Vchap電子商務安全技術課件_第1頁
Vchap電子商務安全技術課件_第2頁
Vchap電子商務安全技術課件_第3頁
Vchap電子商務安全技術課件_第4頁
Vchap電子商務安全技術課件_第5頁
已閱讀5頁,還剩85頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-1第8章電子商務安全技術《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-2學習目標了解電子商務面臨的主要安全威脅了解電子商務對安全的基本要求

熟悉電子商務常用的安全技術

掌握防火墻的功能和工作原理了解電子商務常用的加密技術了解電子商務的認證體系

掌握SSL和SET的流程和工作原理《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-3開篇案例:廣東發(fā)展銀行網絡安全架構

從1998年開始,廣東發(fā)展銀行最初的網絡安全體系就依據思科SAFE藍圖部署。SAFE主張,網絡安全建設不能一蹴而就,而應該是一個動態(tài)的過程。所以在最初的部署中,思科主要協(xié)助廣東發(fā)展銀行解決了最突出的網絡安全問題——網絡對外連接出口的安全問題。隨著廣東發(fā)展銀行業(yè)務的迅速發(fā)展,尤其是近年來,用戶紛紛把業(yè)務轉移到網上進行,廣東發(fā)展銀行的網上業(yè)務呈幾何數字增長。在這種情況下,廣東發(fā)展銀行提出,為了更好地抵御網上的非法訪問,作好關鍵用戶的網上認證,確保能夠給用戶提供不間斷的高質量金融服務,必須要在原有的基礎上,進一步加強銀行在網絡安全方面的部署。

通過分析廣東發(fā)展銀行的具體業(yè)務流程和網絡結構,思科在SAFE藍圖指導下,針對廣東發(fā)展銀行的不同網段,分別實施了可以統(tǒng)一管理的不同安全措施,具體措施如下。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-4電子商務安全技術8.1電子商務安全

8.2防火墻技術8.3數據加密技術8.4認證技術8.5安全技術協(xié)議《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-58.1電子商務安全8.1.1電子商務的安全性問題電子商務面臨的安全威脅主要有以下5個方面:1.在網絡的傳輸過程中信息被截獲2.傳輸的文件可能被篡改3.偽造電子郵件(1)虛開網站和商店(2)偽造大量用戶(3)偽造用戶4.假冒他人身份5.不承認或抵賴已經做過的交易

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-6

8.1.2電子商務對安全的基本要求

1.授權合法性

2.不可抵賴性3.保密性

4.身份的真實性

5.信息的完整性

6.存儲信息的安全性

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-78.1.3電子商務安全措施

可使用的網絡安全措施主要包括以下6方面:1.確定通信中的貿易伙伴身份的真實性

2.保證電子單證的保密性

3.確定電子單證內容的完整性

4.確定電子單證的真實性5.不可抵賴性6.存儲信息的安全性《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-88.2.1防火墻的含義及其分類

1.防火墻的含義

Internet是一個開放的世界,它在擁有豐富信息量的同時也存在著許多不安全因素。當內部網連上Internet,使它的用戶能訪問Internet上的服務時,非內部網用戶也能通過Internet訪問內部網用戶,實現一些非法操作如:盜取重要資料、破壞文件等。這對于沒有受到任何保護的內部網用戶來說無疑是一種災難。人們經常在建筑物之間修建一些墻壁,以便在火災發(fā)生時,火勢不至于從一幢建筑蔓延到別一幢建筑,這些墻被稱為“防火墻”。與此類似,我們可以在內部網和Internet之間設置一堵“防火墻”以保護內部網免受外部的非法入侵。在網絡世界中,防火墻是被配置在內部網(如企業(yè)內部的Intranet)和外部網(如Internet)之間的系統(tǒng)(或一組系統(tǒng)),通過控制內外網絡間信息的流動來達到增強內部網絡安全性的目的。防火墻決定了內部的哪些服務可以被外部用戶訪問以及哪些外部服務可以被內部用戶訪問。《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-92.防火墻的分類路由器定義了一系列包過濾規(guī)則。包過濾規(guī)則:以IP(InternetProtocol)信息包為基礎,對IP報文中的源地址、IP目標地址、封裝協(xié)議端口等進行篩選,由此決定是否要屏蔽此報文。優(yōu)點:簡單和廉價(硬件)缺點:包過濾規(guī)則的建立相對復雜《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-10代理服務器通過執(zhí)行特殊的TCP/IP協(xié)議來為內部網用戶提供Internet服務。代理服務器是一個應用層的網關,內部網的用戶若要使用Internet提供的服務(如WWW),首先必須與代理服務器連接,經身份確認后,再由代理服務器負責與Internet連接。目的是為了隔離內部主機和外部主機的直接通信,防止“黑客”入侵。代理服務器還提供了用戶級別的權限確認、日志和審計服務。缺點:必須為每一個應用建立應用層的特殊網關,這在一定程度上限制了新應用的建立。堡壘主機路由器和代理服務器結合在一起形成的一個復合型的防火墻系統(tǒng),所用主機稱為堡壘主機,負責提供代理服務、保護內部網不受攻擊、屏蔽內部主機的防火墻和子網防火墻《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-11四種最基本的防火墻技術(1)過濾性網關(2)電路層網關(3)應用層網關(不把內外網絡直接連接起來)(4)狀態(tài)核查《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-123.防火墻的功能(1)未經授權的內部訪問

