第十章-电子商务的安全PPT课件

第10章电子商务的安全 1 安全问题提出 3 2 安全问题分析 安全问题解决 10 1安全问题的提出 Web Server Internet Encryption 线路传输 客户终端 线路连接 Intranet WebServer Weakness Enterprise Network 电子商务危险无处不在 计算机安全的分类 保密 防止未授权的数据暴露并确保数据源的可靠性完整 防止未经授权的数据修改即需 防止延迟或拒绝服务 信息的保密性 信息的保密性是指对交换的信息进行加密保护 使其在传输过程或存储过程中不被他人所识别 在传统的贸易中 一般都是通过面对面的信息交换 或者通过邮寄封装的信件或可靠的通信渠道发送商业报文 达到保守商业机密的目的 而电子商务是建立在一个开放的网络环境下 当交易双方通过Internet交换信息时 因为Internet是一个开放的公用互联网络 如果不采取适当的保密措施 那么其他人就有可能知道他们的通信内容 另外 存储在网络的文件信息如果不加密的话 也有可能被黑客窃取 信息的完整性 信息的完整性指确保信息在传输过程中的一致性 并且不被未经授权者所篡改 也称不可修改性 信息保密性是针对网络面临的被动攻击一类威胁而提出的安全需求 但它不能避免针对网络所采用的主动攻击一类的威胁 所谓被动攻击 就是不修改任何交易信息 但通过截获 窃取 观察 监听 分析数据流和数据流式获得有价值的情报 而主动攻击就是篡改交易信息 破坏信息的完整性和有效性 以达到非法的目的 例如 在电子商务中 乙给甲发了如下一份报文 请给丁汇100元钱 乙 报文在报发过程中经过了丙之手 丙就把 丁 改为 丙 这样甲收到后就成了 请给丙汇100元钱 乙 结果是丙而不是丁得到了100元钱 当乙得知丁未收到钱时就去问甲 甲出示有乙签名的报文 乙发现报文被篡改了 信息的即需性 信息的即需性指延迟一个消息或消除它会带来灾难性的后果 例如 在上午10点向一家网上股票经纪商发一个电子邮件委托购买1000股IBM公司的股票 假如这封邮件被人延迟 股票经纪商在下午2点半才收到该邮件 这时IBM股票已涨了3美元 这个消息的延迟就使你损失了3000美元 10 2安全问题的分析 互联网开放性成员多样性位置分散性 推动 电子商务安全技术 10 3安全问题的解决 电子商务安全技术 10 3 1防火墙技术 防火墙 在被保护网络和Internet之间 或者和其它网络之间限制访问的软件和硬件的组合 图1企业防火墙配置样例 防火墙的作用 禁止本地程序或木马非法出站上网 需得到许可 拦截网络病毒和木马对本地机器植入和ping探测 监视系统状态和进程 必要时结束非法进程 调节启动项 添加自定义项目 去除非法项目 扫描本地漏洞 提示用户修补 游戏防盗 应用程序保护等高级功能 为个人电脑提供全面安全保护 通过过滤不安全的网络访问服务 极大地提高了用户电脑的上网安全 彻底阻挡黑客攻击 木马程序等网络危险 保护上网帐号 QQ密码 网游帐号等信息不被窃取 提供端口开关 黑白名单 IP规则 出站规则设置 10 3 2数据加密技术 加密是指对数据进行编码使其看起来毫无意义 同时仍保持可恢复的形式 明文变为密文的过程称为加密 由密文还原为明文的过程称为解密 加密和解密的规则称为密码算法 在加密和解密的过程中 由加密者和解密者使用的加解密可变参数叫做密钥 数据加密是保护数据传输安全唯一实用的方法和保护存储数据安全的有效方法 早在公元前50年 古罗马的凯撒在高卢战争中就采用过加密方法 这里用最简单的凯撒密码来说明一个加密系统的构成 它的原理是把每个英文字母向前推x位 如x 3 即字母a b c d x y z分别变为d e f g a b c 例如要发送的明文为Caesarwasagreatsolider 则对应的密文为Fdhvduzdvdjuhdwvroglhu 这个简单的例子说明了加密技术的构成 明文被character 3算法转换成密文 解密的算法是反函数character 3 其中算法为character x x是起密钥作用的变量 此处x是3 数据加密技术分类 对称密钥加密技术 私钥加密 非对称密钥加密技术 公钥加密 对称密钥加密技术 对称密钥也称私钥 单钥或专有密钥 在这种技术中 加密方和解密方使用同一种加密算法和同一个密钥 图2所示为对称密钥加密过程 对称密钥加密技术特点是数据加密标准 速度较快 适用于加密大量数据的场合 图2对称密钥加密过程 对称加密的算法是公开的 在前面的例子中 可以把算法character x告诉所有要交换信息的对方 但要对每个消息使用不同的密钥 某一天这个密钥可能是3 而第二天则可能是9 交换信息的双方采用相同的算法和同一个密钥 将简化加密解密的处理 加密解密速度快是对称加密技术的最大优势 但双方要交换密钥 密钥管理困难是一个很大的问题 因此密钥必须与加密的消息分开保存 并秘密发送给接收者 如果能够确保密钥在交换阶段未曾泄露 那么机密性和报文完整性就可以通过对称加密方法来实现 目前最具代表性的对称密钥加密算法是美国数据加密标准DES