1、谢谢观赏谢谢观赏第8章 电子商务安全技术案例引入案例引入1电子商务安全概述电子商务安全概述2电子商务安全体系电子商务安全体系3电子商务安全技术电子商务安全技术4电子商务安全应用电子商务安全应用51谢谢观赏谢谢观赏2019-9-14案例导入案例导入 淘宝网淘宝网1元元“错价门错价门”事件事件-电子商务安全不容忽视电子商务安全不容忽视 中国中国IDC评述网评述网2009年年09月月14日报道:互联网上从来不乏标日报道:互联网上从来不乏标价价1元的商品。近日,淘宝网上大量商品标价元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘
2、宝网发布公告称,哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件此次事件为第三方软件“团购宝团购宝”交易异常所致。部分网民和商户询问交易异常所致。部分网民和商户询问“团购宝团购宝”客服得到自动回复称:客服得到自动回复称:“服务器可能被攻击,已联系技术紧服务器可能被攻击,已联系技术紧急处理。急处理。”这起这起“错价门错价门”事件发生至今已有两周,导致事件发生至今已有两周,导致“错价门错价门”的真的真实原因依然是个谜,但与此同时,这一事件暴露出来的电子商务安全实原因依然是个谜,但与此同时,这一事件暴露出来的电子商务安全问题不容小觑。问题不容小觑。资料来源资料来源:h
3、ttp:/ 作者略有删减作者略有删减28.1 电子商务安全概况电子商务安全概况8.1.1 电子商务安全概念与特点电子商务安全概念与特点1.1.电子商务安全的定义电子商务安全的定义 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。2019-9-14计算机网路安全计算机网路安全电子商务安全电子商务安全商务交易安全商务交易安全包括计算机的网络设备安全包括计算机的网络设备安全、计算机网络系统安全、数、计算机网络系统安全、数据库安全据库安全主要保证电子商务的保密性主要保证电子商务的保密性、完整性、可鉴别性、不可、完整性、
4、可鉴别性、不可伪造性和不可抵赖性伪造性和不可抵赖性3谢谢观赏谢谢观赏谢谢观赏谢谢观赏2019-9-14案例导入 2.2.电子商务安全特点电子商务安全特点u电子商务安全是一个系统概念电子商务安全是一个系统概念u电子商务安全是相对的电子商务安全是相对的u电子商务安全是有代价的电子商务安全是有代价的u电子商务安全是发展的、动态的电子商务安全是发展的、动态的4谢谢观赏谢谢观赏2019-9-14案例导入v 1对客户机的安全威胁对客户机的安全威胁1动态网页内容动态网页内容2相关技术或机制相关技术或机制 动态网页有多种形式,最著名的动态网页有多种形式,最著名的动态网页形式包括动态网页形式包括JavaScri
5、pt和和VBScript、Java Applet和和ActiveX控件等控件等1)cookies2)邮件通讯簿3)信息隐蔽52对通信信道的安全威胁对通信信道的安全威胁 (1)搭线窃听)搭线窃听 (2)IP欺骗欺骗 (3)IP源端路由选择源端路由选择 (4)目标扫描)目标扫描谢谢观赏谢谢观赏2019-9-146v3对服务器的安全威胁对服务器的安全威胁谢谢观赏谢谢观赏2019-9-14(1)WWW服务器服务器(2)数据库服务器)数据库服务器(3)CGI(4)ASP(5)邮件炸弹)邮件炸弹(6)溢出攻击)溢出攻击(7)口令破译)口令破译7v8.1.3 电子商务安全要素电子商务安全要素谢谢观赏谢谢观赏
6、2019-9-14保密性保密性完整性完整性认证性认证性不可抵赖性不可抵赖性不可拒绝性不可拒绝性访问控制性访问控制性电子商务安全核心电子商务安全核心8谢谢观赏谢谢观赏2019-9-14v1保密性保密性 商务数据的保密性(商务数据的保密性(Confidentiality)是指信息在网络上传输或存)是指信息在网络上传输或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织,或者经过储的过程中不被他人窃取、不被泄露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。加密伪装后,使未经授权者无法了解其内容。v2完整性完整性v 商务数据的完整性(商务数据的完整性(Integrity)是
