極速互聯(lián)蘇瑞-電子商務(wù)安全技術(shù)第三講

1、電子商務(wù)安全技術(shù)第三講參考： （1）“數(shù)字信封”：是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信息。 數(shù)字信封4.4.2 基本認(rèn)證技術(shù)1、數(shù)字信封（2）具體做法 發(fā)送方采用對稱密鑰加密信息 將此對稱密鑰用接收方的公開密鑰加密之后，將它和信息一起發(fā)送給接收方 接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰 使用對稱密鑰解開信息發(fā)送端接收端原信息密文對稱密鑰加密internet密文數(shù)字信封原信息對稱密鑰解密接收者公鑰加密數(shù)字信封對稱密鑰接收者私鑰解密對稱密鑰internet2、數(shù)字簽名（1）什么是數(shù)字簽名 Digital Signature 數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得

2、到的用以認(rèn)證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。（2）數(shù)字簽名的作用保證信息完整 信息發(fā)送者身份的驗證實現(xiàn)的基礎(chǔ)加密技術(shù)發(fā)送端接收端原信息摘要Hash函數(shù)加密數(shù)字簽名發(fā)送者私鑰加密internetinternet原信息數(shù)字簽名摘要摘要Hash函數(shù)加密發(fā)送者公鑰解密對比 數(shù)字簽名具有易更換、難偽造、可進行遠(yuǎn)程線路傳遞等優(yōu)點。數(shù)字簽名 （1）采用單向Hash函數(shù)對文件進行變換運算得到摘要碼，并把摘要碼和文件一同送給接收方 （2）接收方接到文件后，用相同的方法對文件進行變換計算 （3）用得出的摘要碼與發(fā)送來的摘要碼進行比較來斷定文件是否被篡改。保證數(shù)據(jù)的完整性、真實性3、數(shù)字摘要原信息發(fā)

3、送端接收端摘要Hash函數(shù)加密摘要Hash函數(shù)加密對比原信息摘要internetinternet4、數(shù)字時間戳（Digital Time-Stamp，DTS） 時間戳：提供電子文件發(fā)表時間的安全保護，是一個經(jīng)過加密后形成的憑證文檔。需加時間戳的文件摘要DTS收到文件的日期和時間DTS的數(shù)字簽名保證文件簽署日期的真實性時間戳產(chǎn)生過程： 用戶將需加時間戳的文件用HASH編碼加密形成摘要 將其發(fā)送到DTS DTS在加入了收到日期和時間信息后再對該文件加密和數(shù)字簽名 返回用戶 5、虛擬專用網(wǎng)（VPN，Virtual Private Network） （1） 虛擬專用網(wǎng)（VPN，Virtual Priv

4、ate Network）：利用公共網(wǎng)絡(luò)來構(gòu)建的專用網(wǎng)絡(luò)。主要通過加密通信數(shù)據(jù)和雙方的網(wǎng)絡(luò)地址，實現(xiàn)在公用網(wǎng)上傳輸私有數(shù)據(jù)，并可達(dá)到私有網(wǎng)絡(luò)的安全級別，是一種經(jīng)濟、安全的網(wǎng)絡(luò)通信。 加密數(shù)據(jù)信息認(rèn)證和身份認(rèn)證提供訪問控制：不同用戶有不同的訪問權(quán)限虛擬專用網(wǎng)4.5 安全技術(shù)協(xié)議4.5.1 安全套接層協(xié)議（SSL）(一)SSL協(xié)議概述 1、SSL(Secure Sockets Layer)，稱為安全套接層協(xié)議，是一種安全通信協(xié)議。 （1）提供了客戶機與服務(wù)器之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。 （2）對服務(wù)器進行認(rèn)證，還可選擇對客戶機進行認(rèn)證。 應(yīng)用層傳輸層SSL 實現(xiàn)SSL協(xié)

5、議的是HTTP的安全版，名為HTTPS。 HTTP、FTP SSL握手協(xié)議（協(xié)商密鑰） SSL記錄協(xié)議（定義傳輸格式） TCP/IP協(xié)議2、SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議 3、 SSL協(xié)議是目前電子商務(wù)中應(yīng)用最為廣泛的安全協(xié)議之一。 （1）應(yīng)用范圍廣：幾乎所有操作平臺上的WEB瀏覽器（IE、Netscape）以及Web服務(wù)器都支持SSL協(xié)議。 （2）被大部分WEB瀏覽器和服務(wù)器所內(nèi)置（二）SSL協(xié)議的功能1、SSL服務(wù)器認(rèn)證：客戶機對服務(wù)器數(shù)字證書的檢查2、確認(rèn)用戶身份：服務(wù)器檢查客戶機數(shù)字證書的合法性3、保證數(shù)據(jù)傳輸?shù)臋C密性和完整性：加密技術(shù)中國銀行：建立SSL安全連接的

