第八章 電子商務(wù)安全ppt課件

1、第八章 電子商務(wù)平安 學(xué) 習(xí) 目 標(biāo) 1.了解電子商務(wù)的主要平安要挾。 2.了解電子商務(wù)對(duì)平安的根本要求。 3.了解電子商務(wù)的平安體系。 4.熟習(xí)電子商務(wù)常用的平安技術(shù)。.引 導(dǎo) 案 例國(guó)外1988年11月2日，美國(guó)康奈爾大學(xué)學(xué)生羅伯特莫瑞斯利用蠕蟲(chóng)程序攻擊了Internet網(wǎng)上約6200臺(tái)小型機(jī)和Sun任務(wù)站，呵斥包括美國(guó)300多個(gè)單位的計(jì)算機(jī)停頓運(yùn)轉(zhuǎn)，事故經(jīng)濟(jì)損失達(dá)9600萬(wàn)美圓。病毒破壞 .國(guó)外1994年4月到10月期間，任職于俄國(guó)圣彼得堡OA土星公司的弗拉基米爾列列文從本國(guó)支配電腦，經(jīng)過(guò)Internet多次侵入美國(guó)花旗銀行在華爾街的中央電腦系統(tǒng)的現(xiàn)金管理系統(tǒng)，從花旗銀行在阿根廷的兩家銀

2、行和印度尼西亞的一家銀行的幾個(gè)企業(yè)客戶(hù)的帳戶(hù)中將40筆款項(xiàng)轉(zhuǎn)移到其同伙在加里福尼亞和以色列銀行所開(kāi)的帳戶(hù)中，竊走1000萬(wàn)美圓。 信息竊取 .國(guó)外2000年2月7日9日，Yahoo, ebay, Amazon 等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美圓。黑客攻擊 .國(guó)內(nèi)1997年1月到3月，寧波證券公司深圳業(yè)務(wù)部的任務(wù)人員曾定文多次經(jīng)過(guò)證券買(mǎi)賣(mài)網(wǎng)絡(luò)私自透支本單位資金928萬(wàn)元炒股；而吳敬文那么利用兩個(gè)股東帳號(hào)私自透支本單位資金2033萬(wàn)元炒股。 人為操作2000年4月22日8時(shí)許，地處深圳市的中國(guó)最大的互聯(lián)網(wǎng)交友網(wǎng)站“情網(wǎng)忽然癱瘓。 人為破壞.國(guó)內(nèi)2000年春天，有人利用普通的技術(shù)，從電子

3、商務(wù)網(wǎng)站竊取到8萬(wàn)個(gè)信譽(yù)卡號(hào)和密碼，標(biāo)價(jià)26萬(wàn)元出賣(mài)。信息竊取 .CNNIC 調(diào) 查 結(jié) 果 用戶(hù)以為目前網(wǎng)上買(mǎi)賣(mài)存在的最大問(wèn)題是： 1、平安性得不到保證 23.4% 2、產(chǎn)質(zhì)量量和效力欠缺 15.2% 3、商家信譽(yù)得不到保證 14.1% 4、付款不方便 10.8% 5、價(jià)錢(qián)不夠誘人 10.8% 6、送貨不及時(shí) 8.6% 7、網(wǎng)上提供的信息不可靠 6.4% 8、其它 0.7% .第一節(jié) 電子商務(wù)的平安問(wèn)題 電子商務(wù)的主要平安隱患 系統(tǒng)中斷Interruption破壞系統(tǒng)的有效性 竊取信息Interception) 破壞系統(tǒng)的性 篡改信息Modification破壞系統(tǒng)的完好性 偽造信息Fabr

4、ication 破壞系統(tǒng)的真實(shí)性 買(mǎi)賣(mài)抵賴(lài) The transaction denies 無(wú)法達(dá)成買(mǎi)賣(mài). 電子商務(wù)平安買(mǎi)賣(mài)的根本要求信息的嚴(yán)密性信息的完好性買(mǎi)賣(mài)者身份的真實(shí)性不可抵賴(lài)性系統(tǒng)的可靠性.第一層 數(shù)據(jù)信息平安 第二層 軟件系統(tǒng)平安措施 第三層 通訊網(wǎng)絡(luò)平安措施 第四層 硬件系統(tǒng)平安措施 第五層 物理實(shí)體平安措施 第六層 管理細(xì)那么 維護(hù)措施 第七層 法律 規(guī)范 品德 紀(jì)律 電子商務(wù)平安買(mǎi)賣(mài)層次模型.第二節(jié) 電子商務(wù)的平安技術(shù)病毒防備技術(shù)身份識(shí)別技術(shù)防火墻技術(shù)虛擬公用網(wǎng)技術(shù)密碼技術(shù)認(rèn)證技術(shù). 病 毒 防 范 技 術(shù)1.安裝防病毒軟件2.控制權(quán)限可以將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件的屬性、權(quán)

