第五章電子商務(wù)信息安全

1、第五章第五章 電子商務(wù)信息安全電子商務(wù)信息安全本章考試范圍 1.掌握掌握電子商務(wù)信息安全的概念 2.掌握掌握密碼體制的類型 3.了解數(shù)字摘要和數(shù)字簽名 4.熟悉數(shù)字證書和認(rèn)證中心 5.了解電子商務(wù)安全協(xié)議SSL和SET5.1 電子商務(wù)安全概述一、電子商務(wù)安全 電子商務(wù)安全是一個(gè)系統(tǒng)的概念，不僅與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。所以，從整體上可以分為兩大部分：一是電子商務(wù)系統(tǒng)安全；二是電子商務(wù)信息安全。電子商務(wù)信息安全的概念（掌握） （1）信息的保密性 （2）交易文件的完整性 （3）信息的不可否認(rèn)性 （4）交易者身份的真實(shí)性（1 1）信息的保密性）信息的保

2、密性 （1 1）信息的保密性）信息的保密性 信息在傳輸過程中或存儲中信息在傳輸過程中或存儲中不被不被他人他人竊取。竊取。信息加密、信息加密、設(shè)置防火墻設(shè)置防火墻（2 2）交易文件的完整性）交易文件的完整性 （2 2）交易文件的完整性）交易文件的完整性 防止非法防止非法篡改篡改、破壞網(wǎng)站信息破壞網(wǎng)站信息確認(rèn)接收端和發(fā)送確認(rèn)接收端和發(fā)送的端信息一致的端信息一致使用數(shù)字摘要使用數(shù)字摘要（3 3）信息的不可否認(rèn)性）信息的不可否認(rèn)性 信息的發(fā)送方信息的發(fā)送方不能否不能否認(rèn)認(rèn)已經(jīng)發(fā)送的信息，接已經(jīng)發(fā)送的信息，接收方也不能否認(rèn)已收到收方也不能否認(rèn)已收到的信息的信息使用數(shù)字簽名使用數(shù)字簽名（4 4）交易者身份

3、的真實(shí)性）交易者身份的真實(shí)性 交易雙方真實(shí)存在交易雙方真實(shí)存在不是假冒不是假冒 信息被竊??； 信息被篡改、服務(wù)中斷； 信息被否認(rèn) 信息被偽造請同學(xué)們說一說電子商務(wù)存在的安全威脅有哪些練一練 1. 攻擊破壞信息的保密性。 A. 中斷 B. 竊取 C. 篡改 D. 偽造 2. 攻擊破壞信息的完整性。 A. 中斷 B. 竊取 C. 篡改 D. 偽造 3. 攻擊破壞信息的真實(shí)性。 A. 中斷 B. 竊取 C. 篡改 D. 偽造 信息的保密性交易文件的完整性信息的不可否認(rèn)性交易者身份的真實(shí)性數(shù)字證書加密數(shù)字摘要數(shù)字簽名1.電子商務(wù)信息安全的概念2.保密性、完整性、不可否認(rèn)性、真實(shí)性的定義各抄寫2次并背誦

4、。導(dǎo)入：古典密碼1 12 23 34 45 51 1A AB BC CD DE E2 2F FG GH HIJIJK K3 3L LM MN NO OP P4 4Q QR RS ST TU U5 5V VW WX XY YZ Z一串奇怪的數(shù)字一串奇怪的數(shù)字2315313134明文明文密文密文定義 加密：將數(shù)據(jù)進(jìn)行編碼，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文。 解密：是加密的逆過程，即將密文還原成原來可以理解的形式。5.2 密碼密鑰體系5.2.1密碼系統(tǒng)的工作原理 幾個(gè)概念 明文明文密文密文加密加密解密解密算法算法密鑰密鑰密碼系統(tǒng)的構(gòu)成20加密E解密D明文M明文MKd解密密鑰Ke

