电子商务安全-新版.ppt

2019年5月31日,电子商务概论,电子商务概论,Electronic Commerce,2019年5月31日,电子商务概论,2,第六章 电子商务安全,第一节 电子商务安全概述 第二节 常用的电子商务安全技术 第三节 电子商务安全管理,2019年5月31日,电子商务概论,3,掌握电子商务安全的主要内容 电子商务安全威胁及其相应的对策 掌握电子商务常用的安全技术 了解电子商务管理安全方法与策略。,本章学习目标,2019年5月31日,电子商务概论,4,据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。,第一节 电子商务安全概述,2019年5月31日,电子商务概论,5,2019年5月31日,电子商务概论,6,2019年5月31日,电子商务概论,7,2019年5月31日,电子商务概论,8,第一节 电子商务安全概述,一、电子商务安全的主要内容 1、计算机系统的安全 安全（ISO）：最大限度地减少数据和资源被攻击的可能性。,信息安全问题,计算机系统安全包括5个方面,系统设备安全 网络结构安全 系统平台安全 网络数据安全 系统管理安全,9,2、商务交易的安全 电子商务交易安全：指是在计算机系统安全的基础上，保证电子商务的顺利进行，涉及防止和抵御机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等内容。,2019年5月31日,电子商务概论,10,2019年5月31日,电子商务概论,11,电子商务交易安全包括： 数据、 交易、 支付。,机系统安全与交易安全是密不可分的，两者相辅相成、缺一不可。没有计算机系统的安全作为基础，电子商务交易安全就无从谈起，没有电子商务交易的安全保障，即使计算机系统本身再安全，仍然无法达到电子商务安全的要求。,2019年5月31日,电子商务概论,12,第一节 电子商务安全概述,二、电子商务安全威胁 1、 计算机网络系统的安全威胁 系统层安全性漏洞 数据安全性威胁 计算机病毒的危害 “黑客”的攻击,系统层安全性漏洞,近几年计算机系统的安全漏洞越来越多，使得目前电子商务的安全形势趋于严峻。例如：Windows惊现高危漏洞，新图片病毒能攻击所有用户。该漏洞可能发生在所有的Windows操作系统上，如IE浏览器、Office软件等。,2019年5月31日,电子商务概论,13,数据安全性威胁,跨平台数据交换引起的数据丢失； 意外情况造成的数据破坏； 传输过程中的数据截取； 传输过程中的数据完整性,2019年5月31日,电子商务概论,14,计算机病毒的危害,计算机病毒： 在计算机程序中植入编制的恶意程序或指令，通过这些指令来破坏计算机运行或窃取数据信息，影响计算机正常工作，在一定情况下还能实现自我繁殖和复制，严重时会导致计算机瘫痪。,2019年5月31日,电子商务概论,15,“黑客”的攻击,黑客： 指那些偷偷地、未经许可就攻入别人计算机系统的网络攻击者，他们或者破坏程序、施放病毒使系统陷入瘫痪；或者修改网页、传播黄色、反动信息；或者窃取政治、军事、商业秘密；或者转移资金账户，窃取金钱等。,2019年5月31日,电子商务概论,16,2019年5月31日,电子商务概论,17,黑客攻击,黑客攻击主要表现在网页篡改方面。 从2001年日本首相小泉纯一郎参拜靖国神社以来，该神社的网页就断断续续遭到黑客的攻击，有时一分钟内就遭到90万次的围攻。,2019年5月31日,电子商务概论,18,国内网站遭攻击的分布,2019年5月31日,电子商务概论,19,第一节 电子商务安全概述,二、电子商务安全威胁 2、 商务交易的安全威胁 交易销售方面临的威胁 交易购买方面临的威胁 交易双方面临的威胁。,2019年5月31日,电子商务概论,20,第一节 电子商务安全概述,三、电子商务安全对策 1、电子商务的安全目标 有效性: 保证交易数据的有效性 机密性：保证信息为授权者享用而不泄露给他人 完整性：防止信息的随意生成、修改、防止数据丢失 可认证性：交易双方确认对方身份的合法性 不可抵赖性：建立有效的责任机制。,2019年5月31日,电子商务概论,21,第一节 电子商务安全概述,三、电子商务安全对策 2、电子商务的安全对策 针对电子商务的安全威胁和要达到的安全目标，“管理+技术”的体系是一套比较完整的安全防范对策。,【案例】电子商务遭遇支付账户被盗,2011年12月，国内知名技术社区CSDN(中国软件开发联盟)遭到攻击，600多万个注册邮箱账号和密码被泄露。随后，当当网、京东商城、1号店等多家电子商务平台频频遭遇账户信息泄露、账户余额被盗、线上欺诈等。2012年5月底，沃尔玛控股的网上超市“1号店”发布安全提示，提醒其用户加强充值卡、会员卡等“线上资金”的安全，以免遭诈骗事件。2012年6月18日，京东商城董事长刘强东在微博上回应有关京东用户账户被盗的事件，幵表示京东商城已采取了更改密码、验证邮箱、开通手机提醒、支付密码等措施，保障用户的支付账户安全。