第5章 电子商务安全.ppt

第五章电子商务安全 课程安排 5 1电子商务安全概述 5 2信息加密技术式 5 3信息认证技术 5 4电子商务安全协议 2020 3 22 2 5 5其他电子商务安全 第五章电子商务安全 熟悉电子商务安全的含义 了解目前常见的电子商务安全威胁 掌握电子商务安全的需求 了解电子商务安全常见的技术 了解电子商务安全协议 2020 3 22 3 5 1电子商务安全概述 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息 因此 电子商务安全从整体上可分为两大部分 计算机网络安全和商务交易安全 计算机网络安全的内容包括 计算机网络设备安全 计算机网络系统安全和数据库安全等 其特征是针对计算机网络本身可能存在的安全问题 实施网络安全增强方案 以保证计算机网络自身的安全性 2020 3 22 4 5 1电子商务安全概述5 1 1电子商务安全要素 由于电子商务是在互联网环境下进行的商务活动 交易的安全性 可靠性和匿名性一直是人们在交易活动中最为关注的问题 因此 为了保证电子商务整个交易活动的顺利进行 电子商务系统必须具备以下几个安全要素 有效性和真实性机密性和隐私权数据的完整性可靠性和不可抵赖性审查能力 2020 3 22 5 5 1电子商务安全概述5 1 2电子商务的安全威胁及主要的安全技术 电子商务的安全威胁包括 信息在网络的传输过程中被截获 传输的文件被篡改 假冒他人身份 不承认已经做过的交易 抵赖 非法访问和计算机病毒等 电子商务的主要安全技术包括 加密技术 认证技术 数字签名 安全套接字协议 SSL 和安全电子交易规范 SET 2020 3 22 6 2009年7月 某金融机构委托某公司开发一个银行理财产品的计算机程序 该公司便让其员工邹某负责研发 在研发该程序的过程中 邹某突起私念 在未告知公司和该金融机构的情况下私自在程序中加入了一个后门程序 以备在今后自己没有工作的情况下通过该程序进入该理财产品程序 将该金融机构客户的钱转到自己账下 之后程序研发顺利完成并交付至该金融机构投入运行 2009年9月 邹某用自己的银行卡进行了测试 通过自己加入的后门程序 其顺利进入了上述金融机构的理财产品系统 从此之后 邹某一发不可收拾 自2009年11月至今年6月期间 邹某又先后多次通过后门程序进入上述系统 并采用技术手段非法获取了70多名客户的客户资料 密码 非法查询了多名客户的账户余额 同时将23名客户的账户资金在不同的客户账户上相互转入转出 涉及金额共计1万余元 自2009年9月起 该金融机构就陆续接到客户投诉 称自己的账户上有小额资金被无根据交易 随着时间的推移 客户关于此类情况的投诉数量越来越多 频率越来越高 2020 3 22 7 案例 该金融机构察觉可能是程序出现问题 于是于今年6月联系上述研发公司进行检测 终于发现了这个秘密的 后门程序 立即向公安机关报案 公安机关于当月将犯罪嫌疑人邹某抓获归案 邹某归案后对自己的行为供认不讳 承认其不时会利用这个后门对该理财产品的签约客户的银行卡进行测试 大概测试了100多次 用了多少账号自己已无法记清 他还供述 他目前只是利用这个后门程序对该金融机构的理财签约客户账户进行客户资料查询 客户余额查询 获取密码等操作 同时对部分账户的资金进行相互之间的转移 每次转移的金额从几十元到几百元不等 这些操作都是用来测试其入侵程序能否成功 是否会被发现等等 邹某称其一直抱有侥幸心理 认为每次转移的资金金额比较少 不容易引人注目 就算被人发现也不会造成多大影响 但其未意识到 自己的这种行为已经触犯了刑法 后经核实 本案中犯罪嫌疑人邹某一直只是对该系统进行测试操作尚未对该金融机构的客户造成实际损失 2020 3 22 8 案例 5 2信息加密技术 为保证数据和交易的安全 防止欺骗 确认交易双方的真实身份 电子商务必须采用加密技术 加密技术是指通过使用代码或密码来保障数据的安全性 欲加密的数据称为明文 明文经过某种加密算法作用后 转换成密文 我们将明文转换为密文的这一过程称为加密 将密文经解密算法作用后形成明文输出的这一过程称为解密 