5、加密密鑰密文C工作原理工作原理密碼體制類型 5.2.2 通用密鑰密碼體制 定義：發(fā)送方與信息接收方使用相同的密鑰進(jìn)行加密和解密，又稱為“傳統(tǒng)密碼體制”或“對稱對稱密碼體制密碼體制”。凱撒密碼凱撒密碼古老而簡單的加密技術(shù)古老而簡單的加密技術(shù)明文：C R Y P T O G R A P H YF U B S W R J U D S K B密文：密鑰：n=4愷撒密碼愷撒密碼 加密GOOD？ 通用密鑰密碼優(yōu)缺點(diǎn)優(yōu)點(diǎn)優(yōu)點(diǎn)加解密速度快，效率較高。加解密速度快，效率較高。缺點(diǎn)缺點(diǎn)密鑰的數(shù)量多，難以分配密鑰的數(shù)量多，難以分配和保存和保存 5.2.3 公開密鑰密碼體制 定義：發(fā)送方與接收方采用不同的密鑰進(jìn)行加密

6、和解密，因此又稱為“非對稱密碼體制非對稱密碼體制”。加密密鑰Ke：完全公開公共密鑰解密密鑰Kd：保密私人密鑰任何人都可以用公鑰加密信息，但只有擁有私鑰的人才可解密信息公開密鑰密碼體制Kdz私人密鑰Kdy私人密鑰Kdx私人密鑰公眾通信網(wǎng)XZY密鑰中心Kex, Key, Kez, 公共密鑰26 公開密鑰密碼優(yōu)缺點(diǎn)優(yōu)點(diǎn)優(yōu)點(diǎn)密鑰分配簡單。密鑰分配簡單。缺點(diǎn)缺點(diǎn)加解密速度慢加解密速度慢身份認(rèn)證功能。身份認(rèn)證功能。類型類型通用密鑰密碼體制通用密鑰密碼體制公開密鑰密碼體制公開密鑰密碼體制算法算法DESDES算法算法稱為稱為對稱密碼體制對稱密碼體制非對稱密碼體制非對稱密碼體制優(yōu)點(diǎn)優(yōu)點(diǎn)缺點(diǎn)缺點(diǎn)RSARSA算法算

7、法加解密速度快加解密速度快密鑰難以分配和保存密鑰難以分配和保存加解密速度慢加解密速度慢密鑰保存方便、密鑰保存方便、更新容易更新容易密鑰使用密鑰使用加解密相同密鑰加解密相同密鑰加解密不同密鑰加解密不同密鑰簽名和認(rèn)證簽名和認(rèn)證不能實(shí)現(xiàn)數(shù)字簽不能實(shí)現(xiàn)數(shù)字簽名、身份認(rèn)證名、身份認(rèn)證能實(shí)現(xiàn)數(shù)字簽?zāi)軐?shí)現(xiàn)數(shù)字簽名、身份認(rèn)證名、身份認(rèn)證練一練 1.所謂信息加密技術(shù)，就是采用數(shù)學(xué)方法對原始信息進(jìn)行再組織，這些原始信息通常稱為（ ） A明文 B密文 C短文 D正文 2.通用密碼密鑰體系一般采用的是（ ）算法 A.DTS B.DES C.RSA D.CA 3.在加密類型中，RSA算法是屬于（ ） A.隨機(jī)編碼 B.

8、散列編碼 C.對稱加密 D.非對稱加密 4.數(shù)據(jù)的加密和解密依靠兩個(gè)元素，缺一不可，它們是_和_。 5.簡述公開密鑰密碼體制的原理算法算法密鑰密鑰答：答：公開密鑰密碼體制采用兩把不同的密鑰分別公開密鑰密碼體制采用兩把不同的密鑰分別 進(jìn)行加密和解密進(jìn)行加密和解密。 其工作原理是：其工作原理是：發(fā)送方用加密密鑰Ke和加密 算法E，對明文M加密，得到的密文，然后 傳 輸密文C。接收方用解密密鑰Kd和解密 算法D，對密文解密，得到原來的明文。 作業(yè)： 1.通用密碼體制的概念/工作原理 2.公開密碼體制的概念/工作原理小明這個(gè)學(xué)期學(xué)習(xí)了電子商務(wù)基礎(chǔ)這門課，上周老師布置了作業(yè)，要求以電子郵件的形式上交。周

