第四章-电子商务安全技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第四章-电子商务安全技术课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第四 电子商务 安全技术 课件
- 资源描述:
-
1、2022-6-15第四章 电子商务安全技术 第四章第四章 电子商务安全技术电子商务安全技术2022-6-15第四章 电子商务安全技术本章学习要点1.理解电子商务安全在哪些方面会面临威胁,了解活动页面和浏览器插件对客户信息安全的威胁,理解数据在传输过程中会受到哪几种威胁,理解电子商务服务器的安全威胁主要表现在哪些方面。理解电子商务安全需求。熟悉电子商务安全内容;2.掌握加密的基本原理,熟悉传统的加密算法,理解对称加密和非对称加密的概念和原理,理解散列算法的概念;3.了解防火墙的概念,熟悉防火墙的功能和分类;4.了解身份认证的概念,熟悉身份认证技术的几种分类,掌握各分类的操作原理,理解不同种类的身
2、份认证技术的区别,掌握数字签名的概念,熟悉数字签名的流程,理解数字信封和数字时间戳的概念,掌握数字证书的概念和类型,了解数字证书的应用,熟悉认证中心的概念和职能,理解认证系统的构成;5.理解一个安全的电子商务交易需要有哪些保证。理解电子商务交易安全的技术保证,熟悉安全交易协议主要包括那几个方面的内容。2022-6-15第四章 电子商务安全技术4.1 电子商务安全概述电子商务安全所面临的威胁 :一是对客户信息的安全威胁二是对传输链路的安全威胁三是对电子商务服务器的安全威胁 2022-6-15第四章 电子商务安全技术客户信息的安全威胁 (1)活动页面 嵌套在HTML中的程序,也将构成客户信息安全的
3、重大威胁。远程客户可以通过嵌套的恶意程序,读取用户页面的信息,甚至是保留在Cookie程序中的信用卡用户及密码信息。 (2)浏览器的插件 但如果是一些无数字证书,或者是一些不健康的网站的插件,通常带有安全的威胁。这些插件中可能会有病毒,会有恶意攻击程序,会改写你的注册表等等。 2022-6-15第四章 电子商务安全技术传输信道的安全威胁 (1)窃听:随着科学技术的不断发展,窃听的涵义早已超出隔墙偷听、截听电话的概念,它是指借助于技术设备、技术手段,不仅窃取语音信息,还窃取数据、文字、图象等信息。 (2)中断:在通信过程中,通信双方受到第三方干扰,造成通信中断。 (3)篡改:在通信过程中,第三方
4、截获信息并修改了交易双方的内容。 (4)伪造:在通信过程中,第三放伪造交易双方的身份进行交易。 2022-6-15第四章 电子商务安全技术2022-6-15第四章 电子商务安全技术电子商务服务器的安全威胁 (1)系统安全。 (2)数据库系统的安全 2022-6-15第四章 电子商务安全技术电子商务安全的需求 1.保密性 保密性一般通过加密技术对传输的信息进行加密处理来实现,常用的加密技术有对称加密和非对称加密 2.完整性 完整性一般可通过散列算法提取信息的数据摘要的方式来进行对比验证得到。3.不可抵赖性 不可抵赖性可通过对发送的消息进行数字签名来获取 2022-6-15第四章 电子商务安全技术
5、电子商务安全的内容 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。 2022-6-15第四章 电子商务安全技术看下面例子:代换密码(一个或一组代替另外一个或一组字符)例如:网络传输CHINA,对应加密后是: ZEFKX 前移3字符位原文:原文:ABC DEFGHIJKLM
6、NOPQRSTUVWXYZ密文:密文: XYZ ABCDEFGHIJKLMNOPQRSTUVW2022-6-15第四章 电子商务安全技术 由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。如何破解这类的密文?如何破解这类的密文?2022-6-15第四章 电子商务安全技术再看一个加密的例子: 中国的网络企业70%以上没有信息安全保障 密钥:864513279密文为:络安业没企全的信网息国上络安业没企全的信网息国上70 %有中以保障有中以保障8 6 4 5 1 3 2 7 9 中 国 的 网 络 企 业 70 % 以 上 信 息 安 全 没 有
7、保 障2022-6-15第四章 电子商务安全技术 现在常用的加密方法按加密程序类型分为三类:散散列编码、对称加密和非对称加密列编码、对称加密和非对称加密 (1)散列编码 相当于信息的指纹,每个信息的散列值是唯一相当于信息的指纹,每个信息的散列值是唯一的。的。 使用单向单向散列函数计算信息的“摘要”,将它连同信息发送给接受方。接受方重新计算“摘要”,并与收到的“摘要”进行比较以验证信息在传输过程中的完整性。 这种散列函数使任何两个不同的输入不可能产生相同的输出。因此一个被修改了的文件不可能有同样的“摘要”。2022-6-15第四章 电子商务安全技术 如: (1)“我们7月30号去旅游”AD3D3
8、DFVAF (2)一个实现算法: input = Let us meet at 9 o clock at the secret place.; $hash = mhash(MHASH_SHA1, $input);print 散列值为散列值为 .bin2hex($hash).n; 散列值为 d3b85d710d8f6e4e5efd4d5e67d041f9cecedafed3b85d710d8f6e4e5efd4d5e67d041f9cecedafe 2022-6-15第四章 电子商务安全技术请看下面示意图:请看下面示意图:Let us meet at 9 o clock at the secre
