《电子商务安全》由会员分享,可在线阅读,更多相关《电子商务安全(37页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全,小组成员:于坤刘恒(主讲)高晓刚,2,本讲目录,第一节 电子商务安全内容 第二节 电子商务安全保障技术 第三节 电子商务认证系统 第四节 防火墙 第五节 电子商务安全协议,3,一、电子商务安全概述,在电子商务活动中,安全的意义其实非常广泛,不安全的因素来自于多个层面。有设备导致处理商业活动数据不正常的隐患,也有网络设施运行不正常带来的威胁更有电子商务交易活动参与者的诚信所带来的威胁电子商务安全可以分成技术性的和非技术性的,4,电子商务安全的基本要求,机密性 是指保证信息为授权者享用而不泄漏给未经授权者 完整性 指保证只有被授权的各方能够修改计算机系统的有价值的内容和传输的信息,修
2、改包括对信息的写、改变状态、删除、创建、时延或重放 可用性 指保证信息和信息系统随时为授权者提供服务,而不会出现非授权者滥用却对授权者拒绝服务的情况,5,二、电子商务安全的内容,目前网络存在的主要安全问题: 网络实体不符合安全标准 网络非授权访问 信息泄漏和丢失 破坏数据完整性 非恶意的网络干扰 病毒侵害等,6,(一)、加密技术,(一)加密技术概述 1、加密的概念 加密就是用基于数学算法的程序和保密的密钥对信息进行编码,生成难以理解的字符串。将明文转成密文的程序称作加密程序。 加密程序的逻辑称为加密算法。,7,密钥加密,(1)对称加密(私有密钥加密) 只用一个密钥对信息进行加密和解密。 由于加
3、密和解密用的是同一密钥,所以发送者和接收者都必须知道密钥。 同一个文件发送者向不同对象发送文件,应该掌握各自的密钥。 如果有100个人互相需要发送文件,每人需要掌握99个密钥,其总数高达4950个。,8,密钥加密,(2)非对称密钥加密(公开密钥加密) 此系统中,一个密钥叫公开密钥,可随意发给期望同密钥持有者进行安全通讯的人,用于对信息加密。 第二个密钥是私有密钥,属于密钥持有者,由持有者进行保护。密钥持有者用私有密钥对收到的信息进行解密。,9,密钥技术的特点,私有密钥的特点 优点: 加密和解密的速度远远快于公开密钥加密 缺点: 天文数字的密钥组合 对称密钥的长度有限,需要采用多次加密来解决,1
4、0,密钥技术的特点,公开密钥加密的优点 (1)在多人之间进行保密信息传输所需的密钥组合数量很小。 (2)密钥的发布简单。 (3)可实现数字签名。这就意味着将电子文档签名后再发给别人,而签名者无法否认。,11,密钥技术的特点,公开密钥加密的缺点 公开密钥的加密/解密过程速度较慢。 公开密钥系统并不是要取代私有密钥系统,相反,是相互补充的,可用公开密钥在因特网上传输私有密钥,从而实现更有效的安全网络传输。,12,(二)、数字签名,(一)数字签名的概念 数字签名也叫电子签名,在电子支付系统中,是一个仅能由发送方才能产生的、且仅与所签署电子文档有关的一种标记,其他人只能简单地识别此标记是属于谁的和属于
5、哪个电子文档的,而无法伪造和盗用。,13,1、公开密钥数字签名 过用密码算法对数据进行加、解密交换实现 数字签名。 2、对文件的数字签名 待签名的文件带入哈希变换,输出得到的是一组定长的代码,这组代码即是数字签名。不同文件得到的数字签名是不同的。,14,三、数字证书,(一)数字证书的概念 数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件。 认证中心的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。,15,(二)数字证书可以存放在: 计算机的硬盘 随身软盘 IC卡 USB卡,16,(
6、四)密码技术,密码设计的基本思想是伪装信息,使局外人不能理解信息的真正含义,而局内人却能够理解伪装信息的本来含义 密码设计 密码分析 密钥管理 验证技术,17,(五)数字信封,信息发送者首先利用随机产生的密钥进行加密,再利用接收方的公开密钥对随机密码进行加密,被公开密钥加密后的随机密码就被称为数字信封。 信息接收方接到信息后,必须先用自己的私有密钥解密数字信封,得到随机密钥,并用此随机密钥才能对信息进行解密。,18,二、电子商务认证技术,电子商务认证技术是电子商务安全技术的重要组成部分之一 通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的,19,(一)、网络认证技术,(一)传统认
7、证技术 1、传统认证技术的形式 传统的认证技术主要采用基于口令的认证方法。 当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交口令,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。,20,1、传统网络认证,用户,服务器,21,1、传统认证技术的优点:简单易行 2、传统认证方法的不足 (1)每次访问以明文输入口令,容易泄密。 (2)口令在传输过程中可能被截获。 (3)容易被攻击者获取。 (4)多任务时用户往往使用单一口令,更容易被攻击者获得,从而用来对高安全级别系统进行攻击。 (5)只能进行单向认证。,22,2、双因素认证,双因素认证
