电子商务安全管理课程分析

《电子商务安全管理课程分析》由会员分享，可在线阅读，更多相关《电子商务安全管理课程分析（49页珍藏版）》请在金锄头文库上搜索。

1、第八章 电子商务安全,学 习 目 标 1.了解电子商务的主要安全威胁。 2.了解电子商务对安全的基本要求。 3.了解电子商务的安全体系。 4.熟悉电子商务常用的安全技术。,引 导 案 例,国外 1988年11月2日，美国康奈尔大学学生罗伯特莫瑞斯利用蠕虫程序攻击了Internet网上约6200台小型机和Sun工作站，造成包括美国300多个单位的计算机停止运行，事故经济损失达9600万美元。（病毒破坏）,国外 1994年4月到10月期间，任职于俄国圣彼得堡OA土星公司的弗拉基米尔列列文从本国操纵电脑，通过Internet多次侵入美国花旗银行在华尔街的中央电脑系统的现金管理系统，从花旗银行在阿根廷

2、的两家银行和印度尼西亚的一家银行的几个企业客户的帐户中将40笔款项转移到其同伙在加里福尼亚和以色列银行所开的帐户中，窃走1000万美元。 （信息窃取）,国外 2000年2月7日9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。（黑客攻击）,国内 1997年1月到3月，宁波证券公司深圳业务部的工作人员曾定文多次通过证券交易网络私自透支本单位资金928万元炒股；而吴敬文则利用两个股东帐号私自透支本单位资金2033万元炒股。 （人为操作） 2000年4月22日8时许，地处深圳市的中国最大的互联网交友网站“情网”突然瘫痪。 （人为破坏）,国内 2000年春天

3、，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 （信息窃取）,CNNIC 调 查 结 果,用户认为目前网上交易存在的最大问题是： 1、安全性得不到保障 23.4% 2、产品质量和服务欠缺 15.2% 3、商家信用得不到保障 14.1% 4、付款不方便 10.8% 5、价格不够诱人 10.8% 6、送货不及时 8.6% 7、网上提供的信息不可靠 6.4% 8、其它 0.7%,第一节 电子商务的安全问题,电子商务的主要安全隐患,系统中断（Interruption）破坏系统的有效性 窃取信息（Interception) 破坏系统的机密性 篡改信息（Modifica

4、tion）破坏系统的完整性 伪造信息（Fabrication） 破坏系统的真实性 交易抵赖（ The transaction denies ） 无法达成交易,电子商务安全交易的基本要求,信息的保密性 信息的完整性 交易者身份的真实性 不可抵赖性 系统的可靠性,电子商务安全交易层次模型,第二节 电子商务的安全技术,病毒防范技术 身份识别技术 防火墙技术 虚拟专用网技术 密码技术 认证技术,病 毒 防 范 技 术,1.安装防病毒软件,2.控制权限 可以将网络系统中易感染病毒的文件的属性、权限加以限制，对各终端用户，只许他们具有只读权限，断绝病毒入侵的渠道，达到预防的目的。,3.认真执行病毒定期清理

5、制度 病毒定期清理制度可以清除处于潜伏期的病毒，防止病毒的突然爆发，使计算机始终处于良好的工作状态。 4.加强数据备份和恢复措施,身 份 识 别 技 术,用户身份识别技术可通过三种基本方式或其组合方式实现： （1）用户通过某个秘密信息，例如通过口令访问系统资源。 （2）用户知道的某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源，例如通过智能卡访问系统。 （3）用户利用自身所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等。,防 火 墙 技 术,1、防火墙（firewall）的概念 是加强因特网与内部网之间安全防范的一个或一组软件和硬件系统。它具有限制外界用户对内部网络访问及

6、管理内部用户访问外界网络的权限。是一种访问控制机制。,2、 防火墙的功能 隔离内部网络和外部网络 限制内部用户和外部用户的访问权限,外部网,防 火 墙,内部网,3、 防火墙的工作原理 （两个逻辑关系） “凡是未被准许的就是禁止的” “凡是未被禁止的就是允许的”,4、 防火墙的主要实现技术 数据包过滤技术 代理服务技术,数据包过滤（也称分组过滤）技术是在网络层对数据包中的IP地址过滤。如果防火墙设定某一IP地址不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。 优点便是对用户透明，不要求客户机和服务器作任何修改，处理速度快而且易于维护。 缺点仅仅依靠特定的逻辑判定是否允许数据包通过。一旦

7、满足逻辑，则防火墙内外的计算机系统建立直接连接，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和允许状态，这可能导致非法访问和攻击。,代理服务是针对数据包过滤技术存在的不足而引入的新型防火墙技术。代理服务不像前一种技术在通过验证后内外的计算机直接连接通信，而是在内部与外部的系统之间加一层服务器，用该服务器来做中间代理功能。由于代理访问的中间作用，攻击的也只是代理服务器，而不会是网络内部的系统资源。,代理服务型防火墙工作示意图,防火墙的局限性： （1）防火墙无法防范内部用户的攻击 （2）防火墙无法防范不通过它的连接 （3）防火墙很难防范病毒 （4）防火墙不能防备新的网络安全问题 （5）防火

