电子商务安全.ppt

第4章电子商务安全 学习目标 了解 电子商务安全问题及其认证体系理解 密码技术 虚拟专用网 数字签名等电子商务安全技术掌握 电子商务交易安全措施 SST和SET协议 计算机病毒防范措施 4 1电子商务安全概述 概念 电子商务是运作在Internet上的商务活动 刚刚起步的Internet电子商务每天需要进行千百万次的安全交易 它一个开放性的网络 没有特殊的手段则重要信息泄漏 4 1 1电子商务的安全问题 概念 1 电子商务的安全问题主要是在开放的网络环境中如何保证信息传递中的完整性 可靠性 真实性以及预防未经授权的非法入侵者这几个方面的问题上 2 而解决这些问题主要是表现在技术上 并在采用和实施这些技术的经济可行性上 简单讲一是技术上的安全性 二是安全技术的实用可行性 电子商务的安全问题的内容如下 1 安全问题的产生 传统商务是在实现物理世界中真实地进行的商务活动 过程简单分为查询 订货和交易三个环节 从安全和信任关系来看 在传统交易的过程中 买卖双方是面对面的 因此很容易保证交易过程的安全性和建立起信任关系 电子商务系统的主要威胁有 1 系统穿透 2 违反授权原则 3 植入 4 通信监视 5 通信干扰 6 中断 7 拒绝服务 8 否认 2 电子商务的安全隐患 概念 与实现商务不同 参与电子商务的各方不需要面对面来进行商务活动 信息流和资金流都可以通过Internet来传输 技术上的缺陷和用户使用中的不良习惯 使得电子商务中的信息流和资金流在通过Internet传输时存在以下安全隐患 这就是电子商务的安全问题 1 数据被非法截获 读取或者修改 2 冒名顶替和否认行为 3 一个网络的用户未经授权访问了另一个网络 4 计算机病毒 4 1 2电子商务交易双方所面临的安全威胁 1 对商家而言 面临的安全威胁 1 中央系统安全性被破坏 入侵者假冒合法用户来改变用户数据 商品送达地址 解除用户订单或生成虚假订单 2 竞争者检索商品递送状况 恶意竞争者以他人的名义来订购商品 从而了解有关商品的递送状况和货物的库存情况 3 客户资料被竞争者获悉 4 被他人假冒而损害公司的信誉 不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒商家 5 消费者提交订单后部付款 6 虚假订单 7 获取他人的机密数据 2 对消费者而言 面临的安全威胁 1 虚假订单 2 付款后不能收到商品 3 机密性丧失 4 拒绝服务 4 1 3电子商务交易的安全需要 概念 电子商务安全问题的核心和关键是电子交易的安全性 因此 下面我们首先讨论在Internet上进行商务交易过程中的安全问题 1 真实性 真实性是指商务活动中交易者身份的真实性 确保交易双方确实是存在的 不是假冒的 2 有效性 作为一种新的贸易形式 电子商务以电子形式取代了纸张 因此 要对网络故障 操作错误 应用程序错误 硬件故障 系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 以保证贸易资料在确定的时间 确定的地点是有效的 并要通过法律来保证电子商务活动的有效性 3 信息的保密性 电子商务活动必须保证交易信息在储存和传输过程中不被泄漏给非授权的人或实体 4 完整性 电子商务交易各方信息的完整性是电子商务的基础 必须防止对信息的随意生成 修改和删除 同时要防止数据传输过程中的信息丢失和重复并保证信息传达次序的统一 5 交易者身份的确认 传统的交易时面对面的 而电子商务是无法面对面的 因此要采取新的保护措施 防止假冒 诈骗等违法活动 6 不可抵赖性 在电子商务活动过程中必须为参与交易的个人 企业或国家提供可靠的目标识来认证每一个环节 同时要由各方都信任的权威机构对交易过程进行记录 以防任何一方出现抵赖行为 7 不可修改性 交易的文件不可修改的 8 合法性 网上交易各方的工作要符合可适用的法律法规 各国都正在加快电子商务的立法 4 1 4计算机网络系统的安全 概念 在Internet上进行电子商务活动时产生的安全隐患 1 物理实体的安全分为 设备的功能失常 电源故障 由于电磁波泄漏引起的信息失密 搭线窃听 2 自然灾害的威胁 计算机网络设备大多是一种易碎品 不能受重压或强烈的震动 更不能受强烈的冲击 3 黑客的恶意攻击 黑客是指计算机信息系统的非法入侵 导致机密数据的泄漏 4 软件的漏洞和 后门 5 网络协议的安全漏洞 网络服务一般是通过各种各样的协议完成的 