電子商務(wù)概論7章課件

1、電 子 商 務(wù) 安 全 技 術(shù) 章第7電 子 商 務(wù) 安 全 技 術(shù)章第71.電子交易的安全需求和安全威脅2.電子商務(wù)的安全體系角色構(gòu)成3.網(wǎng)絡(luò)安全技術(shù)：病毒防范技術(shù)、防火墻技術(shù)、VPN技術(shù)、安全檢測(cè)技術(shù)4.信息安全技術(shù)：密碼學(xué)的相關(guān)知識(shí)，加密技術(shù)5.安全認(rèn)證技術(shù)：認(rèn)證機(jī)構(gòu)（CA），數(shù)字證書(shū)、網(wǎng)絡(luò)安全通信6.安全電子交易技術(shù)：SSL協(xié)議、SET協(xié)議、公鑰基礎(chǔ)設(shè)施（PKI）7.1 電子交易的安全需求7.1.1電子商務(wù)的安全威脅7.1.1 電子交易的安全威脅電子商務(wù)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅具體表現(xiàn)形式如下：7.1.2 電子商務(wù)的安全要求1.機(jī)密性2.鑒別性3.完整性4.有效性5.不可抵賴性7.1.3

2、 電子商務(wù)安全體系的角色構(gòu)成7.1.4 電子商務(wù)的安全體系結(jié)構(gòu)電子商務(wù)的安全體系結(jié)構(gòu)包括所涉及的各個(gè)層面，大致為以下五個(gè)方面：網(wǎng)絡(luò)服務(wù)層次的網(wǎng)絡(luò)安全技術(shù)通信服務(wù)層次的信息安全技術(shù)安全認(rèn)證層次的安全認(rèn)證技術(shù)商務(wù)交易層次的安全電子交易技術(shù)電子商務(wù)應(yīng)用系統(tǒng)層次的管理安全技術(shù)7.2 網(wǎng)絡(luò)安全技術(shù)7.2.1 操作系統(tǒng)安全7.2.2 防火墻技術(shù)圖7-1包過(guò)濾路由器防火墻示意圖圖7-2代理服務(wù)用于雙重宿主主機(jī)的原理示意圖包過(guò)濾路由器包過(guò)濾防火墻安全區(qū)域InienetInienet防火墻代理服務(wù)器即雙重宿主主機(jī)InienetInienet1.實(shí)現(xiàn)防火墻的主要技術(shù)7.2.2 防火墻技術(shù)2、防火墻的主要類(lèi)型圖7-

3、3 雙重宿主主機(jī)體系結(jié)構(gòu)示意圖圖7-4 屏蔽主機(jī)防火墻體系結(jié)構(gòu)示意圖圖7-5 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)圖雙重宿主主機(jī)即防火墻InienetInienetInienetInienet外部路由器PMZ內(nèi)部路由器InienetInienet堡壘主機(jī)（代理服務(wù)器）受保護(hù)的內(nèi)部網(wǎng)包過(guò)濾路由器1. VPN的概念7.2.3 VPN技術(shù)2.實(shí)現(xiàn)VPN的安全協(xié)議7.2.3 VPN技術(shù)7.2.3 VPN技術(shù)圖7-6 兩個(gè)因特網(wǎng)站點(diǎn)之間建立的VPN示意圖InienetInienetInienet路由器路由器VPN通道(1)各站點(diǎn)必須在網(wǎng)絡(luò)設(shè)備上建立一臺(tái)具有VPN功能的設(shè)備，可以是一臺(tái)路由器、防火墻或?qū)ｉT(mén)用于VPN工作

4、的設(shè)備；(2)各站點(diǎn)必須知道對(duì)方站點(diǎn)使用的IP地址；(3)兩站點(diǎn)必須對(duì)使用的授權(quán)檢查和根據(jù)需要采用的數(shù)字證書(shū)方式達(dá)成一致；(4)兩站點(diǎn)必須對(duì)需要使用的加密方法和交換密鑰的方法達(dá)成一致。 （1）通過(guò)Internet實(shí)現(xiàn)安全遠(yuǎn)程用戶訪問(wèn)（2）通過(guò)Internet實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)（3）連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)7.2.3 VPN技術(shù)選擇VPN連接設(shè)備的種類(lèi)時(shí)，有幾個(gè)方面可供選擇。這些選擇可以分為如下三類(lèi)5. VPN產(chǎn)品選項(xiàng)7.2.3 VPN技術(shù)1. 病毒的概念計(jì)算機(jī)病毒是一種有很強(qiáng)破壞和感染力的計(jì)算機(jī)程序。這種程序和其他程序不同，當(dāng)把它輸入正常工作的計(jì)算機(jī)以后，會(huì)搞亂或者破壞已有的信息。它具有再生的能力，會(huì)

