电子商务信息安全技术教学配套课件作者陈孟建第四章电子商务安全认证技术111
合集下载
电子商务系统安全与安全技术课件
01
02
03
网络攻击
如黑客攻击、病毒、蠕虫 等,可能导致系统瘫痪或 数据泄露。
身份盗用
窃取用户个人信息,进行 欺诈活动。
交易欺诈
如虚假交易、拒付等,损 害商家和消费者的利益。
02
电子商务系统安全技术
加密技术
加密技术概述
加密技术是保障电子商务系统安全的重要手段之一,通过 对敏感数据进行加密,确保数据在传输和存储过程中的机 密性和完整性。
特点
具有全球性、交互性、实时性、自动 化等特点,能够提供便捷、高效的商 业服务。
电子商务系统安全的重要性
1 2
保护商业机密
防止敏感信息泄露,维护企业的核心竞争力。
保障交易安全
确保交易信息的完整性和机密性,避免欺诈和非 法交易。
3
提升用户信任度
提供安全的交易环境,增加用户对电子商务的信 任度。
电子商务系统面临的安全威胁
案例三:某电商平台的支付安全问题
总结词
支付信息被篡改、资金被盗用
详细描述
某电商平台的支付安全存在漏洞,用户支付信息容易被篡改,导致资金被盗用或转入不明账户,造成经济损失。
05
电子商务系统安全未来发展趋 势
人工智能在电子商务系统安全中的应用
人工智能在电子商务系统安全中的应用正在不 断扩大,通过机器学习和深度学习技术,可以 自动识别和预防潜在的安全威胁。
制定严格的安全管理规定
包括数据保护、用户权限管理、系统访问控制等方面的规定,确 保电子商务系统的安全运行。
定期进行安全检查和评估
对电子商务系统的安全性进行定期检查和评估,及时发现和修复潜 在的安全隐患。
建立应急响应机制
制定针对不同安全事件的应急响应计划,确保在发生安全事件时能 够迅速、有效地应对。
新编文档-电子商务安全技术第四章网络信息安全技术-精品文档
应用层 运输层 网络层 链路层Telnet、FTP和Email等 TCP和UDP IP、ICMP和IGMP 设备驱动程序及接口卡
层次如右图所示。
图4-10 TCP/IP协议族的四个层次
4.2 信息安全技术
4.2 信息安全技术
4.2.2 加密技术
加密一般是利用信息变换规则把可懂的 信息变成不可懂的信息,其中的变换规 则称为加密算法,算法中的可变参数称 为密钥。衡量一个加密技术的可靠性, 主要取决于解密过程的数学难度,而不 是对加密算法的保密。当然可靠性还与 密钥的长度有关。加密技术示意图如图 4-11所示,加密和解密的一般过程如图 4-12所示。
电子商务安全技术
Security Techniques Of Electronic Commerce
第二篇 电子商务安全技术
第四章 网络信息安全技术
4.1 网络安全技术
网络信息安全技术
网
信
络
息
安
安
全
全
技
技
术
术
网 络 设 备 安 全
防 火 墙
虚 拟 专 用 网 安 全
无 线 网 络 安 全
入 侵 检 测 系 统
知道的唯一钥匙,这会使得发收信双方所拥有的钥匙数量 成几何级数增长,密钥管理成为用户的负担; 3. 对称加密算法在分布式网络系统上使用较为困难,主要是 因为密钥管理困难,使用成本较高; 4. 对称加密算法不能实现数字签名。
4.2 信息安全技术
4.2.2 加密技术
非对称加密技术
为了解决对称密码体制的密钥分配的问题,以及满足对数字签名的 需求,20世纪70年代产生了非对称密码体制,非对称加密技术如图 4-14所示。在这种密码体制下,人们把加密过程和解密过程设计成 不同的途径,当算法公开时,在计算上不可能由加密密钥求得解密 密钥,因而加密密钥可以公开,而只需秘密保存解密密钥即可。
第4章 数字签名与认证技 《电子商务安全》PPT课件
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.2 数字签名 4.2.1 数字签名概述 数字签名的实现过程 根据上述特征可得知数字签名实现的基本过程。假 设A要发送一个电子文件给B,A、B双方只需要经 过下面三个环节即可。
5. 输入x可以为任意长度,输出数据串 长度固定。
6. 抗冲突性(抗碰撞性)
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
根据对消息进行签名的内容不同,数 字签名可分为两种:一种是对整个消 息的签名,也就是对整个消息进行密 码变换生成消息的密文信息;另一种 是前面所描述的对报文的摘要进行签 名,也就是对消息摘要进行密码变换 生成摘要的密文信息,然后将其作为 签名附在报文之后。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.4 认证技术
4.4.1 数字信封
(1)A用其私钥加密文件,这便是签名过程; (2)A将加密的文件送到B; (3)B用A的公钥解开A送来的文件。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.2 数字签名 4.2.1 数字签名概述 数字签名的实现过程 根据上述特征可得知数字签名实现的基本过程。假 设A要发送一个电子文件给B,A、B双方只需要经 过下面三个环节即可。
5. 输入x可以为任意长度,输出数据串 长度固定。
