第4章电子商务安全技术.ppt

第四章电子商务安全技术 本章介绍电子商务系统安全的概念 基本要求 常用的安全技术以及主要的安全标准 内容提要 4 1电子商务的安全概念4 2加密学基础4 3电子商务安全协议技术4 4电子商务的安全框架 4 1电子商务的安全概念 电子商务的安全威胁电子商务的安全需求电子商务安全技术 电子商务的安全威胁 电脑犯罪 50个国家有信息恐怖组织 计算机犯罪增长率152 银行抢劫案件减少 英国网络解密专家小组 美国第三方密钥管理 巨大损失 66万美元 每次计算机犯罪 26美元 每次抢劫 国防 银行 证券网络战争 中美网络之战 电子商务安全 网络面临的不安全因素越来越多向CERT 计算机紧急反应组 最早由卡内基 梅隆大学建议成立 报告的计算机攻击事件 电子商务安全 攻击方式越来越多美国CSI 计算机安全局 2000年报告 11 金融诈骗 17 的数据或者网络破坏20 的专有数据盗窃25 的外部入侵27 的拒绝服务71 的内部人员未经授权访问85 的病毒攻击 电子商务安全 1 攻击手段越来越平民化 技术要求越来越低原因 广泛传播的免费入侵工具和代码2 安全性和易用性之间的矛盾3 安全性受到的市场压力 软件开发商只注意产品特性而忽视安全特性 4 安全的系统问题 各个环节都可以是被攻击的对象 电子商务安全 常见的安全问题 常见的安全问题 1 电子伪装 换IP 电子伪装是指某人装成他人或者将某个网站最优秀的虚拟浏览器 捍卫绝对隐私 htm 电子商务安全 2 垃圾邮件 垃圾邮件小知识 英文又称为 Spam Spam是美国的一种肉质罐头 由Hormel公司生产 而作为垃圾代名词的来源是MontyPython的著名的歌曲spam lovingvikingssketch 1994年12月开始指代垃圾邮件 新世纪国庆 美国食品节 SPARM 垃圾邮件就是那些你并不希望收到 并且你也没有订阅过 但却被人利用电子邮件的特点强行塞入你的邮箱的商业广告 产品介绍 发财之道等内容的电子邮件 垃圾邮件一次发给很多人 在Internet上同时传送很多副本 通常归为两类 强行塞入的商业邮件和大体积邮件炸弹 电子商务安全 1 让收信人发送收条 厌恶指数 10 2 自动弹出网页 厌恶指数 10 3 邮件携带病毒 厌恶指数 10 4 重复发送 同样信息每天发送5次以上 厌恶指数 9 5 将发信人设为收信人一样的邮件地址 厌恶指数 8 6 贩卖电子邮件地址或者收集邮件地址软件 厌恶指数 8 7 具有欺骗性或者故弄玄虚的邮件主题和内容 厌恶指数 7 8 隐藏发件人地址 厌恶指数 6 电子商务安全 利用垃圾邮件 未经证实 PCONLINE2003 01 13报道 03年 美国媒体报道 美国政府利用垃圾邮件狂轰乱炸伊拉克政府官员的邮箱 要求他们提供信息给联合国特别小组哪里隐藏有大规模杀伤性武器 以及采取行动保护自己的家人云云 搞笑 是美国很多的私人网站纷纷发表声明表示愿意提供反垃圾邮件的技术支援 如果伊拉克官方向他们寻求帮助的话 电子商务安全 3 拒绝访问 人海战术起因 2001 4 1海南撞机事件 4月1日上午 美国一架军用侦察机在中国海南岛东南海域上空活动时 撞毁中方对其进行跟踪监视的一架军用飞机 事发后 美机未经中方允许 擅自侵入中国领空 并降落在海南陵水军用机场2002年中美黑客战争 doc 电子商务安全 电子商务需要考虑的基本安全问题对于用户 如何确保该网站服务器是由合法公司拥有并运作用户如何才能知道网页中的表格和内容不包含恶意代码或者危险内容用户如何才能知道自己提供的信息不被提供给别的机构和人员对于公司 如何才能知道用户不会入侵服务器并更改内容如何才能知道在服务器和浏览器传递过程中不被更改 电子商务安全 其他安全问题 认证 登陆到一个网站如何确保它不是假的 收到一封邮件如何确保是署名者发出的 授权 某人或者某程序经过认证后是否有权访问相应的资源或者特定数据审查 当个人 程序访问网站 数据库时 其相关信息是否已经记录到日志中 审查可以帮助管理人员追踪特定的操作 完整性 数据受到保护 而不会在传输 存储过程中被偶然破坏或者有意变更 可获得性 授权用户可以顺利的访问需要的资源防抵赖 需要签名 电子商务法律环境 1 我国电子商务的主要法规问题 电子商务操作规范1 电子合同成立的形式及效力2 数字签字 认证及公共钥匙设施3 电子支付4 电子邮件广告5 电子商务特定区域 电子商务法律环境 电子商务的安全法规1 用户隐私权2 加密和解密系统3 安全性认证4 