5、自動(dòng)進(jìn)入有關(guān)的程序進(jìn)行自我復(fù)制，沖亂正在運(yùn)行的程序，破壞程序的正常運(yùn)行。它像微生物一樣，可以繁殖，因此被稱為“計(jì)算機(jī)病毒”。7.2.4 計(jì)算機(jī)病毒防范技術(shù)引導(dǎo)區(qū)病毒文件型病毒 入侵型病毒外殼型病毒7.2.4 計(jì)算機(jī)病毒防范技術(shù)（3）按病毒特性分類(lèi)（2）按傳播媒介分類(lèi)（1）按工作機(jī)理分類(lèi)2. 病毒的類(lèi)型單機(jī)病毒網(wǎng)絡(luò)病毒系統(tǒng)病毒蠕蟲(chóng)病毒木馬病毒、黑客病毒腳本病毒宏病毒后門(mén)病毒7.2.4 計(jì)算機(jī)病毒防范技術(shù)3. 病毒的特性計(jì)算機(jī)病毒的防治要從三個(gè)方面進(jìn)行：7.2.4 計(jì)算機(jī)病毒防范技術(shù)3. 病毒的預(yù)防7.2.5 安全檢測(cè)與評(píng)估技術(shù)1.入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是防火墻技術(shù)的有力補(bǔ)充，它們可以和防火墻和

6、路由器配合工作。一般入侵檢測(cè)系統(tǒng)（IDS）處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)，掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。7.2.5 安全檢測(cè)與評(píng)估技術(shù)(2)入侵檢測(cè)系統(tǒng)的主要任務(wù)A集中式入侵檢測(cè)系統(tǒng)B分布式入侵檢測(cè)系統(tǒng)按數(shù)據(jù)源分類(lèi)按系統(tǒng)結(jié)構(gòu)分類(lèi)按入侵的時(shí)間分類(lèi)A基于主機(jī)的入侵檢測(cè)系統(tǒng)B基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)A實(shí)時(shí)入侵檢測(cè)系統(tǒng)B事后入侵檢測(cè)系統(tǒng)7.2.5 安全檢測(cè)與評(píng)估技術(shù).安全評(píng)估技術(shù)安全檢測(cè)和評(píng)估是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要很多不同背景的人員，從各個(gè)不同的方面支認(rèn)真研究分析。一種可行的有效的思路是：首先進(jìn)行各個(gè)單項(xiàng)檢測(cè)與評(píng)估，然后

7、再進(jìn)行綜合檢測(cè)與評(píng)估。7.3 信息安全技術(shù)7.3 信息安全技術(shù)7.3.1密碼學(xué)概述1.密碼學(xué)的含義密碼學(xué)是研究加密和解密變換的一門(mén)科學(xué)。它包含兩個(gè)分支，一是密碼編碼學(xué)；另一個(gè)是密碼分析學(xué)。2.密碼系統(tǒng)中的幾個(gè)概念（1）明文（2）密文（3）加密（4）解密（5）密鑰（6）密碼體制7.3.2 對(duì)稱密鑰密碼體質(zhì)文明HELLO密文# %對(duì)稱密鑰算法如DES密鑰文明HELLO密文# %對(duì)稱密鑰算法如DES密鑰圖7-71.數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES（Data Encrypt Standard）是對(duì)稱加密算法中最具代表性的算法。其加密過(guò)程和解密過(guò)程分別如圖7-7所示。 7.3.2 對(duì)稱密鑰密碼體質(zhì)缺點(diǎn)優(yōu)點(diǎn)但密鑰

