《电子商务安全讲座》由会员分享,可在线阅读,更多相关《电子商务安全讲座(37页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全讲座范兴昌l2009中国国内贸易额中国国内贸易额335353亿元,国内亿元,国内电子商务整体市场年交易额则仅有电子商务整体市场年交易额则仅有33,278亿元。也就是说电子商务在国内贸易额亿元。也就是说电子商务在国内贸易额中仍是极小的一部分中仍是极小的一部分l人们不禁要问,是什么因素阻碍了电子人们不禁要问,是什么因素阻碍了电子商务更广泛的普及呢商务更广泛的普及呢?为此,不少调查机为此,不少调查机构进行了广构进行了广泛的调查。众多的调查都发泛的调查。众多的调查都发现,一个主要的障碍就是电子商务的安现,一个主要的障碍就是电子商务的安全问题。全问题。第一节第一节电子商务安全概述电子商务安全
2、概述l由于有关电子商务的立法和管理刚刚开始,有由于有关电子商务的立法和管理刚刚开始,有人开玩笑说人开玩笑说“电子商务目前是个电子商务目前是个三无三无行业:行业:无法可依、无安全可言、无规可循无法可依、无安全可言、无规可循”,当然这,当然这只有一定的道理,我国政府对电子商务的管理只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。进电子商务的政策。一、电子商务交易带来的安全问题一、电子商务交易带来的安全问题1.销售者面临的威胁:销售者面临的威胁:中央系统安全性被破坏。中央系统安全性被破坏。客户资料被竞争者获悉。
3、客户资料被竞争者获悉。被他人假冒而损害公司的信誉。被他人假冒而损害公司的信誉。消费者提交定单后不付款。消费者提交定单后不付款。2.购买者面临的威胁:购买者面临的威胁:付款后不能收到商品。付款后不能收到商品。机密性丧失。机密性丧失。拒绝服务。拒绝服务。二、网络黑客攻击电子商务系统常用手段二、网络黑客攻击电子商务系统常用手段中断、介入、篡改、假造。中断、介入、篡改、假造。三、为什么网络传输不安全三、为什么网络传输不安全Web ServerThe InternetEncryption线路安全线路安全客户安全客户安全连接安全连接安全 The IntranetWebServerWeakness: Ext
4、ernal access now granted. Are applications and network secure?信息资本信息资本Enterprise Networku没有边界没有边界u没有中央管理没有中央管理u是开放的、标准的是开放的、标准的u没有审计记录没有审计记录INTERNETINTERNET四、电子商务安全风险来源信息传输风险:冒名窃听。篡改数据。信息丢失。信息传递过程中的破坏。信用风险:来自买方的信用风险。来自卖方的信用风险。买卖双方都存在抵赖的情况。管理方面的风险:交易流程管理风险。人员管理风险。网络交易技术管理的漏洞也带来较大的交易风险。法律方面的风险:五、电子商务的
5、安全控制要求信息的保密性。信息的保密性。交易者身份的确定性。交易者身份的确定性。不可否认性。不可否认性。不可修改性不可修改性解决电子商务安全的主要策略解决电子商务安全的主要策略l技术控制技术控制l 政策、法律、守则、管理政策、法律、守则、管理政策、法律、守则、管理政策、法律、守则、管理Internet防火墙防火墙加密、授权、认证加密、授权、认证审计、监督审计、监督技术控制技术控制l现在,网络欺诈案件数量呈逐年上升趋势,专家建议,为增加电子商务交易的信息透明度,防止网络购物欺诈,必须制定严格的电子商务企业市场准入制度。2008年,国家工商总局表态,网上开店要办理工商营业执照,北京将首先试点,今后
6、将在全国范围内推广。ll消费者在获得中奖信息时一定要擦亮眼睛,基本上来路不明的信息都可归为欺诈一类。在机器中安装安全防护软件,可免受远离钓鱼网站欺骗。重要的是,不要相信保证金、开包费这种费用,在汇款之前提高警惕,不给骗子可乘之机。l消费者在网上购物时,首先要选择正规的电子商务平台,在货到时一定要当面验货,如果感觉商品严重不符或非常不满意,可以当即跟店家联系,并拒绝签收,这要比事后再进行退换容易得多。l其次,虽然网上店铺的信誉度、顾客评价等信息也能作假,但如果回帖数量足够多而且都不重复,还是有一定参考价值,很多都是真实有效的。最后,可以在下订单前通过聊天软件跟店主充分沟通,询问商品信息,比如是否
