期 、 时时 间间 )主主 体体 名名 ( X 500名名 )主主 体体 公公 司司 信信 息息发发 证证 者者 身身 份份 识识 别别主主 体体 者者 身身 份份 识识 别别四四. 数字证书(续)数字证书(续)认认证证技技术术4.8根据不同的分类标准可以有不同的证书,在这里,可根据根据不同的分类标准可以有不同的证书,在这里,可根据不同的证书持有者来可分为不同的证书持有者来可分为3类不同的数字证书。类不同的数字证书。顾客支付
32、证书顾客支付证书商家证书商家证书其他证书其他证书在购买时他必须向商家证明在购买时他必须向商家证明他的电子支付卡是有效的并他的电子支付卡是有效的并且可以支付他购买的商品,且可以支付他购买的商品,顾客支付证书提供了这种证顾客支付证书提供了这种证明。明。商家证书与用户证书一商家证书与用户证书一样都是由金融机构颁样都是由金融机构颁发的,它实际上是商发的,它实际上是商家与金融机构之间达家与金融机构之间达成的一种协议。成的一种协议。其他证书还包括发卡其他证书还包括发卡行证书,收款行证行证书,收款行证书等。书等。四四. 数字证书(续)数字证书(续)认认证证技技术术4.8数字证书的管理和验证,数字证书的管理和
33、验证,CA管理机构包括审核授权部门和管理机构包括审核授权部门和证书操作部门。证书操作部门。负责对证书申请者进行资格审查,决定是否同意给负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的、为该申请者发放证书,并承担因审核错误引起的、为不满足资格证书申请者发放证书所引起的一切后果不满足资格证书申请者发放证书所引起的一切后果。负责为已授权的申请者制作、发放和管理证书,并负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,没有获得授权者发放证书等,每一份数字证书都
34、与上一级的签名证书相关联,最每一份数字证书都与上一级的签名证书相关联,最终通过安全认证追溯到一个已知的可信赖的机构。终通过安全认证追溯到一个已知的可信赖的机构。由此便可以对各级数字证书的有效性进行验证。由此便可以对各级数字证书的有效性进行验证。审核授权审核授权部门部门证书操作证书操作部门部门数字证书数字证书的验证的验证第四章第四章 电子商务安全的技术保障电子商务安全的技术保障目目 录录4.1 电子商务的安全要求电子商务的安全要求4.2 防火墙技术防火墙技术4.3 物理隔离技术物理隔离技术4.4 入侵检测技术入侵检测技术4.5 安全扫描技术安全扫描技术4.6 网络防病毒技术网络防病毒技术4.7
35、加密技术加密技术4.8 认证技术认证技术4.9 安全协议安全协议4.10 本章小结本章小结前言前言安安全全协协议议4.9保障电子商务的安全可靠,除了要依靠上述的一些基本的保障电子商务的安全可靠,除了要依靠上述的一些基本的安全技术外,还需要制定一系列的安全规范。安全技术外,还需要制定一系列的安全规范。SSL协议协议SET协议协议S-HTTPS/MIME安全套接层协议安全电子交易协议安全电子交易协议安全超文本传输协议安全超文本传输协议安全多媒体安全多媒体Internet邮件扩展协议邮件扩展协议一一. SSL协议协议安安全全协协议议4.9SSL最初是由最初是由Netscape Communicati
36、on公司设计开发的一种公司设计开发的一种安全技术规范,包含在安全技术规范,包含在Internet上两个节点之间建立安全的上两个节点之间建立安全的TCP连接的流程及使用的技术。连接的流程及使用的技术。利用认证技利用认证技术识别用户和术识别用户和客户机的身份。客户机的身份。利用加密技术利用加密技术保证通道的保保证通道的保密性。密性。利用数字签名利用数字签名技术保证信息技术保证信息传送的完整性。传送的完整性。SSL协议工作原理协议工作原理一一. SSL协议(续)协议(续)安安全全协协议议4.9SSL协议的安全交易过程。协议的安全交易过程。安全交易安全交易过程过程接通阶段接通阶段检验阶段检验阶段会谈密
37、码阶段会谈密码阶段结束阶段结束阶段密码交换阶段密码交换阶段客户认证阶段客户认证阶段一一. SSL协议(续)协议(续)安安全全协协议议4.9SSL协议的优点和缺点。协议的优点和缺点。支持很多加密算法支持很多加密算法其实现过程比较简其实现过程比较简单,独立于应用层单,独立于应用层协议协议被大部分的浏览器被大部分的浏览器和服务器内置,实和服务器内置,实现方便现方便优点优点缺点缺点u只能建立亮点之只能建立亮点之间的安全连线间的安全连线u只能保证连接通只能保证连接通道是安全的而没有道是安全的而没有其他的保证其他的保证u不能保证商家会不能保证商家会私自保留或盗用他私自保留或盗用他的付款信息的付款信息二二.