8、管理困難。加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密。2對(duì)稱加密技術(shù)（DES）的優(yōu)缺點(diǎn)7.3.3 非對(duì)稱密鑰密碼體質(zhì)文明HELLO密文# %公開(kāi)密鑰算法如RSA公鑰文明HELLO密文# %公開(kāi)密鑰算法如RSA公鑰圖7-81. RSA算法1977年，Rivest、Shamir和Adleman三人實(shí)現(xiàn)了公開(kāi)密鑰密碼體制，并以三個(gè)人名字的首字母命名，簡(jiǎn)稱RSA公開(kāi)密鑰體制。其加密過(guò)程解密過(guò)程如圖7-8所示。7.3.3 非對(duì)稱密鑰密碼體質(zhì)缺點(diǎn)優(yōu)點(diǎn)相對(duì)于對(duì)稱密鑰算法來(lái)說(shuō)，公鑰算法計(jì)算速度非常慢公開(kāi)密鑰技術(shù)解決了密鑰的發(fā)布和管理問(wèn)題。2公開(kāi)加密技術(shù)（ RSA ）的優(yōu)缺點(diǎn)7.3.4 PGP加密技術(shù)PGP利用隨

9、機(jī)產(chǎn)生的對(duì)稱密鑰（IDEA算法）對(duì)明文加密，然后用RSA算法再對(duì)該對(duì)稱密鑰加密。收件人收到郵件后先用RSA算法解密出這個(gè)隨機(jī)對(duì)稱密鑰，再用IDEA算法解密郵件本身。2.PGP工作過(guò)程（1）加密文件（2）密鑰生成 （3）密鑰管理（4）收發(fā)電子函件（5）數(shù)字簽名（6）認(rèn)證密鑰1.PGP的功能認(rèn)證主要分為以下兩個(gè)方面:7.4 電子商務(wù)的認(rèn)證技術(shù)7.4.1認(rèn)證技術(shù)認(rèn)證（Authentication）是指核實(shí)真實(shí)身份的過(guò)程，是防止主動(dòng)攻擊的重要技術(shù)。7.4.2 證書(shū)機(jī)構(gòu)證書(shū)機(jī)構(gòu)(Certification Authority，即CA) 是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶的真實(shí)性。證書(shū)機(jī)構(gòu)的主要

10、功能有以下幾個(gè)：1.證書(shū)的頒發(fā)2.證書(shū)的更新3.證書(shū)的查詢4.證書(shū)的作廢5.證書(shū)的歸檔7.4.3 數(shù)字證書(shū)(1)除發(fā)送方和接收方外信息不被其他人竊??；(2)信息在傳輸過(guò)程中不被篡改；(3)接收方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)發(fā)送方的身份；(4)發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。7.4.3 數(shù)字證書(shū)2.數(shù)字證書(shū)格式（1）證書(shū)的版本號(hào)（2）數(shù)字證書(shū)的序列號(hào)（3）證書(shū)擁有者的姓名（4）證書(shū)擁有者的公開(kāi)密鑰（5）公開(kāi)密鑰的有效期（6）簽名算法（7）頒發(fā)數(shù)字證書(shū)的單位（8）頒發(fā)數(shù)字證書(shū)單位的數(shù)字簽名7.4.3 數(shù)字證書(shū)3.證書(shū)的類(lèi)型（1）個(gè)人證書(shū)（2）單位數(shù)字證書(shū)（3）服務(wù)器證書(shū)（4）安全電子郵件證書(shū)7.4.3

11、 數(shù)字證書(shū)4數(shù)字證書(shū)的應(yīng)用(3)通過(guò)SET協(xié)議實(shí)現(xiàn)信用卡網(wǎng)上安全支付(2)通過(guò)SSL協(xié)議實(shí)現(xiàn)瀏覽器與Web服務(wù)器之間的安全通信(1)通過(guò)S/MIME協(xié)議實(shí)現(xiàn)安全的電子函件系統(tǒng)7.5 安全電子交易技術(shù)在電子交易過(guò)程中，為了保證交易的安全性，需要采用數(shù)據(jù)的加密和身份認(rèn)證技術(shù)，以便使商家和客戶的機(jī)密信息都得到可靠的傳輸，并且雙方都能互相驗(yàn)證身份，防止欺詐行為。針對(duì)這種情況，在1994年底由Netscape首先引入了安全套接層協(xié)議（Secure Sockets Layer，即SSL），并在1996年6月由Master Card 和Visa 等九大公司聯(lián)合制定的標(biāo)準(zhǔn)安全電子交易協(xié)議 (Secure El

