电子商务安全技术(5).ppt

电子商务概论,主讲教师陈静重庆教育学院工商管理系,WELCOMETOINTRODUCTIONOFELECTRONICBUSINESS,目录,第2章电子商务商业模式,第3章网络营销与管理,第5章B2B电子商务与供应链管理,第6章网上服务业,第1章电子商务概述,第4章电子商业与管理,目录（续）,第10章电子商务物流系统,第11章电子商务法律问题,第9章电子商务支付系统,第12章电子商务发展动态,第7章电子商务系统建设,第8章电子商务安全技术,第8章电子商务安全技术,8.1电子商务安全8.2电子商务安全技术8.3计算机信息系统安全保护制度,第8章电子商务安全技术,第8章电子商务安全技术,案例,国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。,第8章电子商务安全技术,据洛杉矶时报报道，万事达公司6月17日发现并宣布，电脑黑客侵入了亚利桑那州的一个信用卡程序中心，这家公司在处理商务转账业务时发现了约7万件欺诈手续，窃取了约4000万信用卡用户的信息，被一个植入电脑程序内部的黑客“流氓程序”袭击。造成美国迄今报道过的最大个人社会安全及金融信息泄密事件。,第8章电子商务安全技术,中美黑客事件,2001年5月4日晚，一所大学里任教的阿瑞下载了DDOS分布式拒绝服务攻击工具。这个工具能同时让不同的计算机向同一个IP地址发送大量的数据包，堵塞服务器的通路，被攻击的网站往往因此而瘫痪。白宫网站的带宽是10000M，阿瑞及黑客们约好时间22时攻击目标美国白宫。当天有8万人参加了对白宫的攻击。有人称这是信息时代一次“人海战术”的胜利。攻击目标的美国网站，以政府、军事网站为主，除了白宫之外，还包括美国联邦调查局FBI、美国航空航天局NASA、美国国会、纽约时报、洛杉矶时报以及美国有线新闻网CNN的网站。,第8章电子商务安全技术,第8章电子商务安全技术,第8章电子商务安全技术,五角大楼入侵案1998年2月25日，美国国防部副部长JohnHamre向媒体宣布，过去几个星期以来有一小撮人对五角大楼的计算机系统展开了“高度组织与系统化的袭击”，四个海军系统和七个空军系统的电脑网页遭侵入。美国联邦调查局（FBI）人员抓获入侵五角大楼的两名小黑客15岁的Makaveli和TooShort。还有其在国外“导师”，一位名叫Tenebaum的18岁以色列少年。,第8章电子商务安全技术,第8章电子商务安全技术,学习目标,了解电子商务面临的主要安全威胁了解电子商务对安全的基本要求熟悉电子商务常用的安全技术掌握防火墙的功能和工作原理了解电子商务常用的加密技术了解电子商务的认证体系掌握SSL和SET的流程和工作原理,第8章电子商务安全技术,8.1电子商务安全,8.1.1安全隐患系统中断破坏系统的有效性窃听信息破坏系统的机密性篡改信息破坏系统的完整性伪造信息破坏系统的真实性对交易行为进行抵赖要求系统具备审查能力8.1.2类型物理安全问题网络安全问题数据的安全性对交易不同方表现的不同安全问题,第8章电子商务安全技术,8.1.3电子安全交易的基本要求,信息的保密性信息的完整性身份的真实性不可抵赖性存储信息的安全性授权合法性,第8章电子商务安全技术,8.1.4电子商务安全体系,技术保障法律控制社会道德规范完善的管理政策、制度,第8章电子商务安全技术,信息系统安全层次模型,第8章电子商务安全技术,一、二、三层信息、软件、网络安全,这三层是计算机信息系统安全的关键。包括数据的加密解密（加密解密算法、密钥管理）操作系统、应用软件的安全（用户注册、用户权限（如查询权限、录入权限、分析权限、管理权限管理）数据库安全（访问控制、数据备份与管理、数据恢复）数据的完整性（RAID冗余磁盘阵列技术、负载均衡、HA高可用技术）网络安全（对网络传输信息进行数据加密、认证、数字签名、访问控制、网络地址翻译、防毒杀毒方案等，如防火墙技术、虚拟网VPN、秘密电子邮件PEM）病毒防范（硬件防范、软件防范、管理方面的防范）,第8章电子商务安全技术,对自然灾害防范防火、防水、防地震。如建立备份中心防范计算机设备被盗固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等尽量减少对硬件的损害不间断电源、消除静电、系统接地等,第四、五层硬件系统的保护和物理实体的安全,第8章电子商务安全技术,管理制度的建立与实施包括运行与维护的管理规范、系统保密管理的规章制度、安全管理人员的教育培训、制度的落实、职责的检查等方面内容。法律制度与道德规范要求国家制定出严密的法律、政策，规范和制约人们的思想和行为，将信息系统纳入规范化、法制化和科学化的轨道。有关的条例有中华人民共和国计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定等。