电子商务-电子商务的安全性问题课件.ppt

1、2022-7-23电子商务概论1第七章第七章 电子商务的安全技术电子商务的安全技术2022-7-23电子商务概论2电子商务系统安全概述电子商务系统安全概述n计算机系统的安全隐患n硬件系统n软件系统n 网络的安全隐患n 黑客攻击n口令攻击n服务攻击nIp欺骗n 计算机病毒加密机制的不完善加密机制的不完善系统系统BUG黑客程序（后门、木马）黑客程序（后门、木马）工作人员的失误工作人员的失误人为破坏实用环境自然损坏2022-7-23电子商务概论3n电子商务系统的安全隐患n数据的安全n信息被截获n传输的文件被篡改n交易的安全n伪造电子邮件n假冒他人身份n否认做过的交易2022-7-23电子商务概论4

2、电子商务系统对信息安全的基本要求电子商务系统对信息安全的基本要求1.信息的保密性：电子商务系统应该对主要信息进行保护，阻止非法用户获取和理解原始数据。2.数据完整性：电子商务系统应该提供对数据进行完整性认证的手段，确保网络上的数据在传输过程中没有被篡改。2022-7-23电子商务概论53.交易者身份的确定性：电子商务系统应该提供通讯双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证，证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构签发，用户申请数字证书时应提供足够的身份信息，证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。2022-7

3、-23电子商务概论64.授权：电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。5.不可修改性：电子商务系统应能提供对数据原发者的鉴别，确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。6.交易的不可抵赖和不可否认性：电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。2022-7-23电子商务概论77.有效性：电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。8.内部网络的严密性：电子商务系统应能提供网络和数据的安全，保护硬件资

4、源不被非法占有，软件资源免受病毒的侵害。2022-7-23电子商务概论8电子商务安全构架电子商务安全构架交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安全管理体系安全管理体系网络安全技术网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代理服分组过滤和代理服务等务等法律、法规、政策法律、法规、政策2022-7-23电子商务概论9电子商务安全技术电子商务安全技术n病毒防范技术n防火墙n信息加密n数字摘要2022-7-23电子商务概论1

5、0病毒防范技术病毒防范技术 长期以来，计算机病毒一直是计算机信息系统中的一个很大的不安全因素。由于在网络环境下，计算机病毒更具有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。2022-7-23电子商务概论11计算机病毒的概念计算机病毒的概念 计算机病毒一般是由病毒制造者编制的一段程序，它们隐藏在计算机系统的数据资源或程序中，能在计算机内部反复进行自我繁殖（复制），危及计算机系统正常工作，浪费系统资源，破坏存储数据，以至使整个计算机瘫痪。2022-7-23电子商务概论12计算机病毒的特征计算机病毒的特征n传染性n隐蔽性n潜伏性n破坏性n不可预见性n寄生性n触发性 2

6、022-7-23电子商务概论13计算机病毒的类型计算机病毒的类型 n1)引导型病毒 n2)文件型病毒 n3)混合型病毒 n4）宏病毒 2022-7-23电子商务概论14病毒入侵的途径病毒入侵的途径n电子邮件nInternet网的下载文件n盗版光盘和软盘。2022-7-23电子商务概论15n BIOS病毒现象 1、开机运行几秒后突然黑屏 2、外部设备无法找到 3、硬盘无法找到 4、电脑发出异样声音n硬盘引导区病毒现象 1、无法正常启动硬盘 2、引导时出现死机现象 3、执行C盘时显示“Not ready error drive A Abort，Retry，Fail?”计算机病毒的症状计算机病毒的症

7、状 2022-7-23电子商务概论16n 操作系统病毒现象 1、引导系统时间变长 2、计算机处理速度比以前明显放慢 3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象 4、系统生成一些特殊的文件 5、驱动程序被修改使得某些外设不能正常工作 6、软驱、光驱丢失 7、计算机经常死机或重新启动 2022-7-23电子商务概论17n 应用程序病毒现象 1、启动应用程序出现“非法错误”对话框 2、应用程序文件变大 3、应用程序不能被复制、移动、删除 4、硬盘上出现大量无效文件 5、某些程序运行时载入时间变长2022-7-23电子商务概论18计算机病毒防治的基本方法计算机病毒防治的基本方法 n预防