6. 抗冲突性(抗碰撞性)
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
根据对消息进行签名的内容不同,数 字签名可分为两种:一种是对整个消 息的签名,也就是对整个消息进行密 码变换生成消息的密文信息;另一种 是前面所描述的对报文的摘要进行签 名,也就是对消息摘要进行密码变换 生成摘要的密文信息,然后将其作为 签名附在报文之后。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名方案
RSA签名 ElGamal签名
其他签名 认证技术 数字信封 数字时间戳 数字证书 数字签名的应用前景 本章小结
第4章 数字签名与认证技术
4.4 认证技术
4.4.1 数字信封
(1)A用其私钥加密文件,这便是签名过程; (2)A将加密的文件送到B; (3)B用A的公钥解开A送来的文件。
电子商务安全
报文检验码与hash函数 报文验证码 hash函数 SHA-1算法 数字签名
数字签名概述 数字签名的分类
电子商务原理与实务课件第四章电子商务安全技术(精)
3、Office文件格式加密 1)Word文件加密 2)Excel文件加密
3)Access文件加密
4、压缩软件加密 1)Winzip 加密 2)Winrar加密 5、Windows 2000/XP的加密
第二节 密码管理与文件加密
一、密码设置与修改 (一)密码含义 密码是由一串字符组成的,用来保护用户的信息。 (二)密码算法 (三)密码破解 1.暴力解密 2.字典解密 3.利用技术漏洞 (四)密码设置 1.保证足够的口令长度 2.保证密码的复杂性 3.密码定期更改 4.避免使用重复的密码 5.密码选择应该避免的情况
第五章
电子商务安全技术
【教学目标与要求】
通过本章学习,使学生掌握电子商务系统软硬件安全内容,了解电子商务及 计算机的安全制度。理解并掌握密码含义、算法、破解、设置,掌握电子商务 文件加解密的方法。掌握浏览器的安全设置方法。了解数字证书的概念、类型、 申请方法、用途。掌握数字证书的使用的方法。了解各种计算机病毒及相关杀 毒软件,会熟练安装、使用、更新杀毒软件。
第一节 电子商务安全概述 20世纪90年代以来,计算机进入到网络应 用阶段,呈现出前所未有的社会化趋势。在因 特网有力地推动社会发展的同时,也面临着越 来越严重的威胁和攻击。网络安全问题越来越 受到重视。 一、电子商务安全的重要性 计算机诈骗、计算机病毒等造成的商务信 息被窃、篡改和破坏,以及机器失效、程序错 误、误操作、传输错误等造成的信息失误或失 效,都严重地危害着电子商务系统的安全。因 此,保证商务信息的安全是进行电子商务的前 提。
图5-5 选择导入账户文件
(3)点击“导入”按钮,选择要导入的账户文件
2、电子邮件密码的保存介质 1)存储介质的分类 (1)光存储器主要有CD,DVD (2)磁盘存储器主要有软盘、硬盘 (3)半导体存储器主要有计算机中的内存、USB盘 2)存储介质的使用 常用的存储介质是只读光盘、USB盘、硬盘
第四章电子商务信息安全
PPT文档演模板
第四章电子商务信息安全
• 数字证书采用公开密码密钥体系,即利用一对 互相匹配的密钥进行加密、解密。每个用户自 己设定一把特定的仅为本人所知的私有密钥, 用它进行解密和签名;同时设定一把公共密钥 (公钥)并由本人公开,为一组用户所共享, 用于加密和验证签名。
PPT文档演模板
第四章电子商务信息安全
PPT文档演模板
第四章电子商务信息安全
4.4.2 SET安全协议
• 为了确保网上交易的安全可靠,两个国际信用 卡集团VISA和MasterCard联合发起了“安全电 子交易”(Secure Electronic Transaction, SET)协议的制定、测试和实施,并于1997年5 月发布正式的1.0版本标准。
PPT文档演模板
第四章电子商务信息安全
PPT文档演模板
第四章电子商务信息安全
4.3.3 综合应用
• 数字摘要、数字签名、数字时间戳、数字证书、 认证中心以及信息加密,是安全电子交易常用 的6种技术。各种技术常常结合在一起使用, 从而构成安全电子交易的体系。
PPT文档演模板
第四章电子商务信息安全
PPT文档演模板
PPT文档演模板
第四章电子商务信息安全
2.认证中心的作用 – 证书的颁发 – 证书的更新 – 证书的查询 – 证书的作废 – 证书的归档
PPT.认证分级体系 • CA证书是通过信任分级体系来验证的,每一
种证书与签发它的单位相联系,沿着该信任树 直到一个公认可信赖的组织,就可以确定证书 的有效性。信任树“根”的公开密钥对所有 CA软件来说都是已知的,因而可以按次序地 检验每一个证书。
第四章电子商务信息安全
• 数字签名可用来防止电子信息因易被修改而有 人伪造;或冒用他人名义发送信息;或发出(收 到)信件后又加以否认等情况发生。
电子商务信息安全技术.课件.ppt
1)保护易受攻击的服务。 2)控制对特殊站点的访问。 3)集中化的安全管理。 4)集成人侵检测功能,提供监视互联网安全和预 警的方便端点。 5)对网络访问进行日志记录和统计。
33
防火墙的主要作用
能做什么?