,第六层第七层,第8章电子商务安全技术,部分告之在网上交易中将最关键的数据略去，再告之。另行确认交易后，用电子邮件对交易进行确认。在线服务用企业提供的内部网来提供联机服务。,早期曾采用过的方法,8.2电子商务安全技术,第8章电子商务安全技术,8.2电子商务安全技术,防火墙信息加密数字签名数字证书安全协议防病毒软件,第8章电子商务安全技术,8.2.1防火墙,1、防火墙（firewal1）的概念是指一个由软件或和硬件设备组合而成，是加强因特网与内部网之间安全防范的一个或一组系统。,第8章电子商务安全技术,2、防火墙的安全策略“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”,第8章电子商务安全技术,包过滤型防火墙,包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。包过滤路由器型防火墙的优点处理包的速度要比代理服务器快；包过滤路由器型防火墙的缺点防火墙的维护比较困难等,过滤路由器,,,Internet,内部网络,第8章电子商务安全技术,双宿网关防火墙,双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。,代理服务器,Internet,内部网络,NIC,NIC,第8章电子商务安全技术,屏蔽主机防火墙,屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。,过滤路由器,堡垒主机,,Internet,内部网络,第8章电子商务安全技术,屏蔽子网防火墙,外部过滤路由器,堡垒主机,Internet,内部网络,内部过滤路由器,屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。,第8章电子商务安全技术,加密技术的概念加密技术的分类加密技术的应用,8.2.2数字加密技术,第8章电子商务安全技术,概念采用数字方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的内容对于非法接受者来说是无意义的文字，而对于合法的接受者来说，可以通过解密得到原始数据。,第8章电子商务安全技术,分类,按明文转换成密文的操作类型置换和易位按明文处理方法分组和序列按密钥使用个数对称密码体系、不对称密码体系、不可逆密码体系,第8章电子商务安全技术,置换密码,明文ENGLISH密钥3密文GPINSVJ,改进型abcdedjhIjklmnopqrstuvwxyzQBELCDFHGIAJNMKOPRZSZUTWVYX,第8章电子商务安全技术,易位密码重新排列消息中的字母，将消息或密钥外的信息扩散到整个密文，从而打破密文的结构特性。,第8章电子商务安全技术,分组密码也称为块密码，一次处理一块输入元素.序列密码；将原始信息转换成明文数据序列，然后将它同密钥序列进行加密。,第8章电子商务安全技术,分组密码体系结构图,第8章电子商务安全技术,对称密钥密码体系,对称密钥密码体系SymmetricCryptography又称对称密钥技术。对称密钥密码体系的优点是加密、解密速度很快高效，但缺点也很明显密钥难于共享，需太多密钥。,第8章电子商务安全技术,非对称密钥密码体系,非对称密钥密码体系AsymmetricCryptography也称公开密钥技术。非对称密钥技术的优点是易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。,第8章电子商务安全技术,,第8章电子商务安全技术,不可逆加密算法,加密过程不需要密钥，加密数据无法被解密，只有同样的输入数据经过同样不可逆加密算法才能得到相同的加密数据。,第8章电子商务安全技术,三、形式,面向网络面向应用服务,第8章电子商务安全技术,8.2.3数字签名和数字指纹,采用数字签名，应该确定以下两点保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。,第8章电子商务安全技术,数字签名,将报文按双方约定的hash算法计算得到一个固定位数的报文摘要。将该报文摘要用发送者的公开密钥加密，连同原报文一起发送给接受者，这种就叫数字签名。接受者收到数字签名后，用同样的hash算法对报文计算摘要值，然后与用发送者的私有密钥进行解密解开的报文摘要值比较。数字签名是实现电子交易安全的核心技术之一，它在实现身份认证、数字完整性、不可抵赖性等功能方面都有重要应用。,电子印章演示,第8章电子商务安全技术,数字指纹Hash编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，MessageAuthenticatorCode），它有固定的长度，且不同的明文摘要成不同的密文，而同样的明文其摘要必定一致。