06电子商务的安全管理.ppt

1、第三章电子商务系统安全，本章主要内容为：3.1电子商务的主要安全因素3.2计算机网络安全3.3电子商务常用安全技术3.4电子商务安全协议3.5电子商务的安全管理制度，3.1电子商务的主要安全因素3.1.1电子商务的安全要求是互联网的国际性由于开放性和其他各种因素的影响，基于数字媒体形式的电子商务在生成、传输、保存、验证和鉴定等多方面出现了新的技术需求、问题和困难。 为了在这样开放的平台上使电子商务成功，必须解决交易网络平台的安全、交易双方的身份确认、交易信息传输过程中的完整性以及交易操作的不可否认等问题3.1.2电子商务安全体系结构， 电子商务安全技术架构是保证电子商务中数据安全的全逻辑结构，

2、由5个部分组成，下图3360，3.2计算机网络安全，电子商务根据因特网环境进行部署。 因特网的TCP/IP协议和源代码的开放和共享是为了更好的资源共享，但是电子商务中的一些信息不能共享隐私、企业秘密等，产生矛盾。 每天有成千上万的交易在互联网上进行，网络系统也面临着黑客攻击、计算机病毒、拒绝服务攻击和利用操作系统的网络漏洞、缺陷从外部非法侵入、不法行为的安全隐患。 这当然会发生有意的人可以搭载，在电子商务中盗取商业秘密，挪用他人的信用卡，篡改订单等犯罪行为。 因此，互联网的安全直接影响电子商务的安全。 网络安全是信息安全的基础，完整的电子商务系统必须建立在安全的网络基础架构上。 3.2.1计算

3、机网络面临的安全威胁、黑客1黑客的分类2黑客网络方式的基本分类3电子商务中黑客的主要类型2病毒攻击计算机病毒附着在其他程序上可以自我复制、自我扩散易于删除、修改文件，导致程序运行错误、恐慌甚至硬件损坏，给计算机网络带来严重威胁。 3如果拒绝服务攻击导致一个用户占用的共享资源(服务)达到饱和，则其他用户将无法使用该资源，并且只能针对新的服务请求被拒绝。 3.2.2计算机网络安全技术、防火墙1 .防火墙的概念2 .防火墙类型：分组过滤型防火墙(PACKET FILTER )代理服务型防火墙(proxer ) 双主机防火墙(dyal-homedhosser )双虚拟专用网络VPN 1VPN的定义和分

4、类VPN的英语全名为“虚拟专用网络”，翻译为“虚拟专用网络” 顾名思义，虚拟专用网络可以理解为虚拟化的企业内部专用线。 在互联网上不同位置连接的两个以上的内联网之间，可以通过连接专用线的特殊加密通信协议建立自己的通信线路，但实际上不需要连接光缆等物理线路。 您可以根据需要构建不同类型的VPN。 以用途为标准，VPN可分为以下三种：内联网VPN远程接入VPN外联网VPN，三入侵检测系统随着技术的发展，网络越来越复杂，传统防火墙揭露了其不足和弱点。 入侵检测系统补救了防火墙的不足，实时保护了网络安全。 1 .入侵检测系统的概念和作用入侵检测是入侵行为的发现。收集和分析计算机网络或计算机系统的某些重

5、点信息，以确定网络或系统是否有违反安全策略的行为和攻击迹象，3.2.3病毒防治、 计算机病毒的概念计算机病毒的特点计算机病毒的分类计算机病毒的预防常用的防病毒软件、3.3电子商务常用的安全技术、电子商务安全的常用保障技术主要有信息加密技术安全认证技术、身份认证技术、3.3.1信息加密技术、 1基于加密技术的加密技术利用一定的加密算法将明文变成密文的过程称为加密(Encryption )将从密文恢复为明文的过程称为解密(Decryption )加密和解密的规则称为加密算法在加密和解密过程中由加密者和解密者使用数据相加解密模型如图3.2所示，通过密钥的使用和生成方式，可将加密系统分为机密密钥加密系