安全把关 网络活动统计 内部隔离
不能做什么?
不能防范内部入侵 不能防范新的威胁 控制粒度粗
34
3.点击左边导航栏的“数字证书”,再点击“申请数字证书”。
4.输入支付宝实名的身份证号码,选择使用地点。
2.点击安全中心。
5.开始安装,安装过程中千万别关闭网页了。
6.安装成功
7.使用支付宝内的金额时,数字证书会开始验证, 验证未通过是无法完成支付的。
6.防火墙技术 (重点)
(1)概念:
10
钓鱼网站
中国银行域名
假:
真:;
中国工商银行域名
假:
真:
学历查询假网站
假中华慈善总会骗印度洋海啸捐款
假网上订票
邮件欺骗
发件人:“taoguyan33 <taoguyan33@>”
本课小结
1.安全隐患
传输协议 操作系统 信息电子化
2.安全要素
可鉴别性 可靠性 保密性 完整性
不可抵赖性
3.安全技术
信息加密技术(知识重点) 数字摘要 数字签名 数字时间戳 数字证书(能力重点) 防火墙(知识重点)
课后作业
1.在网上执行一次安全管理系统数字证书申请 流程。
2.请收集一则最新利用网络诈骗的案例,分析这 个案例中主要的漏洞在哪里。
(3)非对称加密:
使用相互关联的一对密钥,一个是公用密钥,任何人都可以知 道,另一个是私有密钥,只有拥有该对称密钥的人知道。
33
防火墙的主要作用
能做什么?
安全把关 网络活动统计 内部隔离
不能做什么?
不能防范内部入侵 不能防范新的威胁 控制粒度粗
34
3.点击左边导航栏的“数字证书”,再点击“申请数字证书”。
4.输入支付宝实名的身份证号码,选择使用地点。
2.点击安全中心。
5.开始安装,安装过程中千万别关闭网页了。
6.安装成功
7.使用支付宝内的金额时,数字证书会开始验证, 验证未通过是无法完成支付的。
6.防火墙技术 (重点)
(1)概念:
10
钓鱼网站
中国银行域名
假:
真:;
中国工商银行域名
假:
真:
学历查询假网站
假中华慈善总会骗印度洋海啸捐款
假网上订票
邮件欺骗
发件人:“taoguyan33 <taoguyan33@>”
本课小结
1.安全隐患
传输协议 操作系统 信息电子化
2.安全要素
可鉴别性 可靠性 保密性 完整性
不可抵赖性
3.安全技术
信息加密技术(知识重点) 数字摘要 数字签名 数字时间戳 数字证书(能力重点) 防火墙(知识重点)
课后作业
1.在网上执行一次安全管理系统数字证书申请 流程。
2.请收集一则最新利用网络诈骗的案例,分析这 个案例中主要的漏洞在哪里。
(3)非对称加密:
使用相互关联的一对密钥,一个是公用密钥,任何人都可以知 道,另一个是私有密钥,只有拥有该对称密钥的人知道。
电子商务信息安全技术课件演示文稿
发送日期:2016-11-17 16:40:01
Hale Waihona Puke 收件人:liucheng@
主题: 帮忙
刘老师: 你好!有件事请你帮忙,我的亲戚因急病住院,向我借
5000元救急。我现在不方便,麻烦你先替我办一下,汇到她的 中国工商银行卡里,卡号9558823301003806721高美兰 周 一我就给你。
4.输入支付宝实名的身份证号码,选择使用地点。
2.点击安全中心。
5.开始安装,安装过程中千万别关闭网页了。
6.安装成功
7.使用支付宝内的金额时,数字证书会开始验证, 验证未通过是无法完成支付的。
6.防火墙技术 (重点)
(1)概念:
防火墙是一种将内部网和公众网如 Internet分开的方法。它能限制被保护的网 络与互联网络之间,或者与其他网络之间进 行的信息存取、传递操作。
1.信息加密技术(重点、难点)
(1)加密和解密。 (2)对称加密。 (3)非对称加密。 (4)对称密钥和非对称密钥比较。 (5)非对称密钥加密与对称密钥加密混合使用。
(1)加密和解密
加密:把明文(要加密的报文)转变为密文(加密后的报文)的过程。 解密:把密文转变为明文的过程。 算法:在加密和解密时所使用的信息变换规则,如公式、法则或程序。 密钥 :控制加密和解密过程的一组随机数码。(控制只与密钥有关,
In te rn e t
防火墙
Server
内 部 网
(2)防火墙的安全策略
1)一切未被允许的就是禁止的 2)一切未被禁止的就是允许的
(3)防火墙系统的功能
1)保护易受攻击的服务。 2)控制对特殊站点的访问。 3)集中化的安全管理。 4)集成人侵检测功能,提供监视互联网安全和预 警的方便端点。 5)对网络访问进行日志记录和统计。
Hale Waihona Puke 收件人:liucheng@
主题: 帮忙
刘老师: 你好!有件事请你帮忙,我的亲戚因急病住院,向我借
5000元救急。我现在不方便,麻烦你先替我办一下,汇到她的 中国工商银行卡里,卡号9558823301003806721高美兰 周 一我就给你。
4.输入支付宝实名的身份证号码,选择使用地点。
2.点击安全中心。
5.开始安装,安装过程中千万别关闭网页了。
6.安装成功
7.使用支付宝内的金额时,数字证书会开始验证, 验证未通过是无法完成支付的。
6.防火墙技术 (重点)
(1)概念:
防火墙是一种将内部网和公众网如 Internet分开的方法。它能限制被保护的网 络与互联网络之间,或者与其他网络之间进 行的信息存取、传递操作。
1.信息加密技术(重点、难点)
