1、项目6 电子商务安全和CA管理,朱 超 云,,主要内容,任务引入,2003 年 2 月初,一名电脑黑客攻破了一家负责代表商家处理信用卡交易业务的企业的数据库,MasterCard、VISA和美国运通三大组织被侵入的信用卡账号总数超过 800 万张,构成有吏以来最大的信用卡资料泄密事故。 无独有偶,前不久,北京、广东两地发生多起股民股票被盗卖盗买事件,一些股民账户上的绩优股被换成了垃圾股“银广夏”,涉及金额 100 多万。 事情发生后,舆论一片哗然,证券机构和银行究竟是哪里出了问题?,(1)电子商务安全威胁有哪些? (2)目前,身份认证有哪些主要手段? (3)目前信息安全存在的主要问题及将来对策
2、?,相关知识,6.1电子商务安全概述 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。,6.1.1计算机网络安全1. 计算机网络安全的概念 计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。,2. 计算机网络安全的防范措施(1)加强内部网络管理人员以及使用人员的安全意识(2)网络防火墙技术 (3)网络主机的操作系统安全和物理安全措施,6.1.2商务交易安全,计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼
3、阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。,6.1.3 电子商务面临的安全威胁1信息泄露2信息被篡改3无法判断交易方是谁4某交易方抵赖,6.1.4 电子商务的安全要求(1)信息传输的保密性(2)交易文件的完整性(3)信息的不可否认性(4)交易者身份的真实性,6.2电子商务安全技术6.2.1 数据加密技术 所谓加密,就是将有关信息进行编码,使它成为一种不可理解的形式。加密后的内容叫做密文。 加密技术能避免各种存储介质上的或通过Internet传送的敏感数据被侵袭者窃取。,数据加密的一般模型,信息(明文和密文)密钥(加密密钥和解密密钥)算法
4、(加密算法和解密算法),1.私有密码加密法(1)私有密钥加密法是什么 私有密钥加密法就是通信双方通过互联网传输信息时,发送方通过密钥A对信息加密,并将生成的密文发送给接收方,接收方通过相同的密钥A对密文解密,得到信息明文。 信息的发送方和接收方使用的密钥是相同的,双方的加密和解密过程正好是相反的,具有对称性,所以又叫做对称密钥加密法。,私有密钥加密法模型,1)对称密钥加密接、收双方采用同一密钥加密和解密。缺点: 密钥的保管复杂:通信方越多,冒用密钥的机率越高,可相互读取别人的信件,无保密性. 无身份鉴别:无法验证消息的发送者和接收者的身份,明文,密文,明文,密钥加密,密钥解密,对称密钥加密,保
5、密:,李明,刘立,刘立的私钥,密文,刘立的公钥,确保只有刘立能够解读该信息,李明的私钥,鉴别:,刘立,李明,密文,李明的公钥,鉴别发件人:只有李明能够发送该信息,(2)私有密钥加密法的特点 私有密钥加密法的最大优点是使用简便,加密和解密的速度很快,效率较高。但它也有以下两个缺点: 1)密钥管理比较困难 2)不能确认发送方身份,2.公开密码加密法(1)公开密钥加密法是什么 公开密钥加密法就是通信双方通过互联网传输信息时,发送方通过密钥A对信息加密,将生成的密文发送给接收方,接收方通过另一个密钥B对密文解密,得到信息明文。 其中,密钥A和密钥B是不相同的。密钥A由发送方私人保管,叫做私人密钥;密钥
6、B对网上的部分或者所有用户都是公开的,叫做公开密钥,公开密钥加密法的名称也由此而来。因为双方使用的密钥不同,加密和解密过程不对称,所以该加密法又叫做非对称密钥加密法。非对称加密算法主要有RSA。,公开密钥加密法模型,2)非对称密钥加密,加密的信息(密文),密文,Internet,收件者的公钥,收件者的私钥,加密,解密,(2)公开密钥加密法的特点 1)密钥管理简单 2)可以确认发送方身份 公开密钥加密法的最大弱点就是他的加密、解密速度慢,处理相同的信息,公开密钥加密法花费的时间可能是私有密钥加密法的100倍。因此它只适合用在数据量较小的信息加密、解密过程中。,密码技术采用密码技术对信息加密:加密
