chap5电子商务安全技术.ppt

1、第五章 电子商务安全技术,管理学院 C.M.L,前言,网络调查:六成网民不敢使用电子支付 安全问题最受关注,管理学院 C.M.L,网银大盗猖獗网民需高度警惕,为了支付买房子的第二笔付款，黄颜菲在自己的银行账户里存入了14万元。然而就在一夜之间，14万元的存款被神秘人通过网上支付全部花光。 无独有偶，上海市民蔡中的电脑被木马程序侵入，犯罪嫌疑人通过网上银行分11次转出人民币共计163014元；视频 网上银行的安全视频 北京的刘先生在收取了一封电子邮件并登录网上银行之后，帐户里的3.2万余元不翼而飞 2006年，某犯罪组织竟然在某银行的网银服务器内成功植入了木马程序，每隔0.5秒扫描一次，凡是此时

2、登陆的客户，其帐号和口令通通被窃取 2007-09-25 14:29:40来源：中国网,管理学院 C.M.L,前言:相关事件2,2000年2月7日早上，雅虎的搜索引擎和入门网站遭黑客侵袭，停顿近三小时，为雅虎有史以来最重要的一次网站灾难。第二天早上，电子零售网店B、拍买网站eB、新闻网站CNN.com、网络下单券商ETRADE.com、以及A也未能幸免。,管理学院 C.M.L,主要内容,5.1安全问题提出 5.2务安全问题分析 5.3安全问题解决,管理学院 C.M.L,站点服务器 （),网络监听者,安全问题之一：网络监听,用户,管理学院 C.M.L,服务器A 网址 ,浏览者与服务 器A连接，访

3、 问站点 ,安全问题之二：假冒站点,管理学院 C.M.L,正常收发E_mail的过程,今晚8点人民广场见,Alice,tom,管理学院 C.M.L,E-mail偷盗者,可能一：如果偷盗者 截取E-mail后不发给乙,可能二：如果偷盗者直接 假冒甲的身份给乙发了假 邮件,安全问题之三：不安全E-mail,Alice,Tom,管理学院 C.M.L,甲否认发送过,商家否认收到过 来自甲的购货款,安全问题之四：抵赖,甲方,乙方,管理学院 C.M.L,应用/数据库服务器,安全问题之五：非法访问服务器,Internet,管理学院 C.M.L,电子商务安全问题的提出,黑客的攻击网站瘫痪 电脑病毒的侵袭网站瘫

4、痪 交易信息的丢失交易者恐慌 交易信息被篡改双方产生误解 交易者对自己的行为进行否认抵赖 交易者身份的难以认定网络欺骗的发生 ,管理学院 C.M.L,问题提出,管理学院 C.M.L,问题分析,互联网开放性 成员多样性 位置分散性,推动,电 子 商 务 安 全 技 术,管理学院 C.M.L,问题解决,电子商务安全技术,管理学院 C.M.L,安全技术防火墙技术,电子商务安全技术,管理学院 C.M.L,安全技术防火墙技术,什么是防火墙 在被保护网络和Internet之间，或者和其它网络之间限制访问的软件和硬件的组合,管理学院 C.M.L,防火墙运用,可以是硬件的计算机。 也可以是软件上的程序。 例:

5、天网防火墙 诺顿网络安全特警 Sygate Personal Firewall Freev5.5.2710,管理学院 C.M.L,防火墙技术的功能,管理学院 C.M.L,防火墙技术分类,防火墙的种类,分组过滤： 作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 应用代理： 也叫应用网关，它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,管理学院 C.

6、M.L,防火墙技术分类（续）,分组过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,管理学院 C.M.L,防火墙技术分类（续）,应用代理： 代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。,管理学院 C.M.L,防火墙技术的优点,防火墙的优点,管理学院 C.M.L,安全技术数据加密技术,电子商务安全技术,管理学院 C.M.L,数据加密技术,什么是加密？ 加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。,管理学院 C.M.L,例如,请您破译如下的语句 J BN

7、 B UFBDIFS.,试一试，要破译此句密文您得花多少时间？,管理学院 C.M.L,加密技术的基本原理和特点,加密技术加密算法密钥,例如，将字母a，b，c，d，w，x，y，z的自然顺序保持不变，但使之与E，F，G，H，Z，A，B，C，D分别对应。若明文为end则对应的密文为 IRH 。,管理学院 C.M.L,任何大厦都会崩塌只是早晚的事,管理学院 C.M.L,A的私 人密钥,密码体系,对称密钥密码体系,非对称密钥密码体系,B C D E F G,B C D E F G,A A的贸易伙伴,A A的贸易伙伴,管理学院 C.M.L,数据加密分类（续）体制对比,管理学院 C.M.L,对称加密算法优缺

8、点,优点 计算量小,算法简单 加密速度快 加密效率高 缺点 密钥分配 密钥数量多、管理困难 最主要的对称加密算法:DES,管理学院 C.M.L,非对称加密算法优缺点,优点 安全性高 缺点 加密速度慢 最主要的非对称加密算法;RSA,管理学院 C.M.L,使用对称密钥加密,管理学院 C.M.L,对称与非对称密钥结合的加密,管理学院 C.M.L,解密过程,管理学院 C.M.L,安全有效的数字签名,管理学院 C.M.L,验证数字签名,管理学院 C.M.L,安全技术数字签名技术,电子商务安全技术,管理学院 C.M.L,网络,我要付款 $,请出示 身份证明,数字签名:电子交易的安全需求,防止机密或敏感性