加密算法中使用的参数称为密钥 密钥长度越长 密钥的空间就越大 遍历密钥空间所花的时间就越多 破译的可能性就越小 以密钥类型划分 可将密钥系统分为对称密钥系统和非对称密钥系统 2020 3 22 9 5 2信息加密技术5 2 1密码学概述 一般的数据加密模型如下图所示 采用数学方法对原始信息 明文 进行再组织 使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字 密文 而对于合法的接收者 由于掌握正确的密钥 可以通过访问解密过程得到原始数据 密码学分为两类 密码编码学和密码分析学 2020 3 22 10 5 2信息加密技术5 2 2对称密钥系统 对称密钥系统 又称单钥密钥系统或密钥系统 是指在对信息的加密和解密过程中使用相同的密钥 也就是说 私钥密钥就是将加密密钥和解密密钥作为一把密钥 对称加密 解密的过程如下图所示 2020 3 22 11 5 2信息加密技术5 2 2对称密钥系统 对称密钥系统的安全性依赖于两个因素 加密算法必须是足够强的 仅仅基于密文本身去解密信息在实践上是不可能的加密方法的安全性依赖于密钥的秘密性 而不是算法的秘密性密码学的一个原则是 一切秘密寓于密钥之中 算法可以公开 因此 我们没有必要确保算法的秘密性 而需要保证密钥的秘密性 对称密钥系统的这些特点使其有着广泛的应用 优点 加密和解密都比较快缺点 密钥难于共享 对称加密系统最大的问题是需要的密钥太多密钥的分发和管理非常复杂 代价高昂 不能实现数字签名 2020 3 22 12 5 2信息加密技术5 2 2对称密钥系统 最典型的对称加密算法是DES算法 DES算法是密码体制中的对称密码体制 又被称为美国数据加密标准 是1972年美国IBM公司研制的对称密码体制加密算法 既可用于加密又可用于解密 DES算法大致可以分成四个部分 初始置换 迭代过程 逆置换和子密钥生成 DES加密算法过程如图所示 2020 3 22 13 5 2信息加密技术5 2 3非对称密钥系统 针对对称密钥系统的缺点 1976年有人提出了非对称密钥加密法 非对称密钥加密法是指在对信息的加密和解密过程中使用不同的密钥 每个用户保留两个不同的密钥 一个是公钥 PK 一个是私钥 IK 如果甲要给乙发送一个明文 甲用乙的公钥将明文加密成密文后发出 乙收到甲发送的密文后用乙的私钥将其解密 别人即使中途截取了密文也无法解密 非对称密钥系统主要用于数字签名和密钥分配 优点 密钥较少 灵活 易实现 缺点 要得到较好的加密效果 必须使用较长的密钥 从而加重系统负担和减缓系统吞吐速度 非对称加密 解密过程 2020 3 22 14 5 2信息加密技术5 2 3非对称密钥算法 RSA算法是一种非对称密码算法 所谓非对称 就是指该算法需要一对密钥 使用其中一个加密 则需要用另一个才能解密 RSA的算法涉及三个参数 n e1 e2 其中 n是两个大质数p q的积 n是二进制表示时所占用的位数 就是所谓的密钥长度 2020 3 22 15 5 2信息加密技术5 2 3两种加密方法组合使用 两种加密方法各有优缺点 对称加密体制的编码效率高 但在密钥分发与管理上存在困难 而非对称密码体制可以很好地解决这个问题 因此 可以组合使用这两种加密方法 如下图所示 2020 3 22 16 5 3信息认证技术 在电子商务中 由于参与的各方往往是素未谋面的 身份认证成了必须解决的问题 即在电子商务中 必须解决不可抵赖性问题 交易抵赖包括多个方面 如发言者事后否认曾经发送过某条信息或内容 收信者事后否认曾经收到过某条消息或内容 购买者做了订货单不承认 商家卖出的商品因价格差而不承认原有的交易等 电子商务关系到贸易双方的商业交易 如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商务顺利进行的关键 2020 3 22 17 5 3信息认证技术5 3 1身份认证 身份认证是指计算机及网络系统确认操作者身份的过程 计算机和计算机网络组成了一个虚拟的数字世界 在数字世界中 一切信息 包括用户的身份信息 