第八章电子商务安全技术案例.ppt

1、第八章电子商务安全技术,第8章 电子商务安全技术,8.1 电子交易的安全需求 8.2 网络安全技术 8.3 信息安全技术 8.4 电子商务的认证技术 8.5 安全电子交易技术,第八章 电子商务安全技术,学习目标, 了解电子交易的安全需求和安全威胁 了解Windows系列操作系统的安全性 了解防火墙技术、VPN技术、病毒防范技 术和安全检测技术 理解加密技术 、识别和认证技术 掌握数字证书的格式 理解SSL协议和SET协议的相关知识,第八章 电子商务安全技术,案例,案例一 购买联通CDMA包年上网卡被骗。 案例二 网上买手机连遭陷阱。 案例三 在网络支付时帐户被盗。 案例四 通过网上钓鱼来步步引

2、诱欺骗消费者。,第八章 电子商务安全技术,案例启示,案例一 因为用户对联通的相关资费不清楚； 案例二 因为用户没有自始至终地坚持“货到 付款”； 案例三 因为网络支付时由于假平台网站的 迷惑性或其它原因用户的密码被盗； 案例四 利用了用户贪小便宜的心理。,第八章 电子商务安全技术,案例启示,据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。并面临着严峻的形势 。,第八章 电子商务安全技术,案例启示,2005年1月26日，瑞士达沃斯，第35届世界经济论坛。 主题：“为艰难抉择承担责任”。 阿里巴巴CEO马云：,20032004年，电子商务的诚信(长期过程)； 2005年

3、， 中国电子商务的安全支付年；,第八章 电子商务安全技术,8.1 电子交易的安全需求,问题的提出 美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。一家大公司网络联机通信服务公司的主干网出现重大故障，40万用户被迫中断联络40小时。 从 1993年起，黑客在中国的活动就没有停止过。在1997年以后，黑客入侵活动日益猖獗，逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到黑客的攻击。,第八章 电子商务安全技术,8.1.1 电子商务的安全威胁 1、信息的截获和窃取 2、信息的篡改 3、信息假冒 4、交易抵赖,

4、8.1 电子交易的安全需求,第八章 电子商务安全技术,8.1 电子交易的安全需求,8.1 电子交易的安全需求,电子商务的安全需求包括两方面： 电子交易的安全需求 计算机网络系统的安全（第二节讲）,第八章 电子商务安全技术,8.1.2 电子商务的安全要求 机密性 鉴别性 完整性 有效性 不可抵赖性,8.1 电子交易的安全需求,第八章 电子商务安全技术,8.1 电子交易的安全需求, 完整性,交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。,第八章 电子商务安全技术,8.1 电子交易的安全需求,电子商务安全框架,计算机网络安全和商务交易

5、安全,网络设备安全 网络系统安全 数据库安全 (计算机自身),实现电子商务的5种安全需求 (交易过程),相铺相成，密不可分,第八章 电子商务安全技术,8.1 电子交易的安全需求,8.1.3 电子商务安全体系的角色构成 服务商 客户方 银行 认证机构,8.1 电子交易的安全需求,第八章 电子商务安全技术,8.2 网络安全技术,8.2.1 操作系统安全 8.2.2 防火墙技术 8.2.3 VPN技术 8.2.4 病毒防范技术 8.2.5 入侵检测技术,第八章 电子商务安全技术,8.2 网络安全技术,8.2.1 操作系统安全 Windows NT 安全性 （1） 域用户管理方式 （ Windows

6、NT 通过定义域之间的信任关系来允许在一个域中定义的用户可以在另一个域中来验证身份，并可以访问其网络资源。） （2）共享和权限限制(NTFS文件系统) （3）多安全协议支持,第八章 电子商务安全技术,8.2 网络安全技术,8.2.1 操作系统安全 Windows 2000安全性 （1）建立Kerberos认证 （2）活动目录AD （3）对公钥基础设施PKI的集成支持,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 防火墙概念 一种获取安全性方法的形象说法。 它是一种计算机硬件和软件的结合，使互联网（Internet）与内部网（Intranet）之间建立起一个安全网关（S

