電子商務安全技術

第三章電子商務平安技術2023年3月，中國互聯網絡信息中心發(fā)布的《2023年中國網民網絡信息平安狀況調查報告》：2023年我國70%網民曾遭遇過網絡平安事件；超過九成網民均碰到過網絡釣魚網站，77.5%是因為在網絡下載或瀏覽時遭遇病毒或木馬的攻擊。黑客產業(yè)的攻擊重心從2023年起逐漸轉向社交和網購應用。其中，聊天、交友、微博等社交網絡的好友列表成為木馬和釣魚網站的主力傳播通道。2023年，釣魚網站、木馬等威脅已經給網絡購物用戶造成超過200億元的損失電子商務平安現狀網絡平安主要威脅1.詐騙短信鏈接2.惡意軟件泛濫3.日益詭詐的釣魚網站4.即時通訊成為主要攻擊對象5.網上銀行攻擊頻繁6.騷擾釣魚網站釣魚網站是一種網絡欺詐行為，指不法分子利用各種手段，仿冒真實網站的網址以及頁面內容，或者利用真實網站效勞器程序上的漏洞在站點的某些網頁中插入危險的網頁代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。特點：1、本錢低：制作一個釣魚網站本錢只有幾十元，域名也大多可以免費申請2、周期短：3-5天，被識破后，又將網頁內容切換到另一域名3、高偽裝性4、病毒式推廣：釣魚網站制作者和病毒、木馬以及流氓軟件的傳播者相互勾結，通過病毒、木馬、流氓軟件來彈出釣魚網站的廣告，針對特定目標的釣魚網站會通過一些聊天工具、貼吧、論壇或網絡游戲內置的聊天頻道來推廣。

現階段使用過程中常遇到的平安問題1、假銀行短信鏈接2、假公安局3、短信詐騙鏈接4、釣魚網站5、QQ詐騙鏈接6、QQ、微信被盜號假借朋友名義發(fā)來的騙錢7、上網過程中的惡意鏈接8、木馬9、銀行卡被復制電子商務系統(tǒng)平安1、計算機網絡平安2、電子商務交易平安計算機網絡平安是根底，電子商務交易平安是目標，只有在計算機網絡平安的前提下，電子商務交易平安才有可能。電子商務系統(tǒng)平安技術電子商務系統(tǒng)平安技術交易安全技術加密技術認證技術安全協議安全管理體系網絡安全技術病毒防范技術防火墻技術

VAN（虛擬專用網技術）網絡入侵檢測安全監(jiān)控網絡掃描法律、法規(guī)、政策保密性認證性完整性不可抵賴性有效性訪問控制性電子商務系統(tǒng)平安需求1、信息的保密性〔信息的局部或全部竊取〕2、信息的完整性〔發(fā)送方發(fā)送的信息和接收方收到的信息是完全一樣的〕電子商務系統(tǒng)平安交易的需求3、身份的認證性〔偽造身份〕4、不可否認性(發(fā)送方發(fā)送了信息否認接收方收到了信息抵賴〕5、信息的可靠性〔信息中斷、非法訪問〕電子商務網絡平安威脅1、物理實體的平安問題2、自然災害、意外事故3、黑客的惡意攻擊4、軟件的漏洞和“后門〞5、網絡協議的平安漏洞6、計算機病毒的攻擊操作系統(tǒng)、數據庫系統(tǒng)、防火墻、各種應用軟件等的漏洞和“后門〞HTTP、FTP|、IP、UDP等大多數協議都存在漏洞信息的有效性訪問的可控性電子商務系統(tǒng)平安1、計算機網絡平安計算機網絡設備平安、計算機網絡系統(tǒng)平安、數據庫平安、應用軟件平安等。2、電子商務交易平安計算機網絡平安與商務交易平安實際上是密不可分的，兩者相輔相成，缺一不可加密的概念用基于數學算法的程序和保密的密鑰對信息進行編碼，生成難以理解的字符串。加密技術的相關概念

明文：加密前的數據稱為明文，用M表示。密文：加密后的數據稱為密文，用C表示。

加密：把明文M經過加密算法E和加密密鑰Ke

的計算后得到密文C的過程稱為加密

解密：把密文C經過解密算法D和解密密鑰Kd

的計算后得到明文M的過程稱為解密

信息加密技術信息加密系統(tǒng)模型

加密方法的分類

●對稱加密〔私鑰加密〕●非對稱加密(公鑰加密)古代對稱加密：

愷撒密碼〔移位加密算法〕對于任意密鑰k將明文的每個字母循環(huán)后移k位得到密文，例如：設k=3明文：securemessage

密文：古代對稱加密：詞組密鑰密碼密鑰為２６字母的詞組，置換規(guī)那么為：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：對稱加密〔私鑰加密〕：Ke=Kd優(yōu)點對信息編碼和解碼的速度快，效率高。缺點如何將密鑰平安地送給接收方密文和密鑰的傳送通常需采用不同的渠道如何對數量龐大的密鑰進行分發(fā)、傳輸和存儲。加密的平安性主要取決于密鑰的長度。常用的現代對稱加密算法：DES算法