都是由一组特定的数据表示的 计算机只能识别用户的数字身份 给用户的授权也是针对用户数字身份进行的 而我们的生活从现实世界到一个真实的物理世界 每个人都拥有独一无二的物理身份 从是否使用硬件分为 硬件认证软件认证从认证需要验证的条件分为 单因子认证双因子认证 2020 3 22 18 5 3信息认证技术5 3 1身份认证方法 密码方式密码方式是最简单也是最常用的身份认证方法 是基于 whatyouknow 的验证手段 每个用户的密码是由用户自己设定的 只有用户自己才知道 只要能够正确输入密码 计算机就认为操作者是合法用户 由于密码是静态的数据 在验证过程中需要在计算机内存中和网络中传输 而每次验证使用的验证信息都是相同的 很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获 因此密码方式是一种不安全的身份认证方式 优点 密码方式简单易用 容易操作缺点 密码方式的安全性不高 所以在使用过程中必须勤换密码 以保证密码的安全 2020 3 22 19 5 3信息认证技术5 3 1身份认证方法 生物学特征生物学特征认证是指采用每个人独一无二的生物学特征来验证用户身份的技术 常见的有指纹识别 虹膜识别等 从理论上说 生物学特征认证是最可靠的身份认证方式 因为它直接使用人的生理特征来表示每个人的数字身份 不同的人具有不同的生物学特征 因此几乎不可能被仿冒 动态口令动态口令技术是一种让用户密码按照时间或使用次数不断变化 每个密码只能使用一次的技术 用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机 即可实现身份认证 由于每次使用的密码必须由动态令牌来产生 只有合法用户才持有该硬件 所以只要通过密码验证就可以认为该用户的身份是可靠的 而用户每次使用的密码都不同 即使黑客截获了一次密码 也无法利用这个密码来仿冒合法用户的身份 采用一次一密的方法 有效保证了用户身份的安全性 2020 3 22 20 5 3信息认证技术5 3 1身份认证方法 USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便 安全的身份认证技术 它采用软硬件相结合 一次一密的强双因子认证模式 很好地解决了安全性与易用性之间的矛盾 USBKey是一种USB接口的硬件设备 它内置单片机或智能卡芯片 可以存储用户的密钥或数字证书 利用USBKey内置的密码算法实现对用户身份的认证 USBKey的硬件和PIN码构成了可以使用证书的两个必要因素 如果用户PIN码被泄漏 只要USBKey本身不被盗用即安全 黑客如果想要通过破解加密狗的方法破解USBKey 那么需要先偷到用户USBKey的物理硬件 而这几乎是不可能的 一个最重要的优点就是成本低廉 基于USBKey身份认证系统主要有两种应用模式 基于冲击 响应的认证模式基于PKI体系的认证模式 2020 3 22 21 5 3信息认证技术5 3 2数字摘要与数字签名 数字摘要数字摘要简要地描述了一份较长的信息或文件 它可以被看作一份长文件的 数字指纹 信息摘要用于创建数字签名 对于特定的文件而言 信息摘要是唯一的 信息摘要可以被公开 它不会透露相应文件的任何内容 数字摘要就是采用单向散列函数将需要加密的明文 摘要 成一串固定长度 128位 的密文 这一串密文又称为数字指纹 它有固定的长度 而且不同的明文摘要成密文 其结果总是不同的 而同样的明文其摘要必定一致 2020 3 22 22 5 3信息认证技术5 3 2数字摘要与数字签名 数字签名联合国贸易法委员会的 电子签名示范法 中对电子签名作如下定义 指在数据电文中以电子形式所含 所附或在逻辑上与数据电文有联系的数据 它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息 数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证 在电子商务中安全 方便的实现在线支付 同时 对于数据传输的安全性 完整性 