9、末小明按時(shí)上交了作業(yè)?？墒墙裉煸缟?，課堂上老師仍然批評了小明的態(tài)度不認(rèn)真，作業(yè)內(nèi)容完全不符合要求。 小明感到很困惑，自己明明根據(jù)老師的要求上交了作業(yè)，這是為什么呀？原來是小明的郵箱密碼被他人破解了，修改了小明的作業(yè)。5.3 數(shù)字摘要與數(shù)字證書（一）數(shù)字摘要 數(shù)字摘要也稱為安全Hash（散列）編碼法（簡稱SHA）或MD5。 原理：它由單向Hash函數(shù)將需要加密的明文“摘要”成一串128bit密文，且不同的明文摘要成的密文是不相同的，而同樣的明文其摘要必定是相同的，由此可以成為檢驗(yàn)明文是否為“真身”的“指紋”。數(shù)字摘要工作原理數(shù)字摘要工作原理作用怎么證明作業(yè)是自己寫的呢？（二）數(shù)字簽名 數(shù)字簽名和

10、書面文件簽名有相同之處： 第一，信息是由簽名者發(fā)送的。 第二，信息自簽發(fā)后到收到為止未曾作任何修改 數(shù)字簽名可以用來防止電子信息因易被修改而有人偽造，或用他人名義發(fā)送信息，或收到信件后加以否認(rèn)等情況。作用數(shù)字簽名工作原理 Hash 算法 原文 摘要 摘要 對比？ 原文 摘要 Internet 發(fā)送方 接收方 Hash算法 數(shù)字 簽名 發(fā)送者 私鑰加密 數(shù)字 簽名 發(fā)送者 公鑰解密 雙重加密：雙重加密：SHASHA加密、加密、RSARSA加密加密填空填空數(shù)字簽名中最重要的是數(shù)字簽名中最重要的是_,_,而而數(shù)字摘要的核心技術(shù)是數(shù)字摘要的核心技術(shù)是_數(shù)字摘要數(shù)字摘要SHASHA？（三）數(shù)字證書 1.

11、定義： 它用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源訪問的權(quán)限，是各實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的電子身份證。 使用方面： 安全電子郵件、網(wǎng)上繳費(fèi)、網(wǎng)上炒股、網(wǎng)上招標(biāo)、網(wǎng)上購物、網(wǎng)上企業(yè)購銷、網(wǎng)上辦公、軟件產(chǎn)品、電子資金等 作用2.數(shù)字證書的類型個(gè)人證書某一用戶個(gè)人身份證書/個(gè)人E-mail證書單位證書某個(gè)企業(yè)單位身份證書/單位E-mail證書/部門證書/職位證書設(shè)備證書因特網(wǎng)的設(shè)備服務(wù)器證書/Web服務(wù)器證書/VPN網(wǎng)關(guān)證書/VPN客戶端證書代碼簽名證書軟件開發(fā)個(gè)人代碼簽名證書/企業(yè)代碼簽名證書數(shù)字證書的發(fā)放，交易雙方數(shù)字證書的發(fā)放，交易雙方不能獨(dú)自完成，需要有一個(gè)不能獨(dú)自完成，需要有一

12、個(gè)權(quán)威的、公正的第三方。權(quán)威的、公正的第三方。3.認(rèn)證中心 定義：認(rèn)證中心（Certification Authority，CA）是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。 主要任務(wù)：負(fù)責(zé)受理數(shù)字證書的申請、簽發(fā)數(shù)字證書、管理數(shù)字證書。本節(jié)課回顧我們學(xué)習(xí)了幾種安全電子交易手段？我們學(xué)習(xí)了幾種安全電子交易手段？數(shù)字?jǐn)?shù)字摘要摘要數(shù)字?jǐn)?shù)字簽名簽名數(shù)字?jǐn)?shù)字證書證書認(rèn)證認(rèn)證中心中心信息信息加密加密練一練 1.數(shù)字摘要也成_或_。 2.數(shù)字簽名所采用的技術(shù)有_、_。 3.數(shù)字簽名中最重要的是_,而數(shù)字摘要的核心技術(shù)是_ 4.認(rèn)證中心，簡稱( )是承擔(dān)網(wǎng)上安全電子交易認(rèn)證的服務(wù)