7、指保护数据的一致性,防止数据)是指保护数据的一致性,防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始数据被更改。数据被更改。9谢谢观赏谢谢观赏2019-9-14v3认证性认证性v 商务对象的认证性商务对象的认证性(Authentication)或称真实性是指网络两或称真实性是指网络两端的使用者在通信之前相互确认对方的身份,保证交易方确实存在,端的使用者在通信之前相互确认对方的身份,保证交易方确实存在,而并非有人假冒。而并非有人假冒。v4不可否认性不可否认性v 商务服务的不可否认性商务服务的不可否认性(Non-r
8、epudiation)或称不可抵赖性或称不可抵赖性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。的信息,这是一种法律有效性要求。10v5不可拒绝性不可拒绝性v 商务服务的不可拒绝性商务服务的不可拒绝性(Denial of service)或称可靠性是指保或称可靠性是指保证授权用户在正常访问信息和资源时不被拒绝,即为用户提供稳定可证授权用户在正常访问信息和资源时不被拒绝,即为用户提供稳定可靠的服务。靠的服务。v 6访问控制性访问控制性v 访问控制性访问控制性(Access control)或称可
9、控性规定了主体访问客体或称可控性规定了主体访问客体的操作权力限制,以及限制进入物理区域的操作权力限制,以及限制进入物理区域(出入控制出入控制)和限制使用计算和限制使用计算机系统和计算机存储数据的过程机系统和计算机存储数据的过程(存取控制存取控制)。包括人员限制、数据标。包括人员限制、数据标识、权限控制、控制类型和风险分析等。识、权限控制、控制类型和风险分析等。谢谢观赏谢谢观赏2019-9-1411v8.2.1 电子商务安全框架电子商务安全框架v v 一个安全的电子商务系统应构建以策略为指导、技术为基础、管一个安全的电子商务系统应构建以策略为指导、技术为基础、管理为核心的安全框架。在安全策略指导
10、下,建立统一的安全管理平台,理为核心的安全框架。在安全策略指导下,建立统一的安全管理平台,提供全面的安全服务,形成一个互为协作的统一体,使整个系统覆盖提供全面的安全服务,形成一个互为协作的统一体,使整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,从而形成完整的电子商务安全框架。需求,从而形成完整的电子商务安全框架。谢谢观赏谢谢观赏2019-9-14121.安全策略安全策略可采用的安全策略一般有可采用的安全策略一般有:(1)物理结构物理结构:同因特网物理隔离,同内部局域网逻辑隔离。同因特网物理隔离,同内部局
11、域网逻辑隔离。(2)敏感信息敏感信息:链路加密、文件加密传输、重要数据加密存储。链路加密、文件加密传输、重要数据加密存储。(3)安全认证安全认证:建立建立PKI/CA系统和授权管理。系统和授权管理。(4)适度安全防护适度安全防护:从技术安全中选择适当防护措施。从技术安全中选择适当防护措施。(5)安全管理与审计安全管理与审计:加强安全审计,建立统一的安全管理平台。加强安全审计,建立统一的安全管理平台。谢谢观赏谢谢观赏2019-9-14132.安全框架安全框架 (1)物理与线路传输安全框架)物理与线路传输安全框架 (2)网络安全防御框架网络安全防御框架 (3)主机与系统安全框架主机与系统安全框架
12、(4)数据与应用安全框架数据与应用安全框架 (5)统一安全管理框架统一安全管理框架谢谢观赏谢谢观赏2019-9-1414谢谢观赏谢谢观赏2019-9-148.2.2 电子商务安全体系结构电子商务安全体系结构 电子商务安全框架是保证电子商务中数据安全的电子商务安全框架是保证电子商务中数据安全的,一个完整的逻辑结构,由五个部分组成一个完整的逻辑结构,由五个部分组成15v8.2.3 电子商务安全基础环境电子商务安全基础环境v 电子商务安全基础环境是指从整体电子商务系统或网络支付系统电子商务安全基础环境是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用的角
