第4章电子商务安全技术1.ppt

2023-11-15第4章 电子商务安全技术 第4章 电子商务安全技术2023-11-15第4章 电子商务安全技术4.1 电子商务安全概述电子商务安全所面临的威胁:一是对客户信息的安全威胁二是对传输链路的安全威胁三是对电子商务服务器的安全威胁 2023-11-15第4章 电子商务安全技术客户信息的安全威胁（1）活动页面 嵌套在HTML中的程序，也将构成客户信息安全的重大威胁。远程客户可以通过嵌套的恶意程序，读取用户页面的信息，甚至是保留在Cookie程序中的信用卡用户及密码信息。（2）浏览器的插件 但如果是一些无数字证书，或者是一些不健康的网站的插件，通常带有安全的威胁。这些插件中可能会有病毒，会有恶意攻击程序，会改写你的注册表等等。2023-11-15第4章 电子商务安全技术传输信息的安全威胁 n（1）窃听：随着科学技术的不断发展，窃听的涵义早已超出隔墙偷听、截听电话的概念，它是指借助于技术设备、技术手段，不仅窃取语音信息，还窃取数据、文字、图象等信息。n（2）中断：在通信过程中，通信双方受到第三方干扰，造成通信中断。n（3）篡改：在通信过程中，第三方截获信息并修改了交易双方的内容。n（4）伪造：在通信过程中，第三放伪造交易双方的身份进行交易。2023-11-15第4章 电子商务安全技术2023-11-15第4章 电子商务安全技术电子商务服务器的安全威胁 n（1）系统安全。n（2）数据库系统的安全 2023-11-15第4章 电子商务安全技术电子商务安全的需求 n 1.保密性 保密性一般通过加密技术对传输的信息进行加密处理来实现，常用的加密技术有对称加密和非对称加密 n2.完整性 完整性一般可通过散列算法提取信息的数据摘要的方式来进行对比验证得到。n3.不可抵赖性 不可抵赖性可通过对发送的消息进行数字签名来获取 2023-11-15第4章 电子商务安全技术电子商务安全的内容 n计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。n 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。2023-11-15第4章 电子商务安全技术看下面例子：代换密码（一个或一组代替另外一个或一组字符）例如：网络传输CHINA，对应加密后是：ZEFKX 前移3字符位原文：原文：ABC DEFGHIJKLMNOPQRSTUVWXYZ密文：密文：XYZ ABCDEFGHIJKLMNOPQRSTUVW2023-11-15第4章 电子商务安全技术 由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码进行破译。如何破解这类的密文？如何破解这类的密文？2023-11-15第4章 电子商务安全技术再看一个加密的例子：中国的网络企业70%以上没有信息安全保障 密钥：864513279密文为：络安业没企全的信网息国上络安业没企全的信网息国上70有中以障有中以障%保保8 6 4 5 1 3 2 7 9 中 国 的 网 络 企 业 70%以 上 信 息 安 全 没 有 保 障2023-11-15第4章 电子商务安全技术 现在常用的加密方法按加密程序类型分为三类：散列编散列编码、对称加密和非对称加密码、对称加密和非对称加密 （1）散列编码 相当于信息的指纹，每个信息的散列值是唯一的。使用单向散列函数计算信息的“摘要”，将它连同信息发送给接受方。接受方重新计算“摘要”，并与收到的“摘要”进行比较以验证信息在传输过程中的完整性。这种散列函数使任何两个不同的输入不可能产生相同的输出。因此一个被修改了的文件不可能有同样的“摘要”。2023-11-15第4章 电子商务安全技术 如：（1）“我们7月30号去旅游”AD3D3DFVAF（2）一个实现算法：input=Letusmeetat 9oclockatthesecretplace.;$hash=mhash(MHASH_SHA1,$input);print 散列值为散列值为.bin2hex($hash).n;散列值为 d3b85d710d8f6e4e5efd4d5e67d041f9cecedafed3b85d710d8f6e4e5efd4d5e67d041f9cecedafe 2023-11-15第4章 电子商务安全技术请看下面示意图：请看下面示意图：Letusmeetat9oclockatthesecretplace散列函数我们7月30号去旅游AD3D3DFVAFD3b85d710d8f6e4e5eD3b85d710d8f6e4e5efd4d5e67d041f9cecedafefd4d5e67d041f9cecedafe2023-11-15第4章 电子商务安全技术(2)对称密钥加密体制n也叫私有密钥加密，只用一个密钥对信息进行加密与解密，发送者与接收者都必须知道密钥。对称密钥密码技术要求加密解密双方拥有相同的密钥。n对称密钥密码技术的代表是数据加密标准DESDES（Data Encryption Data Encryption StandardStandard），这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，作为商用的数据加密标准。DES的公布在密码学发展过程中具有重要意义，并且至今仍得到普遍采用。nDES加密的主要步骤：n加密前，先对整个的明文进行分组，每一个组长64位n使用密钥64位（实际56位，8位用于奇偶校验）n对每一个64位分组进行加密处理，产生一组64位密文数据n将各组密文串接起来，得出整个的密文nDES的保密性取决于对密钥的保密,而算法是公开的。