身份验证机制以及交易的不可抵赖性问题通过安全性认证手段加以解决 数字签名进一步方便企业和消费者在网上做生意 使企业和消费者双方获利 数字签名是目前电子商务 电子政务中应用最普遍 技术最成熟 可靠性最强的一种电子签名方法 2020 3 22 23 5 3信息认证技术5 3 2数字摘要与数字签名 数字签名的过程目前基于非对称加密算法的数字签名过程如下 被发送文件通过散列算法加密产生信息摘要 发送方用自己的私有密钥对摘要再加密 这就形成了数字签名 将原文和加密的摘要同时传给对方 对方用发送方的公共密钥对摘要解密 同时对收到的文件用散列算法加密产生又一摘要 将解密后的摘要与收到的文件在接收方重新加密产生的摘要进行对比 如两者一致 则说明传送过程中信息没有被破坏或篡改过 否则不然 2020 3 22 24 5 3信息认证技术5 3 2数字摘要与数字签名 数字签名的过程签名是建立在私有密钥与签名者唯一对应的基础上的 在验证过程中 是用与该私有密钥对应的公开密钥来验证的 所以 数字签名必须通过一家可信赖的认证中心 CA 颁发签名的数字证书 根证书 私钥 从而确保签名的有效性 生成数字签名流程 2020 3 22 25 5 3信息认证技术5 3 2数字摘要与数字签名 数字签名的过程示意 2020 3 22 26 5 3信息认证技术5 3 3数字信封与数字时间戳 数字信封数字信封是用加密技术来保证只有特定的收信人才能阅读信的内容 在数字信封中 信息发送方采用对称密钥来加密信息 为了能安全地传输对称密钥 将对称密钥使用接收方的公开密钥来加密 这部分称为 数字信封 之后 将它和对称加密信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封 得到对称密钥 然后使用对称密钥解开信息 采用数字信封技术后 即使加密文件被他人非法截获 截获者由于无法得到发送方的通信密钥 也不可能对文件进行解密 2020 3 22 27 5 3信息认证技术5 3 3数字信封与数字时间戳 数字信封数字信封的生成 2020 3 22 28 5 3信息认证技术5 3 3数字信封与数字时间戳 数字信封数字信封的解除 2020 3 22 29 5 3信息认证技术5 3 3数字信封与数字时间戳 数字时间戳在电子交易中 需对交易文件的日期和时间采取安全措施 而数字时间戳就能提供电子文件发表时间的安全保护 数字时间戳服务 DTS 是网络安全服务项目 由专门的机构提供 时间戳是一个经加密后形成的凭证文档 它包括3个部分 需加时间戳的文件的摘要 DTS收到文件的日期和时间 DTS的数字签名 DTS的过程为 用户将需要加上时间的文件生成文件摘要 然后将摘要传给DTS服务机构 DTS将收到的摘要加上时间 再用自己的私钥进行加密 最后将加有时间和数字签名的文件发回给客户 完成数字时间戳的服务过程 2020 3 22 30 5 3信息认证技术5 3 3数字信封与数字时间戳 数字时间戳数字时间戳的使用 2020 3 22 31 5 3信息认证技术5 3 4数字证书 数字证书的含义数字证书就是网络通信中标志各通信方身份信息的一系列数据 其作用类似于现实生活中的身份证 它是由权威机构发行的 人们可以在交往中用它来识别对方的身份 数字证书的内容由6个部分组成 用户的公钥用户名公钥的有效期CA颁发者 颁发数字证书的CA 数字证书的序列号颁发者的数字签名 2020 3 22 32 5 3信息认证技术5 3 4数字证书 数字证书的应用数字证书由CA颁发 并利用CA的私钥签名 CA中心所发放的数字安全证书可以应用于公众网络上的商务和行政作业活动 包括支付型和非支付型电子商务活动 其应用范围涉及需要身份认证及数据安全的各个行业 包括传统的商业 制造业 流通业的网上交易 以及公共事业 金融服务业 科研单位和医疗等网上作业系统 它主要应用于网上购物 企业与企业的电子贸易 网上证券交易和网上银行等方面 CA中心还可以与企业代码中心合作 将企业代码证和企业数字安全证书一体化 为企业网上交易 网上报税和网上作业奠定基础 数字证书广泛应用 对网络经济活动有非常重要的意义 2020 3 22 33 5 