第3章----电子交易安全技术.ppt

,*,第,3,章,第,3,章 电子交易安全技术,第,1,节 数据加密技术,第,2,节 数据加密技术的应用,第,3,节 移动电子商务安全技术,第,1,节 数据加密技术,随着社会的发展，加密的方式越来越多。特别是在计算机网络和计算机通信技术飞速发展的今天，信息的传输量越来越大，其安全性难以保障，加密作为保障数据安全的一种方式，得到前所未有的重视并迅速普及和发展起来，尤其是在电子商务活动中起着非常重要的作用。,一、数据加密概述,1.,数据加密的定义,“我可以看到，但就是不让你直接看到”这就是数据加密的基本思想，也就是伪装信息，使局外人不能理解信息的真正含义，而局内人却能够理解伪装信息的本来含义。,“我偏要看到你不想让我看的信息”则是数据解密的基本思想，也就是要去除伪装，识读信息的真实内容。,2.,加密系统的组成,明文是需要加密的内容，密文是加密后不可理解的内容；密钥是由数字、字母组成，用它来实现对明文的加密或对密文的解密，相同的明文用不同的密钥加密得到不同的密文。密钥分加密密钥和解密密钥，密钥的长度是指密钥的位数；加密算法其实就是一种数学函数，用来完成加密和解密的运算，即将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文。,3.,数据加密、解密的过程,加密的基本过程就是对原来为明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段密文，密文只能在输入相应的密钥之后才能显示出原来的内容，通过这样的方式使数据不被窃取，而解密的过程与加密恰恰相反。,4.,加密技术在电子商务中的作用,加密技术是电子商务中主要采取的安全技术手段。采用加密技术可以防止用户的数据被读取，避免敏感信息被泄露，满足信息保密性的需求，防止数据被更改，满足信息完整性的需求，是保证信息保密性、完整性、可用性的有力手段。加密技术还可以有效地用于身份认证、数字签名等，以确认交易双方的身份，防止欺骗。,二、数据加密的分类,1.,按编制原理划分,数据加密技术按编制原理可分为移位、代替和置换三种形式以及它们的组合形式。,2.,按密钥方式划分,（,1,）对称加密技术,对称加密技术又称私钥加密技术，即信息的发送方和接收方用一个密钥去加密和解密数据。,（,2,）非对称加密技术,非对称加密技术又称公钥加密技术。这种技术的加密密钥和解密密钥是不同的，公开密钥（公密）对外公布，私有密钥（私密）只有持有人知道。,（,3,）对称加密技术和非对称加密技术的比较,第,2,节 数据加密技术的应用,在互联网时代，网络的匿名性给电子商务带来了很大的安全隐患，如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。,一、,PKI,体系,1.,传统商务和电子商务的身份认证方法,身份认证是指电子商务过程中确认交易双方身份的过程。如何保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。,电子商务的认证技术都是基于对称加密技术和非对称加密技术的，即,PKI,技术。,2.PKI,技术,PKI,含义为“公钥基础设施”，,PKI,技术是利用公钥理论和技术建立的提供信息安全服务的基础设施，,PKI,基础设施采用证书管理公钥，通过第三方的可信任机构,认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份。,PKI,的基础技术包括加密、数字签名、数据完整性机制、数字信封等。,二、数字信封技术,数字信封类似于普通信封，普通信封在法律约束下保证只有收信人才能阅读信件的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。,三、信息摘要,在电子商务中采用防止信息被改动的方法，这就是信息摘要，以此来确保信息的完整性。信息摘要用到的一种函数叫摘要函数。信息摘要常用于创建数字签名，对于特定的文件而言，信息摘要是唯一的，信息摘要可以被公开，它不会透露相应文件的任何内容。,四、数字证书,数字证书的来源必须可靠，这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，以确保网上信息的安全，这个机构就是,CA,认证机构，即证书认证中心。,1.,证书认证中心（,CA,）,CA,是采用,PKI,非对称加密基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，是具有权威性和公正性的第三方信任机构。