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。,第8章电子商务安全技术,8.2.4数字证书与CA认证中心,数字证书CA认证中心案例,第8章电子商务安全技术,8.2.4.1数字证书,1.什么是数字证书数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循CCITTX.509国际标准。,第8章电子商务安全技术,一个标准的X.509数字证书内容证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的数字签名。,第8章电子商务安全技术,2.数字证书的三种类型,个人证书它仅仅为某一个用户提供数字证书。企业（服务器）数字证书它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。,第8章电子商务安全技术,数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。,3.数字证书原理简介,第8章电子商务安全技术,8.2.4.2认证中心,认证中心，又称为证书授证CertificateAuthority中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档。,第8章电子商务安全技术,数据加密解密、身份认证流程图,第8章电子商务安全技术,1、个人数字证书的申请个人数字证书介绍可以利用个人数字证书来发送签名或加密的电子邮件。个人数字证书分为二个级别第一级数字证书，仅仅提供电子邮件的认证，不对个人的。真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。个人数字证书的获得当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三五天内即可颁发数字证书。,8.2.4.3数字证书的申请、颁发,第8章电子商务安全技术,2、服务器数字证书的申请Web服务器证书的作用验证Web服务器的真实性。1服务器数字证书的情况分析服务器数字证书的可信度是建立在对管理和操作该服务器的组织或单位的进行必要的信用调查；接受数字证书操作的严密规范；强有力的技术支持，例如，难以破解的加密技术；设备的高可靠性。,第8章电子商务安全技术,网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能,案例数字证书在网上招标系统中的应用1,第8章电子商务安全技术,数字证书在网上招标系统中的应用2,第8章电子商务安全技术,数字证书在网上招标系统中的应用3,招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中,第8章电子商务安全技术,8.2.5电子商务安全协议,SSL安全套接层协议（会话层）在建立连接的过程中采用公开密钥；在会话过程中采用专用密钥；每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。SET安全电子交易协议（应用层）对消费者、商户、收单行进行认证。,第8章电子商务安全技术,在Internet上进行欺骗的模式采用假的服务器来欺骗用户的终端；采用假的用户来欺骗服务器；在信息的传输过程中截取信息；在Web服务器及Web用户之间进行双方欺骗。,SSL安全技术,,第8章电子商务安全技术,SSL记录协议基本特点连接是专用的；连接是可靠的。SSL握手协议基本特点能对通信双方的身份的认证；进行协商的双方的秘密是安全的；协商是可靠的。,SSL可理解为一条受密码保护的通道。,第8章电子商务安全技术,SET安全技术,1、SET协议的作用个人账号信息与订单信息的隔离。商家只能看到定货信息,而看不到持卡人的帐户信息。对交易者的身份进行确认和担保。持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务。统一协议和报文的格式。使不同厂家开发的软件能相互兼容。,第8章电子商务安全技术,SET的优点SET保证了商家的合法性，并且用户的信用卡号不会被窃取。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。,第8章电子商务安全技术,8.2.6防病毒软件,第8章电子商务安全技术,8.3计算机信息系统安全保护制度,中华人民共和国计算机信息系统安全保护条例1994年2月18日中华人民共和国国务院令147号发布金融机构计算机信息系统安全保护工作暂行规定（1998年8月31日发布）,第8章电子商务安全技术,