(2)危害證明

(3)未經授權的外部訪問

(4)電子欺騙

(5)特洛伊木馬

(6)滲透

(7)泛洪

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-138.2.2防火墻技術1.防火墻系統(tǒng)設計

主要從以下三個方面考慮(1)機構的整體安全策略的一部分(2)防火墻的經濟費用從路由器中內置的包過濾功能幾千到上萬美圓的專業(yè)防火墻產品防火墻系統(tǒng)的管理、維護和故障處理都需要費用(3)防火墻系統(tǒng)的組成

典型的防火墻由以下一個或多個構件組成:包過濾路由器、應用層網關(或代理服務器)、電路層網關《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-142.包過濾路由器

審查每個數據包以便確定其是否與某一條包過濾規(guī)則匹配,允許或拒絕所接收的每個數據包過濾規(guī)則:基于可以提供給IP轉發(fā)過程的包頭信息包頭信息:其中包括IP源地址、IP目標端地址、內裝協(xié)議(ICP、UDP、ICMP)、TCP/UDP目標端口、ICMP消息類型包過濾路由器使得路由器能夠根據特定的服務允許或拒絕流動的數據,因為多數的服務收聽者都在已知的TCP/UDP端口上,如Telnet服務器在TCP的23號端口上監(jiān)聽遠地連接,SMTP服務器在TCP的25號端口上監(jiān)聽遠地連接包過濾路由器工作在網絡層,屬網絡層防火墻《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-15包過濾路由器有兩種過濾方式:與服務相關的過濾和與服務無關的過濾(1)與服務相關的過濾指根據特定的服務允許或拒絕流動的數據,因為大多數服務器都是在特定的TCP/UDP端口上監(jiān)聽,如Telnet的端口號為23,ftp為21,SMTP為25,HTTP的端口號為80(2)與服務無關的過濾有幾種類型的攻擊與服務無關,無法使用基本的包頭信息來識別,只有通過審查路由表和特定的IP選項,檢查特定段的內容才能發(fā)現,如

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-16A.源地址欺騙攻擊

B.源路由攻擊

C.極小數據段攻擊該攻擊利用了IP分段的特性,創(chuàng)建極小的分段并強行將TCP頭信息分成多個數據包段。希望包過濾路由器只檢查第一個分段而讓其余分段通過,從而繞過用戶定義的過濾規(guī)則包過濾路由器優(yōu)點:標準的路由軟件中都內置了包過濾功能,無需額外費用包過濾路由器缺點:定義包過濾器比較復雜,要求網絡管理員對Internet服務有深入了解《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-173.應用層網關防火墻能夠實現比包過濾路由器更嚴格的安全策略,主要在應用層網關上安裝代理軟件(Proxy)來實現。每個代理模塊分別針對不同的應用。如TelnetProxy負責Telnet在防火墻上的轉發(fā),HTTPProxy負責WWW,FTPProxy負責FTP等,管理員可以根據自己的需要安裝相應的代理。每個代理相互無關,即使某個代理工作發(fā)生問題,只需將它簡單的卸出,不會影響其他的代理,同時也保證了防火墻的失效安全《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-18應用層網關常被稱為“堡壘主機”,(BastionHost),它安裝了專門的系統(tǒng),采取一些安全措施,能夠抵御各種攻擊。主要有以下8個特點:(1)應用層網關的硬件之上執(zhí)行一個安全的操作系統(tǒng)(2)只安裝代理模塊、用戶認證模塊等防火墻必須的服務(3)盡量不開多余賬號,也不允許遠程登陸到防火墻(4)管理員可以根據機構所需要的服務在應用層網關安裝相應的代理模塊(5)除了基本的代理模塊外,應用層網關還維持自己的用戶庫和對象庫。用戶庫:保存了用戶名、用戶組、用戶的認證方式、用戶的管理級別等信息對象庫:保存了管理員定義的主機名、主機組、網絡和網關《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-19(6)應用層網關另外一個重要特征是身份認證常采取客戶服務器方式,對同一用戶的身份認證可以根據他所在網絡的安全級別采取不同的認證方式。如該用戶來自內部子網的對其采用類似UNIXpasswd的方式;若該用戶來自外部非安全網段,則可以采取安全級別更高的認證方式,如一次性密鑰(Skey)(7)管理員通過配置訪問控制表中的訪問規(guī)則,決定內部網絡、外部網絡的哪些用戶可以使用應用層網關上的那個代理模塊連接到那個目的站點(8)代理的工作原理比較簡單

