电子商务基础课件--电子商务安全技术.ppt

电子商务安全技术 2011学年 北京交通大学本科生课程 2020年1月16日 2 电子商务安全技术 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 电子商务的安全问题与需求网络平台安全与防火墙技术数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 3 电子商务所面临的安全问题 系统的中断与瘫痪信息被窃取 信用卡信息 身份信息等等信息被篡改 QQ号等信息被伪造 黑网站 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 4 电子商务的安全要求 保证网上相关数据流的保密性保证网络上相关商务数据不被随意篡改 完整性 保证电子商务各方身份的认定保证电子商务行为发生的事实及发生内容的不可抵赖性保证电子商务系统运行的稳定可靠 快捷 做好数据备份与灾难恢复功能 并保证一定的商务处理速度 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 5 电子商务的安全策略 所谓电子商务的安全策略 是一个实体或组织机构在从事电子商务实务中关于安全方面的纲要性条例 用书面形式明确描述所需保护的资产 保护的原因 谁负责进行保护 哪些行为可接受 哪些行为不可接受 各种安全防护方法与工具的应用 电子商务安全策略陈述的内容 物理安全 网络安全 访问授权 病毒防护 灾难恢复等 电子商务的安全策略要随时间变化而变化 要根据实际情况进行修改 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 6 电子商务安全策略的目的 保障相关电子商务信息的机密性 完整性 认证性 不可否认性 不可拒绝性和访问控制性不被破坏 能够有序的 方便的鉴别和测试电子商务系统的安全状态 能够对电子商务可能的风险作出一个基本的评估 制定措施和手段用于电子商务系统的安全被破坏后的恢复工作 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 7 电子商务安全策略的主要内容 定义实现安全的电子商务所需要保护的资源要确定保护的风险涉及的有关电子商务安全的法律法规规划电子商务的具体安全防护机制 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 8 某公司的电子商务安全策略 AAA公司是一个大型制造型企业 公司通过Extranet与100多家公司有供应链上的交易活动 这些活动包括订货 合同签订 供货 发货 网络支付等 对AAA公司而言 关键的资源就是服务器上的相关电子合同及支付信息文档等 这些文档不但密切关系到本公司的重大经济利益 而且涉及到其他许多公司的经济信息 如果这些信息泄露或被修改 有可能对AAA公司造成重大损失 因此 这些关键资源的风险极大 对电子商务安全的要求很高 针对AAA的电子商务安全要求 这家公司的电子商务安全策略应包含哪些内容 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 9 电子商务安全方法与工具 电子商务业务流程中各参与方的身份认证电子商务相关数据流内容的保密性电子商务相关数据流内容的完整性保证电子商务行为和内容的不可否认性处理多方贸易业务中的多边安全认证问题电子商务系统中应用软件 支撑的网络平台的正常运行积极寻求相关管理既有的帮助 理解并有效使用相应的电子商务法律 信用体系保护自己 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 10 AAA公司安全策略的基本规则 对每一次电子商务业务流程进行机密性 完整性和认证性防护对电子商务涉及的软 硬件系统进行有效防护与备份 能灾难恢复对不可否认性的要求严格 如支付确认 合同签收对不可拒绝性的要求一般 如价格查询对访问控制性的要求极严格 隔绝外部对有关支付信息文档的访问 严格控制内部人员对支付结算文档或者合同的访问 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 11 AAA公司的安全防护机制 应用密钥加密技术 数字指纹与数字签名 数字证书等安全技术 或工具 实现网上交易需要的机密性 完整性和认证性 并制定严格的密钥管理制度配置双机系统 磁盘阵列与防病毒软件系统为了实现对不可否认性的严格要求 对不可否认性的认证文件 必须建立严格的备份 归档制度 如电子备份与纸质备份并用等针对不可拒绝性的一般性要求 可以对客户的硬件设施等不提出特殊要求 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 12 AAA公司的安全防护机制 因为要求隔绝外部对电子商务保密性信息文档的访问 必须设置良好的防火墙等内部网络防护措施因为要求严格控制内部人员对电子商务有关的重要文档的访问 因此一方面从技术上使用一切预防和监察手段 如网络监控与追踪软件 另一方面 制定内部人员对整体信息文档的访问权限守则和监督制度 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 13 电子商务网络平台的安全及防火墙技术 网络平台系统的构成及其主要安全威胁Internet网络平台系统的安全措施防火墙技术与应用 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 14 网络平台系统的构成及其主要安全威胁 Internet Intranet 银行专网 客户机 支付网关 商家服务器 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 15 公共通讯通道所面临Internet的安全威胁 截断阻塞伪造篡改介入 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 16 Intranet网络所面临的安全威胁 作为节点的Intranet所面临的安全威胁与internet是不同的Intranet是一个边界确定 结构严谨 控制严格的环境 并且可以在企业 商家等 中实现强制性的集中安全控制 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 17 Internet网络平台系统的安全措施 