《电子商务安全》PPT课件.ppt

第6章电子商务安全 学习目的 通过本章学学习 了解电子商务安全知识 知晓电子商务安全技术 关键词 引言信息安全面临的严峻形势 案例说明钓鱼网站 引言信息安全面临的严峻形势 案例说明网购陷阱 淘宝骗局案例 6 1电子商务安全概述 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息 如何建立一个安全 便捷的电子商务应用环境 对信息提供足够的保护 已经成为商家和用户都十分关心的话题 6 1电子商务安全概述 电子商务安全 特征 针对计算机网络本身可能存在的安全问题 实施网络安全增强方案 以保证计算机网络自身的安全性为目标 6 1 1计算机网络安全 物理安全 管理安全 信息加密 系统安全 用户安全 安全传输 访问控制安全 6 1 1计算机网络安全体系结构 6 1 2电子商务交易安全问题概述 随着互联网的全面普及 基于互联网的电子商务也应运而生 并在近年来获得了巨大的发展 成为一种全新的商务模式 同时这种商务模式对管理水平 信息传递技术都提出了更高的要求 其中安全体系的构建显得尤为重要 如何建立一个安全 便捷的电子商务应用环境 对交易过程中的信息提供足够的保护 是商家和用户都十分关注的话题 安全问题已成为电子商务的核心问题 6 1 2商务交易安全主要情况 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题 在计算机网络安全的基础上 如何保障电子商务过程的顺利进行 即实现电子商务的保密性 完整性 可鉴别性 不可伪造性和不可抵赖性 窃取信息 篡改信息 身份仿冒 其他安全威胁 病毒网络化 抵赖 6 1 2商务交易安全主要情况 1 窃取信息 在传输信道上对数据进行非法截获 监听 获取通信中的敏感信息 造成网上传输信息泄露 2 篡改信息 攻击者在掌握了信息格式和规律后 采用各种手段对截取的信息进行篡改 破坏商业信息的真实性和完整性 6 1 2商务交易安全主要情况 详解 6 1 2商务交易安全主要情况 详解 3 身份仿冒 运用非法手段盗用合法用户身份信息 利用仿冒的身份与他人交易 获取非法利益 从而破坏交易的可靠性 4 抵赖 某些用户对发出或收到的信息进行恶意否认 以逃避应承担的责任 6 1 2商务交易安全主要情况 详解 5 病毒网络化 互联网的发展 大大加速了病毒的传播 同时病毒的破坏性越来越大 严重威胁着电子商务的发展 6 其他安全威胁 例如 业务流分析 操作人员的不慎重所导致的信息泄露 媒体废弃物所导致的信息泄露等 6 1 3电子商务的安全要求 机密性 可靠性不可抵赖性可鉴别性 审查能力 完整性 有效性 6 1 3电子商务的安全要求 详解 1 有效性 要求对网络故障 操作错误 应用程序错误 计算机病毒等所产生的潜在威胁加以控制和预防 以保证贸易数据在确定时刻 确定地点是有效的 2 机密性 是电子商务全面推广应用的重要保障 必须预防非法的信息存取和信息在传输中被非法窃取 6 1 3电子商务的安全要求 详解 3 完整性是电子商务应用的基础 要预防对信息的随意生成 修改和删除 同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一 4 可靠性 不可抵赖性 可鉴别性 这一问题是保证电子商务顺利进行的关键 5 审查能力 根据机密性和完整性的要求 应对数据审查的结果进行记录 6 2电子商务安全技术 数据加密技术作为一项基本技术 是电子商务的基石 是电子商务最基本的信息安全防范措施 其实质是对信息进行重新编码 从而达到隐藏信息内容 使非法用户无法获取真实信息的一种技术手段 确保数据的保密性 6 1 2加密技术 密码系统模型 信源 加密 解密 接受者 明文 密文 明文 入侵者 密钥 密钥源 密钥源 密钥信道 密钥 代换密码 HENANUNIVERSITY IFOBOVOJWFSTJUZ 后继字符 明文 密文 密钥 Internet IFOBOVOJWFSTJUZ HENANUNIVERSITY 前驱字符 传统加密技术 基于加密 解密所使用的密钥是否相同可分为对称加密和非对称加密两类 6 1 2加密技术 对称加密的加密密钥和解密密钥相同 即在发送方和接收方进行安全通信之前 商定一个密钥 用这个密钥对传输数据进行加密 解密 对称加密 6 1 2加密技术 对称加密 对称加密的突出特点是加解密速度快 