a.首先是用戶與代理服務器建立連接

b.將目的站點告知代理,對合法請求代理以應用層網關自己的身份與目的站點建立連接

c.代理在這兩個連接中轉發(fā)數據,如圖8.2所示《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-20應用層網關的優(yōu)點:(1)能夠針對各種服務進行全面控制(2)支持可靠的身份認證(3)提供詳細的審計功能和方便的日志分析工具(4)相對于包過濾路由器來說更容易配置和測試應用層網關的缺點:非透明性,要求用戶改變自己的使用習慣,一般要對用戶進行簡單的培訓《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-214.電路層防火墻電路層網關只依賴于TCP連接,不進行附加的包處理和過濾。電路層網關只是簡單中繼該應用的連接,并不作任何審查、過濾或Telnet協(xié)議的管理。就象電線一樣,只是在內部連接和外部連接之間來回拷貝數據。從外部看連接似乎源于防火墻,隱藏了受保護子網的信息。見圖8.3優(yōu)點:堡壘主機可以被設置成混合網關。對于進入的連接使用應用層網關或代理服務器,對于出去的連接使用電路層網關。這樣,防火墻既能方便內部用戶,又能保證內部網絡免于外部的攻擊?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-228.2.3防火墻的安全策略及局限性

防火墻的安全策略

有兩種:(1)沒有被列為允許訪問的服務都是被禁止的(2)沒有被列為禁止訪問的服務都是被允許的2.防火墻的局限性(1)不能阻止來自內部的破壞(2)不能保護繞過它的連接(3)無法完全阻止新出現的網絡威脅(4)不能防止病毒《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-238.3數據加密技術目的:防止合法接收者之外的人獲取信息系統(tǒng)中的機密信息信息加密技術:采用數學方法對原始信息(“明文”)進行再組織,使得加密后在網絡上公開傳輸的內容對于非法接收者來說成為無意義的文字(加密后的信息通常稱為“密文”)。對于合法的接收者,因為其掌握正確的密鑰,可以通過解密過程得到原始數據(即“明文”)。加密和解密過程中,都要涉及信息(明文、密文)、密鑰(加密密鑰、解密密鑰)和算法(加密算法、解密算法)三項內容數據加密技術:對信息進行重新編碼,從而達到隱藏信息內容,使非法用戶無法獲得信息真實內容的一種技術手段數據簽名技術:基于數據加密技術,可滿足防抵賴等安全要求《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-248.3.1數據加密、解密基本過程

明文(plaintext):可懂的文本密文(Ciphertext):明文變換成的不可懂形式的文本加密(Encipher):把明文變換成密文的過程解密(Decipher):把密文變換成明文的過程密鑰(Keyword):用于加解密的一些特殊信息,它是控制明文與密文之間變換的關鍵,可以是數字、詞匯或語句。密鑰分為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。密碼體制(Ciphersystem):完成加密和解密的算法《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-258.3.2對稱式密鑰加密技術

1.定義指加密和解密均采用同一把秘密鑰匙。當給對方發(fā)信息時,用自己的加密密鑰進行加密,接收方收到數據后,用對方所給的密鑰進行解密。也稱為秘密密鑰加密法2.加密算法主要有以下兩種(1)DES算法數據加密標準,由IBM研究提出來,把信息分成64位大小的塊,使用56位密鑰,迭代輪數為16輪的加密算法(2)IDEA算法國際信息加密算法,1992年正式公開,分組大小為64位,密鑰為128位,迭代輪數為八輪的迭代型密碼體制。長達128位的密鑰,有效地消除了任何試圖窮盡搜索密鑰的可能性《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-263.對稱式密鑰加密技術的優(yōu)缺點優(yōu)點:加密速度快,保密度高缺點:(1)如何才能把密鑰安全地送到收信方,是對稱密鑰加密技術的突出問題(2)多人通信時,密鑰的組合數量會出現爆炸性的膨脹,使密鑰分發(fā)更加復雜化(3)通信雙方必須統(tǒng)一密鑰,才能發(fā)送保密的信息。如果發(fā)信者與收信人是素不相識,就無法向對方發(fā)送秘密信息了《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-278.3.3公開密鑰加密技術

