3电子商务安全.ppt

序 言 电子商务发展的核心和关键问题是交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。目前，因特网上影响交易最大的阻力就是交易安全问题。 （1）信息泄露 （2）信息篡改 （3）信息破坏 （4）抵赖行为 3.1.2 电子商务的安全性要求 信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。 交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。 系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中，以必威体育官网网址性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。 3.1.3 电子商务的安全体系 电子商务安全交易体系三个层次： 信息加密算法 安全认证技术 安全交易协议 3.2 数据加密技术 在加密算法公开的情况下，非法解密者就要设法破获密钥，为了使黑客难以破获密钥，就要增加密钥的长度，使黑客无法用穷举法测试破解密钥。 一般的数据加密模型: 3.2.1 对称密钥加密与DES算法 对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。 目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。 对称密钥密码技术的代表是数据加密标准DES。这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，1979年美国银行协会批准使用DES,1980年它又成为美国标准化协会(ANSl)的标准，逐步成为商用必威体育官网网址通信和计算机通信的最常用加密算法。 对称密钥加密 1〉在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。 2〉当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大。 3〉对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险。 3.2.2 非对称密钥加密与RSA算法 为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系，对近代密码学的发展具有重要影响。 Ronald L. Rivest Adi Shamir ④接收方对收到的原文用Hash算法得到接收方的数字摘要； ⑤将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送方发送的。 3.4 电子商务的安全交易标准 3.4.1 安全套接层协议 SSL (secure sockets layer)是由Netscape Communication公司研究制定的安全协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。 SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 在SSL握手信息中采用了DES、MDS等加密技术来实现机密性和数据完整性，并采用X.509数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet和Internet网络产品的公司己在使用该协议。 1、SSL提供的基本服务功能 信息必威体育官网网址。使用公共密钥和对称密钥技术实现信息必威体育官网网址。SSL客户机和SSL服务器之间的所有业务都使用在SSL握手过程中建立的密钥和算法进行加密，这样就防止了某些用户进行非法窃听。 信息完整性。SSL利用机密共享和Hash函数组提供信息完整性服务。 相互认证。是客户机和服务器相互识别的过程。 2. SSL协议通信过程 ① 接通阶段：客户机呼叫服务器，服务器回应客户。 ② 认证阶段：服务器向客户机发送服务器证书和公钥；如果服务器需要双方认证，还要向对方提出认证请求；客户机用服务器公钥加密向服务器发送自己的公钥，并根据服务器是否需要认证客户身份，向服务器发送客户端证书。 ③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。 ④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。 ⑤结束阶段：客户机与服务器交换结束信息，通信结束。 凡是支持送SSL协议的网页，都会以https://作为URL的开头。客户在与服务器进行SSL会话中，如果使用的是微软的IE浏览器，可以在右下方状态栏中看到一只