《电子商务安全考前辅导教学材料》由会员分享,可在线阅读,更多相关《电子商务安全考前辅导教学材料(89页珍藏版)》请在金锄头文库上搜索。
1、,电子商务安全 考前辅导 邵波 206年12月,电子商务安全考试大纲,电子商务安全课程是一门应用性课程,本课程以电子商务运作流程为主线,系统阐述电子商务安全技术与管理及相关应用。 在学习基础部分时,应该注重理解相关概念、掌握基础知识、熟练运用网络与电子商务相关知识;在学习技术主体部分时,应该了解各类技术的基本原理、掌握其应用条件、学会判断其使用场合。由于某些技术与方法需要使用相关软件才能完成,考试时要求掌握一些较为简单的、不太需要复杂公式的计算和软件操作步骤;在学习评估、管理与法律保障部分时,着重对相关框架体系的了解。,题型说明,(1)选择题:(共20小题,每题1分,小计20分) (2)填空题
2、:(共10小题,每题1分,小计10分) (3)简答题:(共6小题,每题5分,小计30分) (4)论述题:(共2小题,每题10分,小计20分) 主要考核多个知识点的融会贯通和综合运用的能力,要求不仅列出知识要点,而且需要展开论述。 (5)应用题:(共2小题,每题10分,小计20分) 主要考核电子商务安全中的一些常用软件的使用、部分密码的算法计算和重要技术的运作步骤。,电子数据交换技术(EDI),国际标准化组织(ISO)将EDI描述成“将贸易(商业)或行政事务处理按照一个公认的标准变成结构化的事务处理或信息数据格式,从计算机到计算机的电子传输”。 EDI软件由格式转换软件和翻译软件 组成。 EDI
3、语义语法标准(又称EDI报文标准)是要解决各种报文类型格式、数据元编码、字符集和语法规则以及报表生成应用程序设计语言等。,SSL协议,SSL是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证,SSL协议要求建立在可靠的传输层协议之上。 SSL记录协议为更高层提供基本安全服务。特别是HTTP ,它提供了Web的client/server交互的传输服务,可以构造在SSL之上。,SSL的应用优势,SSL协议在电子商务中的应用优势主要有以下三点: 1)支持广泛:目前,几乎所有操作平台上的WEB浏览器
4、(IE、Netscatp)以及流行的Web服务器(Apache、IIS、Netscape Enterprise Server等)都支持SSL协议。因此使得使用该协议便宜且开发成本小。 2)设置成本低:SSL交易不需要另外安装软件,消费者使用方便。 3)SSL的自主开发性强:我国已有很多单位均已自主开发了128位对称加密算法,并通过了检测,这大大提高了它的破译难度;并且SSL协议已发展到能进行表单签名,在一定程度上弥补了无数字签名的不足。,SET协议,SET(Secure Electronic Transaction)安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用
5、于 Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准, 要应用于B to C模式中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET 2.0将支持借记卡电子交易。,数字信封 SET依靠密码系统保证消息的可靠传输,在SET中,使用随机产生的对称密钥来加密数据,然后,将此对称密钥用接收者的公钥加密,称为消息的“数字信封”,将其和数据一起送给接收者,接收者先用他的私钥解密数字信封,得到对称密钥,然后使用对称密
6、钥解开数据。,2 电子商务系统的安全,安全需求可分为交易环境的安全性、交易对象的安全性、交易过程的安全性和支付的安全性四个方面。交易环境的安全性是指电子商务系统所采用的软硬件环境的安全,包括系统平台、网络通信、数据以及应用软件的安全;交易对象的安全性是指电子交易涉及的持卡人(客户)、发卡机构、商家、受卡行和支付网关等主体对象的真实性和可信性;交易过程的安全性是指各交易对象进行网上交易的可信性和不可抵赖性;支付的安全性则是要为电子货币的应用和发展铺平道路。,电子商务环境中的主要因素 (1)网络基础设施; (2)多媒体内容和网络宣传; (3)消息和信息传播的基础设施; (4)贸易服务的基础设施;
7、(5)电子商务应用; (6)政策法规、标准及安全协议。,电子商务交易中的安全威胁,(1)电子商务数据库的不安全性。数据库中存储有:用户数据、产品信息、其他有价值的信息或隐私信息。现在大多数数据库都使用基于用户名和口令的安全措施,一旦有人通过口令而获准访问数据库,就可自由查看数据库。如果有人得到用户的认证信息,就能伪装成合法的数据库用户来下载机密信息。隐藏在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。 包括1)篡改数据库数据。篡改就是修改数据,使其不真实。2)窃取数据库数据。数据库的数据被窃取是一件非常令人头疼的事情,一方面是因为商业数据可能价值连城,另一方面是难以发现。窃取通常
8、是工业间谍、不满而要离开的雇员进行的。 另外,人为的破坏、恶作剧和病毒都可能删除、移走或损坏数据库中表或整个数据库。,(2)数据传输中的风险。 包括1)数据截取。数据截获是一个很大的顾虑。鉴于信息在传输时都被分成数据包,而各个数据包又会沿着不同的路径到达其终点,所以最有价值的数据截取点就是信息的入网与出网点。2)电子商务从业人员的管理。随着电子商务的发展,从事电子商务的人员将会迅猛增加,他们经手着大数量的电子货币或有价值的商业电子信息。这些人员的无意失误和有意犯罪不仅会给本单位本部门带来严重的经济损失,也可能给合作单位制造很大的麻烦。必须制定安全策略和规划,对从事电子商务的人员进行严密的管理。