1.定義2.加密算法主要是RSA加密算法,1978年提出,是第一個成熟的、迄今為止理論上最為成功的公開密鑰密碼體制3.公開密鑰加密技術的優(yōu)缺點缺點:加、解密速度慢優(yōu)點:(1)密鑰少便于管理(2)密鑰分配簡單(3)不需要秘密的通道和復雜的協(xié)議來傳送密鑰(4)可以實現數字簽名和數字鑒別《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-288.3.4對稱密鑰和公開密鑰的結合對于網絡中傳輸的數據用DES或IDEA加密,而加密用的密鑰則用RSA加密傳送《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-298.4認證技術電子商務中必須解決以下兩個問題:(1)身份認證(2)交易的不可抵賴CA(CertificateAuthority,證書授權)中心為用戶發(fā)放的證書是一個有該用戶的公開密鑰及個人信息并經證書授權中心數字簽名的文件8.4.1認證技術基本概念1.證書在一個電子商務系統(tǒng)中,所有參于活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統(tǒng)中的其它實體證明自己的身份,另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公匙,加密證書攜帶的是加密公鑰),所以,證書也可以向接收者證實某人或某個機購對公開密匙的擁有,同時也起著公鑰分發(fā)的作用。所有實體的證書都是由認證中心(CA)分發(fā)并簽名的《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-302.RA(ReleaseAuditing)RA即證書發(fā)放審核部門,它是CA認證體系的一個組成部分。它負責對證書申請者進行資格審查,并決定是否同意給該申請者發(fā)放證書,并承擔因審核錯誤所引起的和為不符合資格的證書申請者發(fā)放證書所引起的一切后果,因此它應由能夠承擔這些責任的機構擔任?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-313.CP(CertificatePerform)CP即證書發(fā)放的執(zhí)行部門,它是CA認證體系的另外一個組成部分,負責為已授權的申請者制作、發(fā)放和管理證書,并承擔因操作運營錯誤所產生的一切后果,包括失密和為沒有獲得授權者發(fā)放證書等,它可以由審核授權部門自己擔任,也可委托給第三方機構擔任。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-324.RS(Releasee)RS即證書的受理者,它是CA認證體系的又一個組成部分,接收用戶的證書申請請求,轉發(fā)給CP和RA進行相應的處理?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-335.CRL(CertificateRepealList)CRL是“證書作廢表”的縮寫。CRL中記錄尚未過期但已聲明作廢的用戶證書的序列號,供證書使用者在認證對方證書時查詢使用。CRL通常也被稱為黑名單。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-346.認證中心(CA:CertificationAuthority)在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(DigitalID)的發(fā)放,都不是靠交易當事人自己能完成的,而需要有一個具有權威性和公正性的第三方(thirdparty)來完成。認證中心(CA):就是承擔網上安全電子交易認證服務、能簽發(fā)數字證書、并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務:受理數字憑證的申請、簽發(fā)及對數字憑證的管理。認證中心依據認證操作規(guī)定(CPS:CertificationPracticeStatement)來實施服務操作?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-358.4.2基本認證技術

1.數字信封數字信封技術結合了對稱密鑰和公開密鑰加密技術的優(yōu)點,克服對稱密鑰加密中對稱密鑰分發(fā)困難和公開密鑰加密中加密時間長的問題在外層使用公開密鑰加密技術,內層使用對稱密鑰加密技術,使得公開密鑰加密的相對低效率被限制在最低限度《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-362.數字簽名公開密鑰加密技術的另一類應用主要方式:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數字簽名進行解密,如果兩個散列值相同,那么接收方就能確認該數字簽名是發(fā)送方的。數字簽名作用:實現原始報文的鑒別,保證信息傳輸過程中信息的完整,提供信息發(fā)送者的身份認證和不可抵賴性見圖8.6《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-373.身份認證技術

指對電子商務業(yè)務參與者的認證。分為兩類:(1)口令認證方式前提,請求認證者必須具有一個ID,而且在認證者的用戶數據庫是唯一的使用口令的單向身份認證流程(5步)(2)公開密鑰簽名算法包括數字簽名認證方式和挑戰(zhàn)響應認證方式《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-384.數字時間戳

數字時間戳服務,DTS,DigitalTime-Stampservice,提供電子文件發(fā)表時間的安全保護時間戳(TimeStamp):一個經加密后形成的憑證文檔,包括三個部分(1)需加時間戳的文本的摘要(Digest)(2)DTS收到文件的日期和時間(3)DTS的數字簽名《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-395.數字憑證(digitalcertificate,digitalID)又稱數字證書,是用電子手段來證實一個用戶的身份和對網絡資源訪問的權限數字憑證的內部格式:(1)憑證擁有者的姓名(2)憑證擁有者的公共密鑰(3)公共密鑰的有效期(4)頒發(fā)數字憑證的單位(5)數字憑證的序列號(SerialNumber)數字憑證的三種類型:(1)個人憑證(PersonalDigitalID)(2)企業(yè)(服務器)憑證(ServerID)(3)軟件(開發(fā)者)憑證(DeveloperID)《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-408.4.3數據加密和身份認證原理見圖8.7《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-418.5安全技術協(xié)議