8、病毒n检测病毒n杀毒 2022-7-23电子商务概论19防防 火火 墙墙 技技 术术防火墙（防火墙（firewal1）的概念）的概念 防火墙是放在两个网之间用于提高网络安全的软、硬件系统的集合。它具有如下属性：n1、所有从内到外的通信流量，都必须通过它；n2、仅仅被本地安全策略定义的切被授权的通信量允许通过；n3、系统对外部攻击具有高抵抗力。2022-7-23电子商务概论20防火墙的工作原理防火墙的工作原理 在内部网和外部网之间建立起一条隔离墙，检查进入内部网络的息是否合法，或者是否允许用户的服务请求，从而阻止对内部网络的非法访问和非授权用户的进入，同时防火墙也可以禁止特定的协议通过相应的网络

9、。局域网用户服务器防火墙Internet2022-7-23电子商务概论21设置防火墙的意义设置防火墙的意义保护内部资源防止外部入侵控制监督外部机器对内部资源的访问控制监督内部机器对外部网的访问2022-7-23电子商务概论22防火墙的体系结构与功能防火墙的体系结构与功能n建立防火墙体系结构的准则n“凡是未被准许的就是禁止的”n“凡是未被禁止的就是允许的”2022-7-23电子商务概论23防防 火火 墙墙 的的 功功 能能n未经授权的内部访问n未经授权的外部访问n危害证明n电子欺骗n特洛伊木马n渗透n泛洪2022-7-23电子商务概论24防防 火火 墙墙 的的 分分 类类n包过滤型防火墙包过滤型

10、防火墙l包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。n包过滤路由器型防火墙的优点：处理包的速度要比代理服务器快；n包过滤路由器型防火墙的缺点：防火墙的维护比较困难等过滤路由器Internet内部网络2022-7-23电子商务概论25双双 宿宿 网网 关关 防防 火火 墙墙n 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。n 所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。NIC代理代理服务器服务器NICInternet内部网

11、络2022-7-23电子商务概论26屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙由过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器过滤路由器堡垒主机堡垒主机Internet内部网络2022-7-23电子商务概论272022-7-23电子商务概论28屏 蔽 子 网 防 火 墙外部外部过滤路由器过滤路由器堡垒主机堡垒主机Internet内部网络内部内部过滤路由器过滤路由器 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防

12、火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。2022-7-23电子商务概论29监监 测测 型型 防防 火火 墙墙n对数据进行监测n对数据进行分析n判断各层的非法入侵n利用节点探测，发现问题2022-7-23电子商务概论30防防 火火 墙墙 的的 缺缺 点点n防火墙不能阻止来自内部的破坏n防火墙不能保护绕过他的连接n防火墙无法完全防治新出现的网络威胁n防火墙不能防止病毒2022-7-23电子商务概论31数数 据据 加加 密密 技技 术术n定义：就是采用数

13、学方法对原始信息进行再组织，使定义：就是采用数学方法对原始信息进行再组织，使得加密后的网络上公开传输的内容对于非法接收者来得加密后的网络上公开传输的内容对于非法接收者来说称为无意义的文字。说称为无意义的文字。信息源加密器解密器接收者秘钥源1秘钥源2非法接入密码分析员（窃听者）明文密文明文2022-7-23电子商务概论32n目的：是为了防止合法接收者之外的人获取信息系统中的机密信息n作用：网络中的数据加密则是通过对网络中传输的信息进行数据加密，满足网络安全中数据加密、数据完整性等的要求。2022-7-23电子商务概论33 部分告之：在网上交易中将最关键的数据略去，再告之。另行确认：交易后，用电子

14、邮件对交易进行确认。在线服务：用企业提供的内部网来提供联机服务。早期曾采用过的方法2022-7-23电子商务概论34 对称密钥密码体系对称密钥密码体系对称密钥密码体系(Symmetric Cryptography)又称对称密钥技术，是指使用同一把密钥对信息进行加密和解密。对称密钥密码体系的优点是加密、解密速度很快(高效)，保密度高等；但缺点也很明显：密钥难于共享，需太多密钥。加密原文加了密原文原文密钥解密texttext+1-1ufyu2022-7-23电子商务概论35传统的密码体制传统的密码体制凯撒密码凯撒密码F（a）=（a+k）mod na：明文k：密钥n：字母个数 例如：将字母a，b，c