因此网络协议的安全性事网络安全的一个重要的方面 6 计算机病毒的攻击 把病毒的破坏目标和攻击部位归纳如下 1 攻击系统数据 2 攻击文件 3 攻击内存 4 干扰系统运行 5 速度下降 6 攻击磁盘 7 扰乱屏幕显示 8 键盘 9 喇叭 10 攻击CMOS 11 干扰打印机 4 2电子商务安全技术 4 2 1加密技术1 加密技术 包括密码设计 密码分析 密钥管理 验证技术等内容 2 对密钥加密 对密钥加密 又称私钥加密 指信息的发送方和接受方用一个密钥K去加密和解密数据 即只用一个密钥对信息进行加密和解密 3 非对称加密技术 三种技术 基于大数因子分解问题 IFP 的RSA体制 基于有限域上离散对数 DIP 的Gamal体制和基于椭圆曲线对数 ECDLP 问题的ECC体制 4 加密和解密的示范 一个简单的加密方法是把英文字母按字母表的顺序编号作为明文 将密钥设定为17 加密算法为将明文上密钥17 就得到一个密码表根据信息改写一下就可以了 4 2 2认证技术 概念 认证技术是信息安全理论与技术的一个重要方面 也是电子商务安全的主要现实技术 从而保证交易的安全 认证技术分为 1 身份认证 一是识别 二是验证 身份认证通过三种基本方式 1 用户所知道的某种秘密信息 2 的某种秘密信息 3 用户所具有的某些生物学特征 用户特有2 报文认证 报文认证用于保证通信双方的不可抵赖性和信息的完整性 它是通过信双之间建立通信联系后 每个通信者对收到的信息进行验证 保证所收到的信息的完整性和真实性 验证内容 1 证实报文是由指定的发送方产生的 2 证实报文的内容没有被修改过 3 确认报文的序号和时间是正确的 4 2 3黑客防范技术 黑客防范技术分为 1 安全评估技术 安全评估技术源于黑客在入侵网络系统采用的工具 扫描器 扫描器分三种 1 发现一个主机或网络的能力 2 一旦发现一台主机 有发现什么服务正运行在这台主机上的能力 3 通过测试这些服务 发现漏洞的能力 2 防火墙 当以个网络连接上Internet之后 系统的安全除了考虑计算机病毒 系统的健壮性之外 更主要的是防止非法用户的入侵 目前防止的主要措施是防火墙技术的完成 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备 它对两个或多个网络之间传输的数据包和连接方式按照以定的安全策略进行检查 从而决定网络之间的通信是否被允许 3 入侵检测技术 入侵检测系统 IDS 可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统 4 2 4虚拟专用网技术 虚拟专用网技术是一种在公用互联网络上构造企业专用网络的技术 虚拟专用网络技术支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接 进行安全通信 4 2 5反病毒技术 反病毒技术主要包括三种 1 预防病毒 它通过自身常驻系统内存优先获得系统的控制权 监视和判断系统中是否有病毒的存在 进而阻止计算机病毒进入系统和对系统的破坏 2 检测病毒技术 它是通过对计算机病毒的特征来进行判断的技术 3 消毒技术 它是通过对计算机病毒的分析 开发出具有删除病毒程序并恢复原文件的软件 4 3电子商务安全认证4 3 1数字签名 1 数字签名 数字签名技术是将摘要用发送者的私钥加密 与原文一起传送给接收者 接收者只有用发送者的公钥才能解密被加密的摘要 2 数字签名的功能 在一计算机文件为基础的事务处理中则采用电子形式的签名就是数字签名 它以加密技术为基础 核心是采用加密技术的加 解密算法体制来实现对报文的数字签名 功能如下 1 收方能够证实发送方的真实身份 2 发送方事后不能否认所发送过的报文 3 收方或非法者不能伪造 篡改报文 3 数字签名的原理 1 发送方用一个单向散列函数对明文信息m进行运算 形成信息摘要MD 采用信息摘要能够加快数字签名的速度 2 发送方用自己的私人密钥S对信息摘要进行加密得到Es 3 将加密后的信息摘要和明文信息m一起发送出去 C m Es B 4 接收方用同样的单向散列函数对明文信息m进行计算 形成另一信息摘要MD 5 接收方把接收到得信息摘要用发送方的公开密钥P解密 4 3 2数字证书 1 数字证书 又称数字凭证 用电子手段来证实一个用户的身份和对网络资源的访问权限 2 数字证书的作用 数字证书不但能够实现高强度的加密 保障数据通过Internet加密传输 同时还支持数据的完整验证 数字签名 