8.5.1安全套層協(xié)議(SSL)

SSL(SecureSocktesLayer)是Netscape公司率先采用的一種網絡安全協(xié)議,它能把在網頁和服務器之間傳輸的數據加密。這種加密措施能夠防止資料在傳輸過程中被竊取。因此采用SSL協(xié)議傳輸密碼和信用卡號等敏感信息以及身份認證信息是一種比較理想的選擇。SSL可以被理解成一條受密碼保護的通道。通道的安全性取決于協(xié)議中采用的加密算法。目前SSL協(xié)議標準已經成為網絡上保密通信的一種工業(yè)標準,在C/S和B/S的構架下都有廣泛的應用。SSL協(xié)議的工作流程《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-428.5安全電子交易協(xié)議(SET)SecureElectronicTransaction,是有Visa和MasterCard所開發(fā),為了在Internet上進行在線交易時保證用卡支付的安全而設立的一個開放的規(guī)范1.SET要達到的最主要的目標

(1)信息在Internet上安全傳輸。保證網上傳輸的數據不被黑客竊聽(2)訂單信息和個人賬號信息的隔離(3)消費者和商家相互認證(4)要求軟件遵循相同的協(xié)議和消息格式《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-432.SET規(guī)范涉及的范圍3.SET協(xié)議中的角色(1)消費者(2)發(fā)卡機構(3)商家(4)銀行(5)支付網關SET是針對用卡支付的網上交易而設計的支付規(guī)范《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-444.SET協(xié)議的工作原理相對于SSL協(xié)議來說,SET協(xié)議更為安全。但SET協(xié)議過于復雜,處理速度慢,SSL則較為便宜,被大部分瀏覽器所內置《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-45提問解答1解答2《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-46第8章電子商務安全技術《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-47學習目標了解電子商務面臨的主要安全威脅了解電子商務對安全的基本要求

熟悉電子商務常用的安全技術

掌握防火墻的功能和工作原理了解電子商務常用的加密技術了解電子商務的認證體系

掌握SSL和SET的流程和工作原理《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-48開篇案例:廣東發(fā)展銀行網絡安全架構

從1998年開始,廣東發(fā)展銀行最初的網絡安全體系就依據思科SAFE藍圖部署。SAFE主張,網絡安全建設不能一蹴而就,而應該是一個動態(tài)的過程。所以在最初的部署中,思科主要協(xié)助廣東發(fā)展銀行解決了最突出的網絡安全問題——網絡對外連接出口的安全問題。隨著廣東發(fā)展銀行業(yè)務的迅速發(fā)展,尤其是近年來,用戶紛紛把業(yè)務轉移到網上進行,廣東發(fā)展銀行的網上業(yè)務呈幾何數字增長。在這種情況下,廣東發(fā)展銀行提出,為了更好地抵御網上的非法訪問,作好關鍵用戶的網上認證,確保能夠給用戶提供不間斷的高質量金融服務,必須要在原有的基礎上,進一步加強銀行在網絡安全方面的部署。

通過分析廣東發(fā)展銀行的具體業(yè)務流程和網絡結構,思科在SAFE藍圖指導下,針對廣東發(fā)展銀行的不同網段,分別實施了可以統(tǒng)一管理的不同安全措施,具體措施如下。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-49電子商務安全技術8.1電子商務安全

8.2防火墻技術8.3數據加密技術8.4認證技術8.5安全技術協(xié)議《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-508.1電子商務安全8.1.1電子商務的安全性問題電子商務面臨的安全威脅主要有以下5個方面:1.在網絡的傳輸過程中信息被截獲2.傳輸的文件可能被篡改3.偽造電子郵件(1)虛開網站和商店(2)偽造大量用戶(3)偽造用戶4.假冒他人身份5.不承認或抵賴已經做過的交易

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-51

8.1.2電子商務對安全的基本要求

1.授權合法性

2.不可抵賴性3.保密性

4.身份的真實性

5.信息的完整性

6.存儲信息的安全性

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-528.1.3電子商務安全措施

可使用的網絡安全措施主要包括以下6方面:1.確定通信中的貿易伙伴身份的真實性

2.保證電子單證的保密性

3.確定電子單證內容的完整性

4.確定電子單證的真實性5.不可抵賴性6.存儲信息的安全性《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-538.2.1防火墻的含義及其分類

