电子商务概论9课件

第九章电子商务安全技术

仲恺农业技术学院

迹仑辊撅划述咬噶蛹盅被取镁将欠喜鳞荐久斩钠外摔允绥椒贤裕浪傣聘亥电子商务概论9电子商务概论97/30/20230第十章电子商务安全技术案例学习目标学习内容鞠梅渭紫惧败砌际吏溜诱窥袒啮孩矢滇静七伺巷姚潞孪颠冕腥峨骋耐惜毫电子商务概论9电子商务概论97/30/20231案例国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。茬抿骗隅弗拨肆檬小县劈龄脑尝荡倾埔奏腺政午瞄惊寸博孰秽些奸健斌取电子商务概论9电子商务概论97/30/20232CNNIC调查结果（2003年1月）

用户认为目前网上交易存在的最大问题是：

安全性得不到保障：23.4%

付款不方便：9.8%产品质量、售后服务及厂商信用得不到保障：39.3%

送货不及时：8.6%价格不够诱人： 9.8%网上提供的信息不可靠：6.4%

其它：0.7%铝茂捐蚀搽殃霓旧亮枝澎刘挑竣壶瞩低饥塞考了拖绚沁厉柒栽罗再镣据汁电子商务概论9电子商务概论97/30/20233学习目标了解电子商务面临的主要安全威胁了解电子商务对安全的基本要求熟悉电子商务常用的安全技术掌握防火墙的功能和工作原理了解电子商务常用的加密技术了解电子商务的认证体系掌握SSL和SET的流程和工作原理佩嘘民晴室栖魏宾苛腹侈树囚殉馈考器媚桶暗武舞铣谊茶忱白麦臭纲捌睫电子商务概论9电子商务概论97/30/20234学习内容电子商务安全隐患电子商务安全体系电子商务安全技术数字证书及其应用电子商务安全法律与制度养桑搅型粥嫂厨侧诲攘靖渍斑场镊噪呢述恐涧畅投悦驱砰奋壁巫榨斑鬼证电子商务概论9电子商务概论97/30/202359.0电子商务的安全威胁一、电子商务的安全威胁和风险类型A，安全威胁：1，销售者面临的威胁：中央系统数据库受到破坏；竞争者检查商品递送情况；客户资料被偷盗；被他人假冒而损害公司信誉；虚假订单；获取他人机密数据。

马啤配诽技曹起肆戳砂赏诫广冉傲怖夸奏鬼育栋禾拓肛努抒靠她麻物丑聋电子商务概论9电子商务概论97/30/202369.0电子商务的安全威胁一、电子商务的安全威胁和风险类型A，安全威胁：2，购买者面临的威胁：虚假订单；付款后不能收到商品；机密性丧失；拒绝服务。瑰癸饮郴罗疤隔鞭盲王肆炸炳雇播雍探涪脚套澳瑰级献桐睛涤乎习畜誊盖电子商务概论9电子商务概论97/30/202379.0电子商务的安全威胁一、电子商务的安全威胁和风险类型B，电子商务的安全风险类型1，信息传输风险：冒名偷窃、窜改数据、信息丢失、信息传递过程中的破坏、虚假信息等。2，信息风险——来自卖方、买方或者双方的信用风险。3，管理风险——交易流程管理风险、人员管理风险、交易技术管理风险。4，法律风险。捂汪剩缉及涌炒坞皋忘填当本贡秋遗讹种敏遭瞎望竖凶竣失臃铁钦伊协耐电子商务概论9电子商务概论97/30/202389.1电子商务安全隐患与类型9.1.1安全隐患系统中断破坏系统的有效性窃听信息破坏系统的机密性篡改信息破坏系统的完整性伪造信息破坏系统的真实性对交易行为进行抵赖要求系统具备审查能力9.1.2类型物理安全问题网络安全问题数据的安全性对交易不同方表现的不同安全问题物俏涵诲坑购蔫兽倡骆突昔楔至七谢典漏烯糖檬剐拘膊柯骗镜煌斥食而跺电子商务概论9电子商务概论97/30/202399.1.3电子安全交易的基本要求信息的保密性信息的完整性交易者身份的真实性不可抵赖性系统的可靠性帖惦蛔誉昆菇备啪瓣殖斥增窿拽裂怪盒掀净屿弥探座里读纺贮散狈炯庆启电子商务概论9电子商务概论97/30/2023109.2电子商务安全体系技术保障——客户认证（CA）技术安全管理制度——安全管理制度（人员管理制度、保密制度、跟踪设计审核制度、日常维护制度）法律控制——可以借鉴国外的法律制度、完善我国的相关法律制度。社会道德规范朽庇卢皱盈桃舟帐前冤今冉娱粳再羔帮媒拄茎刻庙韩比槛倘油弃插殊物薪电子商务概论9电子商务概论97/30/202311信息系统安全层次模型眨漠帝箩像舔倦遍贴玄与嫌河狗灌辉什叶泅秽拢嗓吴腔唆钻绊喇裹邑糠芦电子商务概论9电子商务概论97/30/202312一、二、三层：信息、软件、网络安全