,2019年5月31日,电子商务概论,22,2019年5月31日,电子商务概论,23,第二节 常用的电子商务安全技术,一、防火墙技术 1 、防火墙的基本概念 防火墙（firewall）：是指设置在不同网络或网络安全域之间的一系列软件或硬件设备的组合。它能根据组织的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。,2019年5月31日,电子商务概论,24,什么是防火墙（Firewall),Internet,Internet,LAN,LAN,Firewall,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,2019年5月31日,电子商务概论,26,防火墙具有的功能： 保护易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 对网络访问进行记录和统计,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,27,一、防火墙技术 2、防火墙的三种类型 数据包过滤型防火墙 应用级网关型防火墙 代理服务型防火墙。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,28,数据包过滤型防火墙,数据包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装数据包过滤防火墙软件。 包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。,应用级网关型防火墙,应用级网关是在网络应用层建立协议过滤器和转发功能，它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。,2019年5月31日,电子商务概论,29,2019年5月31日,电子商务概论,30,代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。,代理服务器型防火墙,2019年5月31日,电子商务概论,31,案例：东软,2019年5月31日,电子商务概论,32,NetEye东软公司,中国信息安全行业的领导厂商，东软安全已经连续15年保持快速增长。2010年，东软NetEye信息安全产品，如高端防火墙、安全运维管理平台（SOC）、集成安全网关（NISG）等在电信、金融、能源、政府及大中型企业中得到进一步的良好应用。,2019年5月31日,电子商务概论,33,信息安全细分市场的主要竞争者,2019年5月31日,电子商务概论,34,2019年5月31日,电子商务概论,35,2019年5月31日,电子商务概论,36,2019年5月31日,电子商务概论,37,二、防火墙的体系结构 双重宿主主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,38,二、防火墙的体系结构,第二节 常用的电子商务安全技术,图6-2 双重宿主主机体系结构,图6-3 被屏蔽主机体系结构,2019年5月31日,电子商务概论,39,二、防火墙的体系结构,第二节 常用的电子商务安全技术,图6-4 被屏蔽子网体系结构,2019年5月31日,电子商务概论,40,三、数据加密技术 1、数据加密技术的基本概念 加密是一种限制对网络上传输数据的访问权的技术。 加密：是利用基于数学算法的程序和保密的蜜钥对原始数据进行编码，将明文生成难以理解的密文，有效防止信息被窃取。,第二节 常用的电子商务安全技术,解密：将密文还原为原始明文的过程称为解密，解密是加密的逆过程。,2019年5月31日,电子商务概论,41,相关概念,2019年5月31日,电子商务概论,42,明文：原始的信息 密文：加密后不可理解的形式称为密文 解密：是加密的逆过程，即将密文还原成明文。 密钥：在加密和解密过程中使用的可变参数。,2019年5月31日,电子商务概论,43,加密的基本功能： 防止不速之客查看机密的数据文件； 防止机密数据被泄露或篡改； 防止特权用户(如系统管理员)查看私 人数据文件； 使入侵者不能轻易地查找一个系统 的文件。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,44,三、数据加密技术 2、数据加密的三种方式 1）对称加密（又称为私有密钥加密）：只用一个密钥对信息进行加密和解密，也就是一把钥匙开一把锁，在消息加密和解密时使用相同的密钥，即加密密钥也用做解密密钥，发送者和接收者都必须知道密钥。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,45,图6-7 对称加密工作原理,2019年5月31日,电子商务概论,46,加密技术. A、加密密钥: 加密和解密使用相同的密钥 B、加密算法:DES(Data Encryption Standard) IBM公司于1977年提出的DES算法，该算法被美国国家标准局NBS颁布为商用数据加密标准 C、过程：信息明文加密公开发送给对方解密成明文。 