(1)加密和解密。 (2)对称加密。 (3)非对称加密。 (4)对称密钥和非对称密钥比较。 (5)非对称密钥加密与对称密钥加密混合使用。
(1)加密和解密
加密:把明文(要加密的报文)转变为密文(加密后的报文)的过程。 解密:把密文转变为明文的过程。 算法:在加密和解密时所使用的信息变换规则,如公式、法则或程序。 密钥 :控制加密和解密过程的一组随机数码。(控制只与密钥有关,
In te rn e t
防火墙
Server
内 部 网
(2)防火墙的安全策略
1)一切未被允许的就是禁止的 2)一切未被禁止的就是允许的
(3)防火墙系统的功能
1)保护易受攻击的服务。 2)控制对特殊站点的访问。 3)集中化的安全管理。 4)集成人侵检测功能,提供监视互联网安全和预 警的方便端点。 5)对网络访问进行日志记录和统计。
《电子商务概论》第四章 电子商务安全技术ppt课件
(3)买卖双方都存在抵赖情况。买方提交
订单后不付款;卖方在收款后不发货。
3、信息传递中的风险
信息在网络上传递时,要经过多个环节和 渠道。由于计算机技术发展迅速,计算机病毒 的侵袭、黑客非法侵入、线路窃听等很容易使 重要数据在传递过程中泄露,威胁电子商务交 易的安全。
4、管理方面的风险
严格管理是降低网络交易风险的重要保证, 特别是在网络商品中介交易的过程中,客户进 入交易中心,买卖双方签订合同,交易中心不 仅要监督买方按时付款,还要监督卖方按时提 供符合合同要求的货物。在这些环节上,都存 在大量的管理问题。防止此类问题的风险需要 有完善的制度设计,形成一套相互关联、相互 制约的制度群。
(三)对称加密技术(私钥加密法)
对称加密技术是使用DES(Data Encryption Standard)算法,发送者加密和接收者解密使用 相同密钥的加密方法。密钥的长度一般为64位 或56位。
优点:加密解密速度快。
缺点:
(1)密钥管理和使用的难度大。在首 次通信前,要求双方必须通过除网络以外的 另外途径传递统一的密钥。当通信对象增多 时,对称密钥的分配与管理就十分地烦琐。
(4)计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能自我复制的一组计算机指令或 者程序代码。
一台计算机感染上病毒后,轻则系统运行 效率下降,部分文件丢失。重则造成系统死机, 计算机硬件烧毁。
3、防范黑客的技术措施
比较常用的防范黑客的技术措施是网络安 全检测设备、防火墙和安全工具包软件。
(二)交易中的威胁
1、假冒的威胁
(1)假冒卖方。第三人建立与供应方服务
器名字相同的另一个WWW服务器来假冒供应方;
《电子商务安全基础》教学课件 第4章 电子商务安全认证技术
通常将f(x)选为不带密钥的哈希函数。
4.1.3 消息的序号和时间性
消息的序号和时间性的认证主要是阻止消息 的重放攻击。 常用的方法有: 1)消息的流水作业号 2)链接认证符 3)随机数认证法 4)时间戳……
4.2 认证基本模式
根据应用的需要,认证基本模式主要有两 种认证模式: 单向验证和双向验证
4.2.1 单向验证
❖ 概念 单向验证是从甲到乙的单向通信,它建立了甲和乙双方身 份的证明以及从甲到乙的任何通信消息的完整性。 可以防止通信过程中的任何攻击。
4.2.1 单向认证
❖ 单向验证过程
(1)甲产生一个随机数Ra。 (2)甲构造一条消息,M=(Ta,Ra,Ib,D),其中Ta是甲的时间标记,Ib是 乙的身份证明,D为任意的一条数据消息。为安全起见,数据可用乙的 公开密钥Eb加密。 (3)甲将[Ca,Da(M)]发送给乙。Ca为甲的证书,Da为甲的私人密钥。 (4)乙确认Ca并得到Ea,并确认这些密钥没有过期,Ea为甲的公开密钥 。 (5)乙用Ea去解密Da(M),这样既证明了甲的签名,又证明了所签发消 息的完整性。 (6)为准确起见,乙检查M中的Ib。 (7)乙检查M中的Ta以证实消息是刚发来的。 (8)作为一个可选项,乙对照旧随机数数据库检查M中的Ra,以确保消 息不是旧消息。
公钥加密的特点是保密性。 在利用公钥加密体制实现消息认证的过程中提供保密, 不能提供认证
4.3.1 消息加密函数
❖ 利用私钥加密体制实现消息认证
私钥加密的特点是认证与签名。 在利用私钥加密体制实现消息认证的过程中提供认证 和签名
4.3.1 消息加密函数
❖ 利用私钥签名再公钥加密体制实现消息认证
提供保密、认证、签名
4.1.2 消息的内容
4.1.3 消息的序号和时间性
消息的序号和时间性的认证主要是阻止消息 的重放攻击。 常用的方法有: 1)消息的流水作业号 2)链接认证符 3)随机数认证法 4)时间戳……
4.2 认证基本模式
根据应用的需要,认证基本模式主要有两 种认证模式: 单向验证和双向验证
4.2.1 单向验证
❖ 概念 单向验证是从甲到乙的单向通信,它建立了甲和乙双方身 份的证明以及从甲到乙的任何通信消息的完整性。 可以防止通信过程中的任何攻击。
4.2.1 单向认证
❖ 单向验证过程
(1)甲产生一个随机数Ra。 (2)甲构造一条消息,M=(Ta,Ra,Ib,D),其中Ta是甲的时间标记,Ib是 乙的身份证明,D为任意的一条数据消息。为安全起见,数据可用乙的 公开密钥Eb加密。 (3)甲将[Ca,Da(M)]发送给乙。Ca为甲的证书,Da为甲的私人密钥。 (4)乙确认Ca并得到Ea,并确认这些密钥没有过期,Ea为甲的公开密钥 。 (5)乙用Ea去解密Da(M),这样既证明了甲的签名,又证明了所签发消 息的完整性。 (6)为准确起见,乙检查M中的Ib。 (7)乙检查M中的Ta以证实消息是刚发来的。 (8)作为一个可选项,乙对照旧随机数数据库检查M中的Ra,以确保消 息不是旧消息。