3信息认证技术5 3 5认证中心 CA CertificationAuthority 是认证机构的国际通称 主要对数字证书进行管理 负责证书的申请 审批 发放 归档 撤销 更新和废止等 CA的作用是检查证书持有者身份的合法性 并签发证书 在证书上签字 以防证书被伪造或篡改 CA是权威的 公正的提供交易双方身份认证的第三方机构 在电子商务体系中起着举足轻重的作用 数字证书实际上是存放在计算机上的一个记录 是由CA签发的一个声明 证明证书主体 证书申请者 被发放证书后即成为 证书主体 与证书中所包含的公钥的唯一对应关系 证书包括证书申请者的名称及相关信息 申请者的公钥 签发证书的CA的数字签名及证书的有效期限等内容 数字证书的作用是使网上交易的双方互相验证身份 保证电子商务的正常进行 2020 3 22 34 5 3信息认证技术5 3 5认证中心 一个CA系统主要包括以下几大组成部分 证书服务器证书注册中心系统证书客户端RA服务器密钥管理服务器证书目录服务器和证书 密钥数据库 2020 3 22 35 5 3信息认证技术5 3 5认证中心 2020 3 22 36 CA2000系统的组成 广东省电子商务认证中心是经广东省人民政府批准成立的第一家专业数字证书认证机构 其前身是中国电信南方电子商务中心 创立于1998年 是中国成立最早的数字证书认证机构之一 该中心作为国家电子商务试点工程 广东省 十五 规划重点建设项目 一直致力于推动中国数字证书认证事业的发展 成为我国数字证书技术与应用技术完善结合的典范 是国内为应用信息系统提供良好安全支撑的著名认证机构 该中心本着 以CA保证应用安全 以应用推动CA发展 的宗旨 服务广受赞誉 广东省电子商务认证中心作为早期成立的权威认证机构 已提供超过20万张数字证书服务 中心拥有丰富的认证运营经验 拥有一支掌握数字证书认证核心技术的团队 建立了数字证书的注册 审批 发放 注销 查询 管理等运作规范 有效地解决了网上身份认证 密钥管理和信息安全等一系列问题 同时 该中心积极研发相关安全产品 提供信息安全整体解决方案及顾问咨询服务 以推动数字证书应用 2020 3 22 37 案例 广东省电子商务认证中心 由国家密码管理办公室授权 由广东省电子商务认证中心负责承建和运营的 广东省电子商务密钥管理中心 于2004年11月正式挂牌并投入使用 于2005年7月通过技术鉴定 主要负责数字证书用户密钥的生成和管理 解决系统密钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题 广东省电子商务密钥管理中心的开通为在电子政务和电子商务活动中使用的数字证书提供了一个安全 规范 统一的密钥管理平台 并将在保障广东省电子政务 电子商务活动健康 有序的发展中发挥积极的作用 2020 3 22 38 案例 广东省电子商务认证中心 广东省电子商务认证中心网站主页 2020 3 22 39 案例 广东省电子商务认证中心 5 4电子商务安全协议5 4 1SSL协议 SSL SecureSocketLayer 安全套接层 协议是由Netscape公司研究制定的安全协议 该协议向基于TCP IP的客户端 服务器应用程序提供客户端和服务器的鉴别 数据完整性及信息机密性等安全措施 该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查 在SSL握手信息中采用DES MDS等加密技术来实现机密性和数据完整性 该协议已成为事实上的工业标准 并被广泛应用于互联网和内联网的服务器产品和客户端产品中 SSL是人们最信赖的协议 2020 3 22 40 5 4电子商务安全协议5 4 1SSL协议 SSL协议的工作层次 2020 3 22 41 5 4电子商务安全协议5 4 1SSL协议 SSL协议提供的服务 2020 3 22 42 5 4电子商务安全协议5 4 1SSL协议 SSL握手协议 2020 3 22 43 5 4电子商务安全协议5 4 1SSL协议 SSL协议在电子商务中也应用广泛 为了支付的安全性 客户 商家 银行与支付平台都必须具有数字证书 