電子商務(wù)安全技術(shù)課件

電子商務(wù)安全技術(shù)5.1.1

電子商務(wù)安全的概念密碼安全---由技術(shù)上提供強韌的密碼系統(tǒng)及其正確應(yīng)用來實現(xiàn)，是通信安全的最核心部分。計算機安全---計算機數(shù)據(jù)和程序文件不至被非授權(quán)人員，計算機和程序訪問，獲取和修改，可以通過限制使用的物理范圍，利用特殊軟件和安全功能構(gòu)造來實現(xiàn)。網(wǎng)絡(luò)安全---通過物理設(shè)施的保護(hù)，軟件及職員的安全防止非授權(quán)的訪問，偶發(fā)或蓄意的干擾或破壞。信息安全---保護(hù)信息免遭非授權(quán)泄密或處理能力的喪失。5.1.2

對電子商務(wù)的四類威脅中斷---不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用。竊取---指敏感數(shù)據(jù)在有意或無意中被泄漏或丟失，通常包括信息在傳輸中丟失或泄漏，信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等。更改---以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入信息，以取得有益于攻擊者的響應(yīng)，以干擾用戶的正常使用。偽造---以非法手段竊得對數(shù)據(jù)的使用權(quán)，惡意修改數(shù)據(jù)，以假冒。5.1.3

安全設(shè)計的保密級別A,B,C,D四級密鑰長度信息擴(kuò)張加密解密安全監(jiān)測與管理電子商務(wù)業(yè)務(wù)系統(tǒng)5.1.4

電子商務(wù)安全體系結(jié)構(gòu)安全平臺(操作系統(tǒng),數(shù)據(jù)庫,網(wǎng)絡(luò)…)密碼算法(分組密碼,共鑰密碼,HASH…)認(rèn)證手段(數(shù)字簽名,證書授權(quán),MAC…)安全協(xié)議(SET,SSL,S/HTTP…)電子商務(wù)支付系統(tǒng)5.1.5

安全與密碼學(xué)術(shù)機構(gòu)國際密碼研究協(xié)會四大洲密碼協(xié)會（亞，歐，美，澳）中國密碼研究協(xié)會（CACR）

5.2.1

加密解密方法古典加密解密方法

加密解密模型：m-明文c-密鑰k-密鑰k=k’時，為對稱密鑰k!=k’時，為不對稱密鑰

原文公鑰/私鑰加密加密原文公鑰/私鑰解密密文5.2.1

加密解密方法凱撒密碼：一一對應(yīng)明文

ABCDEFGHIJKLMNOP密鑰1

defghIjklmnopqrs密鑰2

vzyabcdefghIjklm實例：CHINA密鑰1

fklqd密鑰2

yefkv5.2.1

加密解密方法換位密碼明文

COMPUTERSECURIT分組

COMPUTERSECURIT密文

CTCOEUMRRPSIUET5.2.1

加密解密方法實例明文information密文9683567303134633967383

棋盤密碼

46187520936abcdefghij3klmnopqrst

5.2.1

加密解密方法

矩陣密碼MA=CM=CA-15.2.2

加密解密方法現(xiàn)代加密解密算法：

單鑰加密體制（k=k’）DES(DataEncryptionStandard)

公鑰加密體制（k!=k’）RSA（三位發(fā)明者名字的首字母）5.3.1

防火墻技術(shù)Internet的安全概念保護(hù)內(nèi)部資源防止外部入侵控制監(jiān)督外部機器對內(nèi)部資源的訪問控制監(jiān)督內(nèi)部機器對外部網(wǎng)的訪問5.3.2

防火墻技術(shù)防火墻的分類：包過濾型防火墻TCP/IP,報文類,源IP地址,目的IP地址,源端口號應(yīng)用網(wǎng)關(guān)型防火墻telnet26端口號259,使用代理技術(shù)在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一個屏障5.3.2

防火墻的安全策略沒有被列為允許訪問的服務(wù)都是被禁止的；沒有被列為禁止訪問的服務(wù)都是被允許的。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層InternetInternet防火墻包過濾5.3.3