公钥加密的特点是保密性。 在利用公钥加密体制实现消息认证的过程中提供保密, 不能提供认证
4.3.1 消息加密函数
❖ 利用私钥加密体制实现消息认证
私钥加密的特点是认证与签名。 在利用私钥加密体制实现消息认证的过程中提供认证 和签名
4.3.1 消息加密函数
❖ 利用私钥签名再公钥加密体制实现消息认证
提供保密、认证、签名
4.1.2 消息的内容
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9/10
4.1
身份认证与认证体系
• 2.身份认证中的几个重要术语 • (1)识别:明确并区分访问者的身份; • (2)验证:对访问者声称的身份进行确认身份认证的基 本方法; • (3)认证:在进行任何操作之前必须有有效的方法来识 别操作执行者的真实身份身份。认证又称为鉴别、确 认。 • (4)授权:授权是指当用户身份被确认合法后,赋予该 用户操作文件和数据等的权限,赋予的权限包括读、 写、执行及从属权等。 • (5)审计:每一个人都应该为自己所作的操作负责,所 以在事情完成后都应该有记录,以便检查责任。
9/10
4.2
身份认证构架体系
• 4.2.1 身份认证构架方案 • 1.概述 • 在电子商务时代,用户应用已经发生了根本性的转变,传统 的Client/Server模式已经不能够适应传统企业、电信、 ISP应用的要求,电子商务的顺利高效运行需要在计算模式 上进行重新划分。多层分布式应用服务技术是目前电子商务 应用发展的潮流,传统的客户机/服务器模式的二层体系架 构正朝着三层或N-Tier 架构发展。 • 所谓三层结构是针对于过去的主机终端模式或者服务器客户 机模式的区别而成的,它的特点是在后台有一个后端数据支 持服务器,在中端有一群应用服务器,提供结合用户业务和 具体应用的相关系统解决方案,在前端会有很多的接入设 备,通过接入设备与客户机连接。
4.1
身份认证与认证体系
• 5.基于技术的数字证书类型 • (1)SSL证书 • Secure socket layer(SSL)协议最初由Netscape企业发 展,现已成为网络用来鉴别网站和网页浏览者身份,以及 在浏览器使用者及网页服务器之间进行加密通讯的全球化 标准。由于SSL技术已建立到所有主要的浏览器和WEB服务 器程序中,因此,仅需安装数字证书,或服务器证书就可 以激活服务器功能了。 • (2)SET证书 • SecureElectronicTransaction (SET)协议是由VISA和 MasterCard两大信用卡公司于1997年5月联合推出的规范。 SET主要是为了解决用户、商家和银行之间通过信用卡支付 的交易而设计的,以保证支付信息的机密、支付过程的完 整、商户及持卡人的合法身份、以及可操作性。SET中的核 心技术主要有公开密匙加密、电子数字签名、电子信封、 电子安全证书等。
机械工业出版社
21世纪高职高专规划教材 沈美莉 陈孟建 郁晓红 编著
电子商务信息安全技术
9/10
第四章
学习目标
电子商务安全认证技术
1.掌握身份论证的基本概念; 2.掌握身份认证的分类以及体系; 3.掌握论证的常用协议; 4.掌握数字证书的基本概念; 5.掌握PKI的体系结构; 6.掌握生物特征身份认证的常用方法。
9/10
4.1
身份认证与认证体系
• (3)双向认证 • 双向认证是指在单向认证基础上结合第二物理认 证因素,以使认证的确定性按指数递增。 • (4)身份的零知识证明 • 通常的身份认证都要求传输口令或身份信息,但 如果能够不传输这些信息身份也得到认证就好 了。零知识证明就是这样一种技术。
9/10
4.1
9/10
4.1
• • • • • •
身份认证与认证体系
2.认证中心CA的功能 (1)证书的颁发 (2)证书的更新 (3)证书的查询 (4)证书的作废 (5)证书的归档
9/10
4.1
• • • •
• •
身份认证与认证体系
•
• • •
3.数字证书中包含的内容 一个标准的X.509数字证书包含以下一些内容: (1)证书的版本信息; (2)证书的序列号,每个证书都有一个唯一的证书序列 号; (3)证书所使用的签名算法; (4)证书的发行机构名称,命名规则一般采用X.500格 式; (5)证书的有效期,现在通用的证书一般采用UTC时间格 式,它的计时范围为1950-2049; (6)证书所有人的名称,命名规则一般采用X.500格式; (7)证书所有人的公开密钥; (8)证书发行者对证书的签名。
9/10
4.1
身份认证与认证体系
• 4.用户访问资源的过程 • 日常生活中,人们的身份主要是通过各种证件来 确认的,例如,身份证、教师资格证、记者证、 军官证、户口簿等。在计算机网络系统中,各种 资源,例如,文件、数据等也要求有一定的保证 机制来确保这些资源被应该使用的人使用。身份 认证通常是许多应用系统中安全保护的第一道防 线,它的失败可能导致整个系统的失败。
9/10
4.2
身份认证构架体系