9、t place散列函数我们7月30号去旅游AD3D3DFVAFD3b85d710d8f6e4e5eD3b85d710d8f6e4e5efd4d5e67d041f9cecedafefd4d5e67d041f9cecedafe2022-6-15第四章 电子商务安全技术(2)对称密钥加密体制也叫私有密钥加密,只用一个密钥对信息进行加密与解密,发送者与接收者都必须知道密钥。对称密钥密码技术要求加密解密双方拥有相同的密钥。对称密钥密码技术的代表是数据加密标准DESDES(Data Data Encryption StandardEncryption Standard),这是美国国家标准局于1977年公布
10、的由IBM公司提出的一种加密算法,作为商用的数据加密标准。DES的公布在密码学发展过程中具有重要意义,并且至今仍得到普遍采用。DES加密的主要步骤: 加密前,先对整个的明文进行分组,每一个组长64位 使用密钥64位(实际56位,8位用于奇偶校验) 对每一个64位分组进行加密处理,产生一组64位密文数据 将各组密文串接起来,得出整个的密文DES的保密性取决于对密钥的保密,而算法是公开的。2022-6-15第四章 电子商务安全技术对称密钥加密体制对称密钥加密体制密钥:864513279密文为:络安业没企全的信网息国上70有中以障%保 得到原文:8 6 4 5 1 3 2 7 9 中国的网络企业70
11、 % 以上信息安全没有保 障2022-6-15第四章 电子商务安全技术(3)非对称密钥加密体制非对称密钥加密体制 公钥密钥加密体制对当代密码学的发展具有重要影响。当网络用户数很多时,对称密钥的管理十分繁琐,而公钥密码的密钥管理则可大大简化。也称公钥密钥加密,它用两个数学相关的密钥对信息进行编码,其中一个叫公开密钥(Public-Key),可随意发给期望同密钥持有者进行安全通信的人;第二个密钥是私有密钥(Private-Key),由用户自己秘密保存,私有密钥持有者对信息进行解密。现代密码算法将加密密钥与解密密钥区分开来,且由加密密钥事实上求不出解密密钥。公钥密码体制的代表是RSA公钥密码,是由三
12、位发明者姓名(Rivest,Shamir,Adleman)的第一个字母联合构成的。2022-6-15第四章 电子商务安全技术RSA公钥密码(1)加密密钥Pk (公开密钥)是公开信息,而解密密钥Sk(秘密密钥)是需要保密的。加密算法和解密算法也都是公开的。特点如下: 发送者用加密密钥Pk对明文X加密后,在接受者用解秘密钥Sk解密,即可恢复出明文:Dsk(Epk(x)=X 加密和解密的运算可以对调:即Epk(Dsk(X)=X2022-6-15第四章 电子商务安全技术RSA公钥密码(2)加密密钥是公开的,但不能用它来解密,即Dpk(Epk(X)=X在计算机上可以容易的产生成对的Pk和Sk从已知的Pk
13、实际上不可能推导出Sk,即从Pk到Sk是计算上不可能的。加密和解密算法都是公开的。2022-6-15第四章 电子商务安全技术非对称加密示意图请看非对称加密如何工作的请看非对称加密如何工作的你的公钥加密你的私钥解密我要给你的信息你收到的信息通信网2022-6-15第四章 电子商务安全技术如何保证交易的完整性? 保护交易的完整性,就是要保护客户与商家在网络传输的订单信息,结算信息等不受到破坏。 第一,保护信息的安全,保证知道发出的信息是否正确的,没有被修改的。 可用散列函数提取信息摘要,即数字摘要方法。可用散列函数提取信息摘要,即数字摘要方法。散列函数信息摘要发送接收方用收到的订单信息生成信息摘要
14、,与附加的信息摘要对比,检查信息是否被修改采购订单4.4 认证技术认证技术2022-6-15第四章 电子商务安全技术数字摘要(Digital Digest)数字摘要这一安全认证技术亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash 函数将需加密的明文摘要成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证
15、明文是否是真身的指纹了。2022-6-15第四章 电子商务安全技术问题: 散列算法是公开的,如何有人修改了订单中的送货地址和商品数量,重新生成信息摘要,然后把修改后的信息和新的信息摘要发给商家。商家收到信息后检查,发觉是匹配的,也就是说,修改后也没人发现。 那么,我们该如何提出改进方案,保证发信息的人是商家所期待的客户?就是说,我们要让商家能确认发送订单的客户的身份。 解决办法:数字签名解决办法:数字签名2022-6-15第四章 电子商务安全技术数字签名(digital signature)在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署
16、这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点: 信息是由签名者发送的。 信息自签名后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。2022-6-15第四章 电子商务安全技术数字签名并非用“手书签名”类型的图型标志,它采用了双重加密的方法来实现防伪、防赖。其原理为: 被发送文件用SHA编码加密产生128Bit的数字摘要。 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。 将原文和加密的摘要同时传给对方。 对
17、方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。 将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。2022-6-15第四章 电子商务安全技术第二.公钥可帮助我们实现数字签名。商家商家客户客户认证中心认证中心 因为客户密钥是他唯一所有的,也就是说,除了该客户能产生这样的密文外,其他的客户是不能产生这样的密文的,也就是说订单是被客户签名了的,商家从而可以进行身份认证。 假如客户抵赖发给商家的订单,商家可以去认证中心鉴别, 通过这样的方法,保证了交易的不可抵赖性。 2022-6-15第四章 电子商
展开阅读全文