chap5电子商务安全技术 (1)

第五章电子商务安全技术 管理学院C M L 前言 网络调查 六成网民不敢使用电子支付安全问题最受关注 管理学院C M L 网银大盗猖獗网民需高度警惕 为了支付买房子的第二笔付款 黄颜菲在自己的银行账户里存入了14万元 然而就在一夜之间 14万元的存款被神秘人通过网上支付全部花光 无独有偶 上海市民蔡中的电脑被木马程序侵入 犯罪嫌疑人通过网上银行分11次转出人民币共计163014元 视频网上银行的安全视频北京的刘先生在收取了一封电子邮件并登录网上银行之后 帐户里的3 2万余元不翼而飞2006年 某犯罪组织竟然在某银行的网银服务器内成功植入了木马程序 每隔0 5秒扫描一次 凡是此时登陆的客户 其帐号和口令通通被窃取 管理学院C M L 前言 相关事件2 2000年2月7日早上 雅虎的搜索引擎和入门网站遭黑客侵袭 停顿近三小时 为雅虎有史以来最重要的一次网站灾难 第二天早上 电子零售网店B 拍买网站eB 新闻网站CNN com 网络下单券商E TRADE com 以及A也未能幸免 管理学院C M L 主要内容 5 1安全问题提出5 2务安全问题分析5 3安全问题解决 管理学院C M L 站点服务器 网络监听者 安全问题之一 网络监听 用户 管理学院C M L 服务器A网址 浏览者与服务器A连接 访问站点 安全问题之二 假冒站点 管理学院C M L 正常收发E mail的过程 今晚8点人民广场见 Alice tom 管理学院C M L E mail偷盗者 可能一 如果偷盗者截取E mail后不发给乙 可能二 如果偷盗者直接假冒甲的身份给乙发了假邮件 安全问题之三 不安全E mail Alice Tom 管理学院C M L 甲否认发送过 商家否认收到过来自甲的购货款 安全问题之四 抵赖 甲方 乙方 管理学院C M L 应用 数据库服务器 安全问题之五 非法访问服务器 Internet 管理学院C M L 电子商务安全问题的提出 黑客的攻击 网站瘫痪电脑病毒的侵袭 网站瘫痪交易信息的丢失 交易者恐慌交易信息被篡改 双方产生误解交易者对自己的行为进行否认 抵赖交易者身份的难以认定 网络欺骗的发生 管理学院C M L 问题提出 管理学院C M L 问题分析 互联网开放性成员多样性位置分散性 推动 电子商务安全技术 管理学院C M L 问题解决 电子商务安全技术 管理学院C M L 安全技术 防火墙技术 电子商务安全技术 管理学院C M L 安全技术 防火墙技术 什么是防火墙在被保护网络和Internet之间 或者和其它网络之间限制访问的软件和硬件的组合 管理学院C M L 防火墙运用 可以是硬件的计算机 也可以是软件上的程序 例 天网防火墙诺顿网络安全特警SygatePersonalFirewallFreev5 5 2710 管理学院C M L 防火墙技术的功能 管理学院C M L 防火墙技术分类 防火墙的种类 分组过滤 作用在网络层和传输层 它根据分组包头源地址 目的地址和端口号 协议类型等标志确定是否允许数据包通过 只有满足过滤逻辑的数据包才被转发到相应的目的地出口端 其余数据包则被从数据流中丢弃 应用代理 也叫应用网关 它作用在应用层 其特点是完全 阻隔 了网络通信流 通过对每种应用服务编制专门的代理程序 实现监视和控制应用层通信流的作用 实际中的应用网关通常由专用工作站实现 管理学院C M L 防火墙技术分类 续 分组过滤 一个设备采取的有选择地控制来往于网络的数据流的行动 数据包过滤可以发生在路由器或网桥上 管理学院C M L 防火墙技术分类 续 应用代理 代理服务是运行在防火墙主机上的应用程序或服务器程序 它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈 管理学院C M L 防火墙技术的优点 防火墙的优点 管理学院C M L 安全技术 数据加密技术 电子商务安全技术 管理学院C M L 数据加密技术 什么是加密 加密是指对数据进行编码使其看起来毫无意义 同时仍保持可恢复的形式 管理学院C M L 例如 请您破译如下的语句JBNBUFBDIFS 试一试 要破译此句密文您得花多少时间 管理学院C M L 加密技术的基本原理和特点 加密技术 加密算法 密钥 例如 将字母a b c d w x y z的自然顺序保持不变 但使之与E