• 4.2.3 ACE/Server • ACE/Server是企业网络提供中央控制的强劲身份 认证服务器程序,以确保只有授权用户才能访问 网络上的文件、应用及通讯程序。与Secur ID令 牌技术同时使用,ACE/Server阻隔未经授权访 问,从而保护网络和信息资源不受潜在的入侵, 无论入侵是巧合还是恶性的。
9/10
4.1 身份认证与认证体系 • 4.1.1 身份认证概念 • 1.身份认证的定义
• 所谓身份认证就是计算机系统的用户在进入计算机系统 时,系统确认该用户的身份是否真实、合法和唯一,一 般可以分成以下几种。 • (1)消息认证 • 消息认证主要用于保证信息的完整性和抗否认性,在很 多情况下,用户要确认网上信息是不是假的,信息是否 被第三方修改或伪造,这就需要消息认证。 • (2)身份认证 • 身份认证主要为了确保用户身份的真实、合法和唯一。 这样,就可以防止非法人员进入系统,防止非法人员通 过违法操作获取不正当利益,访问受控信息,恶意破坏 系统数据的完整性的情况的发生。同时,在一些需要具 有较高安全性的系统中,通过用户身份的唯一性,系统 可以自动记录用户所作的操作,进行有效的稽核。
9/10
4.2
身份认证构架体系
9/10
4.3
PKI体系
• 4.3.1 PKI体系概述 • 1.PKI概念 • PKI(Public Key Infrastructure )即“公开密 钥体系”,是一种遵循既定标准的密钥管理平台, 他能够为所有网络应用提供加密和数字签名等密码 服务及所必需的密钥和证书管理体系,简单来说, PKI就是利用公钥理论和技术建立的提供安全服务 的基础设施。PKI技术是信息安全技术的核心,也 是电子商务的关键和基础技术。
9/10
4.1
身份认证与认证体系
• 4.1.3 数字证书 • 1.数字证书概念 • 数字证书是由权威机构--CA证书授权 (Certificate Authority)中心发行的,能提供 在Internet上进行身份验证的一种权威性电子文 档,人们可以在互联网交往中用它来证明自己的 身份和识别对方的身份。 • 2.数字证书颁发过程 • 数字证书颁发过程如图4-3所示。
9/10
4.3
PKI体系
• 2.PKI组成 • PKI体系结构内的主要组件包括:终端实体 (EE:End Entity)、证书机构(CA: Certificate Authority)、注册机构(RA: Registration authority)、CRL发布者(CRL Issuer)、资料库(Repository)等,PKI组件 及其相互间的主要关系如图4-14所示。9/10Fra bibliotek4.1
身份认证与认证体系
• 4.1.4 认证中心CA • 1.电子商务认证中心CA • CA机构,又称为证书授证(Certificate Authority) 中心,作为电子商务交易中受信任的第三方,承担 公钥体系中公钥的合法性检验的责任。CA中心为每 个使用公开密钥的用户发放一个数字证书,数字证 书的作用是证明证书中列出的用户合法拥有证书中 列出的公开密钥。CA机构的数字签名使得攻击者不 能伪造和篡改证书。它负责产生、分配并管理所有 参与网上交易的个体所需的数字证书,因此是安全 电子交易的核心环节。
身份认证与认证体系
• 2.基于物理安全的身份认证方法 • (1)基于生物学的方案 • 基于生物学的方案包括:个人特征的指纹、掌纹、面孔、声音、视网 膜血管图、虹膜、基因、手写签名等。 • (2)基于个人拥有物的身份识别 • 基于个人拥有物的身份识别包括:身份证、护照、教师证、军官证、 驾驶证、图章、IC卡或其他有效证件。 • 3.基于IC卡的身份认证方式 • IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数 据, • 4.基于USB Key的身份认证方式 • 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、 经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证 模式,很好地解决了安全性与易用性之间的矛盾。 • 5.基于动态口令技术的认证方式 • 动态口令技术是一种让用户的密码按照时间或使用次数不断动态变 化,每个密码只使用一次的技术。
9/10
4.1
身份认证与认证体系
9/10
4.1
• • • • • • • • • • • • •
身份认证与认证体系
4.基于应用的数字证书类型 (1)个人身份证书 个人身份证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个 人身份。 (2)企业或机构身份证书 企业或机构身份证书中包含企业信息和企业的公钥,用于标识证书持有企业 的身份。 (3)支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实 现数据加解密的主要工具,用于数字签名和信息加密。 (4)服务器证书 服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加 密。服务器证书可以用来防止假冒站点。 (5)电子邮件证书 电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书 上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实 性。 (6)企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书,包含软件提供商的 9/10 身份信息、公钥及 CA 的签名。