其支付流程如下 当客户购物时 可先登录商家网站 通过SSL建立点对点的连接 客户浏览商品并下订单 商家将支付信息转发至第三方支付平台 经平台识别后 转发至相应客户的开户银行 这其中也是通过SSL建立起端对端的连接银行的网关在接受平台转来的客户付款信息后 进行通信格式转换 传向银行后台核心业务系统进行授权当授权成功后 即银行将客户买东西的金额 从客户的账号划入商家的账号 并回答平台授权完成 平台同时回答商家扣款成功的信息 商家回答客户交易成功 2020 3 22 44 5 4电子商务安全协议5 4 2SET协议 SET SecureElectronicTransaction 协议 即安全电子交易协议 是由MasterCard和Visa联合Netscape Microsoft等公司 于1997年6月1日推出的一种电子支付模型 它采用公钥密码体制和X 509数字证书标准 主要应用于保障网上购物信息的安全性 SET协议是B2C上基于信用卡支付模式而设计的 它保证了在开放网络上使用信用卡进行在线购物的安全 SET主要是为了解决用户 商家 银行之间通过信用卡的交易而设计的 它具有保证交易数据的完整性 交易的不可抵赖性等种种优点 因此它成为目前公认的信用卡网上交易的国际标准SET协议主要应用于B2C模式中保障支付信息的安全性 SET交易过程中要对商家 客户 支付网关等交易各方进行身份认证 因此它的交易过程相对复杂 2020 3 22 45 5 4电子商务安全协议5 4 2SET协议 完成一个SET协议的交易流程如下 客户在网上商店看中商品后 和商家进行磋商 然后发出请求购买信息 商家要求客户用电子钱包付款 电子钱包提示客户输入口令后与商家交换握手信息 确认商家和客户两端均合法 客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家 商家将含有客户支付指令的信息发送给支付网关 支付网关在确认客户信用卡信息之后 向商家发送一个授权响应的报文 商家向客户的电子钱包发送一个确认信息 将款项从客户账号转到商家账号 然后向顾客送货 交易结束 2020 3 22 46 5 4电子商务安全协议5 4 2SET协议 SET协议交易的流程 2020 3 22 47 5 4电子商务安全协议5 4 2SET协议 SL协议和SET协议的对比 2020 3 22 48 5 4电子商务安全协议5 4 3S HTTP协议 S HTTP 安全的超文本传输协议 对HTTP扩充了安全特性 增加了报文的安全性 为WWW的应用提供了完整性 鉴别 不可抵赖性及机密性等安全措施 S HTTP允许Web浏览器对每个被检索的文档核对电子签名 它为用户到服务器的数据传输提供了安全性保护 其实现方法是用对称密钥加密数据流 为防范窃听 对称密钥经公共密钥加密后再传输至服务器 同样的方法还用于用户口令和信用卡号码到服务器的安全传输 S HTTP用作加密及签名的算法可以由参与通信的收发双方协商 它提供了对多种单向散列 Hash 函数的支持 如MD2 MD5及SHA 对多种单钥体制的支持 如DES 3DES RC2 RC4 对数字签名体制的支持 如RSA和DSS 2020 3 22 49 5 5其他电子商务安全5 5 1防火墙技术 防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网与公共网之间的界面上构造的保护屏障 是一种获取安全性方法的形象说法 它是一种计算机硬件和软件的结合 使互联网与内联网之间建立起一个安全网关 SecurityGateway 从而保护内部网免受非法用户的侵入 防火墙主要由服务访问规则 验证工具 包过滤和应用网关四个部分组成 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件 该计算机流入流出的所有网络通信和数据包均要经过此防火墙 2020 3 22 50 5 5其他电子商务安全5 5 1防火墙技术 防火墙系统模型 2020 3 22 51 5 5其他电子商务安全5 5 1防火墙技术 