13、機(jī)構(gòu)。SHASHA加密（數(shù)字摘要）加密（數(shù)字摘要）RSARSA加密（非對稱密鑰）加密（非對稱密鑰）安全安全HashHash（散列）編碼法（散列）編碼法MD5MD5數(shù)字摘要數(shù)字摘要SHASHACACA單選 5.公鑰密碼技術(shù)可以實(shí)現(xiàn)數(shù)字簽名，其中（ ） A.發(fā)送方對明文M使用私鑰加密，然后將密文傳給接受方，接受方使用公鑰對其解密，恢復(fù)原文。 B.發(fā)送方對明文M使用私鑰加密，然后將密文及密鑰傳給接受方，接受方使用已知的公鑰對其解密，恢復(fù)原文。 C.發(fā)送方對明文M使用私鑰加密，然后將密文傳給接受方，然后再將私鑰傳給接受方，接受方使用私鑰對其解密，恢復(fù)原文。 D.發(fā)送方對明文M使用私鑰加密，然后將密文傳

14、給接受方，接受方使用公鑰解出包含的私鑰，再用私鑰解密，恢復(fù)原文。考點(diǎn)：數(shù)字簽名的工作原理考點(diǎn)：數(shù)字簽名的工作原理6.數(shù)字證書是由（ ）頒發(fā)的 A.銀行 B.商家 C.用戶 D.認(rèn)證中心 7.數(shù)字證書所采用的技術(shù)是（ ） A.公開密碼密鑰體系 B.數(shù)字摘要 C.對稱密碼密鑰體系 D.私有密鑰多選 8.數(shù)字簽名可以防止（ ） A.竊取 B.否認(rèn) C.篡改 D.假冒 E.泄漏答案答案:BC:BC 9.下列關(guān)于數(shù)字簽名的說法正確的是（ ） A.發(fā)送方用自己的公鑰加密摘要形成數(shù)字簽名 B.發(fā)送方用自己的私鑰加密形成數(shù)字簽名 C.發(fā)送方用對方的私鑰形成數(shù)字簽名 D.發(fā)送方要同時(shí)對源信息和摘要加密后再傳送給

15、接收方 E.接收方收到后要對摘要進(jìn)行解密，并與收到的源信息經(jīng)過運(yùn)算后得到的摘要進(jìn)行比對，以檢驗(yàn)傳送過程中信息是否被破壞或篡改過。答案答案:BE:BE 10.數(shù)字證書可以用于（ ） A.安全電子郵件 B.網(wǎng)上辦公 C.網(wǎng)上購物 D.網(wǎng)上繳費(fèi) E.電子資金移動答案答案:ABCDE:ABCDE5.4 電子商務(wù)安全協(xié)議一、SSL協(xié)議 安全套接層協(xié)議SSL（Secure Sockets Layer）主要適用于點(diǎn)對點(diǎn)之間的信息傳輸，通過在瀏覽器軟件和WWW服務(wù)器建立一條安全通道，從而實(shí)現(xiàn)在Internet中傳輸保密文件。 SSL協(xié)議可以保證信息的真實(shí)性、完整性和保密性，但是不能提供交易的不可否認(rèn)性。二、S

16、ET協(xié)議 安全電子交易協(xié)議SET（Secure Electronic Transaction）提供對消費(fèi)者、商戶和收單行的認(rèn)證，確保交易數(shù)據(jù)的安全性、完整性和交易的不可否認(rèn)性，特別保證了不會將持卡人的信用卡號泄露給商戶。 SET協(xié)議比較復(fù)雜、設(shè)計(jì)嚴(yán)格、安全性高，解決了SSL協(xié)議的缺陷，成為目前公認(rèn)的信用卡網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。 類型類型SSLSSLSETSET參與方參與方客戶、商家、客戶、商家、網(wǎng)上銀行網(wǎng)上銀行稱為稱為安全套接層協(xié)議安全套接層協(xié)議安全電子交易協(xié)議安全電子交易協(xié)議便捷性便捷性安全性安全性操作簡單、支付操作簡單、支付迅速、限額規(guī)定迅速、限額規(guī)定不能保證不可否認(rèn)性不能保證不可否認(rèn)性需求高需求高操作復(fù)雜、支付緩慢、操作復(fù)雜、