电子商务交易安全.ppt

《电子商务交易安全.ppt》由会员分享，可在线阅读，更多相关《电子商务交易安全.ppt（46页珍藏版）》请在第壹文秘上搜索。

1、第三章第三章电子商务交易安全电子商务交易安全 电子商务安全技术概述电子商务安全技术概述1信息传输的保密性4交易者身份的真实性2文件交易的完整性电子商务安全控制要求电子商务安全控制要求3信息的不可否认性安全认证手段安全认证手段数字摘要、数字签名、数字信封、CA体系安全应用协议安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法基本加密算法非对称密钥加密、对称密钥加密、DES、RSA电子商务业务系统电子商务业务系统电子商务支付系统电子商务支付系统电子商务安全交易体系电子商务安全技术概述电子商务安全技术概述第一节第一节 电子商务安全技术电子商务安全技术 采用数学方法对原始信息（采用数学

2、方法对原始信息（明文明文M）进行再组织，使得加）进行再组织，使得加密后在网络上公开传输的内容对于非法接受者来说成为无意密后在网络上公开传输的内容对于非法接受者来说成为无意义的文字（义的文字（密文密文C）。）。如何转换？密钥密钥！用密钥将普通文本加密的步骤称为加密算法加密算法。几个概念几个概念、信息加密、信息加密 通用密钥密码体制（对称密码体制）通用密钥密码体制（对称密码体制） 公开密钥密码体制（非对称密码体制）公开密钥密码体制（非对称密码体制）加密密钥与解密密钥相同加密密钥与解密密钥相同加密密钥与解密密钥不同加密密钥与解密密钥不同、信息加密、信息加密 通用密钥密码体制通用密钥密码体制是指发送和

3、接收数据的双方必须是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算，这时的密钥称为使用相同的密钥进行加密和解密运算，这时的密钥称为对称密钥。最典型的对称密钥加密算法：美国的数据加对称密钥。最典型的对称密钥加密算法：美国的数据加密标准（密标准（DES：Data Encrypt Standard）。）。概念概念一、通用密钥密码体制一、通用密钥密码体制单字母加密方法例：明文（记做m）为“important” 则密文为？一、通用密钥密码体制一、通用密钥密码体制单表置换密码单表置换密码 假设密钥key是Jingguanxueyuan，由此密码构造的字符置换表如下：明文a b c d e f

4、g h i j k l mn o p q r s t u v wx y z密文 如果密文是qkfkookt#yp#jhkqeuo#gjw，请写出明文单表置换密码单表置换密码 假设密钥key是Jingguanxueyuan，由此密码构造的字符置换表如下：明文a b c d e f g h i j k l mn o p q r s t u v wx y z密文j i n g u a x e y b c d f h k l mo p q r s t v wz 如果密文是qkfkookt#yp#jhkqeuo#gjw，请写出明文解密结果：解密结果：Tomorrow#is#another#day多表式密

5、码多表式密码H O W A R E Y O U明文明文+）E N G L A N D E D密钥字串密钥字串L B C L R R B S H密文密文举例：举例：摩尔斯电码摩尔斯电码一、通用密钥密码体制一、通用密钥密码体制优点：加密速度快，适于大量数据的加密处理。缺点：12密钥分配与管理工作量大。密钥分配与管理工作量大。难以进行用户身份认定难以进行用户身份认定一、通用密钥密码体制一、通用密钥密码体制信息加密和解密使用的是不同的两个密信息加密和解密使用的是不同的两个密钥（称为钥（称为“密钥对密钥对”，一个是公开密钥，一，一个是公开密钥，一个是私个是私人人密钥）。密钥）。概念概念二、公开密钥密码体

6、制二、公开密钥密码体制如果用公开密钥对数据进行加密，则只如果用公开密钥对数据进行加密，则只有用对应的私有用对应的私人人密钥才能解密；反之，若密钥才能解密；反之，若用私用私人人密钥对数据进行加密，则须用相应密钥对数据进行加密，则须用相应的公开密钥才能解密。的公开密钥才能解密。代表性加密技术：代表性加密技术：RSA技术技术概念概念二、公开密钥密码体制二、公开密钥密码体制RSA原理l 将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。 RSA原理l 公开密钥（，）l 私人密钥（，）l 加密：emodl 解密：dmod定向定向通信通信不可不可抵赖抵赖两

