第十一章 实现电子商务安全本章内容
保护企业网上资产喝客户隐私得安全措施
保护客户机免受威胁
保护在互联网通信信道上传输信息得安全
保护电子商务服务器得安全措施第十一章 实现电子商务安全案例
11.1 引言
2002年,美国国会就联邦政府计算机安全问题进行听证会,结果并不乐观。审计总署汇报了两年
24个政府部门的安全评估结果,其中 16个部门没有完成计算机安全任务。所有 24个部门都存在一种以上大漏洞。
这些安全问题既不涉及复杂的技术问题,也不需要大规模投入。主要因为是员工培训不够以及没有及时更新安全补丁,最常见的问题是对访问控制的基本标准没有执行,比如定期更换口令等。
第十一章 实现电子商务安全
11.2 电子商务安全的目标
1 计算机信息系统安全的历史
物理安全
计算机用户安全
数据安全与罗马帝国恺撒
美国国防部与可信计算机评价标准第十一章 实现电子商务安全
11.2 电子商务安全的目标
2 电子商务的安全要求要求 含义保 密 防止未经授权的人读取信息及业务计划完 整 将信息放入安全信封以便自动检查是否被修改可 用 保证信息的转移,防止丢失密钥管理 安全发布和管理密钥,以保证安全通信不可否认 为消息收发者提供不可否认的端到端的证据认 证 用数字签名和证书来安全识别客户机和服务器第十一章 实现电子商务安全
11.2 电子商务安全的目标
3 保护知识产权
传统的知识产权主要通过国内法律甚至国际法来保护
数字水印
复制控制
数字音乐安全协会第十一章 实现电子商务安全
11.2 电子商务安全的目标
4 保护网站客户的隐私
Cookie作用类似再次进入网站的门票
按时间分类:回话 cookie、永久 cookie
回话 cookie:关闭浏览器后即被删除
永久 cookie:永远存储
按来源:第一方 cookie、第三方 cookie
由 WWW服务器放在客户机上,第一方
由客户机所访问的网站生成,第三方
Internet浏览器,工具,选项,隐私,高级,可以禁用第一方 cookie和第三方 cookie
第十一章 实现电子商务安全
11.3 保护客户机
1 数字证书
对客户机和服务器确认彼此身份非常关键
是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份,还能向电子邮件附件发送者发送加密信息的功能。
又称签名消息、签名代码
CA认证中心:向组织或个人发行数字证书第十一章 实现电子商务安全
11.3 保护客户机数字证书主要内容
证书所有者的身份信息,如姓名、组织、地址等
证书所有者的公钥
证书的有效期
证书编号
证书发行机构的名称
证书发行机构的电子签名第十一章 实现电子商务安全
11.3 保护客户机
2 电子商务的主要安全要素电子商务的安全要素主要体现在以下几个方面:
信息有效性、真实性 --开展电子商务的前提
信息机密性 --商业防泄密是电子商务全面推广应用的重要保障
信息完整性 - 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、
信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
第十一章 实现电子商务安全
11.3 保护客户机
2 电子商务的主要安全要素电子商务的安全要素主要体现在以下几个方面:
信息可靠性、不可抵赖性和可鉴别性 - 可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,
防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、
单据的可靠性并预防抵赖行为的发生。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用 kerberos服务的
telnet,nfs,rlogion等,以及用作电子邮件加密的
pem( privacy enhanced mail)和 pgp( pretty good
privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
对称密钥密码算法,对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自 1977年美国颁布 des密码算法作为美国数据加密标准以来,
对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
不对称型加密算法,也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,只有二者配合使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在
Internet中得到了广泛应用。其中公用密钥在网上公布,
为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
不可逆加密算法,其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字摘要 (digital digest),
这一加密方法亦称安全 Hash编码法,由 Ron
Rivest所设计。该编码法采用单向 Hash 函数将需加密的明文 "摘要 "成一串 128bit的密文,这一串密文亦称为数字指纹 (Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是 "真身 "的 "指纹 "了。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字签名 (digital signature),
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字时间戳 (digital time-stamp),
交易文件中,时间是十分重要的信息 。 在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容 。 在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务 (DTS)就能提供电子文件发表时间的安全保护 。
数字时间戳服务 (DTS)是网上安全服务项目,由专门的机构提供。时间戳 (time-stamp) 是一个经加密后形成的凭证文档,
它包括三个部分,1)需加时间戳的文件的摘要 (digest),2)DTS
收到文件的日期和时间,3)DTS的数字签名。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字证书 (digital certificate,digital ID)
数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。
数字凭证有三种类型:
个人凭证 (Personal Digital ID)
企业 ( 服务器 ) 凭证 (Server ID)
软件(开发者)凭证 (Developer ID)
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SSL协议 ( Secure Sockets Layer) 安全套接层协议
面向连接的协议,当初不是为电子商务而设计。
SSL协议主要是使用公开密钥体制和 X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用 Web
Server方式 。
SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;