15、，d，e，x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。如果k=5，XHMTTQ的明文是什么？2022-7-23电子商务概论36DES 加加 密密 算算 法法nDES是一种数据分组加密算法。n加密过程n将数据分成长度为64位的数据块n使用56位密钥对64位数据进行加密，16轮反复加密n换位n穷举法破解56位密钥加密的密文，需要2283年！2022-7-23电子商务概论37非对称密钥密码体系非对称密钥密码体系非对称密钥密码体系(Asymmetric Cryptogr

16、aphy)也称公开密钥技术，将一个加密系统的加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，。非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。加密原文加了密的原文原文解密公钥私钥2022-7-23电子商务概论38公公 开开 密密 钥钥 RSA 算算 法法n既能用于数据加密也能用于数字签名的算法。n信息保密原理：具有两个密钥，二者互补，即用公钥加密的密文必须用私钥解密，用私钥加密的密文必须用公钥解密。n数字签名认证的原理：数字签名必须发送方使用自己的私钥加密，而接收方则使用发送方的公钥解密。nRSA的安全性 依赖于大数分解，他

17、利用两个很大的质数相乘所产生的乘积来加密。nRSA的实用性n安全性高，但是运算量大2022-7-23电子商务概论39数数 字字 摘摘 要要 数字摘要也称为安全Hash编码法，它是一个唯一对应一个信息的值，它由单向Hash加密算法对一个信息作用生成，有固定的长度。源信息摘要摘要源信息摘要Hash函数加密因特网因特网比较Hash函数加密发送端发送端接收端接收端2022-7-23电子商务概论40Hash函数应具备的条件：（1）对同一数据使用同一Hash函数，其运算结果应该是一样的；（2）Hash函数应具有运算结果不可预见性；（3）Hash函数具有不可逆性。目前常用的算法有安全散列算法（SHA-1)和

18、MD52022-7-23电子商务概论41电子商务的认证技术电子商务的认证技术n数字签名n数字信封n数字时间戳n数字证书2022-7-23电子商务概论42数数 字字 签签 名名 采用数字签名的目的：采用数字签名的目的：n保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。n保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。数字签名的实现方式：数字签名的实现方式：发送方从报文中生成报文摘要，发送方利用自己的私钥对其加密形成发送方的数字签名，和报文一起发送给对方，接收方接收了报文后首先分离出数字签名，利用发送方的公钥解密，并利用原始报文计算出报文摘要，若二者吻合，确定数字签名是发送

19、方的。2022-7-23电子商务概论43信息Hash摘要加密Privare key加密数字签名发送数字签名信息Hash加密Publice key摘要比较两者如一致信息被确认数数 字字 签签 名名 过过 程程2022-7-23电子商务概论44数数 字字 信信 封封“数字信封”(也称电子信封)技术：用密码技术的手段保证只有规定的收信人才能阅读信的内容。具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文

20、。经加密的密钥私人密钥B加密解密公开密钥B对称密钥对称密钥普通报文普通报文密文AB2022-7-23电子商务概论45数数 字字 时时 间间 戳戳n网络安全中，需要对传输资料文件的日期和时间信息采取安全措施，可通过DTS(Digital Time-stamp Service)实现，它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。n组成：（1）需要加载时间戳的日期和时间；（2）DTS收到文件的日期和时间；(3)DTS的数字签名2022-7-23电子商务概论46数数 字字 证证 书书 什么是数字证书v 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中

21、的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。v 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。v 证书的格式遵循ITU X.509国际标准。2022-7-23电子商务概论47数字证书的三种类型数字证书的三种类型个人证书n它仅仅为某一个用户提供数字证书。企业（服务器）数字证书n它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书n它通常为因特网中被下载的软件提供数字证书。2022-7-23电子商务概论48一个标准的一个标准的X.509X.509数

