文档介绍：第9章电子商务网站安全
电子商务的安全概述
电子商务中所使用的安全技术
电子商务中的认证
SSL协议
建立安全的Web站点
的发展, 电子商务已经逐渐成为人们进行商务活动的新模式。电子商务在国外已经成为一种很常见的购物方式,而我国正处于起步阶段,电子商务是端对端的网上交易,它必须具有强有力的安全防范措施,并提供数据的完整性、保密性、不可否认性,因为网上交易使用信用卡、个人帐号等私人秘密。我国电子商务正在崛起,电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、快捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。所以要开展的电子商务,就必须充分了解电子商务中应该注意的安全问题。目前,在电子商务网站中应用最多的客户机服务器中的安全模式。在本章中将详细讨论电子商务中电子商务站点的安全。
§ 电子商务的安全概述
电子商务站点的安全准则
电子商务站点的安全准则如下:
· 信息的完整性与真实性;
· 信息的保密性;
· 信息的不可否认性(即不可抵赖性);
· 确保消费者隐私的安全;
· 保护消费者的机密;
· 确保服务器的安全;
· 身份认证;
· 使用安全策略;
· 禁用范例和文献;
· 指定命令的安全级别;
· 备份与恢复。
§ 电子商务安全体系
电子商务安全解决方案分为四个层次:基础设备安全、终端设备安全、网络设备安全、系统设备安全。如图9-1所示:
§ 电子商务中所使用的安全技术
密码技术
在传统的电子商务中使用密码技术,就是使用公钥(不对称加密)和对称加密相结合的方法提供通信,保密性认证和消息完整性,客户机和服务器能通过防止窃听篡改和伪造消息的途径进行通信。公钥:它可以给任何请求它的应用程序或用户。私钥:只有它的所有者知道。除了公钥/私钥对,电子商务还使用数字证书(digital certificate),这是一些被Certificate Authorities所发布的文件,它们作为应用程序或用户的信用卡。数字证书是一些文本文件,这些文本文件包含了识别应用程序或用户身份的信息。证书中也包含了应用程序或用户的公钥。
§ 数字签名
公钥体系中有公钥和私钥,私钥保持私有,只有拥有者才知道,公钥广泛分布(通常作为公共证书的一部分)因此,任何人都能用公钥加密数据,而只有私钥拥有者才能解密,另外,私钥拥有者用私钥加密数据,任何拥有公钥的人都能解除开,被称为数字签名,在这种情况下,签名者产生一个数字信息(例如HASH)使用协商好的算法,然后用私钥加密。接收者能验证私钥拥有者发送的消息,用签名者的公钥解开加密的信息,并产生收到信息的相匹配的摘要。
RSA公钥体系就可以用于对数据信息进行数字签名。所谓数字签名就是信息发送者用其私钥对从所传报文中提取出的特征数据或称数字指纹进行RSA算法解密运算操作,得到发信者对该数字指纹的签名函数H(m)。签名函数H(m)从技术上标识了发信者对该电文的数字指纹的责任。因发信者的私钥只有他本人才有,所以他一旦完成了签名便保证了发信人无法抵赖曾发过该信息(即不可抵赖性)。经验证无误的签名电文同时也确保信息报文在经签名后未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名的真实性进行验证。美国参议院已通过了立法,现在美国,数字签名与手书签名的文件具有同等的法律效力。
§ 电子商务中的认证
公用密钥的优点就在于,也许你并不认识某一实体,但只要你的服务器认为该实体的CA是可靠的,就可以进行安全通信,而这正是Web商务这样的业务所要求的。例如信用卡购物。服务方对自己的资源可根据客户CA的发行机构的可靠程度来授权。SSL使用数字证书(digital certificate),这是一些被Certificate Authorities所发布的文件,它们作为应用程序或用户的信用卡。数字证书是一些文本文件,这些文本文件包含了识别应用程序或用户身份的信息。证书中也包含了应用程序或用户的公钥。Certificate Authority(CA)是一个可信赖的代理,负责确认应用程序或用户身份,并为识别身份发布数字证书。一个第三方的certificate authority组织的例子是VeriSign:信息服务管理员可以使用微软Certificate Service作为它们自己的Certificate Authority,在自己的机构中按照需要发布或撤消数字证书。
§ 认证机构
证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公