这三层是计算机信息系统安全的关键。包括：

数据的加密解密（加密解密算法、密钥管理）操作系统、应用软件的安全（用户注册、用户权限（如：查询权限、录入权限、分析权限、管理权限)管理）数据库安全（访问控制、数据备份与管理、数据恢复）数据的完整性（RAID冗余磁盘阵列技术、负载均衡、HA高可用技术）网络安全（对网络传输信息进行数据加密、认证、数字签名、访问控制、网络地址翻译、防毒杀毒方案等，如防火墙技术、虚拟网VPN、秘密电子邮件PEM）病毒防范（硬件防范、软件防范、管理方面的防范）钳覆皂讽森硼剁沃柱屏趟硼武鬃扁坏埔纶闷倔贪敷褐滋讣伤双拉让莱姓晰电子商务概论9电子商务概论97/30/202313对自然灾害防范：防火、防水、防地震。如：建立备份中心防范计算机设备被盗：固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等尽量减少对硬件的损害：不间断电源、消除静电、系统接地等第四、五层：硬件系统的保护和物理实体的安全铱慧化吃青捎恨瞥拖梨鳖潘蠢赚庄悲慷谤幻甫俯摇皿饮隙吕叮预项您耳迫电子商务概论9电子商务概论97/30/202314管理制度的建立与实施包括运行与维护的管理规范、系统保密管理的规章制度、安全管理人员的教育培训、制度的落实、职责的检查等方面内容。法律制度与道德规范要求国家制定出严密的法律、政策，规范和制约人们的思想和行为，将信息系统纳入规范化、法制化和科学化的轨道。有关的条例有：《中华人民共和国计算机信息系统安全保护条例》、

《计算机信息系统保密管理暂行规定》等。第六层第七层赏单绍悦宦批忠指茫界虽懊件低腋庸乃劲晚蒋吉膘您澈腋铆软亡瞄洼蒙膜电子商务概论9电子商务概论97/30/2023159.3电子商务安全技术信息加密数字签名数字证书安全协议防火墙防病毒软件鹿料耳倪瞬霖食颐泽融午赦吞披斥属恰椒淖歹晚辽凯购月挖恤恒孺吴涝渠电子商务概论9电子商务概论97/30/202316部分告之：在网上交易中将最关键的数据略去，再告之。另行确认：交易后，用电子邮件对交易进行确认。在线服务：用企业提供的内部网来提供联机服务。早期曾采用过的方法挠总臆铱毋饮嫉钾腹插芝层蛙乳星贸固责抵篮闷勋敖榔辣茂灭疤没苑皑穆电子商务概论9电子商务概论97/30/2023179.3.1数字加密技术为了保证信息在网上传输过程中不被篡改，必须对所发送的信息进行加密。例如：将字母a，b，c，d，e，…x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，…，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。贯甜继罗译怪跟耸苟拒湛膛潦抉杀喝酉永钦锄填坚人阂俏瓣汪丽掷莉迟班电子商务概论9电子商务概论97/30/2023181对称密钥密码体系对称密钥密码体系(SymmetricCryptography)又称对称密钥技术。对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。彭虽裁亦灯垣埃锡佛喊锻塔昌靖刀椰雄淀斡碌衫世准御粕烁斤摩瘁嫂百啮电子商务概论9电子商务概论97/30/2023192.非对称密钥密码体系非对称密钥密码体系(AsymmetricCryptography)也称公开密钥技术。非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。抨慌愈篙喀蓬新拌橙虽刨淆穿栓用福墟洗跋糙福液坚硅唆渍造绝准浑涵危电子商务概论9电子商务概论97/30/2023203.数字信封

“数字信封”(也称电子信封)技术。具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。倚皑旗唾鲸难鸵松养俊沮础狂镐腹涧火离拾敷灯诡火诽绅掷顽史俊算牵开电子商务概论9电子商务概论97/30/2023214.数字签名和数字指纹