F G H Z A B C D分别对应 若明文为end则对应的密文为IRH 管理学院C M L 任何大厦都会崩塌 只是早晚的事 管理学院C M L A的私人密钥 密码体系 对称密钥密码体系 非对称密钥密码体系 BCDEFG BCDEFG AA的贸易伙伴 AA的贸易伙伴 管理学院C M L 若以公钥作为加密密钥 以用户专用密钥作为解密密钥 则可实现多个用户加密的消息只能由一个用户解读 通常用于保密通信 如客户对银行的多对一关系 若以用户专用密钥作为加密密钥而以公钥作为解密密钥 则可实现由一个用户加密的消息使多个用户解读 通常用于数字签字 如银行对客户的一对多关系 公开加密算法的运用就有两种应用情况 管理学院C M L 非对称加密体制的特点 通信双方可以在不安全的媒体上交换信息 安全地达成一致的密钥 不需要共享通用的密钥 用于解密的私钥不需要发往任何地方 公钥在传递与发布过程中即使被截获 由于没有与公钥相匹配的私钥 截获公钥也没有意义 简化了密钥的管理 网络中有N个用户之间进行通信加密 仅仅需要使用N对密钥就可以了 公钥加密的缺点在于加密算法复杂 加密和解密的速度相对来说比较慢 管理学院C M L 非对称密钥加密优点 知道公钥的人不可能计算出私钥 知道公钥和密文的人不可能计算出原始消息 密钥发布不成问题 它没有特殊的发布要求 在多人间进行保密信息传输所需的密钥组合数量很小 N个人只需要N对公开密钥 远远小于对称密钥加密系统的要求 管理学院C M L 非对称密钥加密缺点 非对称加密密钥比私有密钥加密系统的速度慢得多 不适合用来对大量的数据进行加密 对称加密体制的编码效率高 在密钥分发与管理上存在困难 非对称密码体制运算量大 但可以很好的解决密钥分发的问题 管理学院C M L 公开密钥RSA Rivest Shamir Adleman 算法 RSA公开密钥密码系统是由R Xivest A Shanner和L Adieman于1977年提出 RSA的取名就是来自于这三位发明者名字的首字母 1976年 美国斯坦福大学的Diffie和Hellman提出了公钥密码的新思想 一年后 美国麻省理工学院的三位博士Rivest Shamir Adleman设计了RSA加密算法 管理学院C M L 公开密钥RSA Rivest Shamir Adleman 算法 RSA是最有名也是应用最广的公钥系统 RSA的原理是数论的欧拉定理 寻求两个大的素数容易 但将它们的乘积分解开极其困难 RSA的安全性取决于从公开密钥计算出秘密密钥的困难程度 等于从n中找出它的质因数p和q 管理学院C M L RSA的缺点 A 产生密钥很麻烦 受到素数产生技术的限制 因而难以做到一次一密 B 分组长度太大 为保证安全性 n至少也要600bits以上 使运算代价很高 尤其是速度较慢 较对称密码算法慢几个数量级 且随着大数分解技术的发展 这个长度还在增加 不利于数据格式的标准化 管理学院C M L 数据加密分类 续 体制对比 管理学院C M L 对称加密算法优缺点 优点计算量小 算法简单加密速度快加密效率高缺点密钥分配密钥数量多 管理困难最主要的对称加密算法 DES 管理学院C M L 非对称加密算法优缺点 优点安全性高缺点加密速度慢最主要的非对称加密算法 RSA 管理学院C M L 使用对称密钥加密 管理学院C M L 对称与非对称密钥结合的加密 管理学院C M L 解密过程 管理学院C M L 安全有效的数字签名 管理学院C M L 验证数字签名 管理学院C M L 安全技术 数字签名技术 电子商务安全技术 管理学院C M L 网络 我要付款 请出示身份证明 数字签名 电子交易的安全需求 防止机密或敏感性资料外洩鉴别对方的身分防止資料被篡改或伪造防止事后否认 管理学院C M L 为什么需要CA 管理学院C M L 什么是数字证书 数字证书 DigitalID 又叫 网络身份证 数字身份证 由认证中心发放并经认证中心数字签名的 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件 可以用来证明数字证书持有者的真实身份 是PKI体系中最基本的元素 证书是一个机构颁发给一个安全个体的证明 所以证书的权威性取决于该机构的权威性 管理学院C M L 数字证书 DigitalCertificate或DigitalID 