在该通道上可透明加载任何高层应用协议 ( 如 HTTP,FTP、
TELNET等 ) 以保证应用层数据传输的安全性 。 SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SSL的应用及局限:中国目前多家银行均采用 SSL协议,
从目前实际使用的情况来看,SSL还是人们最信赖的协议 。
但是 SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端 。 它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户,
网站,银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SET协议 ( Secure Electronic Transaction) 安全电子交易
专门为电子商务而设计的协议,但仍然不能解决电子商务所遇到全部问题。
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题 。 在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论以防止被欺骗 。 针对这种情况,由美国 Visa和 MasterCard
两大信用卡组织联合国际上多家科技机构,共同制定了应用于 Internet上的以银行卡为基础进行在线交易的安全标准,这就是 "安全电子交易 "( SET) 。 它采用公钥密码体制和 X.509数字证书标准,主要应用于保障网上购物信息的安全性 。 由于 SET 提供了消费者,商家和银行之间的认证,确保了交易数据的安全性,完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡 /借记卡的网上交易的国际安全标准 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SET的局限性,SET是专门为电子商务而设计的协议,虽然它在很多方面优于 SSL协议,但仍然不能解决电子商务所遇到的全部问题 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
为解决 Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的 Internet安全解决方案,
即目前被广泛采用的 PKI( Public Key Infrastructure
公钥基础设施 ) 体系结构 。 PKI体系结构采用证书管理公钥,通过第三方的可信机构 CA,把用户的公钥和用户的其他标识信息 ( 如名称,e-mail,身份证号等 ) 捆绑在一起,在 Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在 Internet网上实现密钥的自动管理,保证网上数据的机密性,完整性 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
在电子交易中,无论是数字时间戳服务 (DTS)还是数字证书 (Digital ID)的发放,都不是靠交易的自己能完成的,
而需要有一个具有权威性和公正性的第三方 (third
party)来完成 。 认证中心 (Certificate Authority)就是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构 。 认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请,签发及对数 字 凭 证 的 管 理 。 认 证 中 心 依 据 认 证 操 作 规 定
(Certification Practice Statement)来实施服务操作 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统的基本原理:
利用 RSA公开密钥算法在密钥自动管理,数字签名,
身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统 。 这个可信的第三方认证系统也称为 CA,CA为用户发放电子证书,用户之间
( 比如网银服务器和某客户之间 ) 利用证书来保证信息安全性和双方身份的合法性 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
整个系统是一个大的网络环境,系统从功能上基本可以划分为 CA,RA和 Web Publisher。
核心系统根 CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络 。 CA的功能是在收到来自 RA的证书请求时,颁发证书 。 一般的个人证书发放过程都是自动进行,无须人工干预 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书的登记机构 Register Authority,简称 RA,分散在各个网上银行的地区中心 。 RA与网银中心有机结合,
接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给 CA中心 。 RA与 CA双方的通信报文也通过 RSA进行加密,确保安全 。 系统的分布式结构适于新业务网点的开设,具有较好的扩充性 。 通信协议为
TCP/IP。 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书的公布系统 Web Publisher,简称 WP,
置于 Internet网上,是普通用户和 CA直接交流的界面 。 对用户来讲它相当于一个在线的证书数据库 。 用户的证书由 CA颁发之后,CA用 E-
mail通知用户,然后用户须用浏览器从这里下载证书 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书链服务 ( 有时也称 "交叉认证 ") 是一个 CA扩展其信任范围或被认可范围的一种实现机制 。 如果企业或机构已经建立了自己的 CA系统,通过第三方认证中心对该机构或企业的 CA签发 CA证书,能够使得该企业或机构的 CA发放的证书被所有信任第三方认证中心的浏览器,
邮件客户所信任 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
中国金融认证中心 CFCA的建设情况,
中国对电子商务的发展也给予了应有的重视 。 中国金 融 认 证 中心 CFCA( China Financial Certificate
Authority) 。 已于 2000年 6月 29日开始对社会各界提供证书服务,系统进入运行状态 。 中国金融认证中心作为一个权威的,可信赖的,公正的第三方信任机构,为参与电子商务各方的各种认证需求提供证书服务,建立彼此的信任机制,为全国范围内的电子商务及网上银行等网上支付业务提供多种模式的认证服务,在不远的将来实现与国外 CA的交叉认证 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
5 小结以上分析了目前电子商务领域所使用的安全技术:数据加密技术,身份认证技术,网上支付平台及支付网关,指出了它们分别的使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展 。
第十一章 实现电子商务安全
保护企业网上资产喝客户隐私得安全措施
保护客户机免受威胁
