电子商务的安全威胁和安全措施.ppt

对称加密、解密过程示意图 非对称加密、解密过程示意图 数字信封技术示意图 2、加密算法和标准 有多种加密算法可用在安全商务服务器上。美国政府规定某些加密算法只能在美国境内使用，而有些功能较差的算法可在美国境外使用。由于安全商务服务器必须同浏览器进行通讯，所以通常要采用多种不同的加密算法来适应不同浏览器的不同版本。 二、保证交易的完整性 散列编码能方便地判别信息是否在传输时被改变。由于散列算法是公开的，任何人都可中途拦截采购订单，更改送货地址和商品数量，重新生成信息摘要，然后将新生成的信息摘要及信息发给商家。商家收到后计算信息摘要，会发现这两个信息摘要是匹配的，以为此信息是真实的。为防止这种欺骗，发送者要用自己的私有密钥对信息摘要加密。加密后的信息摘要称为数字签名。 数字签名。即加密后的信息摘要。由于对信息摘要用私有密钥加密，这就意味着只有私有密钥的所有者（客户）才能对信息摘要进行加密。这时商家就用客户的公开密钥对信息进行解密并计算出信息摘要，如果结果匹配，就说明信息发送者的身份是真实的，这样就解决了欺骗问题。如果需要的话，除数字签名所提供的信息完整性和认证之外，交易双方还可要求保证交易的保密性。只要对整个字符串（数字签名和信息）进行加密，就可保证信息的保密性。 同时使用公开密钥加密、信息摘要和数字签名能够为互联网交易提供可靠的安全性。 数字签名的过程 三、保证交易传输 拒绝或延迟服务攻击会删掉或占用资源。一种拒绝服务的方式是向互联网发出大量信息包，以导致服务器死机或降低服务器速度使服务降到试图交易的人不能接受的水平。对这种非理性行为最有效的防御办法也许是惩罚的威胁。有些攻击可能会导致自己的系统死机，有时会使WWW服务器或电子商务服务器临时失效。拒绝攻击也意味着删除互联网信息包。如果某个商务网站频繁发生这种情况，客户就不会再来这个网站了。 第四节 对客户机的安全威胁及防护措施 防止个人计算机受到来自互联网上各类内容和程序侵害的保护措施： 一、数字证书 有了非对称密钥技术、对称密钥技术，以及配套的电子信封技术，网上信息传输的保密性得以解决。但是怎么确认发送者拿到的是接收者的公开密钥，如果使用了非接收者的公开密钥，接收者就接收不到发送者所发送的信息。 1、数字证书 数字证书是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。其作用类似于司机的驾驶执照或日常生活中的身份证。 数字证书可以向网页或电子邮件附件原发送者发送加密信息。如果电子邮件信息或网页含有数字证书，就称之为签名信息或签名代码。签名信息或签名代码的用途同驾驶执照或护照上相片的用途相同，是用来验证持有人是否为证书指定人。 如果你从网上下载的程序内有数字证书，就可识别出软件出版商（以确认软件出版商的身份同证书相符）并确认证书是否有效。但是证书并不保证所下载软件的功能或质量，只证明所提供的软件确实来自这家软件出版商。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。 数字证书通常包含以下内容：证书的版本信息；证书的序列号，每个证书都有唯一的证书序列号；证书的发行机构名称；证书的有效期；证书所有人的名称； 证书所有人的公开密钥；证书发行者对证书的签名。 2、认证机构 数字证书是由由权威机构－CA认证机构，又称为证书授权(Certificate Authority)中心发行。 认证机构（CA）在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易的安全。 申请数字证书的实体要向认证中心提供相应的身份证明。如果符合条件，认证中心就会签署一个证书。认证中心以公开加密密钥的方式来签署证书，收到软件出版商程序上所附证书的人可用公开加密密钥来打开这个程序。 CA认证示意图 甲 乙 CA 数字认证过程 图中显示了以下事件的顺序： 1.王丽将一个签名的证书请求（包含她的名字、公钥、可能还有其他一些信息）发送到 CA。 2. CA 使用其私钥对王丽的信息进行签名。CA 将信息和签名返回给王丽。信息和签名共同构成了王丽的证书。 3.王丽将她的证书发送给李华，以便授权他使用她的公钥。 4.李华使用 CA 的公钥对证书签名进行验证。如果证明签名是有效的，他就承认证书中的公钥是王丽的公钥。 二、应用功能强大的浏览器 如微软公司的Internet Explorer