按软硬件形式分类软件防火墙硬件防火墙按技术分类包过滤防火墙应用层防火墙按结构形式分类单一主机防火墙路由器集成式防火墙分布式防火墙 2020 3 22 52 5 5其他电子商务安全5 5 2VPN技术 VPN VirtualPrivateNetwork 虚拟专用网络 指的是在公用网络上建立专用网络的技术 之所以称其为虚拟网 主要是因为整个VPN的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路 而是架构在公用网络服务商所提供的网络平台 如互联网 ATM 异步传输模式 帧中继 FrameRelay 等之上的逻辑网络 用户数据在逻辑链路中传输 它涵盖了跨共享网络或公共网络的封装 加密和身份验证链接的专用网络的扩展 VPN的应用特点主要表现在应用成本低廉和使用安全 安全的VPN使用加密穿隧协议 通过阻止截听与嗅探来提供机密性 还允许发送者身份验证 以阻止身份伪造 同时通过防止信息被修改提供消息完整性 2020 3 22 53 5 5其他电子商务安全5 5 2VPN技术 VPN的使用背景 2020 3 22 54 5 5其他电子商务安全5 5 2VPN技术 VPN技术的优点使用VPN可降低成本 通过公用网来建立VPN 就可以节省大量的通信费用 而不必投入大量的人力和物力去安装和维护WAN 广域网 设备和远程访问设备 传输数据安全可靠 VPN产品均采用加密及身份验证等安全技术 保证连接用户的可靠性及传输数据的安全和保密性 连接方便灵活 用户如果想与合作伙伴联网 如果没有VPN 双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路 有了VPN之后 只需双方配置安全连接信息即可 完全控制 VPN使用户可以利用ISP的设施和服务 同时又完全掌握着自己网络的控制权 用户只利用ISP提供的网络资源 对于其他的安全设置 网络管理变化可由自己管理 在企业内部也可以自己建立VPN 2020 3 22 55 5 5其他电子商务安全5 5 2VPN技术 VPN技术的特点安全保障 VPN通过建立一个隧道 利用加密技术对传输数据进行加密 以保证数据的私有性和安全性 服务质量保证 VPN可以为不同要求用户提供不同等级的服务质量保证 可扩充 灵活性 VPN支持通过互联网和外联网的任何类型的数据流 可管理性 VPN可以从用户和运营商角度方便进行管理 2020 3 22 56 5 5其他电子商务安全5 5 2VPN技术 VPN技术的分类按VPN的协议分类VPN的隧道协议主要有三种 PPTP L2TP和IPSecPTP和L2TP协议工作在OSI模型的第二层 又称为二层隧道协议 IPSec是第三层隧道协议 也是最常见的协议 按VPN的应用分类远程接入VPN 客户端到网关 使用公网作为骨干网在设备之间传输VPN的数据流量 内联网VPN 网关到网关 通过公司的网络架构连接来自同公司的资源 外联网VPN 与合作伙伴企业网构成前外联网 将一个公司与另一个公司的资源进行连接 2020 3 22 57 5 5其他电子商务安全5 5 2VPN技术 VPN技术的分类按所用的设备类型分类网络设备提供商针对不同客户的需求 开发出不同的VPN网络设备 主要为交换机 路由器和防火墙 路由器式VPN 路由器式VPN部署较容易 只要在路由器上添加VPN服务即可 交换机式VPN 主要应用于连接用户较少的VPN网络 防火墙式VPN 防火墙式VPN是最常见的一种VPN的实现方式 许多厂商都提供这种配置类型 2020 3 22 58 思考题 电子商务的安全性需求主要有哪几个方面 面对各种安全性威胁通常可以采用哪些安全策略 加密技术中对称加密和非对称加密有哪些异同点 数字签名的作用是什么 简述数字签名的实现过程 数字证书包括哪些主要内容 作用是什么 如何申请 简述CA认证中心在电子商务交易中的必要性 目前常用的电子商务安全交易协议有哪些 其主要区别在哪里 什么是防火墙 主要类型有哪些 其安全策略是怎么样的 2020 3 22 59 11 24 跨国网络诈骗案成功告破公安部于2012年11月30日在上海召开跨