8、墙不能防止数据驱动式攻击,密 码 技 术,密码技术的基本思想是伪装信息，隐藏信息的真实内容，以使未授权者不能理解信息的真正含义，达到保密的作用。具体的就是对信息进行一组可逆的数学变换。,伪装前的信息称为明文，伪装后的信息称为密文，将信息伪装的过程称为加密，将密文再还原为明文的过程称为解密，解密是在解密密钥（key）的控制下进行的，用于解密的这组数学变换称为解密算法。,密码技术组成要素,1、明文和密文 2、解密算法 3、加、解密密钥（key） 4、加密和解密,用移位加密算法说明一个加解密的过程， 明密文对照关系如下：,明文：今晚9点发动总攻 JIN WAN JIU DIAN FA DONG ZO

9、NG GONG,密文：MLQ ZDQ MLX GLDQ ID GRQJ CRQJ JRQJ,例如，要发送一个军事命令给前线，明文为“今晚9点发动总攻”。,加密算法是将明文字母后移3位，解密就是将密文字母前移3位，3就是加解密的密钥，由它控制加解密过程。,一般情况下，密码技术根据使用的加解密算法和密钥原理等工作方式的不同分为不同的密码体制。,密码体制,现在广泛应用的两种密码体制： 1、对称密钥密码体制 2、非对称密钥密码体制,对称密钥密码体系,对称密钥密码体系(Symmetric Cryptography)又称单密钥密码体制（One-key System ）。即信息交换双方共同约定一个口令或一组

10、密码，建立一个通讯双方共享的密钥。工作原理如下图：,加密,明文,密文,明文,密,钥,解密,A方,B方,优点：对称密钥密码体系加密、解密速度很快(高效) 。 缺点：安全性能差； 密钥难于管理；,非对称密钥密码体系,非对称密钥密码体系(Asymmetric Cryptography)也称双密钥密码体制（Two-key System ）。信息交换一方掌握两个不同的密钥：一个是可以公开的密钥作为加密密钥（常称公钥）；另一个则是秘密保存的作为解密密钥（常称私钥）。工作原理如下图：,加密,明文,密 文,明文,解密,B方公钥,B方私钥,A方,B方,优点：非对称密钥密码体系安全性能高，使用方便灵活。 缺点：加

11、密、解密速度慢。,电子信封技术,电子信封(也称“数字信封”)技术，具体操作方法是： 发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文； 然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。 收信方首先使用自己的私有密钥解密被加密的对称密钥。 再用该对称密钥解密出真正的报文。,经加密的密钥,私人密钥B,加密,解密,公开密钥B,对称密钥,对称密钥,普通报文,普通报文,密文,A方,B方,电子信封工作原理如下图：,认 证 技 术,数字摘要技术,数字摘要是采用单向Hash函数对文件中若干重要元素进行某种加密变换运算（SHA)得到固定长度（128字节）的摘要

12、码（数字指纹），并在传输信息时将之加入文件一同传送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。,信息,摘要,信息,摘要,发送方,SHA加密,一起发送,SHA加密,接收方,摘要,对比,数字签名技术,文件的数字签名技术实际上是通过数字摘要和非对称密钥加密体制两者结合来实现的。 采用数字签名，对传输数据实现了两种保护： 1、完整性 2、真实性,数字证书（digital certificate, digital ID）又称数字凭证，是网络通讯中标识通讯各方身份信息，并由一个可信任的、公正的权威机构（即认证机构）经审核颁发的电子

13、文书。,数字证书,数字证书的特征,1、是一种在Internet上验证身 份的方式。 2、由特定证书授权中心颁发的电 子文书。 3、证书的格式遵循ITU X.509国 际标准。,数字证书的组成,证书生成的流程： 1证书申请人提出申请，并将必要的认证信息提交给CA。 2CA对申请人所提交的信息审查，检查其正确性和合法性，对实体身份进行确认，生成数字证书的信息。 3CA用自己的私钥为证书加上数字签名。 4CA将证书发放给用户，将证书的副本存底并发布于证书库中，以备他人查询。,数字证书的三种类型,个人证书 它仅仅为某一个用户提供数字证书。 企业（服务器）数字证书 它通常为网上的某个Web服务器提供数字

14、证书。 软件（开发者）数字证书 它通常为因特网中被下载的软件提供数字证书。,认证机构（certificate authority，CA）也称认证中心，是数字证书的签发机构，它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，并将相关内容列入发放的证书域内，使用户属性的客观真实性与证书的真实性一致。,认证机构,CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。 CA主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。,认证机构的特征,第三方,证书的树形验证结构 在双方通信时，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处。,认证中心的作用 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档,下面给出几个认证机构的网址： （1）VeriSign CA, http:/ （2）BankGate CA, http:/ （3）Thawte Consulting , http:/ （4）中国数字认证网，http:/ （5）广东电子商务认证中心， http:/ （6）北京数字证书认证中心， http:/ （7）中国金融认证中心， http:/ 病毒防范技术 防火墙的的概念 防火墙的局限性 数字证书,