第八章 電子商務安全ppt課件

1、第八章 電子商務平安 學 習 目 標 1.了解電子商務的主要平安要挾。 2.了解電子商務對平安的根本要求。 3.了解電子商務的平安體系。 4.熟習電子商務常用的平安技術。.引 導 案 例國外1988年11月2日，美國康奈爾大學學生羅伯特莫瑞斯利用蠕蟲程序攻擊了Internet網上約6200臺小型機和Sun任務站，呵斥包括美國300多個單位的計算機停頓運轉，事故經濟損失達9600萬美圓。病毒破壞 .國外1994年4月到10月期間，任職于俄國圣彼得堡OA土星公司的弗拉基米爾列列文從本國支配電腦，經過Internet多次侵入美國花旗銀行在華爾街的中央電腦系統(tǒng)的現金管理系統(tǒng)，從花旗銀行在阿根廷的兩家銀

2、行和印度尼西亞的一家銀行的幾個企業(yè)客戶的帳戶中將40筆款項轉移到其同伙在加里福尼亞和以色列銀行所開的帳戶中，竊走1000萬美圓。 信息竊取 .國外2000年2月7日9日，Yahoo, ebay, Amazon 等著名網站被黑客攻擊，直接和間接損失10億美圓。黑客攻擊 .國內1997年1月到3月，寧波證券公司深圳業(yè)務部的任務人員曾定文多次經過證券買賣網絡私自透支本單位資金928萬元炒股；而吳敬文那么利用兩個股東帳號私自透支本單位資金2033萬元炒股。 人為操作2000年4月22日8時許，地處深圳市的中國最大的互聯網交友網站“情網忽然癱瘓。 人為破壞.國內2000年春天，有人利用普通的技術，從電子

3、商務網站竊取到8萬個信譽卡號和密碼，標價26萬元出賣。信息竊取 .CNNIC 調 查 結 果 用戶以為目前網上買賣存在的最大問題是： 1、平安性得不到保證 23.4% 2、產質量量和效力欠缺 15.2% 3、商家信譽得不到保證 14.1% 4、付款不方便 10.8% 5、價錢不夠誘人 10.8% 6、送貨不及時 8.6% 7、網上提供的信息不可靠 6.4% 8、其它 0.7% .第一節(jié) 電子商務的平安問題 電子商務的主要平安隱患 系統(tǒng)中斷Interruption破壞系統(tǒng)的有效性 竊取信息Interception) 破壞系統(tǒng)的性 篡改信息Modification破壞系統(tǒng)的完好性 偽造信息Fabr

4、ication 破壞系統(tǒng)的真實性 買賣抵賴 The transaction denies 無法達成買賣. 電子商務平安買賣的根本要求信息的嚴密性信息的完好性買賣者身份的真實性不可抵賴性系統(tǒng)的可靠性.第一層 數據信息平安 第二層 軟件系統(tǒng)平安措施 第三層 通訊網絡平安措施 第四層 硬件系統(tǒng)平安措施 第五層 物理實體平安措施 第六層 管理細那么 維護措施 第七層 法律 規(guī)范 品德 紀律 電子商務平安買賣層次模型.第二節(jié) 電子商務的平安技術病毒防備技術身份識別技術防火墻技術虛擬公用網技術密碼技術認證技術. 病 毒 防 范 技 術1.安裝防病毒軟件2.控制權限可以將網絡系統(tǒng)中易感染病毒的文件的屬性、權

5、限加以限制，對各終端用戶，只許他們具有只讀權限，斷絕病毒入侵的渠道，到達預防的目的。.3.仔細執(zhí)行病毒定期清理制度 病毒定期清理制度可以去除處于埋伏期的病毒，防止病毒的忽然迸發(fā)，使計算機一直處于良好的任務形狀。4.加強數據備份和恢復措施. 身 份 識 別 技 術用戶身份識別技術可經過三種根本方式或其組合方式實現： 1用戶經過某個信息，例如經過口令訪問系統(tǒng)資源。2用戶知道的某個信息，并且利用包含這一信息的載體訪問系統(tǒng)資源，例如經過智能卡訪問系統(tǒng)。 3用戶利用本身所具有的某些生物學特征，如指紋、聲音、DNA圖案、視網膜掃描等。. 防 火 墻 技 術1、防火墻firewall的概念 是加強因特網與內

