《现代网络安全技术-电子教案-李兴无 第6章 》由会员分享,可在线阅读,更多相关《现代网络安全技术-电子教案-李兴无 第6章 (31页珍藏版)》请在金锄头文库上搜索。
1、第6章 电子商务安全与电子邮件安全,第6章 电子商务安全与电子邮件安全,电子商务协议,电子商务安全,2,电子邮件概述,电子邮件安全分析,电子商务安全,本章学习目标,理解电子商务的概念和基本特征 了解电子商务安全协议 了解电子邮件概述 掌握电子邮件安全分析 了解电子支付软件-支付宝,6.1 电子商务概述,电子商务的概念,随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。 早在1997年11月6日至7日,国际商会在法国巴黎举行了世界电子商务会议(The World Business Agenda for Electronic Commerce),全世界商业、信
2、息技术、法律等领域的专家和政府部门的代表,共同探讨了电子商务的概念问题。 迄今为止电子商务最有权威的概念阐述“电子商务(Electronic Commerec):是指实现整个贸易活动的电子化”。,6.1 电子商务概述,电子商务按其应用领域主要可分为以下几类:,1.B2B企业对企业(Business to Business) 2.B2C企业对消费者(Business to Customer) 3.C2C消费者对消费者(Customer to Customer) 4.B2G企业对政府机构(Business to Government) 5.C2G消费者对政府机构(Customer to Gover
3、nment),6.2 电子商务安全,6.2.1 电子商务安全体系结构,1.电子商务的安全技术框架体系,6.2 电子商务安全,6.2.1 电子商务安全体系结构,2.加密技术层 加密技术是保障电子商务安全性最基本措施。 加密技术是一种主动的信息安全措施,其原理是利用某些加密算法,将明文转换成密文,防止非法用户理解原始数据,以确保数据的保密性。 根据电子商务的特点,电子商务系统和全面的加密保护应包括远程通信过程的加密,数据通信过程中的加密。当然,并非系统中的所有数据都需要加密。,6.2 电子商务安全,6.2.1 电子商务安全体系结构,3.安全认证层 目前除了加密技术确保电子商务安全,此外身份认证技术
4、也是必不可少的,它是确保电子商务安全的另一项重要技术手段。 认证的实现包括: 1. 数字签名技术 2. 数字证书技术 3. 智能卡技术等,6.2 电子商务安全,6.2.1 电子商务安全体系结构,4. 交易协议层 除了各种安全控制技术,电子商务的运作还需要一个完整的安全交易协议。不同交易协议的复杂性、成本、安全各不相同。同时,在不同的应用环境下该协议规定的目标也不同。目前,比较成熟的协议有:SET、SSL、iKP等基于信用卡的交易协议;NetBill、NetCheque等基于支票的交易协议;Digicash、Netcash等基于现金的交易协议;匿名原子交易协议;防止软件侵权的基于PKC的安全电子
5、软件分销协议等。,6.2 电子商务安全,6.2.2 电子商务安全要素,1.我国电子商务中存在安全的问题 1)互联网安全管理问题 2)网络系统软件自身的安全问题 3)网络系统中数据库的安全设计问题 4)传输线路安全与质量问题 5)其他威胁网络安全的典型因素,6.2 电子商务安全,6.2.2 电子商务安全要素,2.电子商务中安全问题的对策 1)加速基础设施建设 2)建立个人与企业的信用制度 3)访问控制技术 4)数字认证技术 5)证书授权技术,6.3 电子商务协议,6.3.1 SSL协议,1.SSL协议结构,6.3 电子商务协议,6.3.1 SSL协议,2.SSL协议安全性分析 SSL协议是为客户