7、:对信息进行编码,使它成为不可理解的内容即:密文解密:加密的逆过程,将密文还原为原来的信息明文(原有信息) 密文 明文 加密:对信息进行编码 解密:对信息解码,Happy New Year,每个字母用前一字母代替,例G代替H,Gzoox Mdv Xdzq,密文,明文,明文,Happy New Year,每个字母用后一个字母代替,密码技术基于密钥的加密方法有两个元素:算法与密钥加密算法是将普通文本或信息与一串数字(密钥)相结合而产生密文的规则。是加密解密的一步一步过程密钥:这个规则需要一串数字,这个数字是密钥.例如,将字母 a、b、c、 d .w、x、 y、 z 的自然顺序保持不变, 使之与 E
8、、 F、 G、 H.Z 、A、 B 、C、 D分别对应,即相差4个字母。这条规则就是加密算法,其中的4为密钥。若原信息为 How are you,按照这个加密算法和密钥,加密后的密文是 LSAEVICSY,基于密钥加密方法的优点加密技术的关键是密钥,加密算法设计困难,而且算法一般公开,基于密钥的变化解决了这一难题。采用一种算法与许多人实现保密通信。发送方基于一个算法,使用不同的密钥向多个接收者发送密文。密文被破译,只需更换一个新的密钥,继续通信。密钥的位数决定加密系统的坚固性。密钥的位数越长,破译的时间越长,难度越大。例如,一个16位的密钥有2的16次方(65536)种不同的密钥。顺序猜测65
9、536种密钥对于计算机是容易的。如果100位的密钥,计算机猜测密钥的时间需要好几个世纪。,6.2.2 数字摘要和数字签名技术 1.数字摘要是什么 数字摘要就是信息发送方利用某种数学算法对信息进行处理后,生成的一个有固定长度的特殊字符串。在传输信息时,将数字摘要一起发送给接收方,接收方可以根据数字摘要判断信息在传输过程中是否被篡改。,目前,在生成数字摘要的数学算法中,Hash算法是最为常用的一种。Hash算法利用Hash函数对信息进行运算,它是一个不可逆的数学算法也就是说,用Hash算法生成的数字摘要用任何办法都无法还原成原信息。,2.数字签名的原理,3)数字签名证明发件人的身份和文件的有效性:
10、1.身份的验证:信息是由签名者发送2.信息的完整性:信息自签发后到收到为止未作任何修改实现方法: 非对称加密 + 信息摘要 数字签名数字签名是实现认证的重要工具,明文,Hash函数,私钥加密,传输,公钥解密,信息摘要,Hash函数,信息摘要,是,数字签名的过程,为避免明文发送,可用对称加密再加密明文,信息摘要,数字签名,完整信息,数字签名的原理及发送方和接收方的加密解密处理过程如下: (1)报文的发送方从报文文本中用HASH编码加密生成一个128位的报文摘要。 (2)发送方用自己的私有密钥对这个报文摘要进行加密,形成发送方的数字签名。 (3)这个数字签名作为报文的附件和报文一起发送给报文的接收
11、方。 (4)报文的接收方从接收到的原始报文中用同样的HASH算法加密得到一个报文摘要。 (5)再用发送方的公开密钥来对报文附加的数字签名进行解密。 (6)将解密后的摘要和接收方重新加密产生的摘要进行对比,如果相同,那么接收方就能确认该数字签名是发送方的,传送过程中信息没有被破坏、篡改。,6.2.3 认证技术 1.数字证书 (1)数字证书的定义 数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。 数字证书是由权威公正的第三方机构即CA 中心签发的,(2)数字证书的功能 1)证实电子商务参与方的身份。 2)保证操作的不可抵赖性。 3)保证交易数据不被篡改。 4)数据