DataEncryptionStandard DES算法是IBM公司研制的 被美国国家标准局和国家安全局选为数据加密标准并于1977年颁布使用 后被国际标准化组织ISO认定为数据加密的国际标准 DES算法使用的密钥长度为64位 实际为56位 有8位用于奇偶校验 加密时把一个64位二进制数转变成以56位变量为基础的 唯一的64位二进制值 解密的过程和加密时相似 但密钥的顺序正好相反 非对称密钥加密技术 非对称密钥加密技术也称为公开密钥加密技术 是由安全问题专家WitefieldDiffre和MartinHellman于1976年首次提出的 这种技术需要使用一对密钥来分别完成加密和解密操作 每个用户都有一对密钥 一个私钥 PrivateKey 和一个公钥 PublicKey 它们在数学上相关 在功能上不同 私钥由所有者秘密持有 而公钥则由所有者给出或者张贴在可以自由获取的公钥服务器上 就像用户的姓名 电话 E mail地址一样向他人公开 如果其他用户希望与该用户通信 就可以使用该用户公开的密钥进行加密 而只有该用户才能用自己的私钥解开此密文 当然 用户的私钥不能透露给自己不信任的任何人 图3非对称密钥加密过程 非对称密钥加密基本过程 用户生成一对密钥并将其中的一个作为公钥向其他用户公开 发送方使用该用户的公钥对信息进行加密后发送给接收方 接收方利用自己保存的私钥对加密信息进行解密 接收方只能用自己的私钥解密由其公钥加密后的任何信息 目前最著名的公钥加密算法是RSA算法 它是由美国的三位科学家Rivest Shemir和Adelman提出的 已被ISO TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准 RSA算法加密强度很高 它的安全性是基于分解大整数的难度 即将两个大的质数合成一个大数很容易 而相反的过程非常困难 公开密钥算法计算上的复杂性 使得它的加密或解密效率大大低于对称密钥算法 所以公钥加密技术不用来加密大的文件 而是联合使用私钥加密技术和公钥加密技术进行更有效更快捷的加密 例如 用户A生成一个一次性的对称密钥并用它对文件加密 然后用用户B的公钥对一次性的对称密钥加密 将经过加密的对称密钥和文件发送给用户B 用户B利用自己的私钥解密对称密钥 然后用对称密钥解密文件 这种方式也称为数字信封 图4数字信封方式 过程对比 过程对比 10 3 3认证技术 认证是电子商务交易最重要的环节 通过某种成熟的技术 保证在电子商务活动中任何一方都不能进行欺骗 保证你在打交道的人就是它声称的某个人 而不是其他人冒充的 认证中心主要的任务就是进行认证 认证的方法包括数字认证和生物认证 生物认证技术 指纹认证 生物认证技术 虹膜认证 生物认证技术 步态识别认证 生物认证技术 手工签名认证 电子商务交易安全在技术上要解决两大问题 安全传输和身份认证 数据加密能够解决网络通信中的信息保密问题 但是不能够验证网络通信对方身份的真实性 因此 数据加密仅解决了网络安全问题的一半 另一半需要身份认证解决 认证指的是证实被认证对象是否属实与是否有效的一个过程 其基本思想是通过验证被认证对象的属性 达到确认被认证对象是否真实有效的目的 认证技术是电子商务安全技术的一个重要组成部分 应用在网络通信时 通信双方相互确认身份的真实性 身份认证技术主要基于加密技术的公钥加密体制 目前普遍使用的是RSA算法 用户的一对密钥在使用的时候 用私钥加密的信息 只能用公钥才能解开 而用公钥加密的信息 只能用私钥才能解开 这种加密和解密的唯一性就构成了认证的基础 具体的做法是 信息发送者使用信息接收者的公钥进行加密 此信息则只有信息接收者使用私钥来解开阅读 然后信息接收者使用私钥将反馈信息加密 再传送给信息发送者 发送者也就知道信息接收者已经阅读了所传送的信息 在这一来一往中 由于私钥的唯一性和私密性 身份认证得以实现 电子商务中采用的安全认证技术主要包括数字摘要 DigitalDigest 数字信封 DigitalEnvelop 数字签名 DigitalSignature 数字时间戳 DigitalTime Stamp 数字证书 DigitalCertificate DigitalID 等 数字证书与认证中心 为了切实保障网上交易和支付的安全 世界各国在经过多年研究后 形成了一套完整的解决方案 其中最重要的内容就是建立完整的电子商务安全认证体系 电子商务安全认证体系的核心就是数字证书和认证中心 数字证书 数字证书 digitalID 又称为数字凭证 数字标识 是一个经证书认证机构数字签名的包含用户身份信息以及公开密钥信息的电子文件 在网上交易中 若双方出示了各自的数字证书 并用它来进行交易操作 那么双方都可不必为对方的身份真伪担心 数字证书可用于安全电子邮件 网上缴费 网上炒股 网上招标 网上购物 网上企业购销 网上办公 软件产品 电子资金移动等安全电子商务活动 数字证书的类型 个人证书企业 服务器 证书软件 开发者 证书 图5持卡人证书申请的基本过程 认证中心 认证中心 CertificationAuthority CA 承担网上安全电