1.防火墻的含義

Internet是一個開放的世界,它在擁有豐富信息量的同時也存在著許多不安全因素。當內部網連上Internet,使它的用戶能訪問Internet上的服務時,非內部網用戶也能通過Internet訪問內部網用戶,實現一些非法操作如:盜取重要資料、破壞文件等。這對于沒有受到任何保護的內部網用戶來說無疑是一種災難。人們經常在建筑物之間修建一些墻壁,以便在火災發(fā)生時,火勢不至于從一幢建筑蔓延到別一幢建筑,這些墻被稱為“防火墻”。與此類似,我們可以在內部網和Internet之間設置一堵“防火墻”以保護內部網免受外部的非法入侵。在網絡世界中,防火墻是被配置在內部網(如企業(yè)內部的Intranet)和外部網(如Internet)之間的系統(tǒng)(或一組系統(tǒng)),通過控制內外網絡間信息的流動來達到增強內部網絡安全性的目的。防火墻決定了內部的哪些服務可以被外部用戶訪問以及哪些外部服務可以被內部用戶訪問?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-542.防火墻的分類路由器定義了一系列包過濾規(guī)則。包過濾規(guī)則:以IP(InternetProtocol)信息包為基礎,對IP報文中的源地址、IP目標地址、封裝協(xié)議端口等進行篩選,由此決定是否要屏蔽此報文。優(yōu)點:簡單和廉價(硬件)缺點:包過濾規(guī)則的建立相對復雜《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-55代理服務器通過執(zhí)行特殊的TCP/IP協(xié)議來為內部網用戶提供Internet服務。代理服務器是一個應用層的網關,內部網的用戶若要使用Internet提供的服務(如WWW),首先必須與代理服務器連接,經身份確認后,再由代理服務器負責與Internet連接。目的是為了隔離內部主機和外部主機的直接通信,防止“黑客”入侵。代理服務器還提供了用戶級別的權限確認、日志和審計服務。缺點:必須為每一個應用建立應用層的特殊網關,這在一定程度上限制了新應用的建立。堡壘主機路由器和代理服務器結合在一起形成的一個復合型的防火墻系統(tǒng),所用主機稱為堡壘主機,負責提供代理服務、保護內部網不受攻擊、屏蔽內部主機的防火墻和子網防火墻《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-56四種最基本的防火墻技術(1)過濾性網關(2)電路層網關(3)應用層網關(不把內外網絡直接連接起來)(4)狀態(tài)核查《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-573.防火墻的功能(1)未經授權的內部訪問

(2)危害證明

(3)未經授權的外部訪問

(4)電子欺騙

(5)特洛伊木馬

(6)滲透

(7)泛洪

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-588.2.2防火墻技術1.防火墻系統(tǒng)設計

主要從以下三個方面考慮(1)機構的整體安全策略的一部分(2)防火墻的經濟費用從路由器中內置的包過濾功能幾千到上萬美圓的專業(yè)防火墻產品防火墻系統(tǒng)的管理、維護和故障處理都需要費用(3)防火墻系統(tǒng)的組成

典型的防火墻由以下一個或多個構件組成:包過濾路由器、應用層網關(或代理服務器)、電路層網關《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-592.包過濾路由器

審查每個數據包以便確定其是否與某一條包過濾規(guī)則匹配,允許或拒絕所接收的每個數據包過濾規(guī)則:基于可以提供給IP轉發(fā)過程的包頭信息包頭信息:其中包括IP源地址、IP目標端地址、內裝協(xié)議(ICP、UDP、ICMP)、TCP/UDP目標端口、ICMP消息類型包過濾路由器使得路由器能夠根據特定的服務允許或拒絕流動的數據,因為多數的服務收聽者都在已知的TCP/UDP端口上,如Telnet服務器在TCP的23號端口上監(jiān)聽遠地連接,SMTP服務器在TCP的25號端口上監(jiān)聽遠地連接包過濾路由器工作在網絡層,屬網絡層防火墻《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-60包過濾路由器有兩種過濾方式:與服務相關的過濾和與服務無關的過濾(1)與服務相關的過濾指根據特定的服務允許或拒絕流動的數據,因為大多數服務器都是在特定的TCP/UDP端口上監(jiān)聽,如Telnet的端口號為23,ftp為21,SMTP為25,HTTP的端口號為80(2)與服務無關的過濾有幾種類型的攻擊與服務無關,無法使用基本的包頭信息來識別,只有通過審查路由表和特定的IP選項,檢查特定段的內容才能發(fā)現,如