6、统和公开密钥加密系统。 2 .机密密钥加密系统(对称加密系统)传输和接收加密信息的双方使用相同的机密密钥加密和解密该信息。 这是一个旧的密钥系统，原理很简单。 如果使用私钥加密系统，则必须交换这个公共私钥。 这需要提供安全通道，以便通信对方在初次通信时协商或交换公共密钥。 模型如图3.3所示：补充：对称加密算法EDS算法(P15 )，3 .公钥加密系统(非对称加密方式)公钥加密系统也被称为非对称加密方式。 与传统的私钥加密系统不同，需要密钥对。 一个是加密密钥，另一个是解密密钥，不可能从一个导出另一个。 用户必须确保私钥的安全，公钥可以公开。 公钥和私钥密切相关，用公钥加密的信息只能用私钥解密

7、。 公钥加密系统具有仅知道加密算法和加密密钥来确定解密密钥不可校正的重要特征。 可以使用两个相关密钥之一作为加密，并解密另一个。 通常有两种基本模型：加密模型认证模型。 补充：非对称加密算法：RSA算法(P20 )、RSA算法和RSA系统由以下部分组成：校正运算n=p*q； 欧尔函数s=(p-1)(q-1 )，n公开。 随机选择s和具有小素数的整数e作为加密密钥并将其公开。 对d进行校正，设e*d=1 mods。 其中，d是解密秘密密钥，将其设为秘密。 在RSA系统中，x是明文，y是密文，其加密和解密算法是：加密算法： y=E(x)xe mod n解密算法： x=D(y)yd mod n，(e

8、，n )构成加密的s=120 例如，e=7。3 .满足e*d=1 mod120，求出的d=103。 假定需要在x=85的对方上发送：加密： y=857mod143=123，即，密文为123。 对方接受后的解密过程为：解密： x=123103mod143=85，即明文为85的机密文本、加密的机密密钥、机密密钥技术、接收方的机密密钥解密、发送、发送、解密、红框：机密密钥/对称加密技术黄框：公开密钥/非对称加密技术， 由明文概括的密文虽然结果不同，但同一明文必须概括相同。由此，能够利用该一系列的摘要，验证经由网络接收的文件没有被非法篡改的文件原文。 目前使用的比较广泛的Hash函数是MD-5，SHA

9、。 操作：使用MD5检验工具来验证文件的完整性，2 .数字签名数字签名：可结合Hash函数和公钥算法来提供数据的完整性，同时保证数据的完整性。 发送方通过用自己的秘密密钥对数字文摘进行加密，形成发送方的数字署名。 数字签名是只有消息发送者能够制作、他人不能伪造的一系列数字串，通过数字签名能够实现原消息的认证和用户的身份的确认。 数字署名处理如图3.6所示，3 .数字信封和数字时间戳数字信封：信息发送者用对称密钥加密，用接收者的公开密钥再加密该对称密钥后，与信息一起发送给接收者数字信封使用加密技术，只允许规定的接收者阅读信件的内容。 如下电路图：数字时间戳：能够提供电子文档发布时间的安全保护，D

10、TS是网络安全服务项目、专业机构提供、加密的证书文档、需要时间戳的文档摘要(DTS ) 时间戳生成过程首先对：用户需要附加时间戳的文件的散列码进行加密来创建摘要，向DTS发送该摘要，DTS接收到文件的摘要的日期和时间信息，然后向用户进行加密(发送) 也就是说，它被用来解决我在互联网上是谁的问题。 数字证书是由权威公正的第三方机构ca中心发行的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网络上传输信息的机密性、完整性、交易实体身份的真实性。 数字证书可用于安全电子邮件发送、安全网站访问、在线证券、在线招标采购、合同、事务、缴费、在线税务等在线安全电子