D、存在的问题 : 存在密钥的约定和保管困难，发送方身份的难以确定。,2019年5月31日,电子商务概论,47,2、数据加密的三种方式 2）非对称加密（又称公开密钥加密）：使用公开密钥(Public Key)和私有密钥(Private Key)对信息进行编码。如果使用公开密钥对数据进行加密，就只能使用对应的私有密钥进行解密；如果用私有密钥对数据进行加密，那么就只能使用对应的公开密钥才能解密。,第二节 常用的电子商务安全技术,A、加密密钥: 加密和解密使用不同的密钥:公开密钥(PK)和私人密钥(SK)。 其特点：通过PK无法推算出SK；PK加密后，使用PK本身无法解密；PK加密后可用SK解密；SK加密后可用PK解密，并验证SK的加密。 B、加密算法: RSA(RivestShamirAdelman) C、缺 点: 存在对大报文加密困难,即无法对大于密钥长度的报文进行加密,48,加密技术,2019年5月31日,电子商务概论,49,3）对称加密与非对称加密的结合 即对网络中传输的数据采用DES或IDEA等对称加密算法，而数据加密使用的密钥则采用RSA等非对称加密算法进行加密传送，既保证数据自身的安全性，又可提高加密和解密处理的速度，实现安全可靠的网络数据传输。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,50,三、数据加密技术 3、密钥管理技术 A、密钥（Key）：是一系列控制加密、解密操作的符号。 会话密钥(Session Key) 基本密钥(Basic Key) 主密钥 (Master Key),第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,51,3、密钥管理技术 B、密钥管理的基本任务：是在密钥的整个生命周期中，为密钥提供生成、注册、认证、分配、传递、安装、存储、归档、保存、备份、撤销、注销和销毁等管理服务。 密钥管理是一项复杂的工作，即包括技术问题，也包括管理人员问题。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,52,四、认证技术 1、身份认证 身份认证：是指计算机及网络系统确认操作者身份的过程。 识别：指对每个合法的用户都要有识别能力，不同的用户具有不同的识别符。 验证 ：指在用户声称自己的身份后，认证方对它所声称的身份进行验证，以防身份假冒。,第二节 电子商务系统中常用的安全技术,2019年5月31日,电子商务概论,53,四、认证技术 身份认证的基本方法： 基于秘密信息的身份认证（口令核对等） 基于物理安全（智能卡）的身份认证 基于生物学特征的身份认证（指纹、语音）,第二节 电子商务系统中常用的安全技术,2019年5月31日,电子商务概论,54,2019年5月31日,54,四、认证技术 2、信息认证 信息认证是指通信双方建立连接之后，对敏感的文件进行加密、保证数据的完整性。 即确认信息是不是假的、是否被第三方修改或伪造。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,55,2019年5月31日,电子商务概论,55,2、信息认证 信息认证的主要方法：数据加密、数字签名、数字摘要、数字信封、数字时间戳、数字证书、CA认证体系等技术。,第二节 常用的电子商务安全技术,第二节 常用的电子商务安全技术,2、信息认证 1）数字签名（在ISO7498-2标准中定义）： 指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据。主要用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。,2019年5月31日,电子商务概论,56,2019年5月31日,电子商务概论,57,2019年5月31日,电子商务概论,57,2019年5月31日,电子商务概论,57,2、信息认证 数字签名(Digital Signature)是将要签名的文本采用某种算法生成一个“摘要”，再把摘要用发送者的私钥加密，形成数字签名。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,58,数字签名的方法公钥密码体系算法（非对称密钥+数字摘要),发送方:明文_数字摘要_使用私钥加密_签名 接受方:对于发来的摘要用公钥解密， 对明文形成摘要, 两者对比。,第二节 常用的电子商务安全技术,2、信息认证,2019年5月31日,电子商务概论,59,60,2、信息认证 2）数字摘要（digital digest）：又叫消息摘要（Message Digest，MD）、数字指纹（Finger Print），是一种加密方法，该方法又称为散列编码（Hash编码）。 