5、限加以限制，對(duì)各終端用戶(hù)，只許他們具有只讀權(quán)限，斷絕病毒入侵的渠道，到達(dá)預(yù)防的目的。.3.仔細(xì)執(zhí)行病毒定期清理制度 病毒定期清理制度可以去除處于埋伏期的病毒，防止病毒的忽然迸發(fā)，使計(jì)算機(jī)一直處于良好的任務(wù)形狀。4.加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施. 身 份 識(shí) 別 技 術(shù)用戶(hù)身份識(shí)別技術(shù)可經(jīng)過(guò)三種根本方式或其組合方式實(shí)現(xiàn)： 1用戶(hù)經(jīng)過(guò)某個(gè)信息，例如經(jīng)過(guò)口令訪問(wèn)系統(tǒng)資源。2用戶(hù)知道的某個(gè)信息，并且利用包含這一信息的載體訪問(wèn)系統(tǒng)資源，例如經(jīng)過(guò)智能卡訪問(wèn)系統(tǒng)。 3用戶(hù)利用本身所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等。. 防 火 墻 技 術(shù)1、防火墻firewall的概念 是加強(qiáng)因特網(wǎng)與內(nèi)

6、部網(wǎng)之間平安防備的一個(gè)或一組軟件和硬件系統(tǒng)。它具有限制外界用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶(hù)訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。是一種訪問(wèn)控制機(jī)制。. 2、 防火墻的功能隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)限制內(nèi)部用戶(hù)和外部用戶(hù)的訪問(wèn)權(quán)限外部網(wǎng)防火墻內(nèi)部網(wǎng).3、 防火墻的任務(wù)原理 兩個(gè)邏輯關(guān)系“凡是未被準(zhǔn)許的就是制止的“凡是未被制止的就是允許的.4、 防火墻的主要實(shí)現(xiàn)技術(shù)數(shù)據(jù)包過(guò)濾技術(shù)代理效力技術(shù).數(shù)據(jù)包過(guò)濾也稱(chēng)分組過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包中的IP地址過(guò)濾。假設(shè)防火墻設(shè)定某一IP地址不適宜訪問(wèn)的話，從這個(gè)地址來(lái)的一切信息都會(huì)被防火墻屏蔽掉。優(yōu)點(diǎn)便是對(duì)用戶(hù)透明，不要求客戶(hù)機(jī)和效力器作任何修正，處置速度快而且易于維護(hù)。缺陷僅僅

7、依托特定的邏輯斷定能否允許數(shù)據(jù)包經(jīng)過(guò)。一旦滿(mǎn)足邏輯，那么防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接銜接，防火墻外部的用戶(hù)便有能夠直接了解防火墻內(nèi)部的網(wǎng)絡(luò)構(gòu)造和允許形狀，這能夠?qū)е路欠ㄔL問(wèn)和攻擊。 .代理效力是針對(duì)數(shù)據(jù)包過(guò)濾技術(shù)存在的缺乏而引入的新型防火墻技術(shù)。代理效力不像前一種技術(shù)在經(jīng)過(guò)驗(yàn)證后內(nèi)外的計(jì)算機(jī)直接銜接通訊，而是在內(nèi)部與外部的系統(tǒng)之間加一層效力器，用該效力器來(lái)做中間代理功能。由于代理訪問(wèn)的中間作用，攻擊的也只是代理效力器，而不會(huì)是網(wǎng)絡(luò)內(nèi)部的系統(tǒng)資源。.客 戶(hù)客戶(hù)代理訪問(wèn)控制效力器代理防火墻代理服 務(wù)應(yīng)對(duì)轉(zhuǎn)發(fā)懇求轉(zhuǎn)發(fā)應(yīng)對(duì)訪問(wèn)懇求代理效力型防火墻任務(wù)表示圖.防火墻的局限性：1防火墻無(wú)法防備內(nèi)部用戶(hù)的

