电子商务安全第9章.pptVIP

本章主要内容 9.1 电子商务与信息安全 9.2 电子商务安全协议 9.3 电子商务安全技术 9.4 防火墙系统 课后作业与实验;9.1电子商务与信息安全; 9.1.1电子商务安全的现状;9.1.2 电子商务安全的要素;9.1.3网络攻击的常用方法;9.2电子商务安全协议; 9.2.1电子商务安全协议分类;9.2.2国际通用电子商务安全协议; 实现SSL协议的是HTTP的安全版，名为HTTPS。 图9.2.1 HTTPS协议的使用 ;（2）安全套接层协议的工作原理 SSL需要认证服务器，并对两台计算机之间所有的传输进行加密。 SSL用公开密钥（非对称）加密和私有密钥（对称）加密来实现信息的保密。虽然公开密钥非常方便，但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。 ;（3）建立SSL安全连接的过程 图9.2.2显示在eCoin上在登陆（Login）用户名时即进入SSL安全连接。 图9.2.2 在eCoin上连接交换敏感信息的页面 ; 这时浏览器发出安全警报，开始建立安全连接，参见图9.2.3。同时验证安全证书，参见图9.2.4。用户单击“确定”键即进入安全连接。 图9.2.3 浏览器开始建立安全连接 图9.2.4 浏览器验证服务器安全证书 ; 该图显示在eCoin上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。 ; 当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。 图9.2.6 离开交换敏感信息的页面，浏览器自动断开安全连接 ;2）安全电子交易协议SET 为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（Secure Electronic Transaction，SET）协议。 在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。 ;3）S-HTTP安全协议 安全HTTP（S-HTTP）是HTTP的扩展，它提供了多种安全功能，包括客户机与服务器认证、加密、请求/响应的不可否认等。 S－HTTP安全的细节设置是在客户机和服务器开始的握手会话中完成的。客户机和服务器都可指定某个安全功能为必需（Required）、可选（Option）还是拒绝（Refused）。当其中一方确定了某个安全特性为“必需”时，只有另一方（客户机或服务器）同意执行同样的安全功能时才能开始连接，否则就不能建立安全通讯。 S－HTTP是通过在S－HTTP所交换包的特殊头标志来建立安全通讯的。头标志定义了安全技术的类型，包括使用私有密码加密、服务器认证、客户机认证和消息的完整性。一旦客户机和服务器同意彼此之间安全措施的实现，那么在此会话中的所有信息都将封装在安全信封里。;9.3电子商务安全技术;9.3.1加密技术;2）加密和解密的示范 以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表 表9.3.1 一个简单的密码表 ;3）加密的分类 按密钥和相关加密程序类型可把加密分为：散列编码、对称加密和非对称加密。 （1）散列编码 散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变，原散列值就会与由接收者所收消息计算出的散列值不匹配。 ;（2）对称加密 对称加密又称私有密钥加密，它用且只用一个密钥对信息进行加密和解密。对称加密技术可参见图9.3.1 图9.3.1 对称加密技术示意图 ;（3）非对称加密 1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了 RSA公开密钥密码系统。在此系统中有一对密码，给别人用的就叫公钥，给自己用的就叫私钥。用公钥加密后的密文，只有私钥能解。RSA的算法如下： ①??? 选取两个足够大的质数P和Q ； ②??? 计算P和Q相乘所产生的乘积n ＝ P×Q； ③??? 找出一个小于n