DES加密算法是由IBM公司在1970年研制的，1977年1月15日由美國國家標準局和美國國家標準協會對外宣布，作為非機密機構〔軍事機構〕的加密標準，用于絕大多數非絕密數據的加密。是典型的對稱加密算法DES算法在ATM、磁卡及智能卡、加油站、高速公路收費站等領域被廣泛應用。現代加密算法：公鑰加密體制又稱非對稱加密或雙鑰加密，它的概念是由美國Stanford大學的Diffie與ellman于1976年提出的。公鑰技術是二十世紀最偉大的思想之一改變了密鑰分發(fā)的方式可以廣泛用于數字簽名和身份認證效勞公鑰加密體制每個用戶都擁有一對密鑰：公開密鑰和私有密鑰。公開密鑰是公開信息，而私有密鑰是保密的，需要由用戶自己保密。如某企業(yè)的一對密鑰：

公開密鑰：ddrtiogkd315ssfg

私有密鑰：aq54677gfkgffghh公鑰加密體制公開密鑰體制特點：1、沒有任何兩個私有或公開密鑰是相同的；2、一個信息如果用A的私有密鑰加密，只能用A的公開密鑰才能解密；如果一個信息用A的公開密鑰加密，那么只能用A的私有密鑰才能解密。3、公開密鑰，不可能推算出私有密鑰。4、公開密鑰就象個人或企業(yè)名稱一樣，可以從公共機構得知；私有密鑰必須保密，否那么后果自負。5、如果一個人的私有密鑰泄漏，那么其公開密鑰也作廢．電子交易中公鑰加密應用實例A〕用接收方公鑰加密信息保密信息如：銀行有很多客戶，每個客戶都用銀行的公鑰加密，而銀行那么用私有密鑰解密。電子交易中公鑰加密應用實例B〕用自己的私鑰加密信息使發(fā)送者無法抵賴電子交易中公鑰加密應用實例非對稱密鑰系統(tǒng)〔公鑰加密〕：Ke<>Kd優(yōu)點N個人彼此之間傳輸保密信息只需N對密鑰，而且由于公鑰是公開的，所以公鑰的發(fā)布也不成問題。缺點加密和解密的速度相對慢一些常用加密算法RSA算法，根本原理：基于數論中一個大數很難分解為兩個素數之積。加密技術的應用1、數字摘要采用單向Hash函數對文件進行變換運算得到一串字符，稱為數字指紋或數字摘要。HASH算法特征：1〕數字摘要是一串無意義的某個長度的字符串〔128、160、256、512位等〕。2〕單向性：從數字摘要推算不出原文3〕唯一性：只有完全相同的兩個信息進行單向Hash函數算法后得到的數字摘要是相同的，兩個信息只要有一點差異，形成的數字摘要都完全不同；4〕單向Hash函數算法是一種公開的算法。數字摘要的作用：判斷信息在傳送過程中是否被修改，也即信息的完整性二、數字信封數字信封：信息發(fā)送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密〔這局部稱為數字信封〕之后，將它和信息一起發(fā)送給接收方，接收方先用自已的私有密鑰翻開數字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。數字信封作用：信息保密、完整性

123123對稱加密

用乙方公開密鑰加密私有密鑰原文密文1對稱密碼123123密文2乙方接收密文2得到對稱加密密碼123123密文1原文用123123解密信息信息信息比較相同？不同？信息發(fā)送方信息接收方數字簽名實現原理作用：1、對信息發(fā)送方身份認證，即簽名，發(fā)送方發(fā)送了信息的不可否認性。2、確認信息是否被修改，信息的完整性

數字時間戳技術

什么是數字時間戳〔DTS〕在交易文件中，時間和簽名一樣是十分重要的證明文件有效性的內容。數字時間戳就是用來證明信息的收發(fā)時間的。它對電子文件提供發(fā)表時間的平安保護。該效勞由專門的網絡效勞機構提供。

數字時間戳技術數字簽名CA認證機構CA〔CertificateAuthority〕：身份認證機構，也稱數字認證中心，是由權威的、公正的第三方機構來擔任，為各類用戶簽發(fā)數字證書的機構。CA的職能證書發(fā)放

證書查詢證書更新證書撤消

知名認證中心

①美國的Verisign公司〔微軟、網景、工行等〕②中國電信CTCA系統(tǒng)③中國金融認證中心CFCA④上海市電子商務平安證書管理中心⑤北京數字證書認證中心⑥廣東省電子商務認證中心⑦中國數字認證網我國CA建設現狀1、缺乏統(tǒng)籌和協調，沒有建立一個全國性根CA〔如美國的郵政CA〕，各地區(qū)都建成自己的一套CA體系2、交叉認證的不兼容在2005年4月1日實施的電子簽名法中明確推薦使用第三方證書，這樣就排除了商業(yè)銀行即當運發(fā)動又當裁判員時可能存在的各種風險。