7、有自己想要货品的规格、颜色,能否提供发票等信息,以此把风险降到最低第二节 电子商务主要安全技术l虚拟专用网虚拟专用网l加密技术加密技术l数字签名数字签名l数字证书数字证书l数字水印数字水印l身份认证身份认证l防火墙防火墙一、虚拟专用网(一、虚拟专用网(VPN)l虚拟专用网络是指在其他地点通过公共虚拟专用网络是指在其他地点通过公共互联网建立一个安全的互联网建立一个安全的“私人网络私人网络”。使用使用VPN的企业允许员工远程办公,并的企业允许员工远程办公,并连接到他们的公司网络。简单地说,当连接到他们的公司网络。简单地说,当您不是在您的办公室,而又需要使用您您不是在您的办公室,而又需要使用您的公司
8、资源,您需要做的是拨号网络和的公司资源,您需要做的是拨号网络和连接到您的公司网络,通过它您可以使连接到您的公司网络,通过它您可以使用所有资源就像在办公室一样。用所有资源就像在办公室一样。二、信息加密技术二、信息加密技术 l1对称密钥密码体制对称密钥密码体制对对称称密密钥钥密密码码体体制制的的特特点点是是加加密密密密钥和解密密钥是相同的或可以相互推导。钥和解密密钥是相同的或可以相互推导。凯撒密码凯撒密码word密钥密钥4密文:密文:asvh对称密角加密体制存在的问题(1)通信双方的密钥安全交换问题)通信双方的密钥安全交换问题加密方必须使用安全途径将密钥传输加密方必须使用安全途径将密钥传输给给解密
9、方。解密方。(2)多密钥分发与管理问题)多密钥分发与管理问题当通信一方与当通信一方与N个用户通信,就需要个用户通信,就需要N个密钥个密钥(3)无法满足互不相识的人进行私人谈话的保)无法满足互不相识的人进行私人谈话的保密要求。密要求。(4)难以解决数字签名问题)难以解决数字签名问题l2非对称密钥密码体制非对称密钥密码体制 非对称密钥密码体制又称公开密钥密非对称密钥密码体制又称公开密钥密码体制。码体制。 一对密钥一对密钥 公钥、私钥公钥、私钥用公钥加密,私钥解开用公钥加密,私钥解开用私钥加密用私钥加密,公钥解开,公钥解开私钥不发布,公钥发布私钥不发布,公钥发布非对称密钥加密和对称密钥加密比较非对称
10、密钥加密和对称密钥加密比较l对称密钥加密对称密钥加密密钥长度短密钥长度短运算速度快运算速度快密钥个数一个密钥个数一个密钥分配困难密钥分配困难可用于数据加密和消可用于数据加密和消息的认证息的认证无法满足互不相识的无法满足互不相识的人之间进行私人谈话人之间进行私人谈话时的保密性需求时的保密性需求l非对称密钥加密非对称密钥加密密钥长度长密钥长度长运算速度慢运算速度慢密钥个数两个密钥个数两个密钥分配简单密钥分配简单可以完成数字签名和可以完成数字签名和实现保密通信实现保密通信可满足互不相识的人可满足互不相识的人之间进行私人谈话时之间进行私人谈话时的保密性需求的保密性需求 在实际应用中可利用两种加密方式的
11、优在实际应用中可利用两种加密方式的优点。点。 1.1.采用对称加密方式来加密文件的内容;采用对称加密方式来加密文件的内容; 2.2.采用非对称加密方式来加密密钥采用非对称加密方式来加密密钥 混合加密系统,较好地解决了运算速混合加密系统,较好地解决了运算速度问题和密钥分配管理问题。度问题和密钥分配管理问题。3.数字信封消息消息私钥加私钥加密密消息密消息密文文密钥密密钥密文文数字信数字信封封对称密对称密钥钥公钥加公钥加密密接收接收B B的公的公钥钥数字信封的形成数字信封的形成:数字信封的解除数字信封的解除消息密文消息密文密钥密文密钥密文对称密钥解密对称密钥解密消息消息接收方接收方B B的私钥的私钥
12、私钥解密私钥解密对称密钥对称密钥三、数字鉴名 数字鉴名(数字鉴名(Digitalsignature)技术是将技术是将摘要用发送者的私钥加密,与原文一起摘要用发送者的私钥加密,与原文一起传送给接收者。应用广泛的数字签名的传送给接收者。应用广泛的数字签名的方法主要有三种:方法主要有三种:RSA签名、签名、DSS签名和签名和Hash签名。签名。Hash签名是最主要的数字签名方法,也签名是最主要的数字签名方法,也称之为数字摘要法或数字指纹法称之为数字摘要法或数字指纹法。数字签名发送方私钥四、数字证书与CA认证1数字证书(数字证书(DigitalCertificate或或DigitalID)数字证书采用
13、公私钥密码体制,每个用户拥有一数字证书采用公私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。密和签名验证。数字证书可用于:发送安全电子邮件、访问安全站数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。理和安
14、全电子交易活动。2数字证书的内容数字证书的内容数字证书包括以下内容如图所示数字证书包括以下内容如图所示:证书拥有者的姓名;证书拥有者的姓名;证书拥有者的公钥;证书拥有者的公钥;公钥的有限期;公钥的有限期;颁发数字证书的单位;颁发数字证书的单位;颁发数字证书单位的数字签名;颁发数字证书单位的数字签名;数字证书的序列号等。数字证书的序列号等。数字水印(数字水印(DigitalWatermarking)技术是)技术是将一些标识信息将一些标识信息(即数字水印即数字水印)直接嵌入数字载体直接嵌入数字载体当中当中(包括多媒体、文档、软件等包括多媒体、文档、软件等)或是间接表示或是间接表示(修改特定区域的结
