1、 电子商务安全实验报告 作者: 日期: 2 电子商务安全技术实验名称: 吕吕 一、实验目的:了解电通过本实验加深对电子商务安全威胁、重要性的理解, 子商务安全的措施及相关技术。 二、实验内容:)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及(1个,了解不同类措施。3 要求搜集的电子商务安全威胁案例不少于 型电子商务网站所采取的电子商务安全措施和技术。 : 电子商务安全的协议有:答协议:PKI的缩写,是指用公钥概念Public Key 是技术是信PKI和技术来实施和提供安全服务的具有普适性的安全基础设施。的基础技术包括息安全技术的核
2、心,也是电子商务的关键和基础技术。PKI 加密、数字签名、数据完整性机制、数字信封、双重数字签名等。)是S-HTTP:安全超文本传输协议(安全超文本传输协议(S-HTTP) 致力于促进以因特网为基础的电子商务技术发展的国际财团站点上W eb 协会提出的安全传输协议,主要利用密钥对加密的方法来保障 的/响应的传输协议HTTP 被设计为作为请求的信息安全。S-HTTP 有了本质上的区 SSL 一种安全扩展版本,正是这一特点使得S-HTTP 与的主要功能是保护单一的处S-HTTP 别,因为SSL 是一种会话保护协议。这在某种程度上与一个消息安全协议保护电子邮件消理请求或响应的消
3、息, 息的工作原理相似。能使客户机与服务器之间的通信不被攻 安全套接层协议(SSL):SSL SSL 击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。协议之上,它的优势在于与应用层协议独立无关,应用层协议建立在 TCP 协议在应用层协议通信之前就已经完能透明地建立于 协议之上。SSL SSL 成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协 议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。协议采用了对称密钥和非对称密钥体SET): SET 安全电子交易协议(制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护其采用的核心技术保证交易信
4、息的隐蔽性。在开放网络上传输的个人信息,包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。 电子商务安全的措施有:其原理是加密技术: ,加密技术是电子商务的最基本信息安全防范措施利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确 保数据的保密性。发1) :(数字签名: 数字签名如同手写签名,在电子商务中有如下优点接受者能够核实发送者发送的(送者事后不能否认自己发送的报文签名。2) 接受者不能对发送(4) 报文签名。(3) 接受者不能伪造发送者的报文签名。交易中的某一用户不能冒充另一用户作为发送者或(5) 者的报文进行篡改。发送方从报文文本中:,接受者。数字签名也是采
5、用非对称加密算法实现方式为形成发,生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密将这个数字签名作为报文的附件和报文一起发送给报,送方的数字签名;然后位的散列文的接受方;报文的接受方首先从接受到的原始报文中计算出128 再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值, 值相同,那么接受方就能确认该数字签名是发送方的。如同传统商(DTS ,Digital ,time-stamp) 数字时间戳:数字时间戳在电子交易中,同样需对交易文件的日期和时间信息采取,务中的日期和时间安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时)是网络安全服务项目,由
6、专门的机构提供。时间戳是一个经DTS间戳服务(需要加盖时间戳的文件的摘要、加密后形成的凭证文档。它由三个部分组成: DTS 的数字签名DTS收到文件的日期和时间以及如同传统商务,数字证书:数字时间戳(DTS ,Digital time-stamp) 在电子交易中电子商务安全实验分析报告,同样需对交易文件的日期和时间信息采取安中的日期和时间,全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间)是网络安全服务项目,由专门的机构提供。时间戳是一个经加戳服务(DTSDTS需要加盖时间戳的文件的摘要、密后形成的凭证文档。它由三个部分组成: DTS 的数字签名收到文件的日期和时间以及协议(安全套接层目前常用的安
7、全协议主要有两种:SSL安全协议技术:公司提出的协议(安全电子交易协议)SET。SSL 协议是由协议)和协议不能确认用户身份的问T C P /I P 安全交易协议,该协议主要目的是解决4SET以保证网络通信服务的安全性。上使用非对称的加密技术,Socket 在题, 合司联信用卡公 是由Visa 和两大月共同推出的以信用IBM, , GTE , , SA IC等公司与1996年6信息保卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、数字X . 5 0 9 密、数据完整、数字认证和数字签名等。它采用公钥密码体制和
8、 证书标准,主要应用于保障网上购物信息的安全性。 )访问不同类型的电子商务站点,上网搜集相关资料,了解国内网上支(2 付在安全方面的解决方案。答:密码认证机制, / 目前中国所有电子支付服务提供商都还是使用简单的用户名 虽然某些电子支付服务提供商增加了一个安全控件,但还是存在以下两大严重安全问题:越来越多的黑客和木马软件由于涉及到资金问题,(1)用户的身份认证问题:而电子支付服务提供商现有的用户登录系统是简单就盯上了电子支付服务,密码单一认证机制,可以说毫无安全性可言,非常容易被非法/ 的用户名 窃取而导致用户的资金被盗。由于电子支付服务提供商的电子支付服务的原理是通电子邮件泄密问题:(2)非
9、过电子邮件通知来收款和付款的,而电子邮件在互联网上是明文传输的,则此笔交易款常容易被非法窃取,而一旦用户的电子邮件内容被非法窃取, 就极有可能也非常容易被非法盗走。技术) ”“双重认证 (two-factor 由于以上两大问题,就开始采用其实就是使用用户的个人数字证书来来解决电子支付的在线身份盗窃问题, 实现安全的身份认证和电子邮件加密。 具体解决方案是:电子支付服务提供商为每个用户颁发一个全球通用的个人数字,证书(1)用于登录电子支付服务系统的真实身份认证和用于每个交易的数字签名,从 而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。不仅可以用于身份认证快由