保护在互联网通信信道上传输信息得安全
保护电子商务服务器得安全措施第十一章 实现电子商务安全案例
11.1 引言
2002年,美国国会就联邦政府计算机安全问题进行听证会,结果并不乐观。审计总署汇报了两年
24个政府部门的安全评估结果,其中 16个部门没有完成计算机安全任务。所有 24个部门都存在一种以上大漏洞。
这些安全问题既不涉及复杂的技术问题,也不需要大规模投入。主要因为是员工培训不够以及没有及时更新安全补丁,最常见的问题是对访问控制的基本标准没有执行,比如定期更换口令等。
第十一章 实现电子商务安全
11.2 电子商务安全的目标
1 计算机信息系统安全的历史
物理安全
计算机用户安全
数据安全与罗马帝国恺撒
美国国防部与可信计算机评价标准第十一章 实现电子商务安全
11.2 电子商务安全的目标
2 电子商务的安全要求要求 含义保 密 防止未经授权的人读取信息及业务计划完 整 将信息放入安全信封以便自动检查是否被修改可 用 保证信息的转移,防止丢失密钥管理 安全发布和管理密钥,以保证安全通信不可否认 为消息收发者提供不可否认的端到端的证据认 证 用数字签名和证书来安全识别客户机和服务器第十一章 实现电子商务安全
11.2 电子商务安全的目标
3 保护知识产权
传统的知识产权主要通过国内法律甚至国际法来保护
数字水印
复制控制
数字音乐安全协会第十一章 实现电子商务安全
11.2 电子商务安全的目标
4 保护网站客户的隐私
Cookie作用类似再次进入网站的门票
按时间分类:回话 cookie、永久 cookie
回话 cookie:关闭浏览器后即被删除
永久 cookie:永远存储
按来源:第一方 cookie、第三方 cookie
由 WWW服务器放在客户机上,第一方
由客户机所访问的网站生成,第三方
Internet浏览器,工具,选项,隐私,高级,可以禁用第一方 cookie和第三方 cookie
第十一章 实现电子商务安全
11.3 保护客户机
1 数字证书
对客户机和服务器确认彼此身份非常关键
是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份,还能向电子邮件附件发送者发送加密信息的功能。
又称签名消息、签名代码
CA认证中心:向组织或个人发行数字证书第十一章 实现电子商务安全
11.3 保护客户机数字证书主要内容
证书所有者的身份信息,如姓名、组织、地址等
证书所有者的公钥
证书的有效期
证书编号
证书发行机构的名称
证书发行机构的电子签名第十一章 实现电子商务安全
11.3 保护客户机
2 电子商务的主要安全要素电子商务的安全要素主要体现在以下几个方面:
信息有效性、真实性 --开展电子商务的前提
信息机密性 --商业防泄密是电子商务全面推广应用的重要保障
信息完整性 - 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、
信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
第十一章 实现电子商务安全
11.3 保护客户机
2 电子商务的主要安全要素电子商务的安全要素主要体现在以下几个方面:
信息可靠性、不可抵赖性和可鉴别性 - 可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,
防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、
单据的可靠性并预防抵赖行为的发生。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用 kerberos服务的
telnet,nfs,rlogion等,以及用作电子邮件加密的
pem( privacy enhanced mail)和 pgp( pretty good
privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
对称密钥密码算法,对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自 1977年美国颁布 des密码算法作为美国数据加密标准以来,
对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
不对称型加密算法,也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,只有二者配合使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在
Internet中得到了广泛应用。其中公用密钥在网上公布,
为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
1 电子商务的安全技术之一:数据加密技术
常用的加密技术分类:
不可逆加密算法,其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字摘要 (digital digest),
这一加密方法亦称安全 Hash编码法,由 Ron
Rivest所设计。该编码法采用单向 Hash 函数将需加密的明文 "摘要 "成一串 128bit的密文,这一串密文亦称为数字指纹 (Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是 "真身 "的 "指纹 "了。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字签名 (digital signature),
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字时间戳 (digital time-stamp),
交易文件中,时间是十分重要的信息 。 在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容 。 在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务 (DTS)就能提供电子文件发表时间的安全保护 。
数字时间戳服务 (DTS)是网上安全服务项目,由专门的机构提供。时间戳 (time-stamp) 是一个经加密后形成的凭证文档,
它包括三个部分,1)需加时间戳的文件的摘要 (digest),2)DTS
收到文件的日期和时间,3)DTS的数字签名。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
2 电子商务领域常用的加密技术
数字证书 (digital certificate,digital ID)
数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。
数字凭证有三种类型:
个人凭证 (Personal Digital ID)
企业 ( 服务器 ) 凭证 (Server ID)
软件(开发者)凭证 (Developer ID)
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SSL协议 ( Secure Sockets Layer) 安全套接层协议
面向连接的协议,当初不是为电子商务而设计。
SSL协议主要是使用公开密钥体制和 X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用 Web
Server方式 。
SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;