12、加密。,(3)数字证书的类型 1)个人数字证书。 2)服务器数字证书。 3)代码签名数字证书。,2.认证中心(1)认证中心的定义 认证中心:也称数字证书认证中心,英文为Certification Authority,简称CA,是基于因特网平台建立的一个公正的、有权威性的、独立的、受信赖的组织机构,主要负责数字证书的发行、管理以及认证等服务,以保证网上业务安全可靠地进行。,(2)认证中心的功能1)证书的颁发2)证书的更新3)证书的查询4)证书的作废5)证书的归档,客户认证(Client Authentication,CA):-是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某
13、一特定IP地址的授权用户定制访问权限。特点:-CA与IP地址相关,对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。内容:身份认证 信息认证通过认证机构认证(CA),身份认证就是在交易过程中判明和确认贸易双方的真实身份危险:某些非法用户采用窃取口令、修改或伪造等方式对网上交易系统进行攻击,阻止系统资源的合法管理和使用功能:可信性完整性不可抵赖性访问控制,身份认证方式:用户所知道的某个秘密信息用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中
14、存储用户的个人化参数,以及访问系统资源时必须要有的智能卡。用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等,这种认证方案一般造价较高,多半适用于保密程度很高的场合。,信息认证网络传输过程中信息的保密性问题要求:对敏感的文件进行加密,保证数据的完整性,防止截获人在文件中加入其他信息。对数据和信息的来源进行验证,以确保发信人的身份。实现:采用秘密密钥加密系统(Secret Key Encryption)、公开密钥加密系统(Public Key Encryption)或者两者相结合的方式。,认证机构认证(CA)专门机构从事(类似于公证服务)买卖双方的身份确认,既可以保证网上交易的
15、安全性,又可以保证高效性和专业性。一般可用大家信任一方负责,如银行基本原理顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书,证书包含了顾客的名字和他的公钥,以此作为网上证明自己身份的依据。做交易时,应向对方提交一个由 CA(Certified Authentication)签发的包含个人身份的证书,以使对方相信自己的身份。CA中心负责证书的发放、验收,并作为中介承担信用连带责任,认证中心(CA)的树形结构,证书,CA-B,根CA-A,CA-D,CA-E,如果对签发证书的CA不信任,可验证其身份,逐级进行,一直到公认的权威CA机构,就可确信证书的有效性例:C的证书是由
16、名称为B的CA签发,而B的证书是由名称为A的CA签发,A是权威机构,通常称为根CA.确信C的证书是合法,电子商务安全管理方法-技术方法,CA认证体系结构,根CA,品牌CA如:Visa CA,地方 CA如:Visa 欧洲 CA,持卡人CA,商家CA,支付网关CA,持卡人证书,商家证书,支付网关证书,Visa 亚洲 CA,Visa 美洲 CA,根CA,6.3电子商务安全协议 6.3.1 SSL协议 SSL协议(Secure Socket Layer,安全套接层协议)是一种在客户端Web浏览器和Internet上的服务器之间提供数据传输安全通道的协议。,IE中内置的SSL协议,SSL安全协议主要提供
17、三方面的服务 1.认证用户和服务器,使得它们能够确信数据被发送到正确的客户机和服务器上。 2.加密数据以隐藏被传送的数据。 3.维护数据的完整性,确保数据在传输过程中不被改变。,6.3.2 SET协议 SET标准更适合于消费者、商家和银行三方进行网上交易的国际安全标准。网上银行采用SET,确保交易各方身份的合法性和交易的不可否认性,使商家只能得到消费者的订购信息而银行只能获得有关支付信息,确保了交易数据的安全、完整和可靠,从而为人们提供了一个快捷、方便、安全的网上购物环境。,支持安全交易的协议电子商务系统中与电子交易相关的信息有两种:交易信息和 认证信息,为了保证信息传输的安全和信息的完整准确