采用数字签名，应该确定以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。褪辊呆吾脱尹考逃疏趁饥揭繁肋孪猾艾绸燃炬彻鹊余血话鳖闸箱翠跳锚阜电子商务概论9电子商务概论97/30/202322数字指纹

Hash编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，MessageAuthenticatorCode），它有固定的长度，且不同的明文摘要成不同的密文，而同样的明文其摘要必定一致。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。规止夫漳懒互阔尚骄拷绿二脚汪侨糊泵桩套匀惯蕾顽肌吵前眺翔弃侦触淆电子商务概论9电子商务概论97/30/2023239.3.2防火墙1、防火墙（firewal1）的概念

是指一个由软件或和硬件设备组合而成，是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。2、防火墙的安全策略“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”布挨次乡历畴敝贺崇心歇含欠崎湿急疑攀凸迂鲤舞妖獭死堂骨饵绑馏寓淳电子商务概论9电子商务概论97/30/202324包过滤型防火墙包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。包过滤路由器型防火墙的优点：处理包的速度要比代理服务器快；包过滤路由器型防火墙的缺点：防火墙的维护比较困难等过滤路由器Internet内部网络术咱鳖杨业铸叫毁闹簿绝仗赫礼小似褪代博烛悯模敛纫瑞玖针珍炙疚例梆电子商务概论9电子商务概论97/30/202325双宿网关防火墙双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。NIC代理服务器NICInternet内部网络胖滚靠派却型丽皑挣蝴世龙钠鬃臀滦舆皿咒祷鉴玩痔讥梁判庭烦椿傀谨谁电子商务概论9电子商务概论97/30/202326屏蔽主机防火墙屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器堡垒主机Internet内部网络涂晴喇刀吸叔茹抓锄短怔勿录梧籍张官拜以冉稻丸客侨涣幽味逢歧画刻咱电子商务概论9电子商务概论97/30/202327屏蔽子网防火墙外部过滤路由器堡垒主机Internet内部网络内部过滤路由器

屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。焙摸肆吩津价涪漫死奎怪伞蓝超合葬拉瞳字贴读搀灾朴换力缠舅晌峭害伙电子商务概论9电子商务概论97/30/202328虚拟专网（VPN）技术VPN是使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信的网络技术。使用加密、信息和身份认证、访问控制等技术。VPN产品种类：带VPN功能的路由器、软件VPN系统、专用硬件VPN设备等内部网虚拟专用网、远程访问虚拟专用网、外部网虚拟专用网周辅焕癌仁絮溺达收妖柴韧魏眯案双驳院鞠蝴毫鳞低蒸剧锈菇为卞肌已陈电子商务概论9电子商务概论97/30/202329VPN设备路由器VPN设备路由器VPN设备路由器VPN设备路由器专网3专网2专网1专网4隧道隧道隧道隧道VPN技术结构吴鸭扬冒或啼例净截倒笼予骂观陡寸酣疑奢灿狠烂铅衰郡屎宽躁效选锐抓电子商务概论9电子商务概论97/30/202330

吸吕戴舍咆诅且菲党弓秋臼定茸啸杖闪勤嚷仗魁挽熏讣铀忧闰螟娶顶户油电子商务概论9电子商务概论97/30/2023319.3.3电子商务安全协议

SSL:安全套层协议（会话层）在建立连接的过程中采用公开密钥；在会话过程中采用专用密钥；每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。

SET:安全电子交易协议（应用层）对消费者、商户、收单行进行认证。岛仇限兜烬妹郁蹬唉缔豫积沦获秩该揩尚矗着球埃畅撞晚躯横桐砖坎窘忽电子商务概论9电子商务概论97/30/202332在Internet上进行欺骗的模式：采用假的服务器来欺骗用户的终端；采用假的用户来欺骗服务器；在信息的传输过程中截取信息；在Web服务器及Web用户之间进行双方欺骗。SSL安全技术檄族很湖蹭播惫阅泉疮逊斥坑蘑身布醛国车斋咆哉舍卞服歉藩吃苯夸锤椒电子商务概论9电子商务概论97/30/202333SSL记录协议基本特点:连接是专用的；连接是可靠的。SSL握手协议基本特点:能对通信双方的身份的认证；进行协商的双方的秘密是安全的；协商是可靠的。疏龙柄慌二雀皆测秒休鬼承扳噪训敖罐域供朔滩炒妙赶贯咕菱梆束绽毕弃电子商务概论9电子商务概论97/30/202334SET安全技术1、SET协议的作用个人账号信息与订单信息的隔离。商家只能看到定货信息,而看不到持卡人的帐户信息。对交易者的身份进行确认和担保。持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务。统一协议和报文的格式。使不同厂家开发的软件能相互兼容。准搬沙缕匙榨汪俺萌骗邹矣师肪堵傅痊赋醒靴诡格晰搓枣掩杖旨镣必篆规电子商务概论9电子商务概论97/30/202335SET的优点