9/10
4.2
身份认证构架体系
4.1
身份认证与认证体系
• 2.身份认证中的几个重要术语 • (1)识别:明确并区分访问者的身份; • (2)验证:对访问者声称的身份进行确认身份认证的基 本方法; • (3)认证:在进行任何操作之前必须有有效的方法来识 别操作执行者的真实身份身份。认证又称为鉴别、确 认。 • (4)授权:授权是指当用户身份被确认合法后,赋予该 用户操作文件和数据等的权限,赋予的权限包括读、 写、执行及从属权等。 • (5)审计:每一个人都应该为自己所作的操作负责,所 以在事情完成后都应该有记录,以便检查责任。
9/10
4.2
身份认证构架体系
• 4.2.1 身份认证构架方案 • 1.概述 • 在电子商务时代,用户应用已经发生了根本性的转变,传统 的Client/Server模式已经不能够适应传统企业、电信、 ISP应用的要求,电子商务的顺利高效运行需要在计算模式 上进行重新划分。多层分布式应用服务技术是目前电子商务 应用发展的潮流,传统的客户机/服务器模式的二层体系架 构正朝着三层或N-Tier 架构发展。 • 所谓三层结构是针对于过去的主机终端模式或者服务器客户 机模式的区别而成的,它的特点是在后台有一个后端数据支 持服务器,在中端有一群应用服务器,提供结合用户业务和 具体应用的相关系统解决方案,在前端会有很多的接入设 备,通过接入设备与客户机连接。
4.1
身份认证与认证体系
• 5.基于技术的数字证书类型 • (1)SSL证书 • Secure socket layer(SSL)协议最初由Netscape企业发 展,现已成为网络用来鉴别网站和网页浏览者身份,以及 在浏览器使用者及网页服务器之间进行加密通讯的全球化 标准。由于SSL技术已建立到所有主要的浏览器和WEB服务 器程序中,因此,仅需安装数字证书,或服务器证书就可 以激活服务器功能了。 • (2)SET证书 • SecureElectronicTransaction (SET)协议是由VISA和 MasterCard两大信用卡公司于1997年5月联合推出的规范。 SET主要是为了解决用户、商家和银行之间通过信用卡支付 的交易而设计的,以保证支付信息的机密、支付过程的完 整、商户及持卡人的合法身份、以及可操作性。SET中的核 心技术主要有公开密匙加密、电子数字签名、电子信封、 电子安全证书等。
机械工业出版社
21世纪高职高专规划教材 沈美莉 陈孟建 郁晓红 编著
电子商务信息安全技术
9/10
第四章
学习目标
电子商务安全认证技术
1.掌握身份论证的基本概念; 2.掌握身份认证的分类以及体系; 3.掌握论证的常用协议; 4.掌握数字证书的基本概念; 5.掌握PKI的体系结构; 6.掌握生物特征身份认证的常用方法。
9/10
4.1
身份认证与认证体系
• (3)双向认证 • 双向认证是指在单向认证基础上结合第二物理认 证因素,以使认证的确定性按指数递增。 • (4)身份的零知识证明 • 通常的身份认证都要求传输口令或身份信息,但 如果能够不传输这些信息身份也得到认证就好 了。零知识证明就是这样一种技术。
9/10
4.1
9/10
4.1
• • • • • •
身份认证与认证体系
2.认证中心CA的功能 (1)证书的颁发 (2)证书的更新 (3)证书的查询 (4)证书的作废 (5)证书的归档
9/10
4.1
• • • •
• •
身份认证与认证体系
•
• • •
3.数字证书中包含的内容 一个标准的X.509数字证书包含以下一些内容: (1)证书的版本信息; (2)证书的序列号,每个证书都有一个唯一的证书序列 号; (3)证书所使用的签名算法; (4)证书的发行机构名称,命名规则一般采用X.500格 式; (5)证书的有效期,现在通用的证书一般采用UTC时间格 式,它的计时范围为1950-2049; (6)证书所有人的名称,命名规则一般采用X.500格式; (7)证书所有人的公开密钥; (8)证书发行者对证书的签名。
9/10
4.1
身份认证与认证体系
• 4.用户访问资源的过程 • 日常生活中,人们的身份主要是通过各种证件来 确认的,例如,身份证、教师资格证、记者证、 军官证、户口簿等。在计算机网络系统中,各种 资源,例如,文件、数据等也要求有一定的保证 机制来确保这些资源被应该使用的人使用。身份 认证通常是许多应用系统中安全保护的第一道防 线,它的失败可能导致整个系统的失败。
9/10
4.2
身份认证构架体系
• 4.2.3 ACE/Server • ACE/Server是企业网络提供中央控制的强劲身份 认证服务器程序,以确保只有授权用户才能访问 网络上的文件、应用及通讯程序。与Secur ID令 牌技术同时使用,ACE/Server阻隔未经授权访 问,从而保护网络和信息资源不受潜在的入侵, 无论入侵是巧合还是恶性的。
9/10
4.1 身份认证与认证体系 • 4.1.1 身份认证概念 • 1.身份认证的定义