7、种效果两种效果二、公开密钥密码体制二、公开密钥密码体制缺点：慢。优点：12解决密钥管理和分发难的问题。解决密钥管理和分发难的问题。可以确认发送方身份。可以确认发送方身份。二、公开密钥密码体制二、公开密钥密码体制第二节第二节 安全认证技术安全认证技术手手工工签签名名认认证证手工签名手工签名原原信信息息发送端发送端接收端接收端作用：作用：判定文件是否被篡改判定文件是否被篡改。摘摘要要Hash函函数加密数加密摘摘要要Hash函函数加密数加密对比原原信信息息摘摘要要internetinternet1 1、数字摘要、数字摘要发送端发送端接收端接收端原原信信息息作用：作用：确认身份，防抵赖确认身份，防抵赖

8、； 判定文件是否被篡改判定文件是否被篡改。摘摘要要Hash函数函数加密加密数数字字签签名名发送者私发送者私钥加密钥加密internetinternet原原信信息息数数字字签签名名摘摘要要摘摘要要Hash函函数加密数加密发送者公发送者公钥解密钥解密对对比比2 2、数字签名、数字签名发送端发送端DTS原原信信息息对对电子文件签署的日期和时间进行安全性保护和有效证明。电子文件签署的日期和时间进行安全性保护和有效证明。由专门认证机构由专门认证机构加盖加盖，以认证机构收到文件的时间为依据。，以认证机构收到文件的时间为依据。摘摘要要Hash函函数加密数加密新新摘摘要要Hash函函数加密数加密第三方私第三方

9、私钥加密钥加密数数字字时时间间戳戳internet摘摘要要摘摘要要时时间间加时间加时间internet数数字字时时间间戳戳摘摘要要时时间间3 3、数字时间戳、数字时间戳发送端发送端接收端接收端原原信信息息密密文文对称密对称密钥加密钥加密internetinternet密密文文数数字字信信封封原原信信息息对称密对称密钥解密钥解密接收者公接收者公钥加密钥加密数数字字信信封封对对称称密密钥钥接收者私接收者私钥解密钥解密对对称称密密钥钥4 4、数字信封、数字信封作用：作用：信息保密信息保密。 数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问的权限。 最简单的证书包含公开密钥、名称以及

10、证书授权中心的数字签名。5 5、数字证书（、数字证书（digital IDdigital ID） 一个标准的X.509数字证书包含哪些内容？1)1)个人身份证书个人身份证书2)2)个人个人E-mailE-mail证书证书3)3)单位证书单位证书4)4)单位单位E-mailE-mail证书证书5)5)应用服务器证书应用服务器证书6)6)代码签名证书代码签名证书数字证书的类型vCA是承担网上安全电子交易认证服务、能签发数字证书并能确认用户身份的服务机构，具有权威性和公正性。vCA的职能：证书颁发，证书更新，证书查询、证书作废和证书归档。六、认证中心六、认证中心CACA身份确定？传输安全？抵赖？案例

11、：数字证书在网上招标系统中的应用案例：数字证书在网上招标系统中的应用第三节第三节 电子商务安全协议电子商务安全协议v安全套接层协议安全套接层协议 vNetscape（网景）公司推出（网景）公司推出v对计算机之间通信过程加密对计算机之间通信过程加密v有握手和记录两个子协议有握手和记录两个子协议一、SSL协议连接请求连接请求公钥解密验证公钥解密验证服务器身份服务器身份密钥交换密钥交换加密通讯加密通讯回应请求回应请求密钥解密获得密钥解密获得对称密钥对称密钥加密通讯加密通讯传递随机信息传递随机信息传递传递私钥加密私钥加密的信息的信息、证书证书传递传递公钥加密公钥加密的对称密钥的对称密钥客户端客户端服务