8、攻擊2防火墻無(wú)法防備不經(jīng)過(guò)它的銜接3防火墻很難防備病毒4防火墻不能防備新的網(wǎng)絡(luò)平安問(wèn)題5防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊. 密 碼 技 術(shù) 密碼技術(shù)的根本思想是偽裝信息，隱藏信息的真實(shí)內(nèi)容，以使未授權(quán)者不能了解信息的真正含義，到達(dá)嚴(yán)密的作用。詳細(xì)的就是對(duì)信息進(jìn)展一組可逆的數(shù)學(xué)變換。 偽裝前的信息稱(chēng)為明文，偽裝后的信息稱(chēng)為密文，將信息偽裝的過(guò)程稱(chēng)為加密，將密文再?gòu)?fù)原為明文的過(guò)程稱(chēng)為解密，解密是在解密密鑰key的控制下進(jìn)展的，用于解密的這組數(shù)學(xué)變換稱(chēng)為解密算法。.密碼技術(shù)組成要素 1、明文和密文 2、解密算法 3、加、解密密鑰key 4、加密和解密. 用移位加密算法闡明一個(gè)加解密的過(guò)程， 明密文對(duì)照關(guān)

9、系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點(diǎn)發(fā)動(dòng)總攻 JIN WAN JIU DIAN FA DONG ZONG GONG密文：MLQ ZDQ MLX GLDQ ID GRQJ CRQJ JRQJ例如，要發(fā)送一個(gè)軍事命令給前線，明文為“今晚9點(diǎn)發(fā)動(dòng)總攻。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過(guò)程。. 普通情況下，密碼技術(shù)根據(jù)運(yùn)用的加解密算法和密鑰原理等任務(wù)方式的不同分為不同的密碼體制。.明 文信 道解密算法加密算法明 文加密密鑰解密密鑰 密鑰竊取者密碼體制.

10、如今廣泛運(yùn)用的兩種密碼體制： 1、對(duì)稱(chēng)密鑰密碼體制 2、非對(duì)稱(chēng)密鑰密碼體制. 對(duì)稱(chēng)密鑰密碼體系對(duì)稱(chēng)密鑰密碼體系(Symmetric Cryptography)又稱(chēng)單密鑰密碼體制One-key System 。即信息交換雙方共同商定一個(gè)口令或一組密碼，建立一個(gè)通訊雙方共享的密鑰。任務(wù)原理如以下圖：加密明文密文 明文 密鑰解密 A方B方.優(yōu)點(diǎn)：對(duì)稱(chēng)密鑰密碼體系加密、解密速度很快(高效) 。缺陷：平安性能差； 密鑰難于管理；.非對(duì)稱(chēng)密鑰密碼體系非對(duì)稱(chēng)密鑰密碼體系(Asymmetric Cryptography)也稱(chēng)雙密鑰密碼體制Two-key System 。信息交換一方掌握兩個(gè)不同的密鑰：一個(gè)是可

11、以公開(kāi)的密鑰作為加密密鑰常稱(chēng)公鑰；另一個(gè)那么是保管的作為解密密鑰常稱(chēng)私鑰。任務(wù)原理如以下圖： 加密明文 密 文明文 解密 B方公鑰B方私鑰A方B方.優(yōu)點(diǎn)：非對(duì)稱(chēng)密鑰密碼體系平安性能高，運(yùn)用方便靈敏。缺陷：加密、解密速度慢。.電子信封技術(shù)電子信封(也稱(chēng)“數(shù)字信封)技術(shù)，詳細(xì)操作方法是：發(fā)信方需求發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱(chēng)密鑰，用這個(gè)對(duì)稱(chēng)密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開(kāi)密鑰加密這個(gè)對(duì)稱(chēng)密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧健Ｊ招欧绞紫冗\(yùn)用本人的私有密鑰解密被加密的對(duì)稱(chēng)密鑰。再用該對(duì)稱(chēng)密鑰解密出真正的報(bào)文。 .經(jīng)加密的密鑰 私人密鑰B加密 解密 公開(kāi)密鑰B對(duì)稱(chēng)密鑰 對(duì)稱(chēng)密鑰 普通報(bào)文 普通