15、构修改特定区域的结构),且不影响原载体的使用,且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。送隐秘信息或者判断载体是否被篡改等目的。数字水印是信息隐藏技术的一个重要研究方向。数字水印是信息隐藏技术的一个重要研究方向。数字水印是实现版权保护的有效办法,是数字水印是实现版权保护的有效办法,是信息信息隐藏技术隐藏技术研究领域的重要分支。研究领域的重要
16、分支。五、数字水印五、数字水印数字水印的应用领域数字水印的应用领域1.数字作品的知识产权保护数字作品的知识产权保护2.商务交易中的票据防伪商务交易中的票据防伪3.证件真伪鉴别证件真伪鉴别六、身份认证 l认证机构或信息服务商应当提供如下认证功能:(1)可信性(2)完整性(3)不可抵赖性 (4)访问控制身份认证的方式l用户身份认证可通过三种基本方式或其组合方式来实现。(1)用户所知道的某个秘密信息,例如用户知道自己的口令。(2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质。(3)用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜血管分布扫描等。 用户身份认证的
17、最简单的方法就是口令。系统事先保存每个用户的二元组信息,进入系统时用户输入二元组信息,系统将保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法性。生物识别技术.口令加密l对口令进行加密传输是一种改进的方法。对口令进行加密传输是一种改进的方法。l最最安安全全的的身身份份认认证证机机制制是是采采用用一一次次性性口口令令机机制制,即即每每次次用用户户登登录录系系统统时时口口令令互互不不相相同同,主主要要有有两两种种实实现现方方式式。第第一一种种采采用用“请请求求响响答答”方方式式。第二种方法采用第二种方法采用“时钟同步时钟同步”机制。机制。lKerberos协议是一种共享秘密的验证协议,因
18、协议是一种共享秘密的验证协议,因为用户和密钥分配中心都知道用户的密码。为用户和密钥分配中心都知道用户的密码。七、七、 防火防火墙 通常意义上的防火墙:通常意义上的防火墙: 不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性注意区分个人防火墙、病毒防火墙注意区分个人防火墙、病毒防火墙 防火墙是位于两个防火墙是位于两个( (或多个或多个) )网络间,实施网络网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为间访问控制
19、的一组组件的集合。防火墙的英文名为“FireWallFireWall”,它是最重要的网络防护设备之一。,它是最重要的网络防护设备之一。1 1、基本概念、基本概念 防火防火墙在网在网络中的位置中的位置 安装防火墙后的网络安装防火墙后的网络 DMZ DMZ是为了解决安装防火墙后外部网络不能访问内部是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些之间的小网络区
20、域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业必须公开的服务器设施,如企业WebWeb服务器、服务器、FTPFTP服务器和服务器和论坛等。论坛等。 通过这样一个通过这样一个DMZDMZ区域,更加有效地保护了内部网络,区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的务器交换信息数据也要通过防火墙,实现了真正意义上的保护。保护。 防火防火墙在网在网络中的位置中的位置 DMZDMZ区区(demilitarized zonedemilitarized zone,也称非军事区,也称非军事区) )电子商务安全中还需解决的问题电子商务安全中还需解决的问题(1)没有一种电子商务安全的完整解决方案和完整模型没有一种电子商务安全的完整解决方案和完整模型与体系结构。与体系结构。(2)尽管大多数方案都使用了公钥密码尽管大多数方案都使用了公钥密码,但多方安全受但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。到的关注远远不够。没有建立一种解决争议的决策程序。(3)客户的匿名性和隐私尚未得到充分的考虑。客户的匿名性和隐私尚未得到充分的考虑。