7、ecurity Gateway），从而保护内部网免受非法用户的侵入。 它的作用就像一个门卫，出去或者进来的信息都要经过它的审查，只有经过审查通过的信息才能予以放行。,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 防火墙的安全策略 “凡是未被准许的就是禁止的” “凡是未被禁止的就是允许的”,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 防火墙的主要功能 、防火墙是保护内部网安全的屏障 、可对可疑操作进行审计跟踪 、防止内部网信息泄漏 、保护数据的完整性,第八章 电子商务安全

8、技术,8.2 网络安全技术,8.2.2 防火墙技术 防火墙的局限性 、防火墙无法防范内部用户的攻击 、防火墙无法防范不通过它的连接 、限制了有用的网络访问 、防火墙很难防范病毒 、防火墙不能防备新的网络安全问题 、防火墙不能防止数据驱动式攻击,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 （5）防火墙的实现技术 包过滤技术:禁止来自某些特定的原地址、目的地址和TCP端口的访问（网络层和传输层），对高层次无能为力。,第八章 电子商务安全技术,Internet,包过滤路由器,Internet,包过滤防火墙安全区域,8.2.2 防火墙技术 （5）防火墙的实现技术 代理服务防

9、火墙：用户和被访问主机间增加一代理服务器，代替用户进行安全检测。,8.2 网络安全技术,Internet,Internet,防火墙代理 服务器即 双重宿主主机,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 （5）防火墙的实现技术 应用网关防火墙：采用为每种所需服务在网关上安装专用程序代码的方式管理Internet各种服务。 （建立在网络应用层）,第八章 电子商务安全技术,8.2 网络安全技术,8.2.2 防火墙技术 （6）防火墙的主要类型 基于IP包过滤器的体系结构 双重宿主主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构（内外路由器）,第八章 电子商务安全技术,

10、8.2 网络安全技术,8.2.3 VPN技术 （1） VPN的概念 VPN即虚拟专用网络，通过一个公用的网络建立的一个临时的安全链接，是一条穿过公用网络的安全稳定的隧道。,第八章 电子商务安全技术,8.2 网络安全技术,8.2.3 VPN技术 （2） VPN的建立,第八章 电子商务安全技术,8.2.3 VPN技术 （3） VPN的应用 通过Internet实现安全远程用户访问 通过Internet实现网络互联 连接企业内部网络计算机,8.2 网络安全技术,第八章 电子商务安全技术,8.2 网络安全技术,8.2.3 VPN技术 （4） VPN的选择 基于防火墙的VPN 基于路由器的VPN 专用软

11、件或硬件,第八章 电子商务安全技术,8.2 网络安全技术,8.2.4 病毒防范技术 1、病毒的概念 ：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 （发展）,熊猫烧香病毒,谁打开了潘多拉的魔盒,8.2 网络安全技术,8.2.4 病毒防范技术 2、病毒的类型 引导区病毒 文件型病毒 入侵型病毒 外壳型病毒,第八章 电子商务安全技术,8.2 网络安全技术,8.2.4 病毒防范技术 3、病毒的特征 感染性 流行性 欺骗性 危害性 潜伏性 隐蔽性,第八章 电子商务安全技术,8.2 网络安全技术,8.2.4 病毒防范技术 4、病毒

12、的预防 防毒 查毒 解毒,第八章 电子商务安全技术,8.2 网络安全技术,杀毒软件,8.2 网络安全技术,8.2.5 入侵检测技术 1、入侵行为含义：对系统资源的非授权使 用，可以造成系统数据的丢失和破坏、系 统拒绝服务等危害。 2、IDS：识别非法用户未经授权使用计算机系统，或者合法用户超越计算机系统的行为。,第八章 电子商务安全技术,8.2 网络安全技术,8.2.5 入侵检测技术 2、主要任务： 监视和分析用户系统活动； 审计系统构造和弱点； 识别反映已知进攻的活动模式 向有关人士报警； 统计分析异常行为模式； 评估重要系统各数据文件的完整性； 审计和跟踪管理操作系统，识别用户违法安全策