13、度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联,包括的内容有:软件等互相关联,包括的内容有:v 1.行政管理行政管理v (1)核心设备的密码由双人管理。核心设备如服务器、存储器、交换核心设备的密码由双人管理。核心设备如服务器、存储器、交换机、路由器等。机、路由器等。v (2)对用户的注册、退网、用网等有严格的管理规章制度。对用户的注册、退网、用网等有严格的管理规章制度。v (3)对数据交换中心核心信息的增加、删除和备份要严格实行登记制对数据交换中心核心信息的增加、删除和备份要严格实行登记制度。度。v (4)对系统的运行要有监控和应急处理措施,特别是门户网站的对系统的运行
14、要有监控和应急处理措施,特别是门户网站的24小时监控、预警和快速恢复。小时监控、预警和快速恢复。v (5)网络中心机房的屏蔽技术,要经当地保密部门测试和认可。网络中心机房的屏蔽技术,要经当地保密部门测试和认可。v (6)网络中心机房的双路供电和不间断电源条件应满足实际需要。网络中心机房的双路供电和不间断电源条件应满足实际需要。谢谢观赏谢谢观赏2019-9-14162.基于网络设施的基本安全防御系统基于网络设施的基本安全防御系统 网络设施的基本安全防御包括防火墙、入侵检测、防病毒、脆弱网络设施的基本安全防御包括防火墙、入侵检测、防病毒、脆弱 性扫描、防性扫描、防WEB篡改、链路加密、安全审计和入
15、网认证等。篡改、链路加密、安全审计和入网认证等。(1)防火墙防火墙 (2)入侵检测系统入侵检测系统(IDS)(3)病毒防护病毒防护 (4)漏洞扫描漏洞扫描 (5)物理隔离物理隔离 (6)链路加密和链路加密和VPN (7)入网认证与审计入网认证与审计谢谢观赏谢谢观赏2019-9-1417v 3.基于基于PKI的的CA安全认证安全认证v 包括电子身份认证、授权、密码管理、密钥管理、可信任时间戳包括电子身份认证、授权、密码管理、密钥管理、可信任时间戳管理等。建立认证授权中心,对公众网络用户实行安全证书发放、入管理等。建立认证授权中心,对公众网络用户实行安全证书发放、入网认证、授权服务和管理。网认证、
16、授权服务和管理。v 4.数据加密数据加密v 数字加密是利用数学算法将明文转变为不可能理解的密文和反过数字加密是利用数学算法将明文转变为不可能理解的密文和反过来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。来将密文转变为可理解形式的明文的方法、手段和理论的一门科学。v 对基础数据和核心数据实行加密处理,当用户欲访问数据库时除对基础数据和核心数据实行加密处理,当用户欲访问数据库时除了入网认证、服务器权限管理、磁盘目录属性管理和文件读了入网认证、服务器权限管理、磁盘目录属性管理和文件读/写权限写权限管理之外,对数据库的记录、记录字段增加读、改、写权限并进行加管理之外,对数据库的记录、记录
17、字段增加读、改、写权限并进行加密处理,无权读密处理,无权读(或写或写)的用户不能看到数据库中任何数据,即使数据的用户不能看到数据库中任何数据,即使数据被窃也无泄密之险。被窃也无泄密之险。谢谢观赏谢谢观赏2019-9-14185.容灾备份容灾备份 容灾备份中心的主要功能:定期备份数据交换中心的数据;在灾容灾备份中心的主要功能:定期备份数据交换中心的数据;在灾难性故障发生的时候临时提供服务。难性故障发生的时候临时提供服务。容灾备份中心的主要设备包括容灾备份中心的主要设备包括:服务器、交换机、路由器和大容量服务器、交换机、路由器和大容量光盘存储器。光盘存储器。6.统一安全管理统一安全管理 多数的电子
18、商务系统涉及大量的网络设备、主机设备、安全设备多数的电子商务系统涉及大量的网络设备、主机设备、安全设备以及其他设施和人员,对安全的要求较高,造成管理的复杂度很高。以及其他设施和人员,对安全的要求较高,造成管理的复杂度很高。某些分散的管理降低了管理的效率和效果。所以需要建立一个统一的某些分散的管理降低了管理的效率和效果。所以需要建立一个统一的安全管理平台,对整个网络进行统一的安全管理。安全管理平台,对整个网络进行统一的安全管理。谢谢观赏谢谢观赏2019-9-14198.3 电子商务安全技术电子商务安全技术8.3.1密码技术密码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术
19、是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢
20、谢观赏谢谢观赏2019-9-14208.3 电子商务安全技术电子商务安全技术8.3.1密码技术密码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或