12、ectronic Transaction，即SET)也正式公布。7.5.1 SSL協(xié)議7.5.1 SSL協(xié)議2.SSL協(xié)議的實(shí)現(xiàn)模型應(yīng)用層協(xié)議（HTTP、TELNET、FTP、SMTP等）SLL握手協(xié)議（Handshake Protocol）SLL記錄協(xié)議（Record Protocol）TCO協(xié)議IP協(xié)議網(wǎng)絡(luò)接口層（各種局域網(wǎng)和廣域網(wǎng)）7.5.1 SSL協(xié)議7.5.2 SET協(xié)議圖7-12 數(shù)字拇印的形成過(guò)程示意圖圖7-13數(shù)字信封的形成過(guò)程示意圖圖7-14 數(shù)字簽名的實(shí)現(xiàn)過(guò)程示意圖明文Hash 算法數(shù)字拇印對(duì)稱密鑰數(shù)字信封接收方的公鑰明文Hash 算法，如MD5原始的Hash發(fā)送者私鑰簽名

13、算法，如RSA數(shù)字簽名 （6）數(shù)字時(shí)間戳（4）數(shù)字簽名（3）數(shù)字信封（2）數(shù)字拇印7.5.2 SET協(xié)議收單銀行發(fā)卡行支付網(wǎng)關(guān)商家2. SET協(xié)議中所涉及的主要對(duì)象持卡人認(rèn)證機(jī)構(gòu)7.5.2 SET協(xié)議(1)首先，消費(fèi)者在銀行開(kāi)立信用卡賬戶，獲得信用卡；(2)消費(fèi)者在商家的WEB頁(yè)上瀏覽商品目錄并選擇所需的商品；(3)消費(fèi)者選定好商品后，填寫(xiě)訂單并通過(guò)網(wǎng)絡(luò)傳遞給商家，同時(shí)附上付款指令；(4)商家收到訂單，同時(shí)支付網(wǎng)關(guān)收到支付指令向收單銀行請(qǐng)示支付許可；(5)收單銀行再通過(guò)銀行內(nèi)部網(wǎng)絡(luò)向發(fā)卡行請(qǐng)求確認(rèn)后，批準(zhǔn)交易，并向商家返回確認(rèn)信息；(6)商家發(fā)送訂單確認(rèn)信息給消費(fèi)者，并發(fā)貨給消費(fèi)者；(7)商家

14、請(qǐng)示銀行支付貨款，銀行將貨款由消費(fèi)者的賬戶轉(zhuǎn)移到商家的賬戶。 3SET協(xié)議的支付模型7.5.2 SET協(xié)議圖7-15 SET協(xié)議的模型示意圖發(fā)卡行收單銀行通知與轉(zhuǎn)賬消費(fèi)者（持卡人）業(yè)務(wù)服務(wù)器（商家）支付網(wǎng)關(guān)發(fā)訂單、支付指令SET開(kāi)戶回執(zhí)認(rèn)證機(jī)構(gòu)（CA）7.5.3 公鑰基礎(chǔ)設(shè)施鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，即PKI）是由加拿大的Entrust公司開(kāi)發(fā)的，支持SET、SSL協(xié)議、電子證書(shū)和數(shù)字簽名等。1PKI的組成(1)認(rèn)證機(jī)構(gòu)(2)證書(shū)庫(kù)(3)密鑰管理系統(tǒng)(4)證書(shū)管理系統(tǒng)(5)PKI應(yīng)用接口系統(tǒng)7.5.3 公鑰基礎(chǔ)設(shè)施2. 國(guó)外PKI應(yīng)用現(xiàn)狀7.5.3 公鑰基礎(chǔ)設(shè)施3.國(guó)內(nèi)PKI建設(shè)現(xiàn)狀7.5.3 公鑰基礎(chǔ)設(shè)施4. PKI應(yīng)用前景 電子商務(wù)的應(yīng)用系統(tǒng)安全管理首先應(yīng)當(dāng)保證系統(tǒng)的物理安全，提高系統(tǒng)本身的軟硬件系統(tǒng)的安全性，高可靠性；其次應(yīng)當(dāng)保證組織管理和人員錄用方面的可靠性。7.6 電子商務(wù)應(yīng)用系統(tǒng)的安全管理7.6.1 網(wǎng)絡(luò)釣魚(yú)網(wǎng)絡(luò)釣魚(yú)有以下特點(diǎn)：1加大制作網(wǎng)站的難度2 加強(qiáng)用戶驗(yàn)證手段，提高用戶安全意識(shí)3建立確認(rèn)機(jī)制來(lái)證明Web站點(diǎn)的合法性4加強(qiáng)網(wǎng)絡(luò)監(jiān)視5及時(shí)處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關(guān)的違法行為7.6.1 網(wǎng)絡(luò)釣魚(yú)6加強(qiáng)企業(yè)安全管理7