13、略的行为。,第八章 电子商务安全技术,8.2 网络安全技术,8.2.5 入侵检测技术 3、分类 按数据源分类：基于主机的入侵检测系统 基于网络的入侵检测系统 按系统结构分类：集中式入侵检测系统 分布式入侵检测系统 按入侵的时间分类：实时入侵检测系统 事后入侵检测系统,第八章 电子商务安全技术,8.2 网络安全技术,8.2.5 入侵检测技术 2、安全检测评估技术 进行各个单项检测与评估 进行综合检测与评估,第八章 电子商务安全技术,8.3 信息安全技术,8.3.1 密码学概述 8.3.2 对称密钥密码体制 8.3.3 非对称密钥密码体制 8.3.4 PGP技术,第八章 电子商务安全技术,8.3

14、信息安全技术,8.3.1 密码学概述 含义：研究密码和解密变换的一门学科。 概念：明文 人们可以懂的文本。 密文 将明文换成不可懂得文件 加密 把明文换成密文的过程 解密 把密文换成明文的过程 密码体制 完成加密和解密的算法 密钥 随机字符窜,第八章 电子商务安全技术,8.3 信息安全技术,8.3.2 对称密钥密码体制 加密的分类 按密钥和相关加密程序类型可把加密分为：对称加密 非对称加密,第八章 电子商务安全技术,8.3 信息安全技术,8.3.2 对称密钥密码体制 加密密钥：加密/解密使用相同的密钥 加密算法：DES(Data Encryption Standard) 优 点：加密、解密速度

15、很快(高效) 缺 点：存在密钥的约定和保管困难的问题,解密 秘钥可推导出。,第八章 电子商务安全技术,8.3 信息安全技术,8.3 信息安全技术,8.3 信息安全技术,DES（数据加密标准）是一种分组加密算法。它对64bit数据块进行加密。如果待加密数据更长的话，则必须将其划分成64bit的数据块。最后一个数据块很可能比64bit要短。在这种情况下，通常用0将最后一个数据块填满（填充）。 DES加密的结果仍然是64bit的数据块。密钥长度为64bit（其中包含8个校验比特）。 特点：比较安全，且硬件实现效率高。,第八章 电子商务安全技术,8.3 信息安全技术,8.3.3 非对称密钥密码体制 加

16、密密钥: 加密/解密使用不同密钥:公开密钥(PK)和 私人密钥(SK) 加密算法: 1977年麻省理工学院的三位（Rivest、 Shamir和Adleman）发明了 RSA公开 密钥密码系统RSA 优 点: 减低密钥传递风险、减少密钥组合数量、识 别私有密钥使用者身份 缺 点: 存在对大报文加密困难,即无法对大于密钥 长度的报文加密,第八章 电子商务安全技术,8.3 信息安全技术,8.3 信息安全技术,8.4 电子商务的认证技术,8.4.1 认证技术 8.4.2 证书机构 8.4.3 数字证书,第八章 电子商务安全技术,8.4 电子商务的认证技术,8.4.1 认证技术 认证技术 可以直接满足

17、身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。,第八章 电子商务安全技术,8.4 电子商务的认证技术,认证模型：发方私钥加密，收方公钥解密,第八章 电子商务安全技术,8.4 电子商务的认证技术,广泛使用的认证技术,数字摘要 数字信封 数字签名 数字时间戳 数字证书,第八章 电子商务安全技术,8.4 电子商务的认证技术,8.4.2 证书机构 概念：是一个可信的第三方实体，其主要职 责是保证用户的真实性。 功能：证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档,第八章 电子商务安全技术,8.4 电子商务的认证

18、技术,在网络上，什么样的信息交流才是安全的呢？,只有收件实体才能解读信息，即信息保密性。 收件实体看到的信息确实是发件实体发送的信息，其内容未被篡改或替换，即信息真实完整性。 发件实体日后不能否认曾发送过此信息，即不可抵赖性。,还差什么？,建立信任和信任验证机制,8.4 电子商务的认证技术,世界上较早的数字证书认证中心是美国的Verisign 公司（）。,8.4 电子商务的认证技术,中国知名的认证中心 中国数字认证网（ ） 中国金融认证中心（ ） 中国电子邮政安全证书管理中心（ ） 北京数字证书认证中心（） 广东省电子商务认证中心（） 上海市电子商务安全证书管理中心有限公司（） 海南省电子商务