22、字证书内容数字证书内容 证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的数字签名。2022-7-23电子商务概论49数字证书的作用数字证书的作用n使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方

23、的身份；发送方对于自己的信息不能抵赖。2022-7-23电子商务概论50 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。数字证书原理简介数字证书原理简介2022-7-23电子商务概论51认认 证证 中中 心心认证中心，又称为证书授证(Certificate Authority)中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用n证书的颁发；n证书的更新

24、；n证书的查询；n证书的作废；n证书的归档。2022-7-23电子商务概论52数字证书在网上招标系统中的应用身份确定？传输安全？抵赖？2022-7-23电子商务概论531、个人数字证书的申请 个人数字证书介绍 可以利用个人数字证书来发送签名或加密的电子邮件。个人数字证书分为二个级别 第一级数字证书，仅仅提供电子邮件的认证，不对个人的。真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。个人数字证书的获得 当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三五天内即可颁发数字证书。数字证书的申请、颁发数字证书的申请、颁发2022-7

25、-23电子商务概论542、服务器数字证书的申请 Web服务器证书的作用：验证Web服务器的真实性。(1)服务器数字证书的情况分析 服务器数字证书的可信度是建立在：对管理和操作该服务器的组织或单位的进行必要的信用调查；接受数字证书操作的严密规范；强有力的技术支持，例如，难以破解的加密技术；设备的高可靠性。2022-7-23电子商务概论55安安 全全 交交 易易 的的 过过 程程用户B 数字 证书用户A 数字 证书加密数字信封数字签名数字签名解密密文明文明文加密Hash加密密文A用户用户A 的私 有签名密钥数字签名对称密钥+密文加密解密用户A 数字 证书数字签名明文信息摘要信息摘要比较Hash+用

26、户A 的公 开签名密钥用户B 的私 有密钥B用户用户B 的公 开签名密钥对称密钥对称密钥+对称密钥信息摘要数字信封数字信封2022-7-23电子商务概论56 A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。A用户再把数字签名及自己的数字证书附在明文后面。A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥

27、对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。2022-7-23电子商务概论57电子商务安全技术协议电子商务安全技术协议 SSL:安全套层协议（会话层）n在建立连接的过程中采用公开密钥；n在会话过程中采用专用密钥；n每一次会话都要求服务器使用专用密钥的操作和一次使用客

28、户机公开密钥的操作。SET:安全电子交易协议（应用层）n对消费者、商户、收单行进行认证。2022-7-23电子商务概论58 SSL握手协议基本特点:n能对通信双方的身份的认证；n进行协商的双方的秘密是安全的；n协商是可靠的。SSL记录协议基本特点:n连接是专用的；n连接是可靠的。2022-7-23电子商务概论59SSL的工作过程的工作过程40位或28位密钥加密密文解密浏览器Web服务器2022-7-23电子商务概论60 SET SET 安安 全全 技技 术术1、SET协议的作用个人账号信息与订单信息的隔离。商家只能看到定货信息,而看不到持卡人的帐户信息。对交易者的身份进行确认和担保。持卡人、商

29、家和银行等交易者通过第三方权威机构的身份认证服务。统一协议和报文的格式。使不同厂家开发的软件能相互兼容。2022-7-23电子商务概论61 SET的优点 SET保证了商家的合法性，并且用户的信用卡号不会被窃取。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。SET可以用在系统的一部分或者全部。2022-7-23电子商务概论62SETSET中的安全技术中的安全技术消费者在线商店收单银行支付网关发卡银行批准确认确认审核请求协商审核订单确认认证中心认证认证认证2022-7-23电子商务概论63SET协议的核心技术协议的核心技术1、用DES算法的对称密钥技术。2、采用RSA算法的非对称密钥技术。3、数字签名技术。4、数字信封。2022-7-23电子商务概论64二者的区别二者的区别v SSL SSL协议提供了客户端认证和服务器端认证，协议提供了客户端认证和服务器端认证，其中以服务器端认证最为常用；其中以服务器端认证最为常用；v SETSET协议提供的安全保障更为全面，主要用在协议提供的安全保障更为全面，主要用在CACA，持卡者，商家服务器和支付网关之间。持卡者，商家服务器和支付网关之间。