《电子商务概论 教学课件 ppt 作者 徐丽娟 主编 第5章》由会员分享,可在线阅读,更多相关《电子商务概论 教学课件 ppt 作者 徐丽娟 主编 第5章(66页珍藏版)》请在金锄头文库上搜索。
1、5.1 电子商务安全概述 5.2 防火墙技术 5.3 数据加密技术 5.4 电子商务认证技术 5.5 电子商务交易安全协议,普通高等教育“十一五”国家级规划教材,第5章 电子商务安全,学习目标,本章小结,目录,本章习题,网络课堂,第5章 电子商务安全,学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。 4)掌握电子商务的基本认证技术。 5)了解数字证书的申请过程。 6)理解SSL和SET的工作原理。,5.1 电子商务安全概述,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全、
2、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。,5.1.1 电子商务安全需求,为了保障交易各方的合法权益,保证能够在安全的前提下开展电子商务,安全性通常要考察以下几个方面。 1信息的保密性 信息的保密性是指信息在传输过程或存储中不被他人窃取。 2信息的完整性 信息的完整性包括信息传输和存储两个方面。在存储时,要防
3、止非法篡改和破坏网站上的信息。在传输过程中,接收端收到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。,5.1.1 电子商务安全需求,3不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。 4身份的真实性 身份的真实性是指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。 5系统的可靠性 是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。,5.1.3 网络的安全体系,网络安全管理体系是一个在网络系统内结合安全技术与安全
4、管理,以实现系统多层次安全保证的应用体系。 1.网络层 使用通信安全技术为网络间通信提供安全保障,加强通信协议上的管理。在具体应用上,通信安全技术表现为建设可靠性高的企业虚拟专用网(VPN)等。 2.系统层 系统的安全管理围绕着系统硬件、系统软件及系统上运行的数据库和应用软件来采取相应的安全措施。系统的安全措施将首先为操作系统提供防范性好的安全保护伞,并为数据库和应用软件提供整体性的安全保护。,5.1.3 网络的安全体系,3. 用户层 用户账号是计算机网络中最大的安全弱点,盗取合法账号和密码是“黑客”攻击网络系统最常使用的方法。因此,在这一层的安全措施中,首先需要对用户进行计算机安全方面的教育
5、,使之了解制定密码的策略,如密码的长度、密码的组成、以及定期更换密码等。在安全技术方面,可从用户分组的管理、惟一身份和用户认证着手。 4. 应用层 访问控制与权限授予是这一道防线里较常用的两项技术。需要采用严格的访问控制机制和授权机制,为不同的用户授予不同的访问权限,保证只有经过验证和授权的用户才能使用特定的应用程序,访问到有关数据。 5. 数据层 通过数据加密和数字签名等机制,可以保证数据在传输过程中的保密性和完整性。 返回,5.2 防火墙技术,5.2.1 防火墙的含义及分类 1防火墙的含义 防火墙是一个系统或一组系统,它在企业内部网与互联网间执行一定的安全策略。一个有效的防火墙应该能够确保
6、: 所有从互联网流入或流向互联网的信息都将经过防火墙;所有流经防火墙的信息都应接受检查。 “防火墙是设置在被保护网络(如企业内部网)和外部网络(如互联网)之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入”。,图- 防火墙结构,5.2.1 防火墙的含义及分类,2防火墙的分类 现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。 1)包过滤型防火墙:包过滤型防火墙通常安装在路由器上,包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层和传输层对传输的信息进行过滤,它对数据包实施有选择的通过。这
7、种防火墙一般设置在内部网络与互联网相连接的路由器上。,5.2.1 防火墙的含义及分类,2)代理服务器型防火墙:代理服务器型防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接。代理服务器控制对应用程序的访问,它能够代替网络用户完成特定的TCPIP功能。一个代理服务器本质上是一个应用层网关,即一个为特定网络应用而连接两个网络的网关。 3)其他类型防火墙:复合型防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。,5.2.2 防火墙的功能,设立防火墙的目的是保
8、护内部网络不受外部网络的攻击,以及防止内部网络的用户向外泄密。网络的七层(ISO/OSI:开放系统互联七层协议)在不同程度上会遭受到不同方式的攻击,如图5-1所示。,5.2.2 防火墙的功能,具体来说,防火墙系统可以保护计算机免受以下几类攻击: 1)未经授权的内部访问:在互联网上的未被授权用户想访问内部网的数据或使用其中的服务。 2)危害证明:一个外部用户通过非法手段(如复制、复用密码)来取得访问权限。 3)未经授权的外部访问:内部用户试图在互联网上取得未经授权的访问权限或服务(如公司内部雇员试图访问一些娱乐网址)。 4)电子欺骗:攻击者通过伪装的互联网用户进行远程登录,从事各种破坏活动。 5