作为电子商务交易中受信任的第三方，专门解决,PKI,体系中公钥的合法性问题。,CA,中心为每个使用公开密钥的用户发放一个数字证书。,2.,数字证书（数字,ID,）,数字证书由认证中心发放，它实际上是一个经授权的证书中心签发的计算机文件。一个数字证书的组成包括：所有者的公钥、所有者的名字、公钥的失效期、发放机构的名称（发放数字证书的,CA,）、数字证书的序列号、发放机构的数字签名等。,（,1,）数字证书的用途,1,）信息除发送方和接收方外不被其他人窃取。,2,）信息在传输过程中不被篡改。,3,）接收方能够通过数字证书来确认发送方的身份。,4,）发送方对于自己发送的信息不能抵赖。,（,2,）根证书,根证书是,CA,认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，才能保证是有效的。用户在使用数字证书之前必须先下载根证书，表明对该根证书以下所签发证书的信任。,（,3,）数字证书的类型,（,4,）数字证书的使用,数字证书主要应用于各种需要身份认证的场合。,五、数字签名,它是采用一系列的技术手段生成一段不能伪造的信息，发送方将原文数据和数字签名一起发送给接收方，而接收方可以依据一定的步骤还原数字签名的信息，并与原文摘要进行比较，从而确认该信息是否源于签名人，而且该信息在签名后没有被有意或无意的更改过。,1.,数字签名的原理,2.,数字签名的作用,（,1,）证明文件的来源，即识别签名人。,（,2,）表明签名人对文件内容的确认。,（,3,）构成签名人对文件内容正确性和完整性负责的依据。与传统商务活动中的签名盖章作用相同，具有同样的法律效力。,3.,数字签名的使用,六、数字时间戳,1.,数字时间戳的概念,数字时间戳能对电子文件发表的时间提供安全保护。由于用户计算机桌面时间很容易改变，所以由该时间产生的时间戳不可信赖，因此需要一个第三方来提供可信赖的且不可抵赖的时间戳服务，也就是数字时间戳服务（,DTS,）。,时间戳就是一个经加密后形成的凭证文档，它包括需加时间戳文件的摘要、,DTS,收到文件的日期和时间以及,DTS,的数字签名。,2.,数字时间戳的实现过程,（,1,）发送方对文件产生消息摘要。,（,2,）发送方将摘要发送到专门提供数字时间戳服务的权威机构。,（,3,）权威机构对原摘要加入时间后，用私钥加密，进行数字签名。,（,4,）权威机构将加入时间后的新摘要发送给消息发送方。,3.,申请数字时间戳服务,申请数字时间戳也需相应的数字证书，数字证书的用途应为“时间戳签名,证书”。,第,3,节 移动电子商务安全技术,移动电子商务就是利用手机、,PDA,等无线终端进行的电子商务活动。它将互联网、移动通信技术、短距离通信技术及其他技术完美结合，使人们可以在任何时间、任何地点进行电子交易活动。,一、移动电子商务的特点,1.,移动接入,移动接入是移动用户使用移动终端设备通过移动网络访问,Internet,信息和服务的基本手段。,2.,身份鉴别,SIM,卡的卡号是全球唯一的，每一个,SIM,卡对应一个用户，这使得,SIM,卡成为移动用户天然的身份识别工具。,3.,移动支付,移动支付是移动电子商务的一个重要目标，用户可以随时随地完成必要的电子支付业务。,4.,信息安全,移动电子商务与,Internet,电子商务一样，需要具有,4,个基本特征（数据保密性、数据完整性、不可抵赖性及交易双方的认证与授权）的信息安全。,二、移动电子商务面临的安全问题,1.,终端窃取与假冒,移动通信终端体积小、重量轻，便于随身携带使用，但也容易丢失和被窃。,2.,无线网的窃听,无线窃听可以导致信息的泄露，移动用户的身份信息和位置信息的泄露可以导致移动用户被无线跟踪。,3.,中间人攻击,由于无线用户之间交互的频率很高，病毒可以通过无线网络迅速传播。,4.,拒绝服务,入侵者通过物理层或协议层干扰用户数据、信息数据或控制数据网络的正常传输，来实现网络中的拒绝服务攻击。,5.,交易抵赖,所谓交易抵赖是指交易双方中的一方在交易完成后否认其参与了此交易。,6.,设备问题,大众用户群要求在漫游时保持机密性和私密性，却不得不面对广泛使用的不安全设备、糟糕的用户鉴权控制、不安全的射频接口。,三、移动电子商务的安全策略,电子商务的安全威胁既有恶意攻击和防范疏漏，还包括管理松散、操作疏忽等方面。,1.,端到端策略,2.,采用无线公共密钥技术（,WPKI,）,3.,防火墙,4.,加强交易主体身份识别管理,5.,加强移动商务安全规范管理,课件制作,谢谢观看,