電子商務(wù)概論7章課件

1、電 子 商 務(wù) 安 全 技 術(shù) 章第7電 子 商 務(wù) 安 全 技 術(shù)章第71.電子交易的安全需求和安全威脅2.電子商務(wù)的安全體系角色構(gòu)成3.網(wǎng)絡(luò)安全技術(shù)：病毒防范技術(shù)、防火墻技術(shù)、VPN技術(shù)、安全檢測技術(shù)4.信息安全技術(shù)：密碼學(xué)的相關(guān)知識，加密技術(shù)5.安全認證技術(shù)：認證機構(gòu)（CA），數(shù)字證書、網(wǎng)絡(luò)安全通信6.安全電子交易技術(shù)：SSL協(xié)議、SET協(xié)議、公鑰基礎(chǔ)設(shè)施（PKI）7.1 電子交易的安全需求7.1.1電子商務(wù)的安全威脅7.1.1 電子交易的安全威脅電子商務(wù)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅具體表現(xiàn)形式如下：7.1.2 電子商務(wù)的安全要求1.機密性2.鑒別性3.完整性4.有效性5.不可抵賴性7.1.3

2、 電子商務(wù)安全體系的角色構(gòu)成7.1.4 電子商務(wù)的安全體系結(jié)構(gòu)電子商務(wù)的安全體系結(jié)構(gòu)包括所涉及的各個層面，大致為以下五個方面：網(wǎng)絡(luò)服務(wù)層次的網(wǎng)絡(luò)安全技術(shù)通信服務(wù)層次的信息安全技術(shù)安全認證層次的安全認證技術(shù)商務(wù)交易層次的安全電子交易技術(shù)電子商務(wù)應(yīng)用系統(tǒng)層次的管理安全技術(shù)7.2 網(wǎng)絡(luò)安全技術(shù)7.2.1 操作系統(tǒng)安全7.2.2 防火墻技術(shù)圖7-1包過濾路由器防火墻示意圖圖7-2代理服務(wù)用于雙重宿主主機的原理示意圖包過濾路由器包過濾防火墻安全區(qū)域InienetInienet防火墻代理服務(wù)器即雙重宿主主機InienetInienet1.實現(xiàn)防火墻的主要技術(shù)7.2.2 防火墻技術(shù)2、防火墻的主要類型圖7-

3、3 雙重宿主主機體系結(jié)構(gòu)示意圖圖7-4 屏蔽主機防火墻體系結(jié)構(gòu)示意圖圖7-5 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)圖雙重宿主主機即防火墻InienetInienetInienetInienet外部路由器PMZ內(nèi)部路由器InienetInienet堡壘主機（代理服務(wù)器）受保護的內(nèi)部網(wǎng)包過濾路由器1. VPN的概念7.2.3 VPN技術(shù)2.實現(xiàn)VPN的安全協(xié)議7.2.3 VPN技術(shù)7.2.3 VPN技術(shù)圖7-6 兩個因特網(wǎng)站點之間建立的VPN示意圖InienetInienetInienet路由器路由器VPN通道(1)各站點必須在網(wǎng)絡(luò)設(shè)備上建立一臺具有VPN功能的設(shè)備，可以是一臺路由器、防火墻或?qū)ｉT用于VPN工作

4、的設(shè)備；(2)各站點必須知道對方站點使用的IP地址；(3)兩站點必須對使用的授權(quán)檢查和根據(jù)需要采用的數(shù)字證書方式達成一致；(4)兩站點必須對需要使用的加密方法和交換密鑰的方法達成一致。 （1）通過Internet實現(xiàn)安全遠程用戶訪問（2）通過Internet實現(xiàn)網(wǎng)絡(luò)互聯(lián)（3）連接企業(yè)內(nèi)部網(wǎng)絡(luò)計算機7.2.3 VPN技術(shù)選擇VPN連接設(shè)備的種類時，有幾個方面可供選擇。這些選擇可以分為如下三類5. VPN產(chǎn)品選項7.2.3 VPN技術(shù)1. 病毒的概念計算機病毒是一種有很強破壞和感染力的計算機程序。這種程序和其他程序不同，當(dāng)把它輸入正常工作的計算機以后，會搞亂或者破壞已有的信息。它具有再生的能力，會

5、自動進入有關(guān)的程序進行自我復(fù)制，沖亂正在運行的程序，破壞程序的正常運行。它像微生物一樣，可以繁殖，因此被稱為“計算機病毒”。7.2.4 計算機病毒防范技術(shù)引導(dǎo)區(qū)病毒文件型病毒 入侵型病毒外殼型病毒7.2.4 計算機病毒防范技術(shù)（3）按病毒特性分類（2）按傳播媒介分類（1）按工作機理分類2. 病毒的類型單機病毒網(wǎng)絡(luò)病毒系統(tǒng)病毒蠕蟲病毒木馬病毒、黑客病毒腳本病毒宏病毒后門病毒7.2.4 計算機病毒防范技術(shù)3. 病毒的特性計算機病毒的防治要從三個方面進行：7.2.4 計算機病毒防范技術(shù)3. 病毒的預(yù)防7.2.5 安全檢測與評估技術(shù)1.入侵檢測技術(shù)入侵檢測技術(shù)是防火墻技術(shù)的有力補充，它們可以和防火墻和