11、事务处理和安全电子交易活动。 (2)数字证书的类型3360个人身份证书企业或者机构身份证支付网关证书服务器证书企业或者机构签名证书(3)数字证书中包含的内容3360持有人的公开密钥的有效期数字证书的发行机构数字签名数字证书的序列号，(4) 数字证书原理介绍数字证书采用公开密钥加密方式的各用户自己设定只有特定的本人知道的秘密密钥(秘密密钥)，使用它进行解密和签名的同时设定公开密钥(公开密钥)，本人公开，由一组用户共享，用于签名的加密和验证。 加密文件：发送机密文件时，发送者使用接收者的公钥加密数据，接收者使用自己的私钥解密数据，所以信息安全地到达目的地。 制作数字署名：用户也可以使用自己的秘密密

12、钥来处理信息，但是因为密钥只有本人所有，所以会产生他人无法制作的文件，也会制作数字署名。 (5)数字证书的存储证书一般可以以文件形式或USBKEY形式存储的文件USBKEY，5 .认证中心CA (1)认证中心(CA )的概念是电子交易双方，如何确认对方的身份，保证交易的公平进行，需要依赖不同种类的数字证书。证书的发行和管理应由一个交易双方信任、有权威性和公正性的第三方完成，这是电子商务认证机构(CA )，也称为电子商务认证中心(Certificate Authority )。 (2)认证中心(CA )的主要功能证书发行：证书更新：证书失效：证书验证：(3) CA体系结构，广东电子商务认证中心：

13、银行数字安全证书的工作流程：1)客户a准备发送的数字信息(明文)；2 )客户a准备数字信息3 )客户a用自己的秘密密钥(SK )将信息摘要加密以获得客户a的数字签名，并将其附加给数字信息。 4 )客户端a随机生成加密密钥(DES密钥)，并通过加密要使用该密钥传输的信息来生成密文。 5 )客户机a将刚才随机生成的加密密钥用双方共享的公开密钥(PK )加密，将加密的DES密钥与密文一起发送给乙方。 另外，客户端a :6 )银行b接受从客户端a发送的密文和加密的DES密钥，通过其自己的私有密钥(SK )对加密的DES密钥进行解密而获得DES密钥。 7 )然后，银行b用DES密钥对接收到的密文进行解密

14、，获得明文的数字信息，并废弃DES密钥(即废弃DES密钥)。 8 )银行b用客户端a的数字签名双方共享的公开密钥(PK )对其进行解密，获取信息摘要。 银行b对接收到的明文用相同的混列算法再次进行混列运算，得到新的信息摘要。 9 )银行b将接收到的信息摘要与新生成的信息摘要进行比较，如果一致则表示接收到的信息没有被修正。 银行：3.3.3身份认证技术，1加密体系认证3360静态加密IC卡消息加密动态密码卡USBKEY认证，2 .人体生理特征：指纹识别静脉识别虹膜识别面孔识别掌几何识别DNA识别声音识别， 3.4电子商务安全交易协议当前在国际上普及的电子商务中采用的协议包括： (1)安全超文本传

15、输协议(S-HTTP):取决于密钥对的加密，并确保网站上的交易信息的安全性。 (2)安全套接字层协议(SSL ) 3360提供加密、认证服务和消息的完整性的验证。 (3)安全电子交易协议(SET):复盖电子交易中信用卡交易协议、机密信息、资料完整性和数字认证、数字签名等。 (4)三方域安全协议(3d secure ) :是visa继SET协议之后发布的下一代安全交易技术。 它的目标还是提供通过互联网传输的信用卡支付信息的安全机制。 3.4.1安全套接字层协议(SSL )、安全套接字层或安全套接字层(SSL )协议由Netscape公司在网络传输层上提供的浏览器和Web服务器这是国际上最早应用于电子商务的消费者和商家都参加的信用卡/借记卡支付协议。 SSL使用通过认证确认身份的数字签名和数字证书来确保