计算机犯罪 信息基础设施和市场准入法规1 电信市场的有效竞争2 政府与服务商的角色3 三网融合 电子商务法律环境 电子商务中的知识产权保护1 网上著作权2 网上商标的保护 司法管辖及法律冲突跨国际的业务 电子商务中的赋税和关税NAPSTER DOC 电子商务法律环境 2 我国电子商务的立法框架1 网络环境 互联网运行管理法律 信息基础设施建设 电子商务技术标准2 金融服务体系 电子货币 银行3 安全保证体系 电子认证中心 CA 支付中心 PC 4 管理与服务体系 电子数据交换管理 电子税收5 知识产权保护6 其他相关法律法规 电子商务法律环境 3 电子商务交易方面的法规国际惯例 1 联合国贸易法委员会 电子商业示范法 2 经合组织 OECD 关于电子商务中消费者保护指南的建议3 服务贸易总协定 电讯服务的附件4 国际海事委员会电子提单规则 电子商务法律环境 国内法规1 中国人民银行 网上银行业务管理暂行办法 20032 文化部关于加强互联网上网服务场所连锁经营管理的通知3 关于开展网络广告经营登记试点的通知4 文化部关于音响制品网上经营活动有关问题的通知 电子商务法律环境 地方法规广东省电子交易条例北京 电子商务监督管理暂行办法 经营性网站备案登记管理暂行办法 北京市网络广告管理暂行办法 关于对利用电子邮件发送商业信息的行为进行规范的通告 电子商务法律环境 上海 上海营业执照副本网络版管理试行办法 上海电子商务价格管理暂行办法 上海国际经贸电子数据交换收费规则 上海国际经贸电子数据交换管理规定 电子商务法律环境 4 电子商务安全方面的法规国际1 联合国贸易法委员会电子签名统一规则 草案 2 联合国贸易法委员会电子签名统一规则附条例指南3 经合组织 OECD 关于电子商务中消费者保护指南的建议 电子商务法律环境 国内法规1 信息技术安全标准目录 2 商用密码研制合生产单位名单3 关于通过邮寄方式办理计算机安全专用产品销售许可证的通知4 中国互联网行业自律公约5 维护互联网安全的决定 全国人大常委2000 电子商务法律环境 5 电子商务知识产权方面的法规国际规则ICANN 统一域名争议解决政策ICANN 统一域名争议解决办法程序规则 电子商务法律环境 国内 1 著作权行政处罚实施办法2 中国互联网信息中心域名争议解决办法程序规则3 保护网络作品权利信息公约 4 软件著作权登记办法 电子商务的安全威胁 系统破坏信息窃取信息窜改非法侵入非法冒用信息抵赖 网络安全攻击 中断 可用性介入 机密性篡改 真确性假造 真实性 电子商务安全 机密性个体识别性真确性不可抵赖性 电子商务的安全需求 计算机系统安全网络系统安全信息安全电子商务交易安全 电子商务安全技术 加密技术 Encryption 报文摘要 MessageDigest 数字签名 DigitalSignature 安全协议 SecureProtocol 认证技术 AuthenticationCertificate 防火墙 Firewall 4 2密码学基础 密码与密码学密码系统及分类密码算法数字签名 密码与密码学 密码 Cryptogram 它与 明码 相对 用基于数学算法的程序和保密的密钥对信息进行编码 生成难以理解的字符串 密码学 Cryptography 研究加密的科学 密码学是数字数据的实际保护 控制和标识密码分析 Cryptanalysis 密码分析学是由被开发用来破坏 避开和 或破解第一部分 密码 试图完成的工作的所有尝试组成的 密码系统 加密系统 解密系统 密码分析 明文 M 加密密钥 K1 解密密钥 K2 密文 C 明文 M 明文 M 加密系统的分类 对称式加密系统 K1 K2 也称为私钥 PrivateKey 系统非对称式加密系统 K1K2 也称为公钥 PublicKey 系统混合加密系统 即采用公钥对私钥进行加密 用私钥对信息进行加密 加密算法 古典密码算法数据加密标准 DES RSA公钥密码系统 古典密码算法 移位加密算法 恺撒密码 词组密钥密码分组密钥密码 移位加密算法 恺撒密码 对于任意密钥k将明文的每个字母循环后移k位得到密文 例如 设k 3明文 securemessage密文 vhfxuhphvvdjh 词组密钥密码 密钥为 字母的词组 置换规则为 abcdefghijklmnopqrstuvwxyzk fivestarbcdghjklmnopquwxzy明文 securemessage密文 osvqnshsoofas 分组加密算法 设k为n位二进制数 