12、報(bào)文 密文 A方B方電子信封任務(wù)原理如以下圖：. 認(rèn) 證 技 術(shù) .數(shù)字摘要技術(shù) 數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中假設(shè)干重要元素進(jìn)展某種加密變換運(yùn)算SHA)得到固定長(zhǎng)度128字節(jié)的摘要碼數(shù)字指紋，并在傳輸信息時(shí)將之參與文件一同傳送給接納方，接納方收到文件后，用一樣的方法進(jìn)展變換運(yùn)算，假設(shè)得到的結(jié)果與發(fā)送來(lái)的摘要碼一樣，那么可斷定文件未被篡改，反之亦然。 信息 摘要 信息 摘要 發(fā)送方SHA加密一同發(fā)送SHA加密接納方 摘要 對(duì)比.數(shù)字簽名技術(shù) 文件的數(shù)字簽名技術(shù)實(shí)踐上是經(jīng)過(guò)數(shù)字摘要和非對(duì)稱(chēng)密鑰加密體制兩者結(jié)合來(lái)實(shí)現(xiàn)的。 采用數(shù)字簽名，對(duì)傳輸數(shù)據(jù)實(shí)現(xiàn)了兩種維護(hù)： 1、完好性 2、真實(shí)性.數(shù)

13、字證書(shū)digital certificate, digital ID又稱(chēng)數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)識(shí)通訊各方身份信息，并由一個(gè)可信任的、公正的權(quán)威機(jī)構(gòu)即認(rèn)證機(jī)構(gòu)經(jīng)審核頒發(fā)的電子文書(shū)。 數(shù)字證書(shū).數(shù)字證書(shū)的特征1、是一種在Internet上驗(yàn)證身 份的方式。2、由特定證書(shū)授權(quán)中心頒發(fā)的電 子文書(shū)。 3、證書(shū)的格式遵照ITU X.509國(guó) 際規(guī)范。 .數(shù)字證書(shū)的組成 .證書(shū)生成的流程：1證書(shū)懇求人提出懇求，并將必要的認(rèn)證信息提交給CA。2CA對(duì)懇求人所提交的信息審查，檢查其正確性和合法性，對(duì)實(shí)體身份進(jìn)展確認(rèn)，生成數(shù)字證書(shū)的信息。3CA用本人的私鑰為證書(shū)加上數(shù)字簽名。4CA將證書(shū)發(fā)放給用戶(hù)，將證書(shū)的副

14、本存底并發(fā)布于證書(shū)庫(kù)中，以備他人查詢(xún)。. 數(shù)字證書(shū)的三種類(lèi)型 個(gè)人證書(shū)它僅僅為某一個(gè)用戶(hù)提供數(shù)字證書(shū)。 企業(yè)效力器數(shù)字證書(shū)它通常為網(wǎng)上的某個(gè)Web效力器提供數(shù)字證書(shū)。 軟件開(kāi)發(fā)者數(shù)字證書(shū)它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書(shū)。.認(rèn)證機(jī)構(gòu)certificate authority，CA也稱(chēng)認(rèn)證中心，是數(shù)字證書(shū)的簽發(fā)機(jī)構(gòu)，它經(jīng)過(guò)本身的注冊(cè)審核體系，檢查核實(shí)進(jìn)展證書(shū)懇求的用戶(hù)身份和各項(xiàng)相關(guān)信息，并將相關(guān)內(nèi)容列入發(fā)放的證書(shū)域內(nèi)，運(yùn)用戶(hù)屬性的客觀真實(shí)性與證書(shū)的真實(shí)性一致。 認(rèn)證機(jī)構(gòu).CA是提供身份驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶(hù)信任的組織實(shí)體構(gòu)成。CA主要是處理電子商務(wù)活動(dòng)中買(mǎi)賣(mài)參與各方身份、資信的認(rèn)定，維護(hù)買(mǎi)賣(mài)活動(dòng)的平安。 認(rèn)證機(jī)構(gòu)的特征.第三方.證書(shū)的樹(shù)形驗(yàn)證構(gòu)造 在雙方通訊時(shí)，假設(shè)對(duì)簽發(fā)證書(shū)的CA本身不信任，那么可驗(yàn)證CA的身份，依次類(lèi)推，不斷到公認(rèn)的權(quán)威CA處。. 認(rèn)證中心的