数字证书采用公 私钥密码体制 每个用户拥有一把仅为本人所掌握的私钥 用它进行信息解密和数字签名 同时拥有一把公钥 并可以对外公开 用于信息加密和签名验证 数字证书可用于 发送安全电子邮件 访问安全站点 网上证券交易 网上采购招标 网上办公 网上保险 网上税务 网上签约和网上银行等安全电子事务处理和安全电子交易活动 管理学院C M L 数字证书包含的信息 证书拥有者的姓名证书拥有者的公钥公钥的有效期颁发数字证书的单位颁发数字证书单位的数字签名数字证书的序列号 管理学院C M L 数字签名技术 公开密钥加密 管理学院C M L 1998年9月4日美国总统克林顿与爱尔兰总理伯蒂 埃亨在都柏林首次使用数字签字 签署了一份旨在倡导发展电子商务的联合公报 目前有些国家与地区法律上已承认数字签字与传统签字具有同样的有效性 管理学院C M L 安全技术 认证技术 电子商务安全技术 管理学院C M L 认证技术 什么是认证技术认证是电子商务交易最重要的环节 通过某种成熟的技术 保证在电子商务活动中任何一方都不能进行欺骗 保证你在打交道的人就是它声称的某个人 而不是其他人冒充的 我们常听说的认证中心主要的任务就是进行认证 认证的方法包括数字认证和生物认证 管理学院C M L 生物认证技术示例 指纹认证 管理学院C M L 生物认证技术示例 指纹认证 指纹识别流程 管理学院C M L 生物认证技术示例 虹膜认证 虹膜认证 管理学院C M L 生物认证技术示例 步态识别认证 步态识别认证 管理学院C M L 生物认证技术示例 手工签名认证 手工签名认证 管理学院C M L 安全技术 入侵检测技术 电子商务安全技术 管理学院C M L 入侵检测技术 系统遭到入侵有两种情况 1 非法用户访问他不应该访问的系统 2 合法用户访问它不应访问的信息或者进行未授权的操作 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权使用或其他异常现象的技术 是一种用于检测计算机网络中违反安全策略行为的技术 违反安全策略的行为有 入侵 非法用户的违规行为 滥用 用户的违规行为 入侵检测技术 入侵 管理学院C M L 入侵技术的发展与演化 攻击对象转移化 综合化复杂化 主体对象间接化 规模扩大化 技术分布化 管理学院C M L 安全技术 安全支付技术 电子商务安全技术 管理学院C M L 安全支付技术 SSL协议又名安全套接层 SecureSocketsLayer 协议最初是由NetscapeCommunication公司设计开发的主要用于提高应用程序之间的数据的安全系数保证任何安装了安全套接字的客户和服务器间事务安全SET协议基于互联网的卡基支付 是授权业务信息传输的安全标准 采用RSA公开密钥体系对通信双方进行认证 利用DES RC4或任何标准对称加密方法进行信息的加密传输 并用HASH算法来鉴别消息真伪 有无涂改关键的认证机构 CA CA根据X 509标准发布和管理证书 管理学院C M L SSL安全协议主要提供以下三方面的服务 用户和服务器的合法性认证 加密数据以隐藏被传送的数据 保护数据的完整性 管理学院C M L 实现SSL协议的是HTTP的安全版 名为HTTPS图9 2 1HTTPS协议的使用 管理学院C M L 安全套接层协议的工作原理SSL需要认证服务器 并对两台计算机之间所有的传输进行加密 SSL用公开密钥 非对称 加密和私有密钥 对称 加密来实现信息的保密 虽然公开密钥非常方便 但速度较慢 这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因 管理学院C M L 下图图显示在eCoin上在登陆 Login 用户名时即进入SSL安全连接 在eCoin上连接交换敏感信息的页面 SSL连接过程 管理学院C M L 这时浏览器发出安全警报 开始建立安全连接 参见图左 同时验证安全证书 参见图图右 用户单击 确定 键即进入安全连接 浏览器开始建立安全连接浏览器验证服务器安全证书 管理学院C M L 该图显示在eCoin上的安全连接已经建立 浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送 管理学院C M L 当加密方式传送结束后 浏览器会离开交换敏感信息的页面 自动断开安全连