数字摘要就是通过单向散列函数（Hash函数）将需要加密的明文“摘要”成一串固定长度（如128位）的散列值。,第二节 电子商务系统中常用的安全技术,2019年5月31日,电子商务概论,61,-数字签名,第二节 电子商务系统中常用的安全技术,图6-9 基于非对称加密的数字签名过程,2019年5月31日,电子商务概论,62,3） 数字信封技术：发送方使用自己的私密密钥A对要发送的信息进行加密、然后使用接收方的公钥K对私钥A进行加密。接收方接到密文后，首先利用自己的私钥T对私钥A进行解密，然后再用解密后的发送方的私钥A对密文进行解密，来保证只有特定的收信人才能阅读信的内容。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,63,-数字信封,第二节 常用的电子商务安全技术,图6-10 数字信封的工作原理,2019年5月31日,电子商务概论,64,2、信息认证 4）时间戳（time-stamp）：是一个经加密后形成的凭证文档。 是由专门机构提供的电子商务安全服务项目，用于证明信息的发送时间的。 需加时间戳的文件的摘要(digest) DTS收到文件的日期和时间 DTS的数字签名,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,65,获得数字时间戳的过程,第二节 常用的电子商务安全技术,五、安全协议 安全套接层协议SSL（secure sockets layer） 安全电子交易（SET）协议,2019年5月31日,电子商务概论,66,2019年5月31日,电子商务概论,67,2019年5月31日,电子商务概论,67,五、安全协议 1、安全套接层协议SSL 主要特点 SSL协议：采用公开密钥和私有密钥两种加密方法。用于浏览器和Web服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,68,客户端和服务端进行身份认证时，SSL协议支持三种方式的认证：双方的相互认证；只认证服务端和双方都不认证。 在认证通过之后，客户端和服务端产生一套完全一样的临时对称密钥，通过对数据进行对称加密操作来保证数据的安全性。,2019年5月31日,电子商务概论,69,SSL运行步骤： 接通阶段 密码交换阶段 会谈密码阶段 检验阶段 客户认证阶段 结束阶段,第二节 常用的电子商务安全技术,2019年5月31日,电子商务概论,70,2、安全电子交易协议SET (Secure Electronic Transaction ) SET安全电子交易协议是由美国Visa和MasterCard两大信用卡组织提出的应用于 Internet上的以信用卡为基础的电子支付系统协议。,第二节 常用的电子商务安全技术,它采用公钥密码体制和X.509数字证书标准，主要应用于B2C（Business To Customer）模式中保障支付信息的安全性。 SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。,2019年5月31日,电子商务概论,71,2019年5月31日,电子商务概论,72,SET交易的参与方 ： 持卡人（cardholder） 商户（merchant） 支付网关（payment gateway） 收单行（acquirer） 发卡行（issuer ） 认证机构（认证中心 CA）,第二节 常用的电子商务安全技术,电子商务概论,73,第三节 电子商务安全管理,一、数字证书 数字证书又称为数字凭证 数字证书是由权威公正的第三方机构（CA中心）签发的，并包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。 数字证书采用非对称加蜜机制，它是标志网络用户身份信息的一系列数据，用来在网络应用中识别通讯各方的身份。,数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,2019年5月31日,电子商务概论,74,2019年5月31日,电子商务概论,75,数字证书主要内容： 证书的版本信息 证书的序列号 证书所使用的签名算法。 证书的发行机构名称 证书的有效期 证书所有人的名称 证书所有人的公开密钥 证书发行者对证书的签名,第三节 电子商务安全管理,76,数字证书的类型 个人数字证书（Personal Digital ID） -个人数字凭证一般安装在客户端的浏览器内. 服务器证书（Server Digital ID）（企业证书） -有凭证的服务器可以自动地将其与客户端WEB浏览器通信的信息进行加密。 代码签名数字证书 （Developer Digital ID） -为互联网中被下载的软件提供的证书。,第三节 电子商务安全管理,2019年5月31日,电子商务概论,77,二、认证中心 CA （C