21、读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢谢观赏谢谢观赏2019-9-14218.3 电子商务安全技术电子商务安全技术8.3.1密码技术密码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加
22、密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢谢观赏谢谢观赏2019-9-14228.3 电子商务安全技术电子商务安全技术8.3.1密码技术密码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。
23、术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢谢观赏谢谢观赏2019-9-14238.3 电子商务安全技术电子商务安全技术8.3.1密码技术密
24、码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和
25、商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢谢观赏谢谢观赏2019-9-14248.3 电子商务安全技术电子商务安全技术8.3.1密码技术密码技术 加密技术是保证电子商务安全的重要手段,是信息安全的核心技加密技术是保证电子商务安全的重要手段,是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。术。它主要包括加密、签名认证和密钥管理三大技术。1.加密技术加密技术 加密技术是保证电子商务安全的重要手段。所谓加密就是使用加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据,使得除了合法的接收者外,任何其他人要数学方法来重新组织数据,使
26、得除了合法的接收者外,任何其他人要想恢复原先的想恢复原先的“报文报文”或读懂变化后的或读懂变化后的“报文报文”是非常困难的。是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。许多密码算法现已成为网络安全和商务信息安全的基础。谢谢观赏谢谢观赏2019-9-14258.3.2网络安全技术网络安全技术 网络安全是电子商务安全的基础,一个完整的电子商务系统应建网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到操作系统安全、防立在安全的网络基础设施之上。网络安全所涉及到操作系统安全、防火墙技术、火墙技术、VPN(Virtual Pager
27、NetWork;虚拟专用网;虚拟专用网)技术和技术和各种反黑客技术和漏洞检测技术等。各种反黑客技术和漏洞检测技术等。防火墙是建立在通信技术和信息安全技术之上,它用于在网络之防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范。主要用于审计,并对各种攻击提供有效的防范。主要用于Internet接入和专接入和专用网与公用网之间的安全连接。用网与公用网之间的安全连接。谢谢观赏谢谢观赏2019-9-1426谢谢观赏谢谢观赏2019-9-141.防火
28、墙体系结构防火墙体系结构 防火墙结构主要包括安全操作系统、过滤器、网关、域名服务和E-MAIL处理五个部分。27谢谢观赏谢谢观赏2019-9-14()屏蔽路由器防火墙()屏蔽路由器防火墙28谢谢观赏谢谢观赏2019-9-14()屏蔽主机网关防火墙()屏蔽主机网关防火墙29谢谢观赏谢谢观赏2019-9-14()双宿主机网关防火墙()双宿主机网关防火墙30谢谢观赏谢谢观赏2019-9-14(4)屏蔽子网防火墙)屏蔽子网防火墙31谢谢观赏谢谢观赏2019-9-14(5)安全服务器网络防火墙)安全服务器网络防火墙32 VPN也是一项保证网络安全的技术之一,它是指在公共网络中也是一项保证网络安全的技术之
29、一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,就播。企业只需要租用本地的数据专线,连接上本地的公众信息网,就可以和其各地的分支机构就可以在互相之间安全传递信息。可以和其各地的分支机构就可以在互相之间安全传递信息。使用使用VPN有节省成本、提供远程访问、扩展性强、便于管理和有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。实现全面控制等好处,是目前和今后企业网络发展的趋势。谢谢观赏谢谢观赏2019