38、 SET协议协议安安全全协协议议4.9SET协议为在线交易而设立的一个开放的、以电子货币为基协议为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范,它采用公钥密码体制和础的电子付款系统规范,它采用公钥密码体制和X.509数字数字证书标准,主要应用于证书标准,主要应用于B2C模式中保障支付信息的安全性。模式中保障支付信息的安全性。 1.保证电子商务参与者信息的相互隔离。客户的资料加密或保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行。打包后通过商家到达银行。3.解决多方认证问题,不仅要对消费者的信用解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商
39、店的信誉程度认证,卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。同时还有消费者、在线商店与银行间的认证。2.保证信息在保证信息在Internet上安全传输,防止数据被黑上安全传输,防止数据被黑客或被内部人员窃取。客或被内部人员窃取。4.保证了网上交易的实时性,使所有的支付过保证了网上交易的实时性,使所有的支付过程都是在线的。程都是在线的。5.规范协议和消息格式,促使不同厂家开发兼容性和互操规范协议和消息格式,促使不同厂家开发兼容性和互操作功能的软件,并可运行在不同的硬件和操作系统平台上。作功能的软件,并可运行在不同的硬件和操作系统平台上。SET协议的协议的主要
40、目标主要目标二二. SET协议(续)协议(续)安安全全协协议议4.9SET的交易流程的交易流程消费者利用已有的计算机通过消费者利用已有的计算机通过Internet选定物品,并下电子订单;选定物品,并下电子订单;通过电子商务服务器与网上商场联系,网上商场做出应答,告诉消费者的订单的通过电子商务服务器与网上商场联系,网上商场做出应答,告诉消费者的订单的相关情况;相关情况;消费者选择付款方式,确认订单,签发付款指令(此时消费者选择付款方式,确认订单,签发付款指令(此时SET介入);介入);123在在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保中,消费者必须对订单和付款指令
41、进行数字签名,同时利用双重签名技术保证商家看不到消费者的帐号信息证商家看不到消费者的帐号信息在线商店接受订单后,向消费者所在银行请求支付认可,信息通过支付网关到收在线商店接受订单后,向消费者所在银行请求支付认可,信息通过支付网关到收单银行,再到电子货币发行公司确认,批准交易后,返回确认信息给在线商店;单银行,再到电子货币发行公司确认,批准交易后,返回确认信息给在线商店;在线商店发送订单确认信息给消费者,消费者端软件可记录交易日志,以备将来在线商店发送订单确认信息给消费者,消费者端软件可记录交易日志,以备将来查询;查询;456在线商店发送货物或提供服务,并通知收单银行从消费者的帐号转移到商店帐号
42、在线商店发送货物或提供服务,并通知收单银行从消费者的帐号转移到商店帐号,或通知发卡银行请求支付。,或通知发卡银行请求支付。7二二. SET协议(续)协议(续)安安全全协协议议4.9从从1997年年5月月31日日SET协议协议1.0版正式发布以来,大量的现场版正式发布以来,大量的现场实验和实施效果获得了业界的支持,促进了实验和实施效果获得了业界的支持,促进了SET良好的发展良好的发展趋势,趋势,SET协议的优点主要如下。协议的优点主要如下。 SET协议对顾客提供了更好的协议对顾客提供了更好的安全保护安全保护.1.2.SET协议为商家提供了保护协议为商家提供了保护自己的手段自己的手段.二二. SE