9、,电子商务安全解决方案,电子商务安全解决完整方案分为四个层次: 基础设备安全、终端设备安全、网络设备安全、系统设备安全,采用安全技术实现基础或终端设备与网络或系统的交互。一般地,基础安全设备包括加密卡、身份识别卡等;终端安全设备包括传真密码机、电话密码机等;系统安全设备包括安全服务器、安全加密件、金融加密机等;网络安全设备包括安全路由器、防火墙以及安全协议等。安全技术主要有身份认证技术、访问控制技术、加密技术、智能卡技术、虚拟专用网络技术以及PKI技术等。,Superscan应用实例,Superscan应用实例,Superscan一款老牌的端口扫描工具,其突出特点就是扫描速度快。除端口扫描,它
10、还有许多其它功能,Superscan黑客进行端口扫描经常用到的工具。 主要功能:检测一定范围内目标主机是否在线和端口开放情况,检测目标主机提供的各种服务,通过Ping命令检验IP是否在线,进行IP与域名的转换等。,3 电子商务的安全体系层次,基本加密算法,其中包括单钥密码体制和公钥密码体制、安全杂凑函数等算法; 以基本加密算法为基础的CA体系、数字证书等基本安全技术; 以基本加密算法、安全技术、CA体系为基础的各种安全应用协议,如X.509、SET、SSL(TSL)、PGP、S/MIME等。,电子商务安全体系结构,(1)网络服务层。网络服务层是电子商务系统基本的网络服务平台。它包括网络隐患扫描
11、、网络安全监控、内容识别、防火墙、用户接口和访问控制等模块。 (2)加密技术层。为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。 (3)安全认证层。通过数字摘要、数字签名、数字证书和CA认证等技术去验证商务信息和商务对象的真实性和不可否认性。,电子商务安全体系结构,(4)交易协议层。安全交易协议提供电子商务封装数据的公平交换服务。比较成熟的协议有Netbill、SET、SSLCybercash、JEPI、Netcash等。不同交易协议的复杂性、开销和安全性各不相同。不同的应用环境对协议的目标
12、要求也不尽相同。 (5)商务系统层。提供商业解决方案,如BtoB、BtoC等各种电子商务应用系统。商务系统层是结构体系最上层结构。根据电子交易要求,为客户提供全新的功能,包括内容管理、市场推广、订购管理、支付管理等,实现全方位的商务活动的数字自动化。,4 密码按应用技术或历史发展的几个阶段,(1)手工密码。以手工完成加密作业,或者以简单器具辅助操作的密码,叫做手工密码。 (2)机械密码。以机械密码机或电动密码机来完成加解密作业的密码,叫做机械密码。 (3)电子机内乱密码。通过电子电路,以严格的程序进行逻辑运算,以少量制乱元素生产大量的加密乱数,因为其制乱是在加解密过程中完成的而不需预先制作,所
13、以称为电子机内乱密码。 (4)计算机密码,是以计算机软件编程进行算法加密为特点,适用于计算机数据保护和网络通讯等广泛用途的密码。,一般的数据加密模型,明文 X,数据加密标准 DES,数据加密标准 DES 属于常规密钥密码体制,是一种分组密码。 在加密前,先对整个明文进行分组。每一个组长为 64 bit。 然后对每一个 64 bit 二进制数据进行加密处理,产生一组 64 bit 密文数据。 最后将各组密文串接起来,即得出整个的密文。 使用的密钥为 64 bit(实际密钥长度为 56 bit,有 8 bit 用于奇偶校验)。,公开密钥密码体制,公开密钥密码体制使用不同的加密密钥与解密密钥,是一种
14、“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 公开密钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体制的密钥分配问题,另一是由于对数字签名的需求。,公开密钥密码体制,现有三种公开密钥密码体制,其中最著名的是RSA 体制,它基于数论中大数分解问题的体制,由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。 在公开密钥密码体制中,加密密钥(即公开密钥) PK 是公开信息,而解密密钥(即秘密密钥) SK 是需要保密的。 加密算法 E 和解密算法 D 也都是公开的。 虽然秘密密钥 SK 是由公开密钥 PK
15、 决定的,但却不能根据 PK 计算出 SK。,公开密钥密码体制,加密金刚锁应用实例,加密金刚锁应用实例,主要功能:能加密任意类型任意长度的文件,加密时可以设置一个授权盘,这样,即使密码被别人知道了,但只要他没有授权盘,他仍然无法破解该文件。具有隐藏文件夹功能,对文件夹采用三重保护,保密性强,隐藏的文件夹在安全模式甚至在纯DOS下仍有效,并可充分抵抗WINRAR等工具的攻击。具有文件夹加锁功能,加锁后的文件夹无法被删除。具有对可执行文件加密码保护、安全地删除文件、对批量文件进行处理、压缩文件、隐藏软驱、光驱或硬盘分区等功能。 可支持密码算法:AESA、DES、3DES等。,5中华人民共和国电子签
16、名法,2004年8 月诞生,2005 年 4 月 1 日正式实施,第一次从法律的角度,赋予可靠的电子签名与手写签名或盖章具有同等的法律效力,并明确了电子认证服务的市场准入制度。因此,推广数字证书应用以及规范认证机构,对于促进我国安全可信的电子交易环境的建立,推动电子商务应用发展,增强国际竞争力有着重大的意义。,数字证书,作为网上交易双方真实身份证明的依据,数字证书是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的的权威机构CA颁发。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。,数字证书技术满足电子商务中的安全需求实现方式,数据保密性(加密):证书使用者使用证书中公钥加密消息,传送给证书持有者,证书持有者收到加密后的消息,用相应的私钥解密; 数据的完整性(加密):证书使用者将要发送的消息加密后与明文一同发送给证书持有者,证书