數字證書，就是用電子手段來證實一個用戶的身份，由可信任的、權威的、公正的認證機構CA簽發(fā)的電子文件。具有信息可靠真實、防篡改的特點。其作用類似于現實生活中的身份證。證書中一般有如下幾項：數字證書1〕證書擁有者的信息；2〕證書擁有者的公開密鑰；3〕辦理數字證書的單位；4〕數字證書的有效期；5〕證書的版本號；6〕數字證書的序列號；7〕簽名算法認證機構對數字證書的內容進行審查核實后，對它數字簽名見阿里巴巴數字證書數字證書類型1、個人證書〔客戶證書〕1〕個人身份證書：2〕個人電子郵件證書：3〕個人網上銀行卡證書：數字證書類型2、企業(yè)數字證書：用于證實一個企業(yè)的真實身份，以便企業(yè)在網上進行各類電子商務活動3、設備數字證書：1〕WEB效勞器證書2〕網關證書4、代碼簽名數字證書：用于軟件開發(fā)人員對其開發(fā)的軟件代碼進行數字簽名，以防止軟件代碼被篡改，以防病毒或黑客數字證書的存儲1、硬盤2、USBKEY3、智能卡安全協議SSL協議、SET協議、網際郵件擴充協議〔S/MIME〕平安超文本傳輸協議〔S-HTTP〕PGP協議等SSL協議1．平安套接層〔SSL〕協議由Netscape公司1994年設計開發(fā)，是國際上最早應用于電子商務的一種平安協議,現在絕大局部的網絡效勞器和瀏覽器都支持SSL協議已成為信息保密通信的工業(yè)標準SSL的優(yōu)點、缺點優(yōu)點：1、能確保信息在互聯上平安傳輸。2、所有瀏覽器、效勞器都支持SSL，加、解密速度較快。缺點：1、無法保證商家不看持卡人的支付信息了，對客戶的身份認證不是必須的2、雙方不對信息做數字簽名，不能確保不可否認性。只適合小金額的交易。由VISA和MasterCard兩大信用卡公司于1997年5月聯合開發(fā)主要用以對信用卡支付時的平安加密具有信息保密性、完整性、不可否認性、認證性等特征SET已成為國際上所公認的在Internet上使用信息卡平安支付的標準已得到IBM、HP、微軟等絕大多數公司以及絕大多數銀行的支持。平安電子交易〔SET〕協議SET平安協議SET協議的特點保證信息的機密性保證支付信息的完整性多方認證使用本錢較高，操作較復雜，加解密時間較長計算機網絡平安技術1、防火墻技術2、VAN〔虛擬專用網技術〕3、網絡入侵檢測4、漏洞掃描5、防病毒技術防火墻防火墻定義：是設置在被保護網絡〔本地網絡〕和外界網絡〔主要指互聯網〕之間的軟件或硬件設備的組合，是兩個網絡之間的唯一通道，它對兩個網絡之間的通信進行控制，通過強制實施統(tǒng)一的平安策略，如允許或拒絕訪問，防止對重要信息資源的非法存取和訪問，以到達保護本地網絡平安的目的。防火墻例如圖內部網FTP效勞器WWW效勞器防火墻外部內部12Internet路由器防火墻防火墻例如圖可以是二層及假設干層防火墻關鍵技術分組過濾型〔包過濾型〕代理效勞器型

狀態(tài)檢測技術防火墻技術

1、分組過濾型防火墻1〕主要通過路由器及包過濾器來完成對外界計算機訪問內部網絡的限制2〕它根據IP數據包頭源地址，目的地址、端口號、協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發(fā)到相應的目的地，其余數據包那么被從數據流中丟棄；也可以指定或限制內部網絡訪問因特網。3〕包過濾器是運行在路由器上的一個軟件，它能阻止IP包通過路由器。大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的；端口：信息出入的通道，如果把IP地址比為一間房子，端口那么是出入房子的許多門，如TCP：21，:80，通過不同的端口號，可以使信息快速地到達不同的效勞器分組過濾型防火墻優(yōu)點：路由器都集成包過濾功能，費用少，效率高缺點：1、平安性差：不能防止對IP地址欺騙式攻擊，而偽裝IP地址是很容易的2、不識別應用層協議：假設內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁〔使用HTTP協議〕，不允許去外網下載電影〔一般使用FTP協議〕。包過濾防火墻無能為力，因為它不認識數據包中的應用層協議〔FTP、HTTP屬于應用層協議)3、不能記錄用戶訪問狀態(tài)信息,致使對攻擊無法追蹤應用型防火墻應用代理型防火墻是工作在應用層。內外網之間的信息都通過代理效勞器完成，完全"阻隔"了網絡通信流，通過對每種應用效勞編制專門的代理程序，實現監(jiān)視和控制應用層通信