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-61A.源地址欺騙攻擊

B.源路由攻擊

C.極小數據段攻擊該攻擊利用了IP分段的特性,創(chuàng)建極小的分段并強行將TCP頭信息分成多個數據包段。希望包過濾路由器只檢查第一個分段而讓其余分段通過,從而繞過用戶定義的過濾規(guī)則包過濾路由器優(yōu)點:標準的路由軟件中都內置了包過濾功能,無需額外費用包過濾路由器缺點:定義包過濾器比較復雜,要求網絡管理員對Internet服務有深入了解《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-623.應用層網關防火墻能夠實現比包過濾路由器更嚴格的安全策略,主要在應用層網關上安裝代理軟件(Proxy)來實現。每個代理模塊分別針對不同的應用。如TelnetProxy負責Telnet在防火墻上的轉發(fā),HTTPProxy負責WWW,FTPProxy負責FTP等,管理員可以根據自己的需要安裝相應的代理。每個代理相互無關,即使某個代理工作發(fā)生問題,只需將它簡單的卸出,不會影響其他的代理,同時也保證了防火墻的失效安全《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-63應用層網關常被稱為“堡壘主機”,(BastionHost),它安裝了專門的系統(tǒng),采取一些安全措施,能夠抵御各種攻擊。主要有以下8個特點:(1)應用層網關的硬件之上執(zhí)行一個安全的操作系統(tǒng)(2)只安裝代理模塊、用戶認證模塊等防火墻必須的服務(3)盡量不開多余賬號,也不允許遠程登陸到防火墻(4)管理員可以根據機構所需要的服務在應用層網關安裝相應的代理模塊(5)除了基本的代理模塊外,應用層網關還維持自己的用戶庫和對象庫。用戶庫:保存了用戶名、用戶組、用戶的認證方式、用戶的管理級別等信息對象庫:保存了管理員定義的主機名、主機組、網絡和網關《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-64(6)應用層網關另外一個重要特征是身份認證常采取客戶服務器方式,對同一用戶的身份認證可以根據他所在網絡的安全級別采取不同的認證方式。如該用戶來自內部子網的對其采用類似UNIXpasswd的方式;若該用戶來自外部非安全網段,則可以采取安全級別更高的認證方式,如一次性密鑰(Skey)(7)管理員通過配置訪問控制表中的訪問規(guī)則,決定內部網絡、外部網絡的哪些用戶可以使用應用層網關上的那個代理模塊連接到那個目的站點(8)代理的工作原理比較簡單

a.首先是用戶與代理服務器建立連接

b.將目的站點告知代理,對合法請求代理以應用層網關自己的身份與目的站點建立連接

c.代理在這兩個連接中轉發(fā)數據,如圖8.2所示《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-65應用層網關的優(yōu)點:(1)能夠針對各種服務進行全面控制(2)支持可靠的身份認證(3)提供詳細的審計功能和方便的日志分析工具(4)相對于包過濾路由器來說更容易配置和測試應用層網關的缺點:非透明性,要求用戶改變自己的使用習慣,一般要對用戶進行簡單的培訓《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-664.電路層防火墻電路層網關只依賴于TCP連接,不進行附加的包處理和過濾。電路層網關只是簡單中繼該應用的連接,并不作任何審查、過濾或Telnet協(xié)議的管理。就象電線一樣,只是在內部連接和外部連接之間來回拷貝數據。從外部看連接似乎源于防火墻,隱藏了受保護子網的信息。見圖8.3優(yōu)點:堡壘主機可以被設置成混合網關。對于進入的連接使用應用層網關或代理服務器,對于出去的連接使用電路層網關。這樣,防火墻既能方便內部用戶,又能保證內部網絡免于外部的攻擊。《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-678.2.3防火墻的安全策略及局限性

防火墻的安全策略

有兩種:(1)沒有被列為允許訪問的服務都是被禁止的(2)沒有被列為禁止訪問的服務都是被允許的2.防火墻的局限性(1)不能阻止來自內部的破壞(2)不能保護繞過它的連接(3)無法完全阻止新出現的網絡威脅(4)不能防止病毒《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-688.3數據加密技術目的:防止合法接收者之外的人獲取信息系統(tǒng)中的機密信息信息加密技術:采用數學方法對原始信息(“明文”)進行再組織,使得加密后在網絡上公開傳輸的內容對于非法接收者來說成為無意義的文字(加密后的信息通常稱為“密文”)。對于合法的接收者,因為其掌握正確的密鑰,可以通過解密過程得到原始數據(即“明文”)。加密和解密過程中,都要涉及信息(明文、密文)、密鑰(加密密鑰、解密密鑰)和算法(加密算法、解密算法)三項內容數據加密技術:對信息進行重新編碼,從而達到隱藏信息內容,使非法用戶無法獲得信息真實內容的一種技術手段數據簽名技術:基于數據加密技術,可滿足防抵賴等安全要求《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-698.3.1數據加密、解密基本過程

明文(plaintext):可懂的文本密文(Ciphertext):明文變換成的不可懂形式的文本加密(Encipher):把明文變換成密文的過程解密(Decipher):把密文變換成明文的過程密鑰(Keyword):用于加解密的一些特殊信息,它是控制明文與密文之間變換的關鍵,可以是數字、詞匯或語句。密鑰分為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。密碼體制(Ciphersystem):完成加密和解密的算法《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-708.3.2對稱式密鑰加密技術