30、-9-14338.3.3安全协议安全协议 安全协议是许多分布式系统安全的基础,是电子商务系统运行的安安全协议是许多分布式系统安全的基础,是电子商务系统运行的安全通信标准。全通信标准。1.电子支付协议电子支付协议 电子支付协议是指在电子交易过程中实现交易各方支付信息正确、安电子支付协议是指在电子交易过程中实现交易各方支付信息正确、安全、保密地进行网络通信的规范和约定。全、保密地进行网络通信的规范和约定。目前在电子支付中常用的安全协议有:安全套接层协议(目前在电子支付中常用的安全协议有:安全套接层协议(Secure Sockets Layer,SSL)和安全电子交易协议()和安全电子交易协议(Se
31、cure Electronic Transaction,SET)。)。SET协议是以银行卡为基础进行的在线交易安协议是以银行卡为基础进行的在线交易安全标准,为交易涉及的各方之间提供安全的通信信道服务;通过采用公钥全标准,为交易涉及的各方之间提供安全的通信信道服务;通过采用公钥密码体制和密码体制和X.509数字证书标准信任服务;提供交易各方信息的机密性数字证书标准信任服务;提供交易各方信息的机密性服务。服务。谢谢观赏谢谢观赏2019-9-14342.安全安全HTTP(S-HTTP)超文本传输协议超文本传输协议 超文本传输协议超文本传输协议(HTTP-Hypertext transfer prot
32、ocol)是是一种详细规定了浏览器和万维网服务器之间互相通信的规则,按照特一种详细规定了浏览器和万维网服务器之间互相通信的规则,按照特定的方式,浏览器与服务器传送相关数据。定的方式,浏览器与服务器传送相关数据。3.安全电子邮件协议安全电子邮件协议 安全电子邮件协议安全电子邮件协议(如如PEM、S/MIME等等)是指通过网络发送是指通过网络发送信件通信的规范和约定。信件通信的规范和约定。S/MIME安全多媒体安全多媒体Internet邮件扩展协邮件扩展协议,主要用于保障电子邮件的安全传输。例如:微软的议,主要用于保障电子邮件的安全传输。例如:微软的outlook express中使用该协议,采用
33、数字标识、数字凭证、数字签名以及中使用该协议,采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术,构成一种签名加密的邮件收发方式。非对称密钥系统等技术,构成一种签名加密的邮件收发方式。谢谢观赏谢谢观赏2019-9-14358.3.4 PKI技术技术 PKI(Public Key Infrastructure)是利用公钥算法原理和是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。政务、网上银行证券等提供一整套安全基础平台。PKI采用证书管理公钥,通过第三方的
34、可信机构采用证书管理公钥,通过第三方的可信机构CA,把用户的,把用户的公钥和用户的其他标识信息捆绑在一起,在公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户网上验证用户的身份,的身份,PKI把公钥密码和对称密码结合起来,在把公钥密码和对称密码结合起来,在Internet网上实网上实现密钥的自动管理,保证网上数据的机密性、完整性。现密钥的自动管理,保证网上数据的机密性、完整性。PKI的核心元素是数字证书,核心执行者是认证机构。数字证书的核心元素是数字证书,核心执行者是认证机构。数字证书服务的应用和实施是广泛开展电子商务的前提,电子商务的深入开展服务的应用和实施是广泛开展电子商务
35、的前提,电子商务的深入开展离不开数字证书技术和认证机构的正确督导。离不开数字证书技术和认证机构的正确督导。谢谢观赏谢谢观赏2019-9-14368.4 电子商务安全应用电子商务安全应用8.4.1网络层安全服务网络层安全服务 网络层的安全服务主要保障安全的通讯服务。一般使用网络层的安全服务主要保障安全的通讯服务。一般使用IPSec(Security Architecture for IP network)方案,方案,IPSec可以使一个系统选择需要的安全协议,确定服务使用的算法,可以使一个系统选择需要的安全协议,确定服务使用的算法,并在适当的位置放置所请求服务所需要的任意加密密钥,从而在并在适当