SET保证了商家的合法性，并且用户的信用卡号不会被窃取。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。SET可以用在系统的一部分或者全部。句邻隧奎切辕芒吴秩可呢怀恩瘟霉博峭忙奈椽倔鄙捻腥炭勺挽龟炼妈玻镁电子商务概论9电子商务概论97/30/2023369.4数字证书与CA认证中心数字证书CA认证中心案例首抖灾详宏拓痴趣依寺芬嘘疫渍敷犊春蹈铸揪湿殿掉学凯尔恳画蚊竟谴桥电子商务概论9电子商务概论97/30/2023379.4.1数字证书1.什么是数字证书数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITUX.509国际标准。惹妙烂掺置台魁数续伐坛罩帧觅全退溺蜂浚剩不住训侮堂凛霸松瞒仪犹厚电子商务概论9电子商务概论97/30/202338一个标准的X.509数字证书内容

证书的版本信息；

证书的序列号，每个证书都有一个唯一的证书序列号；

证书所使用的签名算法；

证书的发行机构名称，命名规则一般采用X.500格式；

证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

证书所有人的名称，命名规则一般采用X.500格式；

证书所有人的公开密钥；

证书发行者对证书的数字签名。筛擒哮庆槐浊幅顽恒庸湿龙抽何斗蒂爱孔涩祖诬撅歉寡丢恫恰芬熊脾诗嗓电子商务概论9电子商务概论97/30/2023392.数字证书的三种类型个人证书它仅仅为某一个用户提供数字证书。企业（服务器）数字证书它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。泵捆票喘酞盲挖撅沛姬锄啊竹巍汽崔袄洗驯筑注挛寞胁轰螟姓吱角淬开歧电子商务概论9电子商务概论97/30/202340

数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。3.数字证书原理简介钻逼邪懊暇肠迷渺必勿貌宜夸胰哺求落免登京态滴迈庆战薯句红种蔼甲灰电子商务概论9电子商务概论97/30/2023419.4.2认证中心认证中心，又称为证书授证(CertificateAuthority)中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档。檀乳碴溯高得蹦姿郸瞄顷佩箩驼亢苇汹喂活彤取轻酋呜怯追骋狰梭寄铂胡电子商务概论9电子商务概论97/30/202342

A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。

A用户再把数字签名及自己的数字证书附在明文后面。

A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。

为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。誉派儒方剂敦佛抵原纂谎苯祟乔拿诚洼馅搅醉洁真玖惋玩瞒等誓辗完店嚣电子商务概论9电子商务概论97/30/202343B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。

为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。

同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。

B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。枷豆捍季庭肥潮末霓险峨镊耽著敝虞秃砂显汲搪拣惫胰辫询禁佳椎捶鼓罕电子商务概论9电子商务概论97/30/2023441、个人数字证书的申请

个人数字证书介绍可以利用个人数字证书来发送签名或加密的电子邮件。

个人数字证书分为二个级别第一级数字证书，仅仅提供电子邮件的认证，不对个人的。真实姓名等信息认证；第二级个人数字证书提供对个人姓名、身份等信息的认证。

个人数字证书的获得当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三~五天内即可颁发数字证书。9.4.3数字证书的申请、颁发恨言惨钢冬泌平绽崇书园究灼湿浅陶印娩某洗捧危榨陷记膛础豹佳栖耀蛀电子商务概论9电子商务概论97/30/2023452、服务器数字证书的申请

Web服务器证书的作用：验证Web服务器的真实性。(1)服务器数字证书的情况分析服务器数字证书的可信度是建立在：

对管理和操作该服务器的组织或单位的进行必要的信用调查；

接受数字证书操作的严密规范；

强有力的技术支持，例如，难以破解的加密技术；

设备的高可靠性。励讨汛阳资耿靠岿龋喜每麦茁例僧饺造叁级蝎穷垒微厅篡梆缄篓灭撬橡癸电子商务概论9电子商务概论97/30/2023