《电子商务安全技术》由会员分享,可在线阅读,更多相关《电子商务安全技术(79页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全:计算机网络设备/系统安全、数据库安全等商务交易安全:围绕传统商务在互联网络上应用时产生的各种安全问题第8章 电子商务安全技术8.1 电子商务安全8.1.1 电子商务的安全性问题电子商务安全Date1一、电子商务的安全性问题1、信息安全问题(1)信息的截获和窃取 :银行帐号、密码以及商业 机密等 (2)篡改:删除/插入(3)伪造电子邮件(4)假冒他人身份(5)信息丢失破坏完整性Date22、信用安全问题主要涉及交易抵赖 (1)发信者事后否认曾经发送过某条消息或内容(2)收信者事后否认曾经收到过某条消息或内容(3)购买者做了订货单不承认(4)商家卖出的商品因价格差而不承认原有的交易
2、Date33、安全的管理问题4、安全的法律问题5、电脑病毒及黑客问题Date4(二)安全问题对电子商务的影响(1)严重打击消费者对电子商务的信心(2)造成运营商巨大的经济损失(3)涉及的地域范围广(4)威胁个人及组织的资金安全、货物安全和信 誉安全Date51、授权合法性:安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利,被授权用户的访问不能被拒绝。2、不可抵赖性(non-repudiation)8.1.2 电子商务对安全的基本要求数字签名、CA证书3、机密性(confidentiality):信息发送和接收是在安全的通道进行,保证通信双方的信息保密。 加密技术防火墙技术
3、、口令Date64、真实性(authenticity) 数字签名、数字证书5、信息的完整性(integrity) 数字摘要、时 间戳 6、存储信息的安全性交易信息交易方身份Date78.1.3 电子商务交易安全措施(一)交易安全技术(1)身份认证:确定贸易伙伴的真实性 (2)数据加密和解密:保证电子单证的保密性 (3)数字摘要技术 :保证电子单证内容的完整性 (4)数字签名技术:保证电子单证的真实性(5)CA认证 :不可抵赖性 (6)时间戳、消息的流水作业号:保证被传输的业务单证不会丢失 Date8(二)安全交易标准和技术(1)安全超文本传输协议(S-HTTP)保障WEB站点间的交易信息传输的
4、安全性 (2)安全套接层协议(SSL, Secure Sockets Layer )提供加密、认证服务和保证报文的完整性 (Netscape)(3) 安全电子交易协议(SET,Secure Electronic Transaction信用卡网上交易安全,提高网络支付服务的质量Date9https:/ 防火墙技术8.2.1 防火墙的含义及其分类1、防火墙(Firewall):指 Internet上广泛应用的一种安全措施,是指设置在互联网(Internet)与内部网(Intranet)之间系统,通过控制内外网络间信息的流动,提高内部网络的安全性。防火墙可以阻止外界对内部资源的非法访问,也可以防止内
5、部对外部的不安全访问。Date11内 网防火墙系统组成示意图:InternetDate12Web Server处于防火墙内防火墙Internet安全边界 WEB SERVER主机主机主机主机服务器Date132、防火墙的分类网络层防火墙:过滤性网关(对数据包的过滤)应用层防火墙应用层网关(对协议的过滤)电路层网关(设置代理服务器,内外部网络间不能直接接触)Date14(1)保护那些易受攻击的服务(2)控制对特殊站点的访问(3)集中化的安全管理(4)对网络访问进行记录和统计3、防火墙的功能Date158.2.2 防火墙技术1、防火墙系统设计(1)机构 的整体安全策略(2)防火墙的经济费用(3)防
6、火墙系统的组成(路由器、应用层网关、电路层网关 )Date162、包过滤路由器(1)包过滤技术(Packet Filtering)是一个网络安全保护机制,它用来控制流出和流入网络的数据。过滤的项目有:IP地址(源地址、目的地址) 端口号(源端口、目的端口)协议号(TCP、UDP、ICMP)连接状态、 IP包文的标志位Date17某一网络级防火墙的访问控制规则允许网络123.1.0使用FTP(21口)访问主机150.0.0.1; 允许IP地址为202.103.1.18和202.103.1.14的用户到主 机150.0.0.2上; 允许任何地址的Email(25口)进入主机150.0.0.3; 允
7、许任何WWW数据(80口)通过; 不允许其他数据包进入。 Date18Date19(2)包过滤防火墙:逻辑简单、价格便宜、易 于安装和 使用、网络性能和透明性好。小型电子商务系统5、缺点(1)设置的规则复杂,不易验证其正确性(2)安全性能不高(3)数据包的过滤项目很容易被窃听或假冒,形成安全 漏洞(4)内外网络间直接建立连接Date203、应用层网关防火墙应用网关技术:是建立在网络应用层上的协议过滤,针 对特定的应用层服务协议。依靠特定的逻辑判定是否允许数据通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系。防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法
8、访问和攻击。Date21应用网关技术工作原理Date224、电路层防火墙采用代理服务技术,提供内部和外部系统之间可控网络的 代理。基于应用代理的防火墙可以在网络应用层提供授权检查 及代理服务。可以成功地实现防火墙内外计算机系统的隔离Date23提供代理服务Date248.2.3 防火墙的安全策略及局限性1、防火墙的安全策略只有防火墙所定义的合法访问才被允许通过(1) 一切未被允许的就是禁止的(安全性能高, 用户使用 的范围受限)(2)一切未被禁止的就是允许的(安全性能低,但 更灵活)Date252、防火墙的局限性(1)不能阻止来自内部的攻击(2)不能保护绕过它的连接(3)无法阻止新出现的网络威