效率高 适合对大量数据加密 缺点是密钥的传输与交换面临安全问题 且若和大量用户通信时 难以安全管理大量密钥 对称加密 6 1 2加密技术 目前常用的对称加密算法有DES 3DES IDEA Blowfish等 DES DataEncryptionStandard 算法由IBM公司设计 是迄今为止应用最广泛的一种算法 也是一种最具代表性的分组加密体制 6 1 2加密技术 DES是一种对二元数据进行加密的算法 数据分组长度为64bit 密文分组长度也是64bit 没有数据扩展 密钥长度为64bit 其中有8bit奇偶校验 有效密钥长度为56bit 加密过程包括16轮的加密迭代 每轮都采用一种乘积密码方式 代替和移位 6 1 2加密技术 DES整个体制是公开的 系统的安全性全靠密钥的保密 DES算法的入口参数有3个 Key Data Mode Key为8个字节共64位 是DES算法的工作密钥 Data也是8个字节64位 是需被加密或解密的数据 Mode为DES的工作方式 分为加密或解密两种 6 1 2加密技术 DES算法的步骤 如Mode为加密 则用Key去对数据进行加密 生成Data的密码形式 64位 作为DES输出结果 如Mode为解密 则用Key去把密码形式的数据Data解密 还原为Data的明码形式 64位 作为DES的输出结果 1976 2283年 每秒100万个密钥 1977 耗资两千万美元 12小时 1997 70000台机器 96天 1998 25万美元 3天内 1999 超级计算机 22小时 Now Min 三重DES 112位密钥 6 1 2加密技术 256 72 057 584 037 927 936 对称加密优缺点优点 缺点 6 1 2加密技术 易理解 易实现 加密速度快 每对通信用户拥有一对密钥 管理困难 6 2 1加密技术 非对称加密 非对称加密的最大特点是采用两个密钥将加密和解密能力分开 一个公开作为加密密钥 一个为用户专用 作为解密密钥 通信双方无需事先交换密钥就可进行保密通信 从公开的公钥或密文分析出明文或密钥 在计算上是不可行的 密钥A 密钥B 密钥A加密 密钥B解密 密钥B加密 密钥A解密 6 2 1加密技术 非对称加密 从一个密钥无法推出另一个密钥 一个密钥公开 称为公钥另一个密钥严密保存 称为私钥 6 2 1加密技术 非对称加密 6 2 1加密技术 非对称加密 若以公开钥作为加密密钥 以用户专用钥作为解密密钥 则可实现多个用户加密的信息只能由一个用户解读 反之 以用户专用钥作为加密密钥而以公开钥作为解密密钥 则可实现由一个用户加密的消息而使多个用户解读 前者可用于保密通信 后者可用于数字签字 6 2 1加密技术 非对称加密 私钥 公钥 发件人使用自己的私钥对信息加密 收件人使用发件人的公钥对信息解密 6 2 1加密技术 非对称加密 非对称加密的优缺点 优点是很好地解决了对称加密中密钥数量过多难以管理的不足 且保密性能优于对称加密算法 缺点是算法复杂 加密速度不是很理想 常用算法 RSA算法 RSA算法 RSA公钥加密算法是1977年由RonRivest AdiShamirh和LenAdleman在 美国麻省理工学院 开发的 RSA是目前最有影响力的公钥加密算法 它能够抵抗到目前为止已知的所有密码攻击 已被ISO推荐为公钥数据加密标准 RSA算法基于一个十分简单的数论事实 将两个大素数相乘十分容易 但那时想要对其乘积进行因式分解却极其困难 因此可以将乘积公开作为加密密钥 找两素数p和qn p qt p 1 q 1 取任何一个数e 要求满足e t并且e与t互素 就是最大公因数为1 d e t 1这样最终得到三个数 n d e 设消息为数M M n 计算c M d n就得到了加密后的消息c计算m c e n则m M 从而完成对c的解密 注 表示次方 上面两式中的d和e可以互换 p 47q 59n p q 2773t p 1 q 1 2668取e 63 满足eperl e foreach i 1 9999 print i lastif i 63 2668 1 847即d 847 最终我们获得关键的n 2773 d 847 e 63取消息M 244我们看看加密 c M d n 244 847 2773用perl的大数计算来算一下 C Temp perl Mbigint e print244 847 2773 465即用d对M加密后获得加密信息c 