电子商务安全技术课件

电子商务安全技术5.1.1

电子商务安全的概念密码安全---由技术上提供强韧的密码系统及其正确应用来实现，是通信安全的最核心部分。计算机安全---计算机数据和程序文件不至被非授权人员，计算机和程序访问，获取和修改，可以通过限制使用的物理范围，利用特殊软件和安全功能构造来实现。网络安全---通过物理设施的保护，软件及职员的安全防止非授权的访问，偶发或蓄意的干扰或破坏。信息安全---保护信息免遭非授权泄密或处理能力的丧失。5.1.2

对电子商务的四类威胁中断---不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用。窃取---指敏感数据在有意或无意中被泄漏或丢失，通常包括信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等。更改---以非法手段窃得对数据的使用权，删除、修改、插入信息，以取得有益于攻击者的响应，以干扰用户的正常使用。伪造---以非法手段窃得对数据的使用权，恶意修改数据，以假冒。5.1.3

安全设计的保密级别A,B,C,D四级密钥长度信息扩张加密解密安全监测与管理电子商务业务系统5.1.4

电子商务安全体系结构安全平台(操作系统,数据库,网络…)密码算法(分组密码,共钥密码,HASH…)认证手段(数字签名,证书授权,MAC…)安全协议(SET,SSL,S/HTTP…)电子商务支付系统5.1.5

安全与密码学术机构国际密码研究协会四大洲密码协会（亚，欧，美，澳）中国密码研究协会（CACR）

5.2.1

加密解密方法古典加密解密方法

加密解密模型：m-明文c-密钥k-密钥k=k’时，为对称密钥k!=k’时，为不对称密钥

原文公钥/私钥加密加密原文公钥/私钥解密密文5.2.1

加密解密方法凯撒密码：一一对应明文

ABCDEFGHIJKLMNOP密钥1

defghIjklmnopqrs密钥2

vzyabcdefghIjklm实例：CHINA密钥1

fklqd密钥2

yefkv5.2.1

加密解密方法换位密码明文

COMPUTERSECURIT分组

COMPUTERSECURIT密文

CTCOEUMRRPSIUET5.2.1

加密解密方法实例明文information密文9683567303134633967383

棋盘密码

46187520936abcdefghij3klmnopqrst

5.2.1

加密解密方法

矩阵密码MA=CM=CA-15.2.2

加密解密方法现代加密解密算法：

单钥加密体制（k=k’）DES(DataEncryptionStandard)

公钥加密体制（k!=k’）RSA（三位发明者名字的首字母）5.3.1

防火墙技术Internet的安全概念保护内部资源防止外部入侵控制监督外部机器对内部资源的访问控制监督内部机器对外部网的访问5.3.2

防火墙技术防火墙的分类：包过滤型防火墙TCP/IP,报文类,源IP地址,目的IP地址,源端口号应用网关型防火墙telnet26端口号259,使用代理技术在内部网和外部网之间构成一个屏障5.3.2

防火墙的安全策略没有被列为允许访问的服务都是被禁止的；没有被列为禁止访问的服务都是被允许的。物理层数据链路层网络层传输层会话层表示层应用层InternetInternet防火墙包过滤5.3.3

常用防火墙软件SecureIISv1.24

SecureIIS是由eeye安全公司出品的一个应用级防火墙，基于CHAM技术可以保护IIS免受各种已知或未知的攻击。

天网防火墙V2.48

天网防火墙（SkyNet-FireWall）个人版是一款由天网安全实验室制作的给个人电脑使用。KFW网络防火墙最新一代的网络安全防火墙，无论在功能、效率、界面、操作方面性上都领先同类防火墙。5.4

计算机病毒概念：是一类特殊的计算机程序分类：良性-降低计算机效率,不破坏系统资源恶性—降低效率，破坏系统资源结构：引导模块,传染模块,表现模快5.4

计算机病毒防止：防毒软件(实时监控扫描),防火墙防毒卡,全平台防毒传播媒介：邮件,下载,磁盘,软件,光盘等特点：传染性,潜伏性,针对性持久性,繁殖性,破坏性5.5

操作系统的安全设计隔离控制物理---设备分配时间---分时使用加密---防止泄漏逻辑---进程透明访问控制设备（存储器，I/O设备）最小权限5.5

操作系统的安全设计系统测试形式化测试：程序的正确性（复杂，费时）鉴定：需求检查，源码检查破坏分析：专家分析，黑客攻击5.6.1

信息安全的热点课题千年虫问题：四位数表示法日期后推法5.6.2

信息安全的热点课题数据备份软件硬件数据隐藏生物电子安全平台信息安全平台电子商务平台电子支付平台5.6.3

信息安全的热点课题应用系统移动通信（手机，短消息网关）CA中心网上银行网络邮局等5.7HTTPSSLSET定义及区别

5.7.1定义HTTP（HyperTextTransportProtocol）超文本传输协议。SSL（SecureSocketLayer）由Netscape公司开发的一套Internet数据安全协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SET