6、過程 （1）顯示在eCoin上在登陸（Login）用戶名時即進入SSL安全連接 （2）這時瀏覽器發(fā)出安全警報，開始建立安全連接 瀏覽器開始建立安全連接 （3）同時驗證安全證書，用戶單擊“確定”鍵即進入安全連接瀏覽器驗證服務(wù)器安全證書 （4）顯示在eCoin上的安全連接已經(jīng)建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁傳輸?shù)挠脩裘兔艽a都將通過加密方式傳送。 （5） 當(dāng)加密方式傳送結(jié)束后，瀏覽器會離開交換敏感信息的頁面，自動斷開安全連接。離開交換敏感信息的頁面，瀏覽器自動斷開安全連接 1、SET協(xié)議是針對開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由Visa和MasterCard聯(lián)合研制的，制定的安全

7、電子交易的一個國際標(biāo)準(zhǔn)。 主要目的是解決信用卡電子付款的安全保障性問題 2、SET協(xié)議主要是針對B to C電子商務(wù)的一個協(xié)議，而且依賴于銀行卡這種目前使用較為廣泛的支付工具。4.6.2 安全電子交易規(guī)范（SET）3、SET的特點 (1) 信息的機密性:對稱密鑰和非對稱密鑰相結(jié)合 (2)交易的不可否認(rèn)性：數(shù)字證書/簽名 （3）數(shù)據(jù)的完整性:數(shù)字簽名 (4)身份的驗證:保證信息的真實性 4、SET的目標(biāo)（1）訂單和個人賬號信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取。（2）訂單信息和個人賬號信息的隔離（3）解決網(wǎng)絡(luò)認(rèn)證問題：消費者、商店、銀行、網(wǎng)關(guān)（4）要求軟件遵循相同協(xié)議和

8、消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能。 在SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署。保證了商家看不到支付信息，而只能看到訂單信息保證了銀行看不到交易內(nèi)容，只能看到帳戶信息 帳戶信息中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來擔(dān)當(dāng)。 6、SET涉及的主要角色 （1）持卡人:網(wǎng)上消費者或客戶，首先應(yīng)向發(fā)卡行提出申請，并安裝電子錢包軟件。 （2）商家：必須在收單行開設(shè)帳戶并且安裝SET商家軟件 （3）支付網(wǎng)關(guān)：收單銀行或指定的第三方操作的專用系統(tǒng)，用于處理支付授權(quán)和

9、支付。 銀行金融網(wǎng)絡(luò)公共網(wǎng)絡(luò)支付網(wǎng)關(guān)（4）收單行：為商戶建立帳戶并處理支付授權(quán)和支付（5）發(fā)卡行：為持卡人建立一個帳戶并發(fā)行支付卡（6）認(rèn)證機構(gòu)：向各交易主體頒發(fā)證書，進行身份識別發(fā)卡銀行持卡人銀行網(wǎng)絡(luò)收單銀行認(rèn)證中心Internet在線商家支付網(wǎng)關(guān)SET的運作流程、A先生進入網(wǎng)絡(luò)商家訂購書籍，并填寫訂購數(shù)量、送貨日期等信息；、A先生準(zhǔn)備結(jié)帳，這時計算機中具有SET規(guī)格的“電子錢包”軟件自動啟動，并將信用卡信息連同訂單信息分別加密后傳送給商家；、商家B收到該訂單及信用卡信息后，將信用卡信息原封不動的傳給收單銀行，以檢查信用卡是否有效；、收單銀行向發(fā)卡銀行確認(rèn)該信用卡數(shù)據(jù)無誤后，發(fā)出信息通知商家可以接下此筆訂單；、到了結(jié)帳日， A先生會接到發(fā)卡銀行的信用帳單，而商家則可以拿信用卡授權(quán)碼向收單銀行劃款。持卡人選購商品訂單與信用卡信息訂單成立信息電子商家收單銀行發(fā)卡銀行信用卡信息確認(rèn)信息信用卡信息確認(rèn)信息SET與SSL機制的比較認(rèn)證機制：SET要求所有參與交易各方均必須先申請數(shù)字證書以識別身份，而SSL只有商家 的服務(wù)器需要認(rèn)證，客戶端的認(rèn)證是可選擇的（optional）；設(shè)置成本：希望申請SET交易者除必須申請數(shù)字證書之外，也必須在