6、机和服务器在不安全通信建立的安全连接通道,因此必须考虑到各种可能发生的攻击。下面从三个方面来分析SSL协议安全性: 1)证书的验证 2)应用数据的保护 3)检测对握手协议的攻击,6.3 电子商务协议,6.3.1 SSL协议,3. SSL协议安全缺陷 在SSL 2.0版本中有一个严重的安全缺陷,即CipherSuite回转攻击(CipherSuite rollback attack) 攻击者可以修改hello消息中所支持的CipherSuites列表域(该信息是明文数据),从而使本来可以支持更高安全强度算法的通信双方选择使用安全强度较弱的密码算法。 在SSL 3.0版本的协议中弥补了这个安全漏洞
7、,使用的方法是提供了Finished消息,利用主密码master-secret来对握手过程中所有的消息进行认证。这样攻击者任何篡改握手消息的行为都会在握手过程的最后被发现。,6.3 电子商务协议,6.3.2 SET协议,1.SET协议概述 目前我国的电子商务支付系统所使用的安全协议中,主要有SET和SSL两种。 国内网上支付普遍采用的方法是银行卡非SET电子商务支付系统(SSL)。 总的来讲,SSL协议比较简单,应用广泛,SET协议比较复杂,而且需专有软件,价格昂贵,因而在一定程度上阻碍了它的推广进程。 从安全性和信用卡支付来看,SSL协议不如SET协议。 所以从目前来看,在建立电子商务站点时
8、,可以将两者结合起来使用。在与银行的连接中使用SET协议,而与顾客连接时使用SSL协议,这种方案既避免了在顾客的机器上安装专有软件,同时又获得了SET协议的许多优点,不失为一种好的方法。.,6.4 电子邮件概述,电子邮件(electronic mail)也被称为电子信箱,它通常是利用电子通讯手段进行信息交流。 通过网络邮件系统,用户可以联系到全球任何互联网用户。同时,用户可以得到大量免费的新闻,并轻松实现信息搜索。 正是因为使用电子邮件具有使用简单,成本低,易于储存,因此在全球范围内电子邮件得到了广泛应用,它已经使人们的沟通方式大大改变。此外,电子邮件也可用于一对多的消息传递,相同的电子邮件可
9、发送给许多人。,6.5 电子邮件安全分析,6.5.1 电子邮件面临的攻击,1.恶意代码 通常通过电子邮件传输的恶意代码主要有病毒和木马。病毒是一种恶意代码。计算机网络的存在给计算机病毒的制造者提供了巨大的空间,使病毒在侵入用户电脑后,都会自动向外发送带病毒邮件,用户打开这些邮件就会中毒。电子邮件已经成为黑客传播病毒最为重要的渠道之一。 2.垃圾邮件 中国互联网协会在中国互联网协会反垃圾邮件规范中定义垃圾邮件为具有以下属性的电子邮件: 1.收件人事先没有提出要求或同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。 2.收件人无法拒收的电子邮件。 3.隐藏发件人身份、地址、标题等信息的
10、电子邮件。 4.含有虚假的信息源、发件人、路由等信息的电子邮件。,6.5 电子邮件安全分析,6.5.2 主要协议,1.PEM(Privacy Enhanced Mail) 保密增强邮件PEM是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能。它是在Internet电子邮件增加了加密,认证和密钥管理功能,允许使用公共密钥和私人密钥加密方法,并能够支持多种加密工具。对所有报文都提供诸如:验证、完整性、防抵赖等安全服务功能,还提供保密性等可选的安全服务功能。,6.5 电子邮件安全分析,6.5.2 主要协议,2.MOSS(MIME Object Secutity Se
11、rvices) MIME对象安全服务MOSS协议是1995年出现的,它包含了PEM的大部分特性和协议规范。要使用MOSS协议,用户必须至少拥有一组公钥和私钥,公钥必须发放给那些与其可以进行安全通信的用户,私钥对任何其他用户都是保密的。,6.5 电子邮件安全分析,6.5.2 主要协议,3.PGP PGP是菲利普齐默曼在1991年提出。作为一项规范,现已成为全球流行安全的电子邮件标准之一。 PGP的特点是利用单向散列算法来保护信息内容的完整性,以确保邮件的内容不被修改,使用对称和非对称加密技术,保证了信息的内容保密。通信双方在公共场所(如FTP站点),发布公共密钥,而公钥本身,可由第三方(尤其是目
