《电子商务概论--电子商务安全技术课件》由会员分享,可在线阅读,更多相关《电子商务概论--电子商务安全技术课件(32页珍藏版)》请在金锄头文库上搜索。
1、8-1,电子商务概论 INTRODUCTION OF ELECTRONIC BUSINESS (第2版) 邵兵家 主编 高等教育出版社 2006年7月,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-2,第8章 电子商务安全技术,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-3,学习目标,了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工作原理,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 20
2、06版,8-4,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-5,开篇案例:广东发展银行网络安全架构,从1998年开始,广东发展银行最初的网络安全体系就依据思科SAFE蓝图部署。SAFE主张,网络安全建设不能一蹴而就,而应该是一个动态的过程。所以在最初的部署中,思科主要协助广东发展银行解决了最突出的网络安全问题网络对外连接出口的安全问题。 随着广东发展银行业务的迅速发展,尤其是近年来,用户纷纷把业务转移到网上进行,广东发展银行的网上业务呈几何数字增长。在这种情况下,广东发展银行提出,为了更好地抵御网上的非法访问,作好关键用户的网上认证,确保能够给用户提供不间断的高质量金
3、融服务,必须要在原有的基础上,进一步加强银行在网络安全方面的部署。 通过分析广东发展银行的具体业务流程和网络结构,思科在SAFE蓝图指导下,针对广东发展银行的不同网段,分别实施了可以统一管理的不同安全措施,具体措施如下。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-6,电子商务安全技术,8.1 电子商务的安全问题 8.2 防火墙技术 8.3 数据加密技术 8.4 认证技术 8.5 安全技术协议,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-7,8.1.1 电子商务的安全性问题,1在网络的传输过程中信息被截获 2传输的文件可能被篡改 3伪造电子邮
4、件 4假冒他人身份 5不承认或抵赖已经做过的交易,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-8,8.1 电子商务对安全的基本要求,1授权合法性 2不可抵赖性 3保密性 4身份的真实性 5信息的完整性 6存储信息的安全性,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-9,8.1电子商务安全措施,1确定通信中的贸易伙伴身份的真实性 2保证电子单证的保密性 3确定电子单证内容的完整性 4确定电子单证的真实性 5不可抵赖性 6存储信息的安全性,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-10,8.2 防火墙的含义及其分类,1
5、. 防火墙的含义 在内部网和Internet之间设置一堵“防火墙”以保护内部网免受外部的非法入侵。在网络世界中,防火墙是被配置在内部网 (如企业内部的Intranet)和外部网 (如Internet)之间的系统(或一组系统 ),通过控制内外网络间信息的流动来达到增强内部网络安全性的目的。,Internet,Internet,LAN,LAN,Firewall,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-11,8.2.防火墙的分类,一个防火墙系统通常有两种类型:路由器和代理服务器。 路由器:定义一系列包过滤规则,以IP信息包为基础,对IP报文中的源地址、IP目标地址、封装
6、协议端口等进行筛选,由此决定是否要屏蔽此报文。 代理服务器 :应用层网关,内部网的用户若要使用internet提供的服务,首先必须与代理服务器连接,经身份确认后,再由代理服务器负责与internet连接。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-12,8.2 防火墙的功能,(1)未经授权的内部访问 (2)危害证明 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-13,8.2 防火墙技术,路由器和代理服务器经常结合在一起形成一个复合型的防火墙系统,所用主机称为堡
7、垒主机,它负责提供代理服务以及保护内部网不受攻击并屏蔽内部主机的防火墙和子网防火墙。,目前有四种最基本的防火墙技术: 1. 防火墙系统设计: 2. 包过滤路由器: 3. 应用层网关防火墙: 4. 电路层防火墙:,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-14,8.2 防火墙的安全策略及局限性,防火墙的安全策略 没有被列为允许访问的服务都是被禁止的; 没有被列为禁止访问的服务都是被允许的; 2. 防火墙的局限性 不能阻止来自内部的破坏; 不能保护绕过它的连接; 无法完全防止新出现的网络威胁; 不能防止病毒;,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 200
8、6版,8-15,8.3 数据加密技术,加密技术是最基本的安全技术,是实现信息保密性的一种重要手段,目的是为了防止合法接收者之外的人获取信息系统中的机密信息。 所谓加密技术,就是采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后称密文),而对于合法的接收者,因为其掌握正确的密钥,可以通过解密过程得到原始数据(明文)。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-16,8.3 数据加密技术,数据加密技术是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获得信息真实内容的一种技术手段。 网络中的数据加