19、认证中心（） 天津CA认证中心（ 山东省CA认证中心（）,8.4 电子商务的认证技术,8.4.3 数字证书,数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。,8.4 电子商务的认证技术,（1） 数字证书概述 数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书实质上就是一系列密钥，用于签名和加密数字信息。 数字证书由专门的机构（CA）负责发放和管理，Q其作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA的数字签名使得攻击者不能

20、伪造和篡改数字证书。,8.4 电子商务的认证技术,（2）数字证书内容 认证中心所颁发的数字证书均遵循X.509 V3标准，根据这项标准，数字证书包括证书申请者的信息和发放证书CA的信息。,8.4 电子商务的认证技术,8.4 电子商务的认证技术,（3）对数字证书的验证 对数字证书的验证包括以下几个步骤：,Y,N,8.4 电子商务的认证技术,（4） 数字证书的类型,8.5 安全电子交易技术,8.5.1 SSL（安全套接层）协议 8.5.2 SET（安全电子交易）协议 8.5.3 公钥基础措施,8.5 安全电子交易技术,为了保障电子商务的安全性，一些公司和机构制定了电子商务的安全协议，来规范在Int

21、ernet上从事商务活动的流程。 目前，典型的电子商务安全协议有： SSL（安全套接层）协议 SET（安全电子交易）协议,第八章 电子商务安全技术,8.5 安全电子交易技术,8.5.1 SSL（安全套接层）协议 SSL协议（Security Socket Layer， 安全套接层协议）：Netscape公司提出的基于Web应用的安全协议，该协议向基于TCP/IP的C/S应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。,第八章 电子商务安全技术,8.5 安全电子交易技术,SSL采用对称密码技术和公开密码技术相结合，提 供了如下三种基本的安全服务： 秘密性。SSL客户机和服务

22、器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理。 完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性。 认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别对方的身份。,第八章 电子商务安全技术,8.5 安全电子交易技术,双向认证SSL协议的具体过程,实现SSL协议的是HTTP的安全版，名为HTTPS,8.5 安全电子交易技术,8.5.2 SET（安全电子交易）协议 SET协议（Secure Electronic Transaction，安全电子交易协议）是由VISA和MasterCard两

23、大信用卡公司于1997年5月联合推出的规范。 其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的就是为了保证网络交易的安全。,第八章 电子商务安全技术,8.5 安全电子交易技术,SET协议的目标 SET要达到的最主要目标是： （1）信息在公共因特网上安全传输 （2）订单信息和个人账号信息隔离 （3）持卡人和商家相互认证 （4）要求软件遵循相同的协议和报文格式。 SET协议涉及的当事人包括持卡人、发卡机构、商 家、银行以及支付网关。,第八章 电子商务安全技术,8.5 安全电子交易技术,SET协议的购物流程,8.5 安全电子交易技术,SET规范所涉及的对象 消费者 在线商

24、店 银行 电子货币 认证中心,第八章 电子商务安全技术,8.5 安全电子交易技术,SET协议通过证书、认证中心、树形检验体系结构完成认证过程。 证书：持卡人证书、商家证书、支付网关证书、银行证书、发证机构证书。 CA：实现持卡人和商家的相互认证 证书的树形检验体系结构,第八章 电子商务安全技术,8.5 安全电子交易技术,SET交易的安全性 (1) 信息的机密性:SET系统中，敏感信息（如持卡人的帐户和支付信息）是加密传送的，不会被未经许可的一方访问。 (2) 数据的完整性:通过数字签名，保证在传送者和接收者传送消息期间，消息的内容不会被修改。 (3) 身份的验证:通过使用证书和数字签名，可为交易各方提供认证对方身份的依据，即保证信息的真实性。 (4) 交易的不可否认性:通过使用数字签名，可以防止交易中的一方抵赖已发生的交易。 (5) 可操作性:通过使用特定的协议和消息格