6、路由器配合工作。一般入侵檢測系統(tǒng)（IDS）處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測，掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。7.2.5 安全檢測與評估技術(shù)(2)入侵檢測系統(tǒng)的主要任務(wù)A集中式入侵檢測系統(tǒng)B分布式入侵檢測系統(tǒng)按數(shù)據(jù)源分類按系統(tǒng)結(jié)構(gòu)分類按入侵的時間分類A基于主機的入侵檢測系統(tǒng)B基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)A實時入侵檢測系統(tǒng)B事后入侵檢測系統(tǒng)7.2.5 安全檢測與評估技術(shù).安全評估技術(shù)安全檢測和評估是一項復(fù)雜的系統(tǒng)工程，需要很多不同背景的人員，從各個不同的方面支認真研究分析。一種可行的有效的思路是：首先進行各個單項檢測與評估，然后

7、再進行綜合檢測與評估。7.3 信息安全技術(shù)7.3 信息安全技術(shù)7.3.1密碼學(xué)概述1.密碼學(xué)的含義密碼學(xué)是研究加密和解密變換的一門科學(xué)。它包含兩個分支，一是密碼編碼學(xué)；另一個是密碼分析學(xué)。2.密碼系統(tǒng)中的幾個概念（1）明文（2）密文（3）加密（4）解密（5）密鑰（6）密碼體制7.3.2 對稱密鑰密碼體質(zhì)文明HELLO密文# %對稱密鑰算法如DES密鑰文明HELLO密文# %對稱密鑰算法如DES密鑰圖7-71.數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES（Data Encrypt Standard）是對稱加密算法中最具代表性的算法。其加密過程和解密過程分別如圖7-7所示。 7.3.2 對稱密鑰密碼體質(zhì)缺點優(yōu)點但密鑰

8、管理困難。加/解密速度快，適合于對大數(shù)據(jù)量進行加密。2對稱加密技術(shù)（DES）的優(yōu)缺點7.3.3 非對稱密鑰密碼體質(zhì)文明HELLO密文# %公開密鑰算法如RSA公鑰文明HELLO密文# %公開密鑰算法如RSA公鑰圖7-81. RSA算法1977年，Rivest、Shamir和Adleman三人實現(xiàn)了公開密鑰密碼體制，并以三個人名字的首字母命名，簡稱RSA公開密鑰體制。其加密過程解密過程如圖7-8所示。7.3.3 非對稱密鑰密碼體質(zhì)缺點優(yōu)點相對于對稱密鑰算法來說，公鑰算法計算速度非常慢公開密鑰技術(shù)解決了密鑰的發(fā)布和管理問題。2公開加密技術(shù)（ RSA ）的優(yōu)缺點7.3.4 PGP加密技術(shù)PGP利用隨

9、機產(chǎn)生的對稱密鑰（IDEA算法）對明文加密，然后用RSA算法再對該對稱密鑰加密。收件人收到郵件后先用RSA算法解密出這個隨機對稱密鑰，再用IDEA算法解密郵件本身。2.PGP工作過程（1）加密文件（2）密鑰生成 （3）密鑰管理（4）收發(fā)電子函件（5）數(shù)字簽名（6）認證密鑰1.PGP的功能認證主要分為以下兩個方面:7.4 電子商務(wù)的認證技術(shù)7.4.1認證技術(shù)認證（Authentication）是指核實真實身份的過程，是防止主動攻擊的重要技術(shù)。7.4.2 證書機構(gòu)證書機構(gòu)(Certification Authority，即CA) 是一個可信的第三方實體，其主要職責(zé)是保證用戶的真實性。證書機構(gòu)的主要

10、功能有以下幾個：1.證書的頒發(fā)2.證書的更新3.證書的查詢4.證書的作廢5.證書的歸檔7.4.3 數(shù)字證書(1)除發(fā)送方和接收方外信息不被其他人竊??；(2)信息在傳輸過程中不被篡改；(3)接收方能夠通過數(shù)字證書來確認發(fā)送方的身份；(4)發(fā)送方對于自己發(fā)送的信息不能抵賴。7.4.3 數(shù)字證書2.數(shù)字證書格式（1）證書的版本號（2）數(shù)字證書的序列號（3）證書擁有者的姓名（4）證書擁有者的公開密鑰（5）公開密鑰的有效期（6）簽名算法（7）頒發(fā)數(shù)字證書的單位（8）頒發(fā)數(shù)字證書單位的數(shù)字簽名7.4.3 數(shù)字證書3.證書的類型（1）個人證書（2）單位數(shù)字證書（3）服務(wù)器證書（4）安全電子郵件證書7.4.3