• 所谓身份认证就是计算机系统的用户在进入计算机系统 时,系统确认该用户的身份是否真实、合法和唯一,一 般可以分成以下几种。 • (1)消息认证 • 消息认证主要用于保证信息的完整性和抗否认性,在很 多情况下,用户要确认网上信息是不是假的,信息是否 被第三方修改或伪造,这就需要消息认证。 • (2)身份认证 • 身份认证主要为了确保用户身份的真实、合法和唯一。 这样,就可以防止非法人员进入系统,防止非法人员通 过违法操作获取不正当利益,访问受控信息,恶意破坏 系统数据的完整性的情况的发生。同时,在一些需要具 有较高安全性的系统中,通过用户身份的唯一性,系统 可以自动记录用户所作的操作,进行有效的稽核。
9/10
4.2
身份认证构架体系
9/10
4.3
PKI体系
• 4.3.1 PKI体系概述 • 1.PKI概念 • PKI(Public Key Infrastructure )即“公开密 钥体系”,是一种遵循既定标准的密钥管理平台, 他能够为所有网络应用提供加密和数字签名等密码 服务及所必需的密钥和证书管理体系,简单来说, PKI就是利用公钥理论和技术建立的提供安全服务 的基础设施。PKI技术是信息安全技术的核心,也 是电子商务的关键和基础技术。
9/10
4.1
身份认证与认证体系
• 4.1.3 数字证书 • 1.数字证书概念 • 数字证书是由权威机构--CA证书授权 (Certificate Authority)中心发行的,能提供 在Internet上进行身份验证的一种权威性电子文 档,人们可以在互联网交往中用它来证明自己的 身份和识别对方的身份。 • 2.数字证书颁发过程 • 数字证书颁发过程如图4-3所示。
9/10
4.3
PKI体系
• 2.PKI组成 • PKI体系结构内的主要组件包括:终端实体 (EE:End Entity)、证书机构(CA: Certificate Authority)、注册机构(RA: Registration authority)、CRL发布者(CRL Issuer)、资料库(Repository)等,PKI组件 及其相互间的主要关系如图4-14所示。9/10Fra bibliotek4.1
身份认证与认证体系
• 4.1.4 认证中心CA • 1.电子商务认证中心CA • CA机构,又称为证书授证(Certificate Authority) 中心,作为电子商务交易中受信任的第三方,承担 公钥体系中公钥的合法性检验的责任。CA中心为每 个使用公开密钥的用户发放一个数字证书,数字证 书的作用是证明证书中列出的用户合法拥有证书中 列出的公开密钥。CA机构的数字签名使得攻击者不 能伪造和篡改证书。它负责产生、分配并管理所有 参与网上交易的个体所需的数字证书,因此是安全 电子交易的核心环节。
身份认证与认证体系
• 2.基于物理安全的身份认证方法 • (1)基于生物学的方案 • 基于生物学的方案包括:个人特征的指纹、掌纹、面孔、声音、视网 膜血管图、虹膜、基因、手写签名等。 • (2)基于个人拥有物的身份识别 • 基于个人拥有物的身份识别包括:身份证、护照、教师证、军官证、 驾驶证、图章、IC卡或其他有效证件。 • 3.基于IC卡的身份认证方式 • IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数 据, • 4.基于USB Key的身份认证方式 • 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、 经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证 模式,很好地解决了安全性与易用性之间的矛盾。 • 5.基于动态口令技术的认证方式 • 动态口令技术是一种让用户的密码按照时间或使用次数不断动态变 化,每个密码只使用一次的技术。
9/10
4.1
身份认证与认证体系
9/10
4.1
• • • • • • • • • • • • •
身份认证与认证体系
4.基于应用的数字证书类型 (1)个人身份证书 个人身份证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个 人身份。 (2)企业或机构身份证书 企业或机构身份证书中包含企业信息和企业的公钥,用于标识证书持有企业 的身份。 (3)支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实 现数据加解密的主要工具,用于数字签名和信息加密。 (4)服务器证书 服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加 密。服务器证书可以用来防止假冒站点。 (5)电子邮件证书 电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书 上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实 性。 (6)企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书,包含软件提供商的 9/10 身份信息、公钥及 CA 的签名。
9/10
4.2
身份认证构架体系