（SecureElectronicTransactions）为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，VISA国际组织及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全电子交易。5.7.2

SET中的安全技术数字信封---依靠系统持证消息不被泄漏，并能可靠传送的技术。双重签名--将订单信息和个人账号信息分别进行数字签名，确保商家和银行均看不到对方的信息。持卡者证书---是支付卡的电子化表示，由哈希算法根据账号生成的码，如果知道账号，就可以导出码值，反之则不行。商家证书---表示可以用什么卡结算，一个商家可拥有多个卡，表示它与多个银行有合作关系，可接受多种付款方式。5.7.2SET中的安全技术消费者在线商店收单银行支付网关发卡银行批准确认确认审核请求协商审核订单确认认证中心认证认证认证5.7.2SET中的安全技术SET协议中的角色有：消费者：购买者通过计算机与商家交流，通过由发卡机构颁发的付款卡进行结算。在与商家的会话中，SET可保证消费者的个人账号信息不被泄露。发卡机构：一个金融机构，为每一个建立了账户的顾客颁发付款卡。商家：提供商品或服务，使用SET可以保证消费者信息的安全。接受卡支付的商家必须和银行有关系。银行：在线交易的商家在银行开立账号，并且处理支付卡的认证和支付。支付网关：由银行操作的，将Internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。5.7.3三者的区别HTTP协议无任何安全设置；

SSL协议提供了客户端认证和服务器端认证，其中以服务器端认证最为常用；

SET协议提供的安全保障更为全面，主要用在CA，持卡者，商家服务器和支付网关之间。5.7.3三者的区别

保证电子商务参与者信息的相互隔离即商家不能看到客户的帐户和密码信息；保证信息在Intemet上安全传输，防止数据被黑客或被内部人员窃取；

解决多方认证问题，不仅要对消费者的信用卡认证，而且要求对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证；

保证了网上交易的实时性，使所有的支付过程都是在线的；规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，可以在不同的硬件和操作系统平台上运行。

SET独特的安全性

安全技术数字签名数字时间戳数字凭证消息摘要数字签名（DigitalSignature)它能确认:（1）信息是由签名者发送的（2）信息自签发后到收到为止未曾做过任何修改。处理过程：（采用双重加密）（1）使用SHA编码将发送文件加密产生128bit的数字摘要；（2）发送方用自己的专用密钥对摘要再加密，形成数字签名；（3）将原文和加密的摘要同时传给对方；

数字签名（DigitalSignature)（4）接受方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生同一摘要；（5）将解密后的摘要和收到的文件在接受方重新加密产生的摘要相互对比，如果两者一致，则说明在传送过程中信息没有破坏和篡改。否则，则说明信息已经失去安全性和保密性。数字时间戳网络安全中，需要对传输资料文件的日期和时间信息采取安全措施，可通过DTS(DigitalTime-stampService)实现，它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。组成：（1）需要加载时间戳的日期和时间；（2）DTS收到文件的日期和时间；

(3)DTS的数字签名数字时间戳网络安全中，需要对传输资料文件的日期和时间信息采取安全措施，可通过DTS(DigitalTime-stampService)实现，它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。它是一个经过加密形成的凭证文档，组成：（1）需要加载时间戳的日期和时间；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。数字时间戳时间戳的产生过程：（1）用户将需要加时间戳的文件用HASH编码加密形成摘要；（2）摘要送到DTS,DTS加入该文件摘要的收到日期和时间信息后再对该文件加密，即进行数字签名；（3）送回用户。数字凭证数字凭证（DigitalCertificateorDigitalID)又称为数字证书或者是数字标识，是INTERNET上使用电子手段证实用户身份和用户访问网络资源权限的一种安全防范手段。数字凭证的格式：CCITTX.509(1)凭证拥有者的姓名；（2）凭证拥有者的公共密钥；（3）公共密钥的有效期；（4）颁发数字凭证的单位；（5）数字凭证的序列号（SerialNumber)；(6)颁发数字凭证单位的数字签名；数字凭证数字凭证的类型：（1）个人凭证（PersonalDigitalID)(2)企业服务器凭证（ServerID)(3)软件开发者凭证（DeveloperID)消息摘要消息摘要是一个用来检测消息的完整性和证明消息没有被干扰的数值。HASH函数的基本原理是将一些数据作为输入并生成摘要hash值，它以来输入的内容和