11、 數(shù)字證書4數(shù)字證書的應(yīng)用(3)通過SET協(xié)議實現(xiàn)信用卡網(wǎng)上安全支付(2)通過SSL協(xié)議實現(xiàn)瀏覽器與Web服務(wù)器之間的安全通信(1)通過S/MIME協(xié)議實現(xiàn)安全的電子函件系統(tǒng)7.5 安全電子交易技術(shù)在電子交易過程中，為了保證交易的安全性，需要采用數(shù)據(jù)的加密和身份認證技術(shù)，以便使商家和客戶的機密信息都得到可靠的傳輸，并且雙方都能互相驗證身份，防止欺詐行為。針對這種情況，在1994年底由Netscape首先引入了安全套接層協(xié)議（Secure Sockets Layer，即SSL），并在1996年6月由Master Card 和Visa 等九大公司聯(lián)合制定的標(biāo)準(zhǔn)安全電子交易協(xié)議 (Secure El

12、ectronic Transaction，即SET)也正式公布。7.5.1 SSL協(xié)議7.5.1 SSL協(xié)議2.SSL協(xié)議的實現(xiàn)模型應(yīng)用層協(xié)議（HTTP、TELNET、FTP、SMTP等）SLL握手協(xié)議（Handshake Protocol）SLL記錄協(xié)議（Record Protocol）TCO協(xié)議IP協(xié)議網(wǎng)絡(luò)接口層（各種局域網(wǎng)和廣域網(wǎng)）7.5.1 SSL協(xié)議7.5.2 SET協(xié)議圖7-12 數(shù)字拇印的形成過程示意圖圖7-13數(shù)字信封的形成過程示意圖圖7-14 數(shù)字簽名的實現(xiàn)過程示意圖明文Hash 算法數(shù)字拇印對稱密鑰數(shù)字信封接收方的公鑰明文Hash 算法，如MD5原始的Hash發(fā)送者私鑰簽名

13、算法，如RSA數(shù)字簽名 （6）數(shù)字時間戳（4）數(shù)字簽名（3）數(shù)字信封（2）數(shù)字拇印7.5.2 SET協(xié)議收單銀行發(fā)卡行支付網(wǎng)關(guān)商家2. SET協(xié)議中所涉及的主要對象持卡人認證機構(gòu)7.5.2 SET協(xié)議(1)首先，消費者在銀行開立信用卡賬戶，獲得信用卡；(2)消費者在商家的WEB頁上瀏覽商品目錄并選擇所需的商品；(3)消費者選定好商品后，填寫訂單并通過網(wǎng)絡(luò)傳遞給商家，同時附上付款指令；(4)商家收到訂單，同時支付網(wǎng)關(guān)收到支付指令向收單銀行請示支付許可；(5)收單銀行再通過銀行內(nèi)部網(wǎng)絡(luò)向發(fā)卡行請求確認后，批準(zhǔn)交易，并向商家返回確認信息；(6)商家發(fā)送訂單確認信息給消費者，并發(fā)貨給消費者；(7)商家

14、請示銀行支付貨款，銀行將貨款由消費者的賬戶轉(zhuǎn)移到商家的賬戶。 3SET協(xié)議的支付模型7.5.2 SET協(xié)議圖7-15 SET協(xié)議的模型示意圖發(fā)卡行收單銀行通知與轉(zhuǎn)賬消費者（持卡人）業(yè)務(wù)服務(wù)器（商家）支付網(wǎng)關(guān)發(fā)訂單、支付指令SET開戶回執(zhí)認證機構(gòu)（CA）7.5.3 公鑰基礎(chǔ)設(shè)施鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，即PKI）是由加拿大的Entrust公司開發(fā)的，支持SET、SSL協(xié)議、電子證書和數(shù)字簽名等。1PKI的組成(1)認證機構(gòu)(2)證書庫(3)密鑰管理系統(tǒng)(4)證書管理系統(tǒng)(5)PKI應(yīng)用接口系統(tǒng)7.5.3 公鑰基礎(chǔ)設(shè)施2. 國外PKI應(yīng)用現(xiàn)狀7.5.3 公鑰基礎(chǔ)設(shè)施3.國內(nèi)PKI建設(shè)現(xiàn)狀7.5.3 公鑰基礎(chǔ)設(shè)施4. PKI應(yīng)用前景 電子商務(wù)的應(yīng)用系統(tǒng)安全管理首先應(yīng)當(dāng)保證系統(tǒng)的物理安全，提高系統(tǒng)本身的軟硬件系統(tǒng)的安全性，高可靠性；其次應(yīng)當(dāng)保證組織管理和人員錄用方面的可靠性。7.6 電子商務(wù)應(yīng)用系統(tǒng)的安全管理7.6.1 網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚有以下特點：1加大制作網(wǎng)站的難度2 加強用戶驗證手段，提高用戶安全意識3建立確認機制來證明Web站點的合法性4加強網(wǎng)絡(luò)監(jiān)視5及時處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關(guān)的違法行為7.6.1 網(wǎng)絡(luò)釣魚6加強企業(yè)安全管理7