43、T协议(续)协议(续)安安全全协协议议4.9SET协议的缺点。协议的缺点。SET技术规范没有提及在事务技术规范没有提及在事务处理完成后,如何安全地保存或处理完成后,如何安全地保存或销毁此类数据,是否应当将数据销毁此类数据,是否应当将数据保存在消费者、在线商店或收单保存在消费者、在线商店或收单银行的计算机里,这种漏洞又可银行的计算机里,这种漏洞又可能使得数据以后受到潜在的攻击能使得数据以后受到潜在的攻击。SET协议没有说明收单银行给在协议没有说明收单银行给在线商店付款前,是否必须收到消线商店付款前,是否必须收到消费者的货物接收证书,如果在线费者的货物接收证书,如果在线商店提供的货物不符合质量标准
44、商店提供的货物不符合质量标准,消费者提出异议,责任由谁承,消费者提出异议,责任由谁承担。担。SET协议没有担保协议没有担保“非拒绝行非拒绝行为为”,这意味着在线商店没有,这意味着在线商店没有办法证明订购是由签署证书的、办法证明订购是由签署证书的、讲信用的消费者发出的。讲信用的消费者发出的。对银行和发卡机构以及各种信用卡对银行和发卡机构以及各种信用卡组织来说,组织来说,SET要求在银行网络、商要求在银行网络、商家服务器、顾客的家服务器、顾客的PC上安装相应的软上安装相应的软件。这些阻止了件。这些阻止了SET协议的广泛发展协议的广泛发展。而且,。而且,SET协议要求必须向各方发协议要求必须向各方发
45、放证书,这也成为阻碍放证书,这也成为阻碍三三.其他的安全协议其他的安全协议安安全全协协议议4.9其他安全协议还有安全超文本传输协议和安全多媒体其他安全协议还有安全超文本传输协议和安全多媒体Internet邮件扩展协议。邮件扩展协议。安全超文本传输协议安全超文本传输协议安全多媒体安全多媒体Internet邮件扩展邮件扩展协议协议常用的安全协议,用于安全地传输电子邮件基于基于SSl协议的,通过密钥协议的,通过密钥加密技术,保障了加密技术,保障了Web站点站点上信息的安全,为上信息的安全,为Web文档文档提供了完整性、鉴别、不可提供了完整性、鉴别、不可抵赖性和机密性等安全措施。抵赖性和机密性等安全措
46、施。支持支持S-HTTP协议的网站协议的网站URL以以shttp:/标识开始。标识开始。第四章第四章 电子商务安全的技术保障电子商务安全的技术保障目目 录录4.1 电子商务的安全要求电子商务的安全要求4.2 防火墙技术防火墙技术4.3 物理隔离技术物理隔离技术4.4 入侵检测技术入侵检测技术4.5 安全扫描技术安全扫描技术4.6 网络防病毒技术网络防病毒技术4.7 加密技术加密技术4.8 认证技术认证技术4.9 安全协议安全协议4.10 本章小结本章小结本本章章小小结结4.10从理论角度对加密技从理论角度对加密技术进行了说明,分析术进行了说明,分析了了PKI加密技术的原理加密技术的原理内容。内
47、容。简要分析了保障电子简要分析了保障电子商务安全的两种安全商务安全的两种安全协议:协议:SSL和和SET。介绍了常用的几种认介绍了常用的几种认证技术,并对使用数证技术,并对使用数字证书进行认证的流字证书进行认证的流程进行了分析。程进行了分析。1243深入分析了保障电子深入分析了保障电子商务安全的防火墙技商务安全的防火墙技术以及入侵检测技术,术以及入侵检测技术,并且对物理隔离技术、并且对物理隔离技术、安全扫描技术和防病安全扫描技术和防病毒技术进行了简要介毒技术进行了简要介绍。绍。Thank you !勘误表4.6网络防病毒技术 第二段最后一行“监测”-“检测”4.7加密技术 第五段第四行“不见” 去掉4.7.1数据加密概述 3 .加密算法 第二段第二行“用力”去掉,最后一段第一行“我 ”去掉、具体在WORD中以特别的记号标出来啦!