10、于每个用户都有全球通用的个人数字证书, (2)还可以用于电子邮件数字签名和电子邮件内容速安全登录电子支付服务系统,所有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字加密,证书加密的,只有用户本人使用其个人数字证书才能阅读,而其他人即使在电 子邮件服务器端或电子邮件传输过程中非法窃取电子邮件支付内容。中心签发的,以数字证书为核数字证书是由权威公正的第三方机构即CA心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名 信息的不可否认性,从而保障网络应用的安全性。 数字证书采用公钥密码体制,即利用一对互相匹
11、配的密钥进行加密、解密。用它进行解密和签名;,每个用户拥有一把仅为本人所掌握的私有密钥(私钥) 同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。 )进入阿里巴巴电子商务站点,浏览,查阅,体验站点的安全机制和支3( 总结阿里巴巴电子商务站点的安全机制和支付机制。付功能。 电子商务安全机制:答:阿里巴巴对数据进行加密是电子商务系统最基本的信息安全防范数据加密技术。1. 措其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进施行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密 性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。专/ (SecretK
12、)。对称密钥加密也叫秘密 (1)对称密钥加密 即发送和接收数据的双方必须使用相同的密钥对明文进行加密和用密钥加密,解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当 困难。非对称密钥加密也叫公开密钥加()(2) 非对称密钥加密和私人密钥简称公钥)它主要指每个人都有一对惟一对应的密钥:公开密钥(密电子商务安全实验报告,公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就)(简称私钥只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺 点是算法复杂,
13、加密速度慢。目前比较普遍的做法是将复杂加密技术。由于上述两种加密技术各有长短,(3)两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密然后将密文和数字信封同文后再用接收方的公钥加密对称密钥生成数字信封, 时发送给接收方,接收方按相反方向解密后得到明文。 数字签名是通过特定密码运算生成一系列符号及代码组成电子密码数字签名技术。2.进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息 传送的完整性和不可抵赖性。 所以由于电子商务中的交易一般不会有使用者面对面进行,3. 认证机构和数字证
14、书。对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发 的数字证书来证明自己的身份。 和VISA 是协议(SET:Secure )。由交4.使用安全电子易用于划分与界定电子商务活动中各方的两大信用卡组织指定的标准。协议保证了电子商务系统的保密性、SET权利义务关系,给定交易信息传送流程标准。 完整性、不可否认性和身份的合法性。 阿里巴巴支付机制:阿里巴巴
15、,作为家喻户晓的电子商务网站,它的支付方式也同样的令人耳熟能详:支付宝,就是旗下提供的第三方支付平台,它保证了买卖双方交易的安全性与便捷性。尽管现在支付宝已经得到普及,但是相对那些有在网上购物的欲望但无法使用支付宝的人来说,邮局汇款、银行转账信用卡支付和网上银行支付无非是最好的选择。 (4)网上阅读资料发发库商务信息网,查看电子商务安全交易协议中SET中用到的双重签名技术的过程是如何的。 答:双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术,用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。 双重数字签名的实现步骤如下: (1)信息发送者A对发给B的信息1生成信息摘要1。 (2)信息发送者A
16、对发给C的信息2生成信息摘要2。 (3)信息发送者A把信息摘要1和信息摘要2合在一起,对其生成信息摘要3,并使用自己的私钥签名信息摘要3。 (4)信息发送者A把信息1、信息摘要2和信息摘要3的签名发给B,B不能得到信息2。 。1不能得到信息C,C的签名发给3和信息摘要1、信息摘要2把信息A信息发送者(5) 合在一起,生成信息摘要,把这信息摘要和收到的信息摘要2(6)B接收信息后,对信息1的签名进行验证,的公钥对信息摘要3并对其生成新的信息摘要,同时使用信息发送者A A的身份和信息是否被修改过。以确认信息发送者合在一起,1接收信息后,对信息(7)C2生成信息摘要,把这信息摘要和收到的信息摘要的签
17、名进行验证,3并对其生成新的信息摘要,同时使用信息发送者A的公钥对信息摘要 的身份和信息是否被修改过。以确认信息发送者A )以中国工商银行网上银行为例,描述在网银上操作,是如何保障安5( 全的?包括从一登录到交易成功的整个过程。 答:网银登录过程:安全页面电子商务安全实验报告,在客户https客户端首先要安装网银颁发的数字证书,用于身份认证。进入,同时客端产生对称密钥,用服务器的公钥进行加密(公钥由网银颁发的数字证书里获取)加密的银行的数字签名、户端把会话内容用所产生的对称密钥加密,传送时包括的内容为:会话内容、加密的对称密钥。每次会话都通过这种方式保障安全。如果转账时,需要插入插入里面的内容可以认为是客户端的私
18、钥,相当于客户端秘密持有的信息,usbkey,usbkey后,会把转账内容用客户端私钥加密,用于服务器端再次确认此转账信息是由客户usbkey 端发出的,客户端不可否认。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。 SSL协议是由首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40128位,可在IE浏览器的“帮助”“关于”中查到。建设银行等已经采用有效密钥长度128位的高强度加密。
【114黄页(http://info.114ren.com)本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】