6、部網之間平安防備的一個或一組軟件和硬件系統(tǒng)。它具有限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。是一種訪問控制機制。. 2、 防火墻的功能隔離內部網絡和外部網絡限制內部用戶和外部用戶的訪問權限外部網防火墻內部網.3、 防火墻的任務原理 兩個邏輯關系“凡是未被準許的就是制止的“凡是未被制止的就是允許的.4、 防火墻的主要實現技術數據包過濾技術代理效力技術.數據包過濾也稱分組過濾技術是在網絡層對數據包中的IP地址過濾。假設防火墻設定某一IP地址不適宜訪問的話，從這個地址來的一切信息都會被防火墻屏蔽掉。優(yōu)點便是對用戶透明，不要求客戶機和效力器作任何修正，處置速度快而且易于維護。缺陷僅僅

7、依托特定的邏輯斷定能否允許數據包經過。一旦滿足邏輯，那么防火墻內外的計算機系統(tǒng)建立直接銜接，防火墻外部的用戶便有能夠直接了解防火墻內部的網絡構造和允許形狀，這能夠導致非法訪問和攻擊。 .代理效力是針對數據包過濾技術存在的缺乏而引入的新型防火墻技術。代理效力不像前一種技術在經過驗證后內外的計算機直接銜接通訊，而是在內部與外部的系統(tǒng)之間加一層效力器，用該效力器來做中間代理功能。由于代理訪問的中間作用，攻擊的也只是代理效力器，而不會是網絡內部的系統(tǒng)資源。.客 戶客戶代理訪問控制效力器代理防火墻代理服 務應對轉發(fā)懇求轉發(fā)應對訪問懇求代理效力型防火墻任務表示圖.防火墻的局限性：1防火墻無法防備內部用戶的

8、攻擊2防火墻無法防備不經過它的銜接3防火墻很難防備病毒4防火墻不能防備新的網絡平安問題5防火墻不能防止數據驅動式攻擊. 密 碼 技 術 密碼技術的根本思想是偽裝信息，隱藏信息的真實內容，以使未授權者不能了解信息的真正含義，到達嚴密的作用。詳細的就是對信息進展一組可逆的數學變換。 偽裝前的信息稱為明文，偽裝后的信息稱為密文，將信息偽裝的過程稱為加密，將密文再復原為明文的過程稱為解密，解密是在解密密鑰key的控制下進展的，用于解密的這組數學變換稱為解密算法。.密碼技術組成要素 1、明文和密文 2、解密算法 3、加、解密密鑰key 4、加密和解密. 用移位加密算法闡明一個加解密的過程， 明密文對照關

9、系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點發(fā)動總攻 JIN WAN JIU DIAN FA DONG ZONG GONG密文：MLQ ZDQ MLX GLDQ ID GRQJ CRQJ JRQJ例如，要發(fā)送一個軍事命令給前線，明文為“今晚9點發(fā)動總攻。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過程。. 普通情況下，密碼技術根據運用的加解密算法和密鑰原理等任務方式的不同分為不同的密碼體制。.明 文信 道解密算法加密算法明 文加密密鑰解密密鑰 密鑰竊取者密碼體制.