身份认证等安全应用 是电子政务和电子商务实施基础的安全保证 作用 1 身份验证 2 访问控制 3 数据完整性 4 数据机密性 5 不可否认性 6 不可修改性 3 数字证书的内容 数字证书是标志网络用户身份信息的一系列数据 用来在网络通讯中识别通讯各方的身份 4 3 3CA安全认证中心 概念 它主要定义和建立自身认证和授权规则 然后分发 交换这些规则 并在网络之间解释和管理这些规则 是一个权威 公正 可信的第三方机构 它的建设是电子商务最重要的基础建设之一 也是电子商务大规模发展的根本保证 4 4电子商务安全协议 4 4 1SSL协议1 协议简介 该协议向基于TCP IP的客户 服务器应用程序提供了客户端和服务器的鉴别 数据完整性及信息机密性等安全措施 三种基本的安全服务 1 秘密性 2 完整性 3 认证性 2 SSL协议的作用 避免网上信息的窃听 篡改以及信息的伪造 SSL要解决以下几个问题 1 客户对服务器的身份确认 2 服务器对客户的身份确认 3 建立起服务器和客户之间安全的数据通道 3 SSL的安全性 缺点 1 系统不符合中国国务院最新颁布的 商用密码管理条例 中对商用密码产品不得使用国外密码算法的规定 要通过国家密码管理委员会得审批会遇到相当困难 2 系统安全性差 4 双向认证SSL协议的具体过程 1 浏览器发送一个连接请求给安全服务器 2 服务器将自己的证书 以及同证书相关的信息发送给客户浏览器 3 客户浏览器检查服务器送过来的证书是否是由自己信赖的CA中心所签发的 4 接着客户浏览器比较证书里的消息 5 服务器要求客户发送客户自己的证书 6 客户浏览器告诉服务器自己所能够支持的通信对称密码方案 7 服务器从客户送发送过来的密码方案中 选择一种加密程度最高的密码方案 用客户的公钥加过密后通知浏览器 8 浏览器针对这个密码方案 选择一个通话密钥 接着用服务器的公钥加过密后发送给服务器 9 服务器接收到浏览器送过来的消息 用自己的私钥解密 获得通话密钥 10 服务器 浏览器接下来的通信都是经过对称密码方案 对称密钥加过密的 4 4 2SET协议 实质是一种应用在Internet上 以信用卡为基础的电子付款系统规范 目的就是为了保证网络交易的安全1 SET概述 SET适用于因特网上的卡交易 能够保障网上购物消息的安全性 确保了交易数据的机密性 真实性 完整性和交易的不可否认性 2 SET协议的目标 1 信息在公共因特网上安全传输 保证网上传输的数据不被黑客窃取 2 订单信息和个人账号信息隔离 3 持卡人和商家互相认证 以确保交易各方的真实身份 4 要求软件遵循相同协议和消息格式 3 SET协议的购物流程 1 持卡人使用浏览器在商家的Web页面上查看和浏览在线商品及目录 2 持卡人选择要购买的商品 3 持卡人填写订单 4 持卡人选择付款方式 此时SET开始介入 5 持卡人通过网络发送给商家一个完整的订单及要求付款的指令 6 商家接受订单 7 商家通过网络给顾客发送订单确认信息 8 商家为顾客配送货物 完成订购服务 9 商家可以立即请求银行将钱从购物者的账号转移到商家账号 4 SET交易的安全性 1信息的机密性 2 数据的完整性 3 身份验证 4 交易的不可否认性 5 胡操作性 4 4 3SSL与SET的比较 1 认证机制 SET的安全性较高 在SSL中只有商店端的服务器需要认证 客户端认证是有选择性的 2 设置成本 持卡者希望申请SET交易 除了必须先申请数字证书外 也必须在计算机上安装符合SET规格的电子钱包软件 而SSL交易则不需要另外安装软件 3 安全性 SET的安全性较SSL高 整个交易过程中 包括持卡人到商店端 商店到付款转接站再到银行网络 都受到严密保护 而SSL得安全范围只限于持卡人到商店端的信息交换 4 基于Web的应用 SET是为信用卡交易提供安全的 4 5计算机病毒防范措施4 5 1计算机病毒基础知识 1 计算机病毒概述 1983年美国科学家弗雷德 科恩最先证实计算机病毒的存在 它是一种人为制造的寄生于计算机应用程序或操作系统中的可执行 可自行复制 具有传染性和破坏性的恶性程序 2 计算机病毒特点 1 自我复制的能力 2 潜在的破坏力 3 由人为编制而成 4 破坏系统程序 5 传染性 在网络环境下 网络病毒除了具有计算机病毒的共性外 还具有一些新特点 1 感染速度快 2 迅速扩散 3 扩散面广 4 传播的形式复杂多样 5 难于彻底清除 6 破坏性大 7 激发形式多样 3 计算机网络病毒类型 1 蠕虫 2 逻辑炸蛋 3