常用防火墻軟件SecureIISv1.24

SecureIIS是由eeye安全公司出品的一個應(yīng)用級防火墻，基于CHAM技術(shù)可以保護(hù)IIS免受各種已知或未知的攻擊。

天網(wǎng)防火墻V2.48

天網(wǎng)防火墻（SkyNet-FireWall）個人版是一款由天網(wǎng)安全實驗室制作的給個人電腦使用。KFW網(wǎng)絡(luò)防火墻最新一代的網(wǎng)絡(luò)安全防火墻，無論在功能、效率、界面、操作方面性上都領(lǐng)先同類防火墻。5.4

計算機病毒概念：是一類特殊的計算機程序分類：良性-降低計算機效率,不破壞系統(tǒng)資源惡性—降低效率，破壞系統(tǒng)資源結(jié)構(gòu)：引導(dǎo)模塊,傳染模塊,表現(xiàn)?？?.4

計算機病毒防止：防毒軟件(實時監(jiān)控掃描),防火墻防毒卡,全平臺防毒傳播媒介：郵件,下載,磁盤,軟件,光盤等特點：傳染性,潛伏性,針對性持久性,繁殖性,破壞性5.5

操作系統(tǒng)的安全設(shè)計隔離控制物理---設(shè)備分配時間---分時使用加密---防止泄漏邏輯---進(jìn)程透明訪問控制設(shè)備（存儲器，I/O設(shè)備）最小權(quán)限5.5

操作系統(tǒng)的安全設(shè)計系統(tǒng)測試形式化測試：程序的正確性（復(fù)雜，費時）鑒定：需求檢查，源碼檢查破壞分析：專家分析，黑客攻擊5.6.1

信息安全的熱點課題千年蟲問題：四位數(shù)表示法日期后推法5.6.2

信息安全的熱點課題數(shù)據(jù)備份軟件硬件數(shù)據(jù)隱藏生物電子安全平臺信息安全平臺電子商務(wù)平臺電子支付平臺5.6.3

信息安全的熱點課題應(yīng)用系統(tǒng)移動通信（手機，短消息網(wǎng)關(guān)）CA中心網(wǎng)上銀行網(wǎng)絡(luò)郵局等5.7HTTPSSLSET定義及區(qū)別

5.7.1定義HTTP（HyperTextTransportProtocol）超文本傳輸協(xié)議。SSL（SecureSocketLayer）由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SET

（SecureElectronicTransactions）為了克服SSL安全協(xié)議的缺點，滿足電子交易持續(xù)不斷地增加的安全要求，VISA國際組織及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全電子交易。5.7.2

SET中的安全技術(shù)數(shù)字信封---依靠系統(tǒng)持證消息不被泄漏，并能可靠傳送的技術(shù)。雙重簽名--將訂單信息和個人賬號信息分別進(jìn)行數(shù)字簽名，確保商家和銀行均看不到對方的信息。持卡者證書---是支付卡的電子化表示，由哈希算法根據(jù)賬號生成的碼，如果知道賬號，就可以導(dǎo)出碼值，反之則不行。商家證書---表示可以用什么卡結(jié)算，一個商家可擁有多個卡，表示它與多個銀行有合作關(guān)系，可接受多種付款方式。5.7.2SET中的安全技術(shù)消費者在線商店收單銀行支付網(wǎng)關(guān)發(fā)卡銀行批準(zhǔn)確認(rèn)確認(rèn)審核請求協(xié)商審核訂單確認(rèn)認(rèn)證中心認(rèn)證認(rèn)證認(rèn)證5.7.2SET中的安全技術(shù)SET協(xié)議中的角色有：消費者：購買者通過計算機與商家交流，通過由發(fā)卡機構(gòu)頒發(fā)的付款卡進(jìn)行結(jié)算。在與商家的會話中，SET可保證消費者的個人賬號信息不被泄露。發(fā)卡機構(gòu)：一個金融機構(gòu)，為每一個建立了賬戶的顧客頒發(fā)付款卡。商家：提供商品或服務(wù)，使用SET可以保證消費者信息的安全。接受卡支付的商家必須和銀行有關(guān)系。銀行：在線交易的商家在銀行開立賬號，并且處理支付卡的認(rèn)證和支付。支付網(wǎng)關(guān)：由銀行操作的，將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。5.7.3三者的區(qū)別HTTP協(xié)議無任何安全設(shè)置；