10、如今廣泛運用的兩種密碼體制： 1、對稱密鑰密碼體制 2、非對稱密鑰密碼體制. 對稱密鑰密碼體系對稱密鑰密碼體系(Symmetric Cryptography)又稱單密鑰密碼體制One-key System 。即信息交換雙方共同商定一個口令或一組密碼，建立一個通訊雙方共享的密鑰。任務原理如以下圖：加密明文密文 明文 密鑰解密 A方B方.優(yōu)點：對稱密鑰密碼體系加密、解密速度很快(高效) 。缺陷：平安性能差； 密鑰難于管理；.非對稱密鑰密碼體系非對稱密鑰密碼體系(Asymmetric Cryptography)也稱雙密鑰密碼體制Two-key System 。信息交換一方掌握兩個不同的密鑰：一個是可

11、以公開的密鑰作為加密密鑰常稱公鑰；另一個那么是保管的作為解密密鑰常稱私鑰。任務原理如以下圖： 加密明文 密 文明文 解密 B方公鑰B方私鑰A方B方.優(yōu)點：非對稱密鑰密碼體系平安性能高，運用方便靈敏。缺陷：加密、解密速度慢。.電子信封技術電子信封(也稱“數字信封)技術，詳細操作方法是：發(fā)信方需求發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸到收信方。收信方首先運用本人的私有密鑰解密被加密的對稱密鑰。再用該對稱密鑰解密出真正的報文。 .經加密的密鑰 私人密鑰B加密 解密 公開密鑰B對稱密鑰 對稱密鑰 普通報文 普通

12、報文 密文 A方B方電子信封任務原理如以下圖：. 認 證 技 術 .數字摘要技術 數字摘要是采用單向Hash函數對文件中假設干重要元素進展某種加密變換運算SHA)得到固定長度128字節(jié)的摘要碼數字指紋，并在傳輸信息時將之參與文件一同傳送給接納方，接納方收到文件后，用一樣的方法進展變換運算，假設得到的結果與發(fā)送來的摘要碼一樣，那么可斷定文件未被篡改，反之亦然。 信息 摘要 信息 摘要 發(fā)送方SHA加密一同發(fā)送SHA加密接納方 摘要 對比.數字簽名技術 文件的數字簽名技術實踐上是經過數字摘要和非對稱密鑰加密體制兩者結合來實現的。 采用數字簽名，對傳輸數據實現了兩種維護： 1、完好性 2、真實性.數

13、字證書digital certificate, digital ID又稱數字憑證，是網絡通訊中標識通訊各方身份信息，并由一個可信任的、公正的權威機構即認證機構經審核頒發(fā)的電子文書。 數字證書.數字證書的特征1、是一種在Internet上驗證身 份的方式。2、由特定證書授權中心頒發(fā)的電 子文書。 3、證書的格式遵照ITU X.509國 際規(guī)范。 .數字證書的組成 .證書生成的流程：1證書懇求人提出懇求，并將必要的認證信息提交給CA。2CA對懇求人所提交的信息審查，檢查其正確性和合法性，對實體身份進展確認，生成數字證書的信息。3CA用本人的私鑰為證書加上數字簽名。4CA將證書發(fā)放給用戶，將證書的副

14、本存底并發(fā)布于證書庫中，以備他人查詢。. 數字證書的三種類型 個人證書它僅僅為某一個用戶提供數字證書。 企業(yè)效力器數字證書它通常為網上的某個Web效力器提供數字證書。 軟件開發(fā)者數字證書它通常為因特網中被下載的軟件提供數字證書。.認證機構certificate authority，CA也稱認證中心，是數字證書的簽發(fā)機構，它經過本身的注冊審核體系，檢查核實進展證書懇求的用戶身份和各項相關信息，并將相關內容列入發(fā)放的證書域內，運用戶屬性的客觀真實性與證書的真實性一致。 認證機構.CA是提供身份驗證的第三方機構，由一個或多個用戶信任的組織實體構成。CA主要是處理電子商務活動中買賣參與各方身份、資信的認定，維護買賣活動的平安。 認證機構的特征.第三方.證書的樹形驗證構造 在雙方通訊時，假設對簽發(fā)證書的CA本身不信任，那么可驗證CA的身份，依次類推，不斷到公認的權威CA處。. 認證中心的