保护网络安全保护应用安全保护系统安全 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 18 Internet网络平台安全之保护网络安全 全面规划网络平台的安全策略制定网络安全的管理措施使用防火墙尽可能记录网络上的一切活动 根据这些记录信息来定位和分析非法入侵活动注意对网络设备的物理保护 电缆 路由器 用户联网机 网络服务器等硬件可能会受到物理攻击检验网络平台系统的脆弱性建立可靠的识别和鉴别机制 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 19 Internet网络平台安全之保护应用安全 应用安全 顾名思义就是保障应用程序使用过程和结果的安全 简言之 就是针对应用程序或工具在使用过程中可能出现计算 传输数据的泄露和失窃 通过安全工具或策略来消除隐患 电子商务的应用层包括BtoB或BtoC等电子商务的应用软件设计 各类相关数据库的设计等等 形式多样 种类复杂因此电子商务的应用层对安全的要求最严格 最复杂 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 20 Internet网络平台安全之保护系统安全 所谓系统安全 是指从整体电子商务系统的角度来进行安全防护 它与网络系统硬件平台 操作系统 各种应用软件等相互关联 涉及到系统安全内的措施有 1 检查和确认安装软件是否存在安全漏洞 比如说对各种病毒和木马的查杀 2 技术 认证 与管理 审计 用户权限 相结合使系统具有最小穿透风险性 3 对入侵进行检测 审计 追踪 后面的防火墙技术提供这个功能 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 21 防火墙技术与应用 防火墙 Firewall 是一种由计算机软件和硬件组成的隔离系统设备 用在安全的企业内部网 Intranet 和不完全的Internet之间构筑一道防护屏障 按照预先构筑的条件对进出实体进行区分 实现内外有别 防火墙屏障 Internet Intranet 业务服务器 业务数据库 客户I 客户II 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 22 防火墙的功能 门 在网络之间移动数据 体现信息传输的功能闸 将未授权的数据移动进行进行过滤 保证网络安全 体现管理控制的功能反向追踪 保护站点不被任意链接 甚至建立反向追踪 记录所有网络活动 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 23 防火墙的组成 Internet不安全网络 网关 Intranet安全网络 外部过滤器 内部过滤器 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 24 数据机密性技术 加密 加密是指对数据进行编码使其看起来毫无意义 同时仍保持可恢复的形式 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 25 加密技术的主要分类 对称密钥对称密钥加密 又称私钥加密 即信息的发送方和接收方用一个密钥去加密和解密数据 对称加密技术的最大优势是加 解密速度快 适合于对大数据量进行加密 但密钥管理困难 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 26 对称密钥的使用过程 乙银行 有一笔100万元资金转账到贵行LJ666账户上 Htfckle hT gcn H Htfckle hT gcn H 乙银行 有一笔100万元资金转账到贵行LJ666账户上 加密 解密 密钥A 密钥A 网络传输 信息明文 信息密文 信息密文 信息密文 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 27 对称加密法的优缺点 优点 加密速度快 应用简单 一把密钥 多用于专用网络中相对固定的信息传输对象中 如金融通信专网 军事通信专网 缺点 1 算法公开 安全性依赖于密钥的保护 必须不定时更换 要保证传递密钥的安全通道的安全性 电话通知 邮寄 专人 2 当网络中有n个用户时 必须有n n 1 2个密钥 否则失去保密意义 这就限制了网络的规模 3 难以进行用户身份认证 只能解决数据的机密性问题 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 28 不对称密钥加密 非对称密钥加密系统 又称公钥密钥加密 它需要使用一对密钥来分别完成加密和解密操作 一个公开发布 称为公开密钥 Public Key 另一个由用户自己秘密保存 称为私有密钥 Private Key 信息发送者用公开密钥去加密 而信息接收者则用私有密钥去解密 公钥机制灵活 但加密和解密速度却比对称密钥加密慢得多 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 29 乙银行 请将100万元从ZX888账户上转移至贵行LJ666账户上客户甲 Htfckle hT gcn H Htfckle hT gcn H 乙银行 请将100万元从ZX888账户上转移至贵行LJ666账户上客户甲 加密 解密 公开密钥B 私人密钥A 网络传输 支付通知明文 支付通知密文 支付通知密文 支付通知密文 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 客户甲 乙银行 2020年1月16日 30 客户甲 本行已将100万元从ZX888账户上转移至LJ666账户上乙银行 Htfckle hT gcn H Htfckle hT gcn H 客户甲 本行已将100万元从ZX888账户上转移至LJ666账户上乙银行 解密 加密 公开密钥B 私人密钥A 网络传输 支付确认明文 支付确认密文 支付确认密文 支付确认密文 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 客户甲 乙银行 2020年1月16日 31 不对称密钥加密的优缺点 优点 身份认证较为方便密钥分配简单不对称密钥加密能很好的支持完成对传输信息的数字签名 以解决信息的否认和抵赖缺点 加解密速度慢 一般只适用于少量数据加密 例如向客户传送支付信息 银行卡或者网络银行密码 