SSL協(xié)議提供了客戶端認(rèn)證和服務(wù)器端認(rèn)證，其中以服務(wù)器端認(rèn)證最為常用；

SET協(xié)議提供的安全保障更為全面，主要用在CA，持卡者，商家服務(wù)器和支付網(wǎng)關(guān)之間。5.7.3三者的區(qū)別

保證電子商務(wù)參與者信息的相互隔離即商家不能看到客戶的帳戶和密碼信息；保證信息在Intemet上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；

解決多方認(rèn)證問題，不僅要對消費者的信用卡認(rèn)證，而且要求對在線商店的信譽程度認(rèn)證，同時還有消費者、在線商店與銀行間的認(rèn)證；

保證了網(wǎng)上交易的實時性，使所有的支付過程都是在線的；規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，可以在不同的硬件和操作系統(tǒng)平臺上運行。

SET獨特的安全性

安全技術(shù)數(shù)字簽名數(shù)字時間戳數(shù)字憑證消息摘要數(shù)字簽名（DigitalSignature)它能確認(rèn):（1）信息是由簽名者發(fā)送的（2）信息自簽發(fā)后到收到為止未曾做過任何修改。處理過程：（采用雙重加密）（1）使用SHA編碼將發(fā)送文件加密產(chǎn)生128bit的數(shù)字摘要；（2）發(fā)送方用自己的專用密鑰對摘要再加密，形成數(shù)字簽名；（3）將原文和加密的摘要同時傳給對方；

數(shù)字簽名（DigitalSignature)（4）接受方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生同一摘要；（5）將解密后的摘要和收到的文件在接受方重新加密產(chǎn)生的摘要相互對比，如果兩者一致，則說明在傳送過程中信息沒有破壞和篡改。否則，則說明信息已經(jīng)失去安全性和保密性。數(shù)字時間戳網(wǎng)絡(luò)安全中，需要對傳輸資料文件的日期和時間信息采取安全措施，可通過DTS(DigitalTime-stampService)實現(xiàn)，它對電子文件提供發(fā)表時間的安全保護(hù)。該服務(wù)由專門的網(wǎng)絡(luò)服務(wù)機構(gòu)提供。組成：（1）需要加載時間戳的日期和時間；（2）DTS收到文件的日期和時間；

(3)DTS的數(shù)字簽名數(shù)字時間戳網(wǎng)絡(luò)安全中，需要對傳輸資料文件的日期和時間信息采取安全措施，可通過DTS(DigitalTime-stampService)實現(xiàn)，它對電子文件提供發(fā)表時間的安全保護(hù)。該服務(wù)由專門的網(wǎng)絡(luò)服務(wù)機構(gòu)提供。它是一個經(jīng)過加密形成的憑證文檔，組成：（1）需要加載時間戳的日期和時間；（2）DTS收到文件的日期和時間；（3）DTS的數(shù)字簽名。數(shù)字時間戳?xí)r間戳的產(chǎn)生過程：（1）用戶將需要加時間戳的文件用HASH編碼加密形成摘要；（2）摘要送到DTS,DTS加入該文件摘要的收到日期和時間信息后再對該文件加密，即進(jìn)行數(shù)字簽名；（3）送回用戶。數(shù)字憑證數(shù)字憑證（DigitalCertificateorDigitalID)又稱為數(shù)字證書或者是數(shù)字標(biāo)識，是INTERNET上使用電子手段證實用戶身份和用戶訪問網(wǎng)絡(luò)資源權(quán)限的一種安全防范手段。數(shù)字憑證的格式：CCITTX.509(1)憑證擁有者的姓名；（2）憑證擁有者的公共密鑰；（3）公共密鑰的有效期；（4）頒發(fā)數(shù)字憑證的單位；（5）數(shù)字憑證的序列號（SerialNumber)；(6)頒發(fā)數(shù)字憑證單位的數(shù)字簽名；數(shù)字憑證數(shù)字憑證的類型：（1）個人憑證（PersonalDigitalID)(2)企業(yè)服務(wù)器憑證（ServerID)(3)軟件開發(fā)者憑證（DeveloperID)消息摘要消息摘要是一個用來檢測消息的完整性和證明消息沒有被干擾的數(shù)值。HASH函數(shù)的基本原理是將一些數(shù)據(jù)作為輸入并生成摘要hash值，它以來輸入的內(nèi)容和