在该通道上可透明加载任何高层应用协议 ( 如 HTTP,FTP、
TELNET等 ) 以保证应用层数据传输的安全性 。 SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SSL的应用及局限:中国目前多家银行均采用 SSL协议,
从目前实际使用的情况来看,SSL还是人们最信赖的协议 。
但是 SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端 。 它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户,
网站,银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SET协议 ( Secure Electronic Transaction) 安全电子交易
专门为电子商务而设计的协议,但仍然不能解决电子商务所遇到全部问题。
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题 。 在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论以防止被欺骗 。 针对这种情况,由美国 Visa和 MasterCard
两大信用卡组织联合国际上多家科技机构,共同制定了应用于 Internet上的以银行卡为基础进行在线交易的安全标准,这就是 "安全电子交易 "( SET) 。 它采用公钥密码体制和 X.509数字证书标准,主要应用于保障网上购物信息的安全性 。 由于 SET 提供了消费者,商家和银行之间的认证,确保了交易数据的安全性,完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡 /借记卡的网上交易的国际安全标准 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
3 与电子商务安全有关的协议技术讨论
SET的局限性,SET是专门为电子商务而设计的协议,虽然它在很多方面优于 SSL协议,但仍然不能解决电子商务所遇到的全部问题 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
为解决 Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的 Internet安全解决方案,
即目前被广泛采用的 PKI( Public Key Infrastructure
公钥基础设施 ) 体系结构 。 PKI体系结构采用证书管理公钥,通过第三方的可信机构 CA,把用户的公钥和用户的其他标识信息 ( 如名称,e-mail,身份证号等 ) 捆绑在一起,在 Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在 Internet网上实现密钥的自动管理,保证网上数据的机密性,完整性 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
在电子交易中,无论是数字时间戳服务 (DTS)还是数字证书 (Digital ID)的发放,都不是靠交易的自己能完成的,
而需要有一个具有权威性和公正性的第三方 (third
party)来完成 。 认证中心 (Certificate Authority)就是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构 。 认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请,签发及对数 字 凭 证 的 管 理 。 认 证 中 心 依 据 认 证 操 作 规 定
(Certification Practice Statement)来实施服务操作 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统的基本原理:
利用 RSA公开密钥算法在密钥自动管理,数字签名,
身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统 。 这个可信的第三方认证系统也称为 CA,CA为用户发放电子证书,用户之间
( 比如网银服务器和某客户之间 ) 利用证书来保证信息安全性和双方身份的合法性 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
整个系统是一个大的网络环境,系统从功能上基本可以划分为 CA,RA和 Web Publisher。
核心系统根 CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络 。 CA的功能是在收到来自 RA的证书请求时,颁发证书 。 一般的个人证书发放过程都是自动进行,无须人工干预 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书的登记机构 Register Authority,简称 RA,分散在各个网上银行的地区中心 。 RA与网银中心有机结合,
接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给 CA中心 。 RA与 CA双方的通信报文也通过 RSA进行加密,确保安全 。 系统的分布式结构适于新业务网点的开设,具有较好的扩充性 。 通信协议为
TCP/IP。 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书的公布系统 Web Publisher,简称 WP,
置于 Internet网上,是普通用户和 CA直接交流的界面 。 对用户来讲它相当于一个在线的证书数据库 。 用户的证书由 CA颁发之后,CA用 E-
mail通知用户,然后用户须用浏览器从这里下载证书 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
认证系统结构:
证书链服务 ( 有时也称 "交叉认证 ") 是一个 CA扩展其信任范围或被认可范围的一种实现机制 。 如果企业或机构已经建立了自己的 CA系统,通过第三方认证中心对该机构或企业的 CA签发 CA证书,能够使得该企业或机构的 CA发放的证书被所有信任第三方认证中心的浏览器,
邮件客户所信任 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
4 电子商务的安全技术之二 ------身份认证技术
中国金融认证中心 CFCA的建设情况,
中国对电子商务的发展也给予了应有的重视 。 中国金 融 认 证 中心 CFCA( China Financial Certificate
Authority) 。 已于 2000年 6月 29日开始对社会各界提供证书服务,系统进入运行状态 。 中国金融认证中心作为一个权威的,可信赖的,公正的第三方信任机构,为参与电子商务各方的各种认证需求提供证书服务,建立彼此的信任机制,为全国范围内的电子商务及网上银行等网上支付业务提供多种模式的认证服务,在不远的将来实现与国外 CA的交叉认证 。
第十一章 实现电子商务安全
11.4 电子商务的安全技术讨论
5 小结以上分析了目前电子商务领域所使用的安全技术:数据加密技术,身份认证技术,网上支付平台及支付网关,指出了它们分别的使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展 。
第十一章 实现电子商务安全