12、标信任的第三方)来签名验证。,6.5 电子邮件安全分析,6.5.2 主要协议,4. S/MIME (Secure/Multipurpose Internet Mail Extensions) S/MIME的由RSA实验室于1996年从PEM和MIME发展演变而来。S/MIME可以很好地保密所有MIME信息。它将加密作为一个特殊的附件签署,被发送机密信息也可以MIME标记和包装,使它们容易被MIME电子E-mail软件识别和处理。S/MIME从PEM确定的严格分级中吸取了教训,其信托管理认证介于严格的层次结构之间和以用户为中心的信任模式之间,是一种称为CA的认证机制 。,6.5 电子邮件安全分析
13、,6.5.3 电子邮件安全策略,1.对电子邮件进行加密 2.对邮件和系统进行病毒防护 3.垃圾邮件和邮件炸弹的防范措施 4)采用防火墙技术,6.6 Outlook Express设置SSL邮件加密功能,本例中所使用的版本为Outlook Express 6.0简体中文版,并以 作为企业邮箱地址,其中以me作为用户名,作为企业域名来进行制作,可以按照以下方法进行设置,并将替换为自己的企业邮箱地址。,6.6 Outlook Express设置SSL邮件加密功能,6.6 Outlook Express设置SSL邮件加密功能,6.6 Outlook Express设置SSL邮件加密功能,6.7 电子支
14、付软件-支付宝,6.7.1 支付宝 6.7.2 支付宝的应用,支付宝是先进的第三方在线支付平台,由阿里巴巴集团创办,目的是提供安全的互联网交易支付服务。它于2004年推出,在短短几年内迅速成为支付宝用户广泛使用的网上安全支付工具。,6.7 电子支付软件-支付宝,6.7.3 支付宝交易,支付宝交易,是指买卖双方使用支付宝公司提供的“支付宝”软件系统,且在约定买卖合同下,通过该公司于买方收货后代为支付货款的中介支付方式来进行交易。 1.支付宝业务流程 (1)网上消费者浏览检索商户网页。 (2)网上消费者在商户网站下订单。 (3)网上消费者选择支付宝平台,直接链接到其安全支付服务器上,在支付页面上选
15、择自己适用的支付方式,点击后进入银行支付页面进行支付操作。 (4)支付宝平台将网上消费者的支付信息,按照各银行支付网关的技术要求,传递到各相关银行。 (5)由相关银行(银联)检查网上消费者的支付能力,实行冻结、扣账或划账,并将结果信息传至支付宝平台和网上消费者本身。 (6)支付宝平台将支付结果通知商户。 (7)支付成功的,由商户向网上消费者发货或提供服务。 (8)各个银行通过支付宝平台向商户实施清算。,6.7 电子支付软件-支付宝,6.7.3 支付宝交易,支付宝交易,是指买卖双方使用支付宝公司提供的“支付宝”软件系统,且在约定买卖合同下,通过该公司于买方收货后代为支付货款的中介支付方式来进行交
16、易。 1.支付宝业务流程 (1)网上消费者浏览检索商户网页。 (2)网上消费者在商户网站下订单。 (3)网上消费者选择支付宝平台,直接链接到其安全支付服务器上,在支付页面上选择自己适用的支付方式,点击后进入银行支付页面进行支付操作。 (4)支付宝平台将网上消费者的支付信息,按照各银行支付网关的技术要求,传递到各相关银行。 (5)由相关银行(银联)检查网上消费者的支付能力,实行冻结、扣账或划账,并将结果信息传至支付宝平台和网上消费者本身。 (6)支付宝平台将支付结果通知商户。 (7)支付成功的,由商户向网上消费者发货或提供服务。 (8)各个银行通过支付宝平台向商户实施清算。,6.8 疑难问题解析,1.请分析SET协议的工作流程,Thank You !,
