《电子商务概论》05电子商务安全

第5章电子商务安全技术,5.1电子商务安全问题概述5.2防火墙5.3数据加密与信息安全技术5.4数字证书5.5安全技术协议,5.1电子商务安全问题概述,5.1.1电子商务安全问题概述电子商务中存在的安全威胁由于非法入侵者的侵入，造成商务信息被篡改、盗窃或丢失；商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏；虚假身份的交易对象及虚假订单、合同；贸易对象的抵赖；由于计算机系统故障对交易过程和商业信息安全所造成的破坏。,5.1.2电子商务的安全性需求（1）信息的保密性（2）信息的完整性（3）信息的不可否认性（4）交易者身份的真实性（5）系统的可靠性,5.1.3电子商务安全体系(1)技术保障(2)法律控制(3)社会道德规范(4)完善的管理政策、制度,5.2防火墙,概念:防火墙是指一个由软件和硬件设备组合而成，在Intranet和Internet之间构筑的一道屏障，用于加强内部网络和公共网络之间安全防范的系统。防火墙的安全策略有两种：（1）凡是没有被列为允许访问的服务都是被禁止的。（2）凡是没有被列为禁止访问的服务都是被允许的。,1.目前使用的防火墙主要可分为包过滤型和应用网关型两种类型。(1)包过滤(packetfilter)技术包过滤技术是在网络层对通过的数据包进行过滤的一种技术,当它收到数据包后,先检查该数据包的包头,查找其中某些域中的值,再利用系统内事先设置好的过滤规则,把所有满足该规则的数据包都转发到目的地址端口;而把不满足过滤规则的数据包从数据流中去掉.这些被检查的域包括数据包的类型、源IP地址、目标IP地址、目标TCP/IP端口等。,(2)应用网关,应用网关技术是建立在网络应用层上的协议过滤技术,它在内部网络和外部网络之间设置一个代理主机,并针对特定的网络应用服务协议采取特定的数据过滤规则或逻辑,同时还对数据包进行统计分析,形成相关的报告。应用网关对于一些易于登录和控制所有输入输出的通信环境予以监控，防止有价值的程序和数据被偷窃。在实际应用中，应用网关一般由专用的工作站系统来实现。,2.防火墙的实现方式,（1）网络级（包过滤型）防火墙包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。包过滤路由器型防火墙的优点：处理包的速度要比代理服务器快；包过滤路由器型防火墙的缺点：防火墙的维护比较困难等,（2）应用级的防火墙应用级的防火墙是建立在应用层网关基础上的，它的三种常见类型都有一个共同点，即都需要有一台主机，通常称为堡垒主机的机器，来充当应用程序转发者、通信登记和服务提供者的角色。它在防火墙中起重要作用，其安全性关系到整个网络的安全。,双宿网关,双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。,屏蔽主机网关,屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。,屏蔽子网网关,屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。,5.3数据加密与信息安全技术,5.3.1密钥加密技术1密钥的概念将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。加密和解密必须依赖两个要素，这两个要素就是算法和密钥。算法是加密和解密的计算方法；密钥是加密和解密所需的一串数字。,例：采用移位加密法使移动3位后的英文字母表示原来的英文字母（凯撒加密算法）,此例中移位规则就是算法，移动的位数3就是密钥,2对称加密技术缺点：（1）任意两个不同用户之间一般都应该使用互不相同的密钥，这样，如果一个网络中有n个用户，他们之间彼此可能需要进行秘密通信，这时网络中将共需要n(n-1)/2个密钥。其中，每个用户都需要保存n-1个密钥。（2）这样巨大的密钥量给密钥分配、管理和使用带来了极大的困难，也带来了非技术因素上的安全问题(若某个用户泄密，将影响整个密码系统)。（3）在电子商务活动中，很多场合需要身份认证和数字签名，对称密码体制是无法很好地解决的。,3非对称加密技术（公私钥加密技术）非对称密码体制如果一个密码系统把加密和解密分开，加密和解密分别用两个不同的密钥实现，并且由加密密钥推导出解密密钥在计算上是困难的，则该系统所采用的就是非对称密码体制。公钥和私钥采用非对称密码体制的每个用户都有一对选定的密钥，其中一个是可以公开的，称为公钥，一个由用户自己秘密保存，称为私钥。,非对称密钥密码体制的特点,（1）密钥分发和管理简单。加密密钥可以做成密钥本公开，解密密钥由各用户自行掌握；（2）每个用户秘密保存的密钥量减少。