36、的位置放置所请求服务所需要的任意加密密钥,从而在IP层提供安全服务,防止窃听层提供安全服务,防止窃听、篡改、伪造、拒绝服务攻击等。、篡改、伪造、拒绝服务攻击等。谢谢观赏谢谢观赏2019-9-14378.4.2传输层的安全服务传输层的安全服务 传输层的安全服务主要保障客户端和服务器之间的安全通讯,传输层的安全服务主要保障客户端和服务器之间的安全通讯,提供保密性和数据完整性。一般使用提供保密性和数据完整性。一般使用SSL/TLS(Transport Layer Security)方案。方案。SSL是在客户和商家通信之前,在是在客户和商家通信之前,在Internet上建立的一个秘密传输信息的信道,提
37、供加密、认证服务上建立的一个秘密传输信息的信道,提供加密、认证服务和报文的完整性验证。和报文的完整性验证。安全传输层协议(安全传输层协议(TLS)用于在两个通信应用程序之间提供保密)用于在两个通信应用程序之间提供保密性和数据完整性。用于在两个通信应用程序之间提供保密性和数据完性和数据完整性。用于在两个通信应用程序之间提供保密性和数据完整性整性SSL:(:(Secure Socket Layer,安全套接字层),位于可,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层靠的面向连接的网络层协议和应用层协议之间的一种协议层谢谢观赏谢谢观赏2019-9-14388.4.3应用
38、层安全服务应用层安全服务 应用层的安全服务,通常都是对每个应用应用层的安全服务,通常都是对每个应用(包括应用协包括应用协议议)分别进行修改和扩充,集成到应用协议上,常用的应用层分别进行修改和扩充,集成到应用协议上,常用的应用层安全协议有:安全超文本传输协议(安全协议有:安全超文本传输协议(S-HTTP)、安全电子交)、安全电子交易协议(易协议(SET)、)、Kerberos协议、协议、S/Mime和和PGP安全电安全电子邮件协议等。子邮件协议等。谢谢观赏谢谢观赏2019-9-14398.4.4提供计算机信息安全服务的组织提供计算机信息安全服务的组织 自从在自从在1988年莫里斯蠕虫横扫互联网之
39、后,出现了一些组织,年莫里斯蠕虫横扫互联网之后,出现了一些组织,彼此分享计算机系统威胁的信息。这些组织认为共享攻击及防卫信息彼此分享计算机系统威胁的信息。这些组织认为共享攻击及防卫信息可以帮助大家提高计算机安全。这些组织有些由大学组建,有些由政可以帮助大家提高计算机安全。这些组织有些由大学组建,有些由政府机构组建。府机构组建。第一个计算机安全应急响应组(第一个计算机安全应急响应组(Computer Emergency Response Team,简称,简称CERT)是在美国联邦政府)是在美国联邦政府资助下,在卡内基梅隆大学成立的。目前一些国家的资助下,在卡内基梅隆大学成立的。目前一些国家的CE
40、RT组织有:组织有:卡内基梅隆大学卡内基梅隆大学CERT(Coordination Center)、美国国土安)、美国国土安全部(全部(US-CERT)、中国国家计算机网络应急技术处理协调中心)、中国国家计算机网络应急技术处理协调中心(国家互联网应急中心,(国家互联网应急中心,CNCERT/CC)等。)等。谢谢观赏谢谢观赏2019-9-1440本章小结:本章小结:电子商务会受到各种安全威胁。攻击电子商务系统会使信息泄电子商务会受到各种安全威胁。攻击电子商务系统会使信息泄密或滥用,对用户财产造成损失。电子商务企业需要保护的常规资产密或滥用,对用户财产造成损失。电子商务企业需要保护的常规资产是客户机、电子商务通道和电子商务服务器。对电子商务链上各部分是客户机、电子商务通道和电子商务服务器。对电子商务链上各部分进行安全保护的关键是:机密性、完整性、认证性、不可抵赖性、不进行安全保护的关键是:机密性、完整性、认证性、不可抵赖性、不可拒绝性和访问控制性。所有的安全威胁都是针对这六项内容的某一可拒绝性和访问控制性。所有的安全威胁都是针对这六项内容的某一部分,所有的安全框架体系、安全基础环境及安全技术设计都是为了部分,所有的安全框架体系、安全基础环境及安全技术设计都是为了保证这六项内容进行的。保证这六项内容进行的。谢谢观赏谢谢观赏2019-9-1441谢谢观赏谢谢观赏42