9、)特洛伊木马:通过在合法命令中隐藏非法指令来达到破坏目的(如在进行E - mail发送连接时将指令转为打开一个文件)。 6)渗透:攻击者通过一个假装的主机隐蔽其攻击企图。 7)泛洪:攻击者试图用增加访问服务器次数的方法使其过载。,5.2.3 防火墙的安全策略和局限性,1防火墙的安全策略 防火墙的安全策略有两种可供选择: 1)没有被列为允许访问的服务都是被禁止的。 2)没有被列为禁止访问的服务都是被允许的。 如果防火墙采用第一种安全策略,那么需要确定所有被提供的服务以及它们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外,禁止访问。 如果防火墙采用第二种安全策略,则正好相反,需要确定哪
10、些被认为是不安全的服务,禁止其访问,而其他服务则被认为是安全的,允许访问。从安全性角度考虑,第一种安全策略更可取。但从灵活性和使用方便性角度考虑,则第二种安全策略更好。,2防火墙的局限性 防火墙是保护Intranet免受外部攻击的极有效方式,防火墙应是整体网络安全计划中的重要组成部分,但同时必须注意到防火墙并非是万能的,防火墙具有以下局限性。 1)防火墙不能阻止来自内部的破坏。 2)防火墙不能保护绕过它的连接。 3)防火墙无法完全防止新出现的网络威胁。 4)防火墙不能防止病毒。,5.2.3 防火墙的安全策略和局限性,5.3 数据加密技术,5.3.1 加密和解密 1加密和解密过程 密码是实现秘密
11、通信的主要手段,是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通信双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通信方式称为密码通信。在计算机通信中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或载获,窃取者也不能了解信息的内容,从而保证信息传输的安全。,5.3.1 加密和解密,任何一个加密系统至少包括下面四个组成部分: 1)未加密的报文,也称明文。 2)加密后的报文,也称密文。 3)加密解密设备或算法。 4)加密解密的密钥。 发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如
12、果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。,5.3.1 加密和解密,2算法和密钥 算法和密钥在加密和解密过程中是相互配合的,两者缺一不可。 目前存在的加密算法也只有屈指可数的几种,一般来说,加密算法是不变的,但是密钥是变化的。,例如,将字母的自然顺序保持不变,但使之分别与相差4个字母的字母相对应。 这条规则就是加密算法,其中4为密钥。 若原信息为How are you则按照这个加密算法和密钥,加密后的密文就是lsa evi csy。,5.3.2 对称密钥加密技术,1基本概念 对称密钥加密技术是指加密和解密均采用同一把秘密钥匙,而且通信双方必须都要获得这把钥匙并保持钥匙
13、的秘密。当给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密,也称单钥加密技术。对称密钥加密解密的过程如图5-2所示。 图5-2 对称密钥加密、解密过程,5.3.2 对称密钥加密技术,2加密算法 1)DES(Data Encryption Standard)算法:DES即数据加密标准,是1977年美国国家标准局宣布用于非国家保密机关的数据保护。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。DES算法仅使用最
14、大为64位的标准算术和逻辑运算,运算速度快,密钥生产容易,适合于在当前大多数计算机上用软件方法实现,同时也适合于在专用芯片上实现。,5.3.2 对称密钥加密技术,2)IDEA算法: IDEA (International Data Encryption Algorithm)是一种国际信息加密算法。它是1991年在瑞士ETH Zurich由James Massey和Xueiia Lai发明,于1992年正式公开的,是一个分组大小为64位,密钥为128位,迭代轮数为8轮的迭代型密码体制。 此算法使用长达128位的密钥,有效地消除了任何试图穷尽搜索密钥的可能性。,5.3.2 对称密钥加密技术,3对称
15、式密钥加密技术的优缺点 对称式密钥加密技术具有加密速度快、保密度高等优点。其缺点有: 1)密钥是保密通信安全的关键,发信方必须安全、妥善地把钥匙护送到收信方,不能泄露其内容。如何才能把密钥安全地送到收信方,是对称密钥加密技术的突出问题。可见,此方法的密钥分发过程十分复杂,所花代价高。,5.3.2 对称密钥加密技术,2)多人通信时密钥的组合的数量会出现爆炸性的膨胀,使密钥分发更加复杂化。例如,若系统中有n个用户,其中每两个用户之间需要建立密码通信,则系统中每个用户须掌握(n-1)个密钥,而系统中所需的密钥总数为n(n-1)/2个。对10个用户的情况,每个用户必须有9个密钥,系统中密钥的总数为45
16、个。对100个用户来说,每个用户必须有99个密钥,系统中密钥的总数为4950个。这还仅考虑用户之间的通信只使用一种会话密钥的情况。如此庞大数量的密钥生成、管理、分发确实是一个难处理的问题。 3)通信双方必须统一密钥,才能发送保密的信息。如果发信者与收信人是素不相识的,这就无法向对方发送秘密信息了。,5.3.3 公开密钥加密技术,1基本概念 公开密钥加密技术要求密钥成对使用,即加密和解密分别由两个密钥来实现。 每个用户都有一对选定的密钥,一个可以公开,即公共密钥,用于加密。另一个由用户安全拥有,即秘密密钥,用于解密。公共密钥和秘密密钥之间有密切的关系。 当给对方发信息时,用对方的公开密钥进行加密,而在接收方收到数据后,用自己的秘密密钥进行解密。故此技术也称为非对称密码加密技术。公开密钥加密解密的过程如图5-3所示。 图5-3 公开密钥加密解密的过程,5.3.3 公开密钥加密技术,2加密算法 公开密钥加密算法主要是RSA加密算法。 此算法是美国MIT公司的Rivest Shamir和Adleman于1978年提出的。它是第一个成熟的、迄今为止