将明文长度为n的分组进行加密 加密过程为 encrypt m1 mn k1 kn c1 cn 数据加密标准 DES DES是由IBM公司在1970年研制的 1977年1月15日美国国家标准局批准为作为非机密机构的加密标准 DES是采用传统换位与置换的加密方法的分组密码系统 其基本原理是 混淆 将名文转化成其他样子扩散 明文中的任何一个小地方的变更都将扩散到密文的各部分 DES的特点 加解密速度快可以结合硬件加密密钥的传输必须安全 不能和密文使用相同的传输渠道 RSA公钥密码系统 R Rivest A Shamir L Adleman 1977RSADataSecurityInc RSALab 1982RSA公司和RSA实验室在公开密钥密码系统的研究和商业应用推广方面有举足轻重的地位 RSA密码系统的实现 加密系统 解密系统 明文 M 乙方公钥 乙方密钥 密文 C 明文 M 甲方 乙方 RSA算法的安全性 n该多大 最简单的考虑是加厚我们的 盾 即n取得更大 RSA实验室认为 512比特的n已不安全 在1998年后应停止使用 RSA实验室建议个人应用需用768比特的n 公司要用1026比特的n 极其重要的场合应该用2068比特的n RSA实验室还认为 768比特的n可望到2006年保持安全 RSA的特点 解密速度慢密钥生成费时初期系统成本高 数字签名 保证信息的完整性保证信息来源的可靠性保证信息的不可否认性 用公钥系统实现数字签名 签名系统 验证系统 明文 M 甲方密钥 甲方公钥 密文 C 明文 M 甲方 乙方 报文摘要 MessageDigest 算法 报文摘要算法 即生成数字指纹的方法在数字签名中有重要作用 报文摘要算法是一类特殊的散列函数 hash函数 要求 接受的输入报文数据没有长度的限制 对任何输入报文数据生成固定长度数字指纹输出 由报文能方便地算出摘要 难以对指定的摘要生成一个报文 由该报文可以得出指定的摘要 难以生成两个不同的报文具有相同的摘要 报文摘要算法的适用性和单向性 报文摘要 MessageDigest 算法MD5 从八十年代末到九十年代 Rivest开发了好几种RSA公司专有的报文摘要算法 包括MD MD2 MD5等 MD5生成的 数字指纹 长128bits 1996年有一个研究报告称 可以花费 10 000 000去制造一台专门机器 针对MD5搜索两个不同的报文具有相同的摘要 即 碰撞 平均用26天才能找到一个碰撞 至今 MD5仍被认为是一个安全的报文摘要算法 报文摘要数字签名系统 摘要 签名 签名验证 摘要验证 报文 报文 摘要 报文 签名摘要 4 3电子商务安全协议技术 Internet安全协议认证技术防火墙技术计算机系统安全 Internet的安全协议 安全Internet协议结构 SecureSocketLayer SSL 安全Internet协议结构 链路层安全协议 网络层安全协议 传输层安全协议 应用层安全协议 LinkEncryption IPSEC SSL SHTTP PEM SSL协议 1 ClientsendsClentHellomessage 2 ServeracknowledgeswithServerHellomessage 3 Serversendsitscertificate 6 ServerrequestsClient scertificate 5 Clientsendsitscertificate 6 ClientsendsClentKeyExchangemessage 7 ClientsendsCertificateVerifymessage 8 BothsendChangeCipherSpecmessages 9 BothsendFinishedmessage Client Server 认证技术 帐号与口令认证地址认证加密认证集中认证认证中介 帐号与口令认证 喂 我是张三 我的密码是zspswd Internet 地址认证 喂 我的IP地址是166 111 78 67 Internet 地址授权表166 111 78 10166 111 78 15166 111 78 67166 111 78 55 加密认证 产生一随机数R R 将R签名得X X 对签名进行校验 S Y A B 产生一随机数S 将S签名得Y 对签名进行校验 集中认证 服务器A 服务器B 服务器C 认证服务器 用户 登录 认证 用户口令及权限管理 钥匙分发中心 KDC KDC HostA HostB HostC HostD