9、资料外洩 鉴别对方的身分 防止資料被篡改或伪造 防止事后否认,管理学院 C.M.L,为什么需要CA,管理学院 C.M.L,什么是数字证书,数字证书(Digital ID)又叫“网络身份证”、“数字身份证”； 由认证中心发放并经认证中心数字签名的； 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件； 可以用来证明数字证书持有者的真实身份。 是PKI体系中最基本的元素； 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性,管理学院 C.M.L,数字证书（Digital Certificate 或Digital ID）,数字证书采用公私钥密码体制，每个用户拥有一把仅为本

10、人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,管理学院 C.M.L,数字证书包含的信息,证书拥有者的姓名 证书拥有者的公钥 公钥的有效期 颁发数字证书的单位 颁发数字证书单位的数字签名 数字证书的序列号,管理学院 C.M.L,数字签名技术公开密钥加密,管理学院 C.M.L,1998年9月4日 美国总统克林顿与爱尔兰总理伯蒂埃亨在都柏林首次使用数字签字，签署了一份旨在倡导发展电子

11、商务的联合公报。 目前有些国家与地区法律上已承认数字签字与传统签字具有同样的有效性,管理学院 C.M.L,安全技术认证技术,电子商务安全技术,管理学院 C.M.L,认证技术,什么是认证技术 认证是电子商务交易最重要的环节，通过某种成熟的技术，保证在电子商务活动中任何一方都不能进行欺骗。保证你在打交道的人就是它声称的某个人，而不是其他人冒充的。我们常听说的认证中心主要的任务就是进行认证。 认证的方法包括数字认证和生物认证,管理学院 C.M.L,生物认证技术示例指纹认证,管理学院 C.M.L,生物认证技术示例指纹认证,指 纹 识 别 流 程,管理学院 C.M.L,生物认证技术示例虹膜认证,虹 膜

12、认 证,管理学院 C.M.L,生物认证技术示例步态识别认证,步 态 识 别 认 证,管理学院 C.M.L,生物认证技术示例手工签名认证,手 工 签 名 认 证,管理学院 C.M.L,安全技术入侵检测技术,电子商务安全技术,管理学院 C.M.L,入侵检测技术,系统遭到入侵有两种情况 (1)非法用户访问他不应该访问的系统； (2)合法用户访问它不应访问的信息或者进行未授权的操作。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权使用或其他异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵非法用户的违规行为；滥用用户的违规

13、行为。,入 侵 检 测 技 术,入 侵,管理学院 C.M.L,入侵技术的发展与演化,攻击对象转移化,综合化复杂化,主体对象间接化,规模扩大化,技术分布化,管理学院 C.M.L,安全技术安全支付技术,电子商务安全技术,管理学院 C.M.L,安全支付技术,SSL协议 又名安全套接层（Secure Sockets Layer）协议 最初是由Netscape Communication公司设计开发的 主要用于提高应用程序之间的数据的安全系数 保证任何安装了安全套接字的客户和服务器间事务安全 SET协议 基于互联网的卡基支付，是授权业务信息传输的安全标准， 采用RSA公开密钥体系对通信双方进行认证， 利

14、用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无涂改 关键的认证机构（CA），CA根据X.509标准发布和管理证书。,管理学院 C.M.L,SSL安全协议主要提供以下三方面的服务,用户和服务器的合法性认证。 加密数据以隐藏被传送的数据。 保护数据的完整性。,管理学院 C.M.L,实现SSL协议的是HTTP的安全版，名为HTTPS 图9.2.1 HTTPS协议的使用,管理学院 C.M.L,安全套接层协议的工作原理 SSL需要认证服务器，并对两台计算机之间所有的传输进行加密。 SSL用公开密钥（非对称）加密和私有密钥（对称）加密来实现信息的保密。虽然公

15、开密钥非常方便，但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。,管理学院 C.M.L,下图图显示在eCoin上在登陆（Login）用户名时即进入SSL安全连接。 在eCoin上连接交换敏感信息的页面,SSL连接过程,管理学院 C.M.L,这时浏览器发出安全警报，开始建立安全连接，参见图左。同时验证安全证书，参见图图右。用户单击“确定”键即进入安全连接。 浏览器开始建立安全连接 浏览器验证服务器安全证书,管理学院 C.M.L,该图显示在eCoin上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。,管理学院 C.M.L

16、,当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。 离开交换敏感信息的页面，浏览器自动断开安全连接,管理学院 C.M.L,安全电子交易协议（SET）,SET(Secure Electronic Transaction)协议的产生背景 电子商务交易的广泛应用 需要保护Internet上信用卡交易的安全性,SET协议的发展历程 1995年，VISA和MasterCard两大信用卡公司联合推出SET协议 SET协议得到了IBM、Netscape、Microsoft、Oracle、VeriSign等公司的支持,管理学院 C.M.L,安全电子交易协议（SET）,SET协议的设计目标 SET主要为了解决用户、商家和银行之间通过信用卡支付的交易而设计。,SET协议的要求 支付信息的机密 订单信息和个人帐号信息的隔离 商户及持卡人的合法身份 互可操作性,管理学院 C.M.L,1 定单及 信用卡号