2023-11-15第4章 电子商务安全技术对称密钥加密体制密钥：864513279密文为：络安业没企全的信网息国上70有中以障%保 得到原文：8 6 4 5 1 3 2 7 9 中国的网络企业70%以上信息安全没有保 障2023-11-15第4章 电子商务安全技术(3)非对称密钥加密体制 n公钥密钥加密体制对当代密码学的发展具有重要影响。当网络用户数很多时，对称密钥的管理十分繁琐，而公钥密码的密钥管理则可大大简化。n也称公钥密钥加密，它用两个数学相关的密钥对信息进行编码，其中一个叫公开密钥（Public-Key），可随意发给期望同密钥持有者进行安全通信的人；第二个密钥是私有密钥（Private-Key），由用户自己秘密保存，私有密钥持有者对信息进行解密。现代密码算法将加密密钥与解密密钥区分开来，且由加密密钥事实上求不出解密密钥。n公钥密码体制的代表是RSA公钥密码，是由三位发明者姓名（Rivest，Shamir，Adleman）的第一个字母联合构成的。2023-11-15第4章 电子商务安全技术RSA公钥密码(1)n加密密钥Pk（公开密钥）是公开信息，而解密密钥Sk（秘密密钥）是需要保密的。加密算法和解密算法也都是公开的。n特点如下:n发送者用加密密钥Pk对明文X加密后，在接受者用解秘密钥Sk解密，即可恢复出明文：Dsk(Epk(x)=Xn加密和解密的运算可以对调：即Epk(Dsk(X)=X2023-11-15第4章 电子商务安全技术RSA公钥密码(2)n加密密钥是公开的，但不能用它来解密，即Dpk(Epk(X)=Xn在计算机上可以容易的产生成对的Pk和Skn从已知的Pk实际上不可能推导出Sk，即从Pk到Sk是计算上不可能的。n加密和解密算法都是公开的。2023-11-15第4章 电子商务安全技术非对称加密示意图请看非对称加密如何工作的你的公钥加密你的私钥解密我要给你的信息你收到的信息通信网2023-11-15第4章 电子商务安全技术如何保证交易的完整性？保护交易的完整性，就是要保护客户与商家在网络传输的订单信息，结算信息等不受到破坏。第一，保护信息的安全，保证知道发出的信息是否正确的，没有被修改的。可用散列函数提取信息摘要，即数字摘要方法。可用散列函数提取信息摘要，即数字摘要方法。散列函数信息摘要发送接收方用收到的订单信息生成信息摘要，与附加的信息摘要对比，检查信息是否被修改采购订单4.4 认证技术2023-11-15第4章 电子商务安全技术数字摘要（Digital Digest）n数字摘要这一安全认证技术亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。n该编码法采用单向Hash 函数将需加密的明文摘要成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是真身的指纹了。2023-11-15第4章 电子商务安全技术问题：散列算法是公开的，如何有人修改了订单中的送货地址和商品数量，重新生成信息摘要，然后把修改后的信息和新的信息摘要发给商家。商家收到信息后检查，发觉是匹配的，也就是说，修改后也没人发现。那么，我们该如何提出改进方案，保证发信息的人是商家所期待的客户？就是说，我们要让商家能确认发送订单的客户的身份。解决办法：数字签名解决办法：数字签名2023-11-15第4章 电子商务安全技术数字签名(digital signature)n在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。n数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：n信息是由签名者发送的。n信息自签名后到收到为止未曾作过任何修改。n这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。2023-11-15第4章 电子商务安全技术n数字签名并非用“手书签名”类型的图型标志，它采用了双重加密的方法来实现防伪、防赖。其原理为：n被发送文件用SHA编码加密产生128Bit的数字摘要。n发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。n将原文和加密的摘要同时传给对方。n对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。n将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。2023-11-15第4章 电子商务安全技术第二.公钥可帮助我们实现数字签名。商家商家客户客户认证中心认证中心 因为客户密钥是他唯一所有的，也就是说，出来该客户能产生这样的密文外，其他的客户是不能产生这样的密文的，也就是说订单是被客户签名了的，商家从而可以进行身份认证。假如客户抵赖发给商家的订单，商家可以去认证中心鉴别，通过这样的方法，保证了交易的不可抵赖性。2023-11-15第4章 电子商务安全技术我们看看安全交易的示意图：我们看看安全交易的示意图：散列函数数字签名发送给商家采购订单信息摘要客户密钥数字签名散列函数数字签名信息摘要公开密钥信息摘要认证中心认证中心2023-11-15第4章 电子商务安全技术数字信封(Digital Envelope)n数字信封是依靠SET密码系统密钥加密技术和公开密钥加密技术优点，来保证消息的可靠传输的一种加密技术。n在数字信封中，使用随机产生的对称密钥来加密数据：发送者自动生成对称密钥，用它加密原文，将生成的密文连同密钥本身一起在用公开手段传送出去。收信者在解密以后同时得到了对称密钥和用它加密的密文。这样可以保证每次传送都可以由发送方选定不同的密钥进行。2023-11-15第4章 电子商务安全技术n金融交易所使用的密钥必须经常更换，但是为了解决每次更换密钥的问题，数字信封克服了秘密密钥加密中秘