1.定義指加密和解密均采用同一把秘密鑰匙。當給對方發(fā)信息時,用自己的加密密鑰進行加密,接收方收到數據后,用對方所給的密鑰進行解密。也稱為秘密密鑰加密法2.加密算法主要有以下兩種(1)DES算法數據加密標準,由IBM研究提出來,把信息分成64位大小的塊,使用56位密鑰,迭代輪數為16輪的加密算法(2)IDEA算法國際信息加密算法,1992年正式公開,分組大小為64位,密鑰為128位,迭代輪數為八輪的迭代型密碼體制。長達128位的密鑰,有效地消除了任何試圖窮盡搜索密鑰的可能性《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-713.對稱式密鑰加密技術的優(yōu)缺點優(yōu)點:加密速度快,保密度高缺點:(1)如何才能把密鑰安全地送到收信方,是對稱密鑰加密技術的突出問題(2)多人通信時,密鑰的組合數量會出現爆炸性的膨脹,使密鑰分發(fā)更加復雜化(3)通信雙方必須統(tǒng)一密鑰,才能發(fā)送保密的信息。如果發(fā)信者與收信人是素不相識,就無法向對方發(fā)送秘密信息了《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-728.3.3公開密鑰加密技術

1.定義2.加密算法主要是RSA加密算法,1978年提出,是第一個成熟的、迄今為止理論上最為成功的公開密鑰密碼體制3.公開密鑰加密技術的優(yōu)缺點缺點:加、解密速度慢優(yōu)點:(1)密鑰少便于管理(2)密鑰分配簡單(3)不需要秘密的通道和復雜的協(xié)議來傳送密鑰(4)可以實現數字簽名和數字鑒別《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-738.3.4對稱密鑰和公開密鑰的結合對于網絡中傳輸的數據用DES或IDEA加密,而加密用的密鑰則用RSA加密傳送《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-748.4認證技術電子商務中必須解決以下兩個問題:(1)身份認證(2)交易的不可抵賴CA(CertificateAuthority,證書授權)中心為用戶發(fā)放的證書是一個有該用戶的公開密鑰及個人信息并經證書授權中心數字簽名的文件8.4.1認證技術基本概念1.證書在一個電子商務系統(tǒng)中,所有參于活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統(tǒng)中的其它實體證明自己的身份,另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公匙,加密證書攜帶的是加密公鑰),所以,證書也可以向接收者證實某人或某個機購對公開密匙的擁有,同時也起著公鑰分發(fā)的作用。所有實體的證書都是由認證中心(CA)分發(fā)并簽名的《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-752.RA(ReleaseAuditing)RA即證書發(fā)放審核部門,它是CA認證體系的一個組成部分。它負責對證書申請者進行資格審查,并決定是否同意給該申請者發(fā)放證書,并承擔因審核錯誤所引起的和為不符合資格的證書申請者發(fā)放證書所引起的一切后果,因此它應由能夠承擔這些責任的機構擔任?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-763.CP(CertificatePerform)CP即證書發(fā)放的執(zhí)行部門,它是CA認證體系的另外一個組成部分,負責為已授權的申請者制作、發(fā)放和管理證書,并承擔因操作運營錯誤所產生的一切后果,包括失密和為沒有獲得授權者發(fā)放證書等,它可以由審核授權部門自己擔任,也可委托給第三方機構擔任。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-774.RS(Releasee)RS即證書的受理者,它是CA認證體系的又一個組成部分,接收用戶的證書申請請求,轉發(fā)給CP和RA進行相應的處理?!峨娮由虅崭?/p>

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-785.CRL(CertificateRepealList)CRL是“證書作廢表”的縮寫。CRL中記錄尚未過期但已聲明作廢的用戶證書的序列號,供證書使用者在認證對方證書時查詢使用。CRL通常也被稱為黑名單。

《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-796.認證中心(CA:CertificationAuthority)在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(DigitalID)的發(fā)放,都不是靠交易當事人自己能完成的,而需要有一個具有權威性和公正性的第三方(thirdparty)來完成。認證中心(CA):就是承擔網上安全電子交易認證服務、能簽發(fā)數字證書、并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構,主要任務:受理數字憑證的申請、簽發(fā)及對數字憑證的管理。認證中心依據認證操作規(guī)定(CPS:CertificationPracticeStatement)來實施服務操作。《電子商務概

《電子商務概論》(第2版)邵兵家主編高等教育出版社2006版8-808.4.2基本認證技術

1.數字信封數字信封技術結合了對稱密鑰和公開密鑰加密技術的優(yōu)點,克服對稱密鑰加密中對稱密鑰分發(fā)困難和公開密鑰加密中加密時間長的問題在外層使用公開密鑰加密技術,內層使用對稱密鑰加密技術,使得公開密鑰加密的相對低效率被限制在最低限度

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論