8、 用户除了拥有口令外,还拥有系统颁发的令牌访问设备。当用户向系统登录时,用户除了输入口令外,还要输入令牌访问设备所显示的数字。 该数字是不断变化的,而且与认证服务器是同步的。,23,附加码 (令牌显示数字),卡号和密码,24,(三)、提问握手认证协议CHAP,采用提问响应方法,通过三次握手方式对被认证方的身份进行周期性的认证。 其认证过程: (1)认证方向被认证方发送一个提问信息; (2)被认证方向认证方发回一个响应: (3)认证方将收到的响应进行比较,若相符则认证通过,向被认证方发送“成功”信息,否则,发送“失败”信息,断开连接。,25,(四)、Kerberos协议,1988由MIT开发,在
9、一个分布式环境中,用于服务器与用户之间的相互鉴别的协议。 不同的用户只要向可信任的第三方服务器发出确认指令,即可得到确认,解决了对称加密需要掌握多密钥带来的不便。,26,(五)、X.509证书及认证框架,X.509证书的认证也依赖于共同信赖的第三方CA。 当用户提出访问请求时,服务器要求用户提交数字证书。 服务器利用CA的公开密钥对CA的签名进行解密,获得信息的散列码。 服务器用与CA相同的散列算法对证书的信息部分进行处理,得到一个散列码,将此散列码与对签名解密所得到的散列码进行比较,若相等则表明此证书确实是CA签发的,而且是完整的未被篡改的证书。,27,四、防火墙,(一)防火墙的原理 1、防
10、火墙的概念 防火墙的本义是指古代人们在房屋之间修建的一道墙,可以防止火灾发生的时候蔓延到别的房屋。,28,网络上的防火墙不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统是这一类防范措施的总称。,29,防火墙的特征,(1)由内到外和由外到内的所有访问都必须通过它; (2)只有本地安全策略所定义的合法访问才被允许通过它; (3)防火墙本身无法被穿透。,30,防火墙的目的,(1)限制他人进入内部网络,过滤掉不安全服务和非法用户; (2)防止入侵者接近你的防御设施; (3)限定人们访问特殊站点; (4)为监视因特网安全提供方便。,31,应用网关型防火墙,在应用层上实现协议过滤和转
11、发功能,针对特别的网络应用协议制定数据过滤逻辑。 应用网关通常安装在专用工作站系统上,具有高层应用数据或协议的理解能力,可以动态地修改过滤逻辑,提供记录、统计信息。,32,电路级网关型防火墙,监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,比包过滤防火墙要高两层。 电路级网关不允许进行端点到端点的TCP连接,而是建立两个TCP连接,网关通常就只是把TCP数据包从一个连接转送到另一个连接中去而不检验其中的内容。,33,五、电子商务安全协议,为了保障电子商务的安全性,一些公司和机构制定了电子商务的安全协议,来规范在Internet上从事商务活动的流程。目前,典型的电子商务安全协议有:
12、SSL(安全套接层)协议 SET(安全电子交易)协议,34,SSL协议,SSL采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务: 秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理。 完整性。SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性。 认证性。利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别对方的身份。,35,SET协议,SET协议(Secure Electronic Transaction,安全电子交易协议)是由VISA和MasterCard两大信用卡
13、公司于1997年5月联合推出的规范。其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的就是为了保证网络交易的安全。SET协议采用公钥密码体制和X.509数字证书标准,提供了消费者、商家和银行之间的认证,确保了交易数据的机密性、真实性、完整性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。,36,SSL与SET的比较,37,电子商务网站举例,1、中华旅游网( http:/) 2、当当书店(http:/) 3、广东政府上网工程(http:/) 4、网大(http:/) 5、中国建设银行(http:/) 6、雅宝竞价交易网(http:/),