9、胁(4)不能防止病毒防护(病毒可通过FTP或其他工 具传入)Date268.3 数据加密技术 8.3.1 数据加密、解密基本过程加密技术:解决数据的加密及其解密的技术,整个过程组成一个加密系统。加密:就是把信息转换为不可辨识的形式的过程。解密:将信息内容转变为明文的过程明文 密文密文 明文Date27明文P加密算 法E加密密钥Ke解密密钥Kd解密算 法D明文P密文C明文密文算法密钥(加密/解密密钥)加密系统加密算法解密算法Date28对称密钥加密(Symmetric Cryptography)非对称密钥加密(Asymmetric Cryptography)加密技术(公开密钥加密)Date29安
10、全与密码学术机构国际密码研究协会 四大洲密码协会(亚,欧,美, 澳)中国密码研究协会(CACR) Date308.3.2 对称密钥加密技术1、对称密钥加密技术:加密和解密均采用同一把密钥,而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。这时的密钥称为对称密钥,并且不对外发布,也称为私钥 密码。2、 最典型的对称密钥加密算法:美国数据加密标准 (DES:Data Encrypt Standard)。Date31图8-2 对称加密示意图 Date32Date33例子: 明文:a,b,c,d,w,x,y,z 密文:D,E,F,G,Z,A,B,C (即相差3 个字符)若明文为student则对应的密
11、文为VWXGHQW(此 时密钥为3)。由于英文字母中各字母出现的频度早已有人进行过 统计,所以根据字母频度表可以很容易对这种代替密码 进行破译。 Date343、优点:加密速度快,适于大量数据的加密处理 。4、缺点(1)密钥需传递给接受方,传递过程中的安全 性得不到 保证。(2)密钥数量急剧增加(3)要求通信双方相互认识,保守密钥。Date352、公开密钥体系(非对称密钥加密体系)1、 信息加密和解密使用的是不同的两个密钥,称为 “密钥对”公开密钥(公钥PK ):加密私用密钥(私钥SK): 解密2、RSA加密算法(1979年)Date36Date37Date38两个密钥 加密密钥不能用来解密公
12、开密钥不需要管理,直接在网络上公开传输加密速度较慢3、特点4、优点 (1)密钥少便于管理(2)密钥分配简单(3)不需要秘密的通道和复杂的协议来传送密钥(4)可实现数字签名和数字鉴别Date39在在网络上,什么样的信息交流才是安全的呢?网络上,什么样的信息交流才是安全的呢? 只有接收方才能解读信息,只有接收方才能解读信息,保密性保密性 接收方看到的信息未被篡改或替换,接收方看到的信息未被篡改或替换,完整性完整性加密加密 !还差什么?还差什么?建立信任和信任验证机制建立信任和信任验证机制身份验证身份验证 交易不可抵赖交易不可抵赖8.4 认证技术数字证书CA认证Date40数字证书:网络通信中标志通
13、信各方身份信息的一系列 数据。 用电子手段来证实用户的身份及分配公开密钥数字证书类型个人数字证书企业(服务器)证书开发者证书8.4.1 基本概念1、数字证书(digital ID)Date41数字证书的内容(1)凭证拥有者的姓名:证明用户身份(2)凭证拥有者的公共密钥:用于对每笔交易数据进行加密和数字签名,可以保证每笔交易的安全和不可抵赖;(3)公共密钥的有效期(4)颁发数字凭证的单位:证书的来源(5)证书的编号:保证证书的真实性Date42Date43对数字证书的验证 CACA签名真实?签名真实?证书在有效期内?证书在有效期内?证书在证书在CACA发布的发布的 证书撤消列表内?证书撤消列表内
14、?Y伪造的证书伪造的证书N失效的证书失效的证书NY失效的证书失效的证书YN 有效的证书有效的证书Date442、RA:证书发放审核部门3、CP:证书发放执行部门4、RS:证书的受理者(接受用户的证书申请请求)5、CRL:证书作废表,记录尚未过期但已声明作废的用户证书的序列号Date456、CA 认证中心(Certificate Authority) :承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构。证书发放证书更新证书撤销证书验证CA的四大职能Date46尚没有明确国家级CA安全认证系统行业性CA安全认证系统:中国人民银行联合12家银行建立的金融CFCA安全认证 中心
15、 中国电信建立的CTCA安全认证系统国家外贸部EDI中心建立的国富安CA安全认证中心中国CA认证中心的建设Date47世界著名的认证中心Verisign( )认证中心VeriSign的主页Date48中国知名的认证中心 中国数字认证网( ) 中国金融认证中心( )中国电子邮政安全证书管理中心( ) 北京数字证书认证中心() 广东省电子商务认证中心()Date49(1)“数字信封”:是用加密技术来保证只有规定的特定收 信人才能阅读信息。 数字信封8.4.2 基本认证技术1、数字信封(2)具体做法发送方采用对称密钥加密信息 将此对称密钥用接收方的公开密钥加密之后,将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封,得到对称密钥 使用对称密钥解开信息Date50发送端接收端原 信 息密文对称 密钥 加密internet密文数字信封原 信 息对称 密钥 解密接收者 公钥加 密数字信封对称 密钥接收者 私钥解 密对称 密钥internetDate512、数字签名(1)什么是数字签名 Digital Signature数字签名是通过一个