465 解密 我们可以用e来对加密后的c进行解密 还原M m c e n 465 63 2773 C Temp perl Mbigint e print465 63 2773 244即用e对c解密后获得m 244 该值和原始信息M相等 6 2 1加密技术 非对称加密 非对称加密图示 非对称加密体制的出现是密码学史上划时代的事件 为解决计算机信息网中的安全提供了新的理论技术基础 认证是防止主动攻击的重术 对于开放环境中的各种信息系统的安全性有重要作用 认证的主要技术 第一 验证信息的发送者是真的 而不是冒充的 此为实体认证 第二 验证信息的完整性 此为信息认证 6 2 2认证技术 1 数字摘要 3 数字证书与CA 2 数字签名 6 2 2认证技术 1 数字摘要 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码 这一串摘要码亦称为数字指纹 FingerPrint 有固定的长度 不同消息其摘要不同 相同消息其摘要相同 因此 摘要成为消息的 指纹 以验证消息是否 真身 消息摘要解决了信息的完整性问题 6 2 2认证技术 1 数字摘要它是一个唯一对应一个消息或文本的固定长度的值 它由一个单向Hash加密函数对消息进行作用而产生 消息或文本 消息摘要 Hash函数 6 2 2认证技术 长度固定 一般为128bit 常用算法 SHA MD5 1 数字摘要公式表示为 h H M 其中H 单向散列函数 M 任意长度明文 h 固定长度哈希值 M1 M2 Hash函数 h1 h2 IfM1 M2 Thenh1 h2 IfM1 M2 Thenh1 h2 特点一 两个不同的报文难以生成相同的摘要 6 2 2认证技术 1 数字摘要 消息或文本 消息摘要 消息或文本 消息摘要 特点二 绝不能从消息摘要生成原数据 6 2 2认证技术 2 数字签名 所谓数字签名就是附加在信息单元上的一些数据 或是对信息单元所作的密码变换 这种数据或密码变换允许信息接收者确认消息的来源和信息单元的完整性并保护数据防止被人伪造 实现方式 结合 信息摘要 公开密钥算法 实现认证的重要工具 6 2 2认证技术 数字签名过程 待发明文数据 数字摘要 非对称加密算法加密 发送者私钥 合并发送 密文 数字签名 加密 发送方 散列函数 签字过程 验证过程 密文 数字签名 解密 明文 生成摘要1 散列函数 发送者公钥 生成摘要2 若相等 则数据完整 接收方 解密 作用2 发送者对信息的不可抵赖性 作用1信息的完整性鉴别 2 数字签名 6 2 2认证技术 三 数据加密技术 组合加密技术 待发明文数据 随机生成一个本次通信的会话密钥 非对称加密算法加密 接收者公钥 加密后的会话密钥密文 对称分组加密 密文 散列函数生成摘要 非对称加密算法加密 签字过程 发送者私钥 摘要签字 合并发送 3 数字证书与CA 数字证书是由CA CertificateAuthority 发放的 利用电子手段来证实一个用户的身份及用户对网络资源的访问权限 相当于现实中的身份证 它是电子商务交易双方身份确定的惟一安全工具 认证中心CA是承担网上安全交易认证服务 能签发数字证书 并能确认用户身份的服务机构 认证中心通常是企业性的服务机构 主要任务是受理数字证书的申请 签发及对数字证书的管理 数字证书的概念 6 2 2认证技术 3 数字证书与CA 数字证书 用户的姓名 公共密钥 公共密钥有限期 颁发数字证书的CA 数字证书的序列号 用户本人的数字签名 6 2 3安全电子交易协议 目前电子商务中有多种安全体制可以保证电子商务交易的安全性 其中SSL和SET是电子商务安全中两个最重要的协议 1 SSL安全协议SSL SecureSocketsLayer 安全协议最初由NetscapeCommunication公司设计开发 又称 安全套接层协议 是指通信双方在通信前约定使用的一种协议方法 该方法能够在双方计算机之间建立一个秘密信道 凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输 不用担心数据会被别人偷窃 6 2 3安全电子交易协议 6 2 3安全电子交易协议 1 SSL安全协议 SSL协议只负责端到端的安全连接 只保证信息传输过程中不被窃取 篡改 但不提供其他安全保证 因而SSL实质上仅仅提供对浏览器和服务器的鉴别 不能细化到对商家和客户的身份认证 