网络中每个用户只需要秘密保存自己的私钥，与其他用户通信所使用的加密密钥可以由密钥本得到；（3）适应于计算机网络的发展，能够满足互不相识的用户之间进行保密通信的要求；（4）能够很容易的完成数字签名和认证。（5）加密和解密的效率比对称密码体制要差。,5.3.2信息摘要,5.3.3数字签名,5.3.4数字时间戳,5.3.5数字信封,“数字信封”(也称电子信封)技术。具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。,5.4数字证书,1数字证书（DigitalCertificate或DigitalID）数字证书是由权威公正的第三方机构即CA中心签发的，其采用公私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,2数字证书的内容数字证书包括以下内容如图所示：l证书拥有者的姓名；l证书拥有者的公钥；l公钥的有限期；l颁发数字证书的单位；l颁发数字证书单位的数字签名；l数字证书的序列号等。,图查看证书内容（1）,图查看证书内容（2）,图查看证书内容（3）,3.数字证书的作用,作用：证明在电子商务或信息交换中参与者的身份；授权进入保密的信息资源库；提供网上发送信息的不可否认性的依据；验证网上交换信息的完整性。类型：个人凭证；企业（服务器）凭证；软件开发者凭证。,认证中心是在电子交易中承担网上安全交易认证服务、签发数字证书、确认用户身份等工作并具有权威性和公正性的第三方服务机构，它是保证电子商务交易安全进行的一个不可缺少的重要环节。认证中心的功能：核发证书、管理证书、搜索证书、验证证书CA的树形验证结构(如图所示）,4.认证中心（certificateauthorities,CA),图CA的树形结构,我国的部分电子商务认证中心：中国数字认证网广东省电子商务认证中心安徽省电子商务认证中心上海市电子商务安全证书管理中心有限公司北京数字证书认证中心有限公司山东省数字证书认证管理有限公司陕西省数字证书认证中心湖北省数字证书认证管理中心广西壮族自治区数字证书认证中心福建省数字安全证书管理有限公司江西省数字证书认证中心辽宁省数字证书认证中心西部安全认证中心有限责任公司河南省数字证书认证中心浙江省数字认证中心吉林省安信数字证书认证有限公司广东省数字证书认证中心山西省电子商务安全认证中心重庆市数字证书认证中心有限公司,5.数字证书的申请（1）下载并安装根证书（如图所示）（2）申请证书（如图所示）（3）将个人身份信息连同证书序列号一并邮寄到中国数字认证网,图下载根证书（1）,图下载根证书（2）,图安装根证书（1）,图安装根证书（2）,图查看根证书,图申请个人免费证书,图下载个人证书,图查看个人证书,6数字证书应用操作实例个人证书在安全电子邮件中的应用（1）在OutlookExpress5发送签名邮件(如图所示)：1）在OutlookExpress5中设置证书、2）发送签名邮件。（2）用OutlookExpress5发送加密电子邮件（如图所示）：1）获取收件人数字证书、2）发送加密邮件。,图在OutlookExpress中设置证书（1）,图在OutlookExpress中设置证书（2）,图在OutlookExpress中设置证书（3）,图发送签名邮件,图收到签名邮件的提示信息,图将收件人证书添加到通信簿,图查询和下载收件人数字证书,图发送加密邮件,图收到加密邮件的提示信息,7.公钥基础结构（PKI）PKI就是PublicKeyInfrastructure的缩写，翻译过来就是公开密钥基础设施。它是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施。美国政府的一个报告中把PKI定义为全面解决安全问题的基础结构，从而大大扩展了PKI的概念。而我们认为，采用了公开密钥技术的基础设施就可以称为PKI。PKI中最基本的元素就是数字证书。所有安全的操作主要通过证书来实现。PKI的硬设备还包括签置这些证书的证书机构(CA)，登记和批准证书签置的登记机构(RA)，以及存储和发布这些证书的电子目录。PKI中还包括证书策略，证书路径以及证书的使用者。所有这些都是PKI的基本元素。许多这样的基本元素有机地结合在一起就构成了PKI。,5.5安全技术协议,1安全套接层协议SSL（SecureSocketsLayer）,1）客户机（你上网用的电脑）向服务器提出访问要求，比如，你要访问一个安全网站，必须输入对方的网址。2）服务器向客户机发出包含服务器公钥的证书。3）客户机自动验证服务器的证书，如果该证书不在客户机上，则浏览器会提示安全风险。也就是说，如果你愿意访问该网站，你选择确认即可。4）客户机的浏览器自动生成一个对称密钥，用服务器的公钥加密后，发送到服务器，服务器用私钥解密，从而获得客户机的对称密钥。5）此时，客户机与服务器之间的所有交换数据都会用对称密钥自动加密，并且送到对方后会自动解密，从而保证了信息