18、,在 Internet 网络安全技术基础上专门提出了相关的协议。 主要有:SSL安全套接字层协议 SET 安全电子交易协议,SSL安全套接字层协议用于保证服务器与客户机之间信息的保密传输,防止未授权人员窃取,篡改和伪造信息。SSL协议位于传输层与应用层之间,运行于TCP协议之上的一个全新的协议层,用于保护应用层的协议如:HTTP,FTP,TELNET的通信。SET 安全电子交易协议服务器认证,客户机认证SSL协议是对服务器与客户机之间的整个会话进行加密的协议,它由两个子协议构成:握手协议和记录协议SET协议是针对信用卡支付而保护交易信息和支付信息的安全协议。,顾客,商家,支付网关,银行,认证机
19、构,因特网,专用网,2.申请支付卡 和数字认证书,1. 购买信息,3. 商家的认证书和结算银行的认证书,4. 支付信息(支付卡、顾客认证书)和 定购信息,5.支付信息,6 .支付信息,7. 请求对顾客认证,8.认证完成,10 同意支付,SET(安全电子交易)系统的支付过程,任务实施,任务6.1 杀毒软件和防火墙的安装和使用 1.杀毒软件的相关知识 (1)杀毒软件的定义和功能 计算机病毒是一种程序,是一组计算机指令集合;其次它能进行自身复制、传染;再次它能起到破坏作用。,杀毒软件应该具备如下功能和作用 1)查毒 2)杀毒 3)防毒 4)数据的恢复,(2)常用的杀毒软件 1)瑞星 2)江民 3)卡
20、巴斯基 4)金山毒霸,任务6.2 数字证书的安装和使用 1.下载安装根证书 所谓根证书,是CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。,连接到:。由于证书的申请在加密方式下进行,而网证通NETCA是没有经过验证的CA,系统会自动弹出安全警报,证书详细信息,确认后进入网证通电子认证系统的主界面,点击“证书申请”后进入证书申请主界面,由于是初次安装,按照提示,选择“安装证书链”,2.申请个人证书,资料填写完后会显示北京网证通科技有限公司(试用型)电子认证服务协议,点击“继续”后同意以上协议,3. 安装个人证书,4. 验证证书的安装在开始菜
21、单中-运行“mmc”进入控制台,在控制台中,选择“添加/删除管理单元”后,添加“证书”管理单元。如果安装正确,在“个人”“证书”一项中就可以看到颁发者为“NETCA Test Individual CA”的个人数字证书,任务6.3 网上银行安全的管理1.网上银行面临的安全问题 身份真实性 数据机密性 信息完整性 交易行为不可抵赖性,2.网上银行的安全管理(1) Windows补丁安装 Windows补丁安装是USB Key正确安装使用的前提,USBKEY安装光盘中已经提供了补丁程序。 重要提示:由于客户难以判断自己的系统是否已经安装了适当的补丁,建议所有客户无论何种情况,首先安装补丁程序。,(
22、2)USB Key软件程序安装,(3)下载电子证书到USB Key中 登录建设银行网站https:/,在把证书写入USB Key之前,出现对话框,要求输入USB Key的密码,(4)客户证书管理 软件安装完毕后,插入USB Key双击右下角建行标志的图标,打开该管理工具,用户需要先登陆后,才能修改USB Key的密码。点击“登陆”按钮,输入用户密码,项目总结,电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。本文主要从商务交易安全入手,讲解了常见的网络安全技术,包括数据加密技术,数字签名技术,认证技术等,有效保证了信息在传输过程中的保密性,完整性,不可否认性,交易者身份的真实性。通过本章的学习,希望学生能够了解常见的网络安全技术,掌握数字证书的安装和使用流程,从而保证网络交易过程的安全。,课堂训练,1.上网搜集电子商务安全威胁的案例,要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。2. 访问不同类型的电子商务站点,上网搜集相关资料,了解国内网上支付的解决方案。,课外练习,1.登陆http:/ You !,