这个缺陷会导致交易的假冒欺诈行为出现 由于SSL协议早已嵌入Web浏览器和服务器 使用方便 因此对进行电子商务交易的广大用户而言 SSL使用非常方便 这是其优点 6 2 3安全电子交易协议 2 SET安全协议SET SecureElectronicTransaction 协议也称为 安全电子交易 由MasterCard Visa IBM以及微软等公司开发 是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范 SET协议提供了强大的验证功能 凡与交易有关的各方必须持有合法证书机构发放的有效证书 SET不仅具有加密机制 更重要的是通过数字签名 数字信封等实现身份鉴别和不可否认性 最大限度地降低了电子商务交易可能遭受的欺诈风险 6 2 3安全电子交易协议 2 SET安全协议由于SET是基于信用卡进行电子交易的 因此中间环节增加了CA与银行 用户与银行之间的认证 从而提高了软硬件的环境要求 也增加了交易成本 6 2 4黑客防范技术主要有3个方法 2 防火墙 3 入侵检测技术 1 安全评估技术 为什么网络安全如此重要 Externalaccess nowgranted Areapplications andnetwork secure 信息资本 Enterprise Network 没有边界没有中央管理是开放的 标准的没有审计记录 INTERNET 1 安全评估技术 通过扫描器发现远程或本地主机所存在的安全问题 扫描器的一般功能是发现一个主机或网络 安全评估技术根据发现什么服务正运行在这台主机上 通过测试这些服务 发现漏洞 扫描器 主机 漏洞 发现 扫描 2 什么是防火墙 防火墙 防火墙是一种用来加强网络之间访问控制的特殊网络设备 它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查 从而决定网络之间的通信是否被允许 防火墙能有效地控制内部网络与外部网络之间的访问及数据传输 从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的 2 防火墙的主要功能 能做什么 安全把关网络活动统计内部隔离 不能做什么 不能防范内部入侵不能防范新的威胁控制粒度粗 3 入侵检测技术 入侵检测系统 IDS 可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统 包括来自系统外部的入侵行为和来自内部用户的非授权行为 它从计算机网络系统中的若干关键点收集信息 并分析这些信息 看看网络中是否有违反安全策略的行为和遭到袭击的迹象 在发现入侵后 会及时作出响应 包括切断网络连接 记录事件和报警等 网络侵袭的主要种类 非授权访问 冒充合法用户等 部分或彻底地阻止计算机或网络正常工作 指无须利用你的计算机就可获取数据信息 外部与内部入侵 拒绝服务 盗窃信息 1 网络侵袭者的主要种类 低级失误偶然事件 间谍 盗窃犯 记录 追求者 破坏者 寻求刺激者 六种哦 网络病毒的威胁 2 病毒防范技术 文件下载 网络化趋势 常见病毒 1 病毒分类 单机病毒 网络病毒 DOS Windows 宏病毒等 黑色星期五 CIH 七月杀手 特洛伊木马 邮件病毒 3 病毒防范措施 Step1 Step2 Step3 1 安装防病毒软件 加强内部网的整体防病毒措施 2 加强数据备份和恢复措施 3 对敏感的设备和数据要建立必要的物理或逻辑隔离措施等 措施 4 布署一种防病毒的实际操作 制定计划 调查 测试 系统安装 维护 步骤 5 布署和管理防病毒软件 操作 1 制定计划 了解在你所管理的网络上存放的是什么类型的数据和信息 五步走 2 调查 选择一种能满足你的要求并且具备多功能的防病毒软件 3 测试 在小范围内安装和测试所选择的防病毒软件 确保其工作正常并与网络系统和应用软件相兼容 4 维护 管理和更新系统确保其能发挥功能 并利用设备和人员进行管理 下载病毒特征码数据库更新文件 升级 彻底理解这种防病毒系统的重要方面 布署一种防病毒的实际操作一般包括以下步骤 5 系统安装 在测试得到满意结果后 就可以将此种防病毒软件安装在整个网络范围内 Packet Switched LeasedLine Workgroup 广域网 INTERNET 局域网 远程工作站 6 网络防毒手段 6 2 6反病毒技术 预防病毒 检测病