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 32 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 33 数据完整性技术 数字摘要DigitalDigest 就是发送者对被传送的一个信息报文 比如电子合同或支付通知单 根据某种数学算法计算出一个此信息报文的摘要值 并将此摘要值与原始信息报文一起通过网络传送给接受者 接收者应用此摘要值来检验信息报文在网络传输过程中有没有发生改变来判断信息报文的真实与否数字签名DigitalSignature 也叫电子签名 指利用电子信息加密技术实现在网络传送信息报文时 附加一个特殊的 能唯一代表发送者个人身份的标记 完成出传统上手工签名或印章的作用 以表示确认 负责 经手 真实等 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 34 乙银行 请将100万元资金从ZX888转移至LJ666账号上客户甲 Hush算法 AJDBFUKD78 支付通知 支付通知的数字摘要 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 客户甲 2020年1月16日 35 数字摘要的优缺点 优点 数字摘要可以用于保证信息原文的真实性 可以在一定程度上进行防伪 类似于签名的真实性检验缺点 单用数字摘要如Hush算法并不能完全保证信息原文的完整性 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 36 乙银行 请将100万元资金从ZX888转移至LJ666账号上客户甲 GRrw5uhdsx 乙银行 请将100万元资金从ZX888转移至LJ666账号上客户甲 GRrw5uhdsx GR uh s 客户甲发送的支付通知M 乙银行发送的支付通知M 网络传送 Hash算法 加密 数字摘要D 数字摘要D 数字摘要D Hush算法 数字签名 客户甲的私人密钥 客户甲的公开密钥 解密 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 37 数字签名的作用 数字签名是可信的数字签名是不可伪造的同一个数字签名不可多用被数字签名附带的信息报文是不可篡改的数字签名是不可抵赖的 在实际应用中将把日期和时间的签名附在信息报文中 使签名具有时效性 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 38 数字证书与认证中心CA 所谓数字证书 DigitalCertification就是利用电子信息技术手段来确认 鉴定 认证Internet上信息交流参与者的身份或服务器的身份 是一个担保个人 计算机系统或者组织 企业或政府部门 的身份 并发布加密算法类别 公开密钥及其所有权 经过防伪处理的电子文档 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 39 数字证书的内容 证书拥有者的姓名 证书拥有者的公钥信息 公钥的有限期 颁发数字证书的单位 颁发数字证书单位的数字签名 数字证书的序列号 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 40 认证中心CA 所谓认证中心 英文为CertificationAuthority 简称CA 是基于Internet平台建立的一个公正的 有权威性的 独立的 第3方的 广受信赖的组织 负责数字证书的发行 管理以及认证服务 以保证网上业务的安全可靠进行 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 41 CA的技术基础 PKI体系 PublicKeyInfrastructure公开密钥体系基础技术包括加密 数字签名 数字摘要 数字信封 双重数字签名 一个完整的PKI的基本构成包括具有权威的认证中心CA 数字证书库 密钥备份及恢复系统 证书作废系统等 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 42 SSL协议 securesocketlayerprotocol安全套接层协议一种在持有数字证书的客户端浏览器 如IE 和远程的WWW服务器之间 构造安全通信通道并传输数据的协议 SSL协议机制 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 43 CA认证中心 客户端 商家服务器 银行服务器 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 44 SET协议机制 SecureElectronicTransaction安全电子交易协议是为使银行卡在Internet上安全内的进行交易提出的一整套完整的安全解决方案采用数字证书方式来证实在网上开展商务活动的实体确实是持卡人本人 以及向持卡人销售商品和服务的参与各方 包括持卡人 商家 银行等身份 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 45 CA认证中心 持卡客户 网上商家 支付网关 收单银行 发卡银行 订单 审核 请求 确认 确认 审核 批准 认证 协商 确认 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 46 SET协议和SSL协议的比较 技术基础相同都采用了公开 非对称 密钥加密法 私有 对称 密钥加密法 数字摘要等加密技术与数字证书等认证手段功能相同保证信息在传递过程中的保密性 完整性 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 47 SSL协议和SET协议的比较 在网络中的层次不同 SSL是基于传输层的协议 而SET则是基于应用层的协议加密程度不同 SSL在建立了双方的安全通信通道以后 所有传输的信息都会被加密 而SET则会有选择的加密一部分敏感信息 安全问题 需求 网络平台安全 防火墙 数据机密性技术 数据完整性技术 数字证书与认证中心CA SSL与SET协议机制 2020年1月16日 48 SSL协议与SET协议的比较 SSL无法保证商家在中转信息时看不到客户的信用卡账户SET用网关的公开密钥来加密持卡人的敏感信息 并采用双重签名等方法 保证商家无法看到持卡人传送给网关的信息