9、密则是通过对网络中传输的信息进行数据加密,满足网络安全中数据加密、数据完整性等要求,而基于数据加密技术的数字签名技术则可满足防抵赖等安全要求。 数据加密技术是实现网络安全的关键技术。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-17,8.3 数据加密技术,8.3.1 数据加密、解密基本过程 8.3.2对称式密钥加密技术 8.3.3公开密钥加密技术 8.3.4 对称密钥和公开密钥的结合,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-18,8.3.1 数据加密、解密基本过程,加密,解密,密文,明文,密钥,电子商务概论(第2版) 邵兵家 主编 高等教
10、育出版社 2006版,8-19,8.3.1 数据加密、解密基本过程,加密系统,解密系统,明文(M),加密密钥(K1),解密密钥(K2),密文(C),明文(M),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-20,8.3.2 对称式密钥加密技术,1、基本概念 加密和解密均采用同一把秘密钥匙,通信双方必须都要获得这把钥匙并保持钥匙的秘密。 2、加密算法 DES算法:数据加密标准,是采用传统换位与置换的加密方法的分组密码系统,其原理是将明文转化成其它样子(混淆),明文中的任何一个小地方的变更都将扩散到密文的各部分(扩散)。 IDEA算法: 3、对称式密钥加密技术的优缺点 缺点
11、:过程复杂,代价高;密钥数膨胀;不相识将无法通信 优点:该算法加密解密速度快。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-21,8.3.3 公开密钥加密技术,1、基本概念 要求密钥成对使用,加密和解密分别由两个密钥来实现。 2、加密算法 RSA算法:迄今为止理论上最为成功的公开密钥密码体制 求两个大素数的乘积是容易的,但要分解两个大素数的乘积,求出它们的素因子则是非常困难的。 RSA加解密过程由密钥生成、加密过程和解密过程组成。 3、公开密钥加密技术的优缺点 优点:密钥少便于管理;分配简单; 缺点:加解密速度慢,电子商务概论(第2版) 邵兵家 主编 高等教育出版社
12、2006版,8-22,8.3.3 公开密钥加密技术,加密系统,解密系统,明文(M),乙方公钥,乙方密钥,密文(C),明文(M),甲方,乙方,RSA密码系统的实现,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-23,8.3.4 对称密钥和公开密钥的结合,公开密钥B,加密,对称密钥,普通报文,私人密钥B,解密,对称密钥,普通报文,经加密的密钥,密文,A,B,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-24,8.4 认证技术基本概念,1证书 在一个电子商务系统中,所有参于活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明
13、自己的身份,另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公匙,加密证书携带的是加密公钥),所以,证书也可以向接收者证实某人或某个机购对公开密匙的拥有,同时也起着公钥分发的作用。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-25,8.4 认证技术,2RA(Release Auditing) RA 即证书发放审核部门,它是CA认证体系的一个组成部分。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误所引起的和为不符合资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。,电子商务概论(第2版)
14、 邵兵家 主编 高等教育出版社 2006版,8-26,8.4 认证技术,3CP(Certificate Perform) CP即证书发放的执行部门,它是CA认证体系的另外一个组成部分,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方机构担任。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-27,8.4 认证技术,4RS(Releasee) RS即证书的受理者,它是CA认证体系的又一个组成部分,接收用户的证书申请请求,转发给CP和RA进行相应的处理。,电子商
15、务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-28,8.4 认证技术,5CRL(Certificate Repeal List) CRL是“证书作废表”的缩写。CRL中记录尚未过期但已声明作废的用户证书的序列号,供证书使用者在认证对方证书时查询使用。CRL通常也被称为黑名单。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-29,8.4 认证技术,6认证中心(CA:Certification Authority) 在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易当事人自己能完成的,而需要有一个具有权威性
16、和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-30,8.4 基本认证技术,1数字信封 2数字签名 3身份认证技术 4数字时间戳 5数字凭证(digital certificate,digital ID),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-31,8.5 安全技术协议,8.5.1安全套层协议(SSL) SSL(Secure Socktes Layer)是Netscape公司率先采用的一种网