12、器端服务器端ssl协议通讯过程示意图协议通讯过程示意图v安全电子交易协议安全电子交易协议vMasterCard、VISA等共同制定等共同制定v提供对客户、商家和银行的认证提供对客户、商家和银行的认证v双重签名双重签名保证客户信用卡号不被泄露给商保证客户信用卡号不被泄露给商家家 二、SET协议双重签名订单订单支付支付hashhash摘要摘要1摘要摘要2连接连接+hash摘要摘要3私钥私钥双重双重签名签名客户将客户将“订单订单+支付信息的消息摘要（摘要支付信息的消息摘要（摘要2）+双重签名双重签名”发给商家发给商家订单订单hash摘要摘要1摘要摘要2连接连接+hash摘要摘要3双重签名双重签名公钥

13、公钥摘要摘要3对比对比双重签名的生成过程双重签名的生成过程 客户用客户用Hash函数对订购信息和支付信息进行散列处理，分别得到订购函数对订购信息和支付信息进行散列处理，分别得到订购信息的消息摘要和支付信息的消息摘要。信息的消息摘要和支付信息的消息摘要。 将两个消息摘要连接起来再用将两个消息摘要连接起来再用Hash函数进行散列处理，得到支付订购函数进行散列处理，得到支付订购消息摘要。消息摘要。 客户用他的私钥加密支付订购消息摘要，最后得到的就是经过双重签客户用他的私钥加密支付订购消息摘要，最后得到的就是经过双重签名的信息。名的信息。双重签名的使用和验证过程双重签名的使用和验证过程 客户将客户将“

14、订购信息订购信息+支付信息的消息摘要支付信息的消息摘要+双重签名双重签名”发给商家，将发给商家，将“支付信息支付信息+订购信息的消息摘要订购信息的消息摘要+双重签名双重签名”发给银行；发给银行； 商家和银行对收到的信息先生成摘要，再与另一个摘要连接起来，如商家和银行对收到的信息先生成摘要，再与另一个摘要连接起来，如果它与解密后的双重签名（利用客户的公钥）相等，就可确定消息的果它与解密后的双重签名（利用客户的公钥）相等，就可确定消息的真实性。真实性。 然商家看不到顾客账户信息、银行不知道客户的购买信息，但都可确然商家看不到顾客账户信息、银行不知道客户的购买信息，但都可确认另一方是真实的。认另一方

15、是真实的。SET协议协议客户、商家、支付网关客户、商家、支付网关认证中心和网上银行认证中心和网上银行 必须在银行网络、商家服务器、必须在银行网络、商家服务器、客户机上安装相应的软件，而不是客户机上安装相应的软件，而不是象象SSL协议可直接使用，因此增加协议可直接使用，因此增加了许多附加软件费用。了许多附加软件费用。 要求使用电子钱包进行付款，要求使用电子钱包进行付款，必须先下载电子钱包软件，操作复必须先下载电子钱包软件，操作复杂，耗费时间；每天交易无限额，杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不证过程，因此支付缓慢

16、，有时还不能完成交易。能完成交易。 安全需求高，因此所有参与交安全需求高，因此所有参与交易的成员都必须先申请数字证书来易的成员都必须先申请数字证书来认识身份；保证了商家的合法性，认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，并且客户的信用卡号不会被窃取，使其在结购物和支付更加放心。使其在结购物和支付更加放心。参与方参与方费用费用便捷性便捷性安全性安全性SSL协议协议客户、商家客户、商家和网上银行和网上银行 已被大部分已被大部分Web浏览浏览器和器和Web服务器所内置，服务器所内置，因此可直接投入使用，无因此可直接投入使用，无需额外的附加软件费用。需额外的附加软件费用。 使用过程中无需在客使用过程中无需在客户端安装电子钱包，因此户端安装电子钱包，因此操作简单；每天交易有限操作简单；每天交易有限额规定，因此不利于购买额规定，因此不利于购买大宗商品；支付迅速，几大宗商品；支付迅速，几秒钟便可完成。秒钟便可完成。 只有商家的服务器需只有商家的服务器需要认证，客户端认证则是要认证，客户端认证则是有选择的；缺少对商家的有选择的；缺少对商家的认证，因此客户的信用卡认证，因此客户的信用卡