1、1第六章电子商务安全技术网络世界是否是安全的?引例:网银的安全威胁:钓鱼网站幕后2本章主要内容:电子商务安全要求与安全内容防火墙等网络安全技术加密技术和认证技术SSL与SET36.1电子商务安全要求6.1.1电子商务所面临的安全问题电子商务中的安全隐患可分为如下几类:1.信息泄漏:如信息被截获和窃取2.信息的篡改3.身份识别问题:如信息假冒4.交易抵赖5.病毒问题和黑客问题42012.1.11新闻1+15查处的信息泄漏事件(2012.1.10)CSDN、天涯网站被入侵事件经查这两家网站曾在2009年以前被入侵,数据遭泄漏也发生在两年前,近期这两家网站并未遭到攻击。网民臭小子的徐某某出于个人炫耀
2、目的,于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄漏,并公布泄漏的数据包截图,现在徐某某已被公安机关予以训诫。公安机关对这两家网站遭入侵一事正在溯源追查。6网上流传京东商城网站被入侵事件经查这个网站确实遭到入侵,但数据未被泄漏。网民我心飞翔的犯罪嫌疑人要药某于2011年4月发现京东商城网站存在安全漏洞,并在去年12月29日在乌云网上法帖称,掌握京东商城漏洞,以公布该安全漏洞,要挟京东商城向其支付270万元。京东商城网站未予支付,药某也并未窃取泄漏该网站相关数据。药某因涉嫌敲诈勒索,现已被依法行使拘留。7“YY”语音聊天网站泄漏数据事件经查广东“YY”语音聊天网站泄漏的数据是该公司
3、员工利用职务之便从公司内部备份数据库窃取,该网站并未被入侵,此事正在处理之中。网上流传的新浪微博、当当网等网站被攻击事件经查新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分帐号密码系有人利用网络远程大规模猜想密码所破解。实施密码破解的人员身份目前以被锁定,公安机关正实施抓捕。8网上流传的工商银行等金融机构数据泄漏事件经有关部门对工商银行、民生银行、交通银行的调查,证实银行系统并未被入侵,网上公布的所谓数据与银行相关数据不符。网民IT客的王某某从事网络推广工作,为了提高自己所在网站的知名度和自我炒作,于2011年12月28日在其个人的IT客网站和微博上凭空
4、捏造,发布所谓工商银行等网站用户数据泄漏的信息。王某某已被公安机关予以训诫。9“我自己做信息安全的,没有开网银,从没在网上进行出入境申请,从来不在网上支付东西,网络购物也从不自己下单,都是通过朋友的支付系统操作,让自己逃离那个环境”以上这段话来自广州市政协委员宋国琴,她同时也是一家信息安全公司的董事长,在接受广州日报采访时她表达了对于现代网络平台的不信任。106.1.2电子商务的安全要求电子商务的基本安全要素:有效性;机密性;完整性;可靠性/不可抵赖性/可鉴别性;审查能力11电子商务的安全要求根据范围划分为两个方面:电子商务交易方自身网络安全电子交易数据的传输安全121.电子商务交易方自身网络
5、安全(1)首先,要保证硬件资源的安全(2)其次,应保护软件和数据库资源的安全(3)最后,还要保证内部系统的门户安全132.电子交易数据的传输安全(1)交易数据和信息的保密性要求;(2)交易数据和信息的完整性要求;(3)交易各方身份的可认证性要求;(4)交易本身的不可抵赖性要求。146.2电子商务交易方自身网络安全保障技术1.用户账号管理技术2.网络杀毒技术15布署和管理防病毒软件布署一种防病毒的实际操作一般包括以下步骤:(1)制定计划:了解在你所管理的网络上存放的是什么类型的数据和信息。(2)调查:选择一种能满足你的要求并且具备尽量多的前面所提到的各种功能的防病毒软件。(3)测试:在小范围内安
6、装和测试所选择的防病毒软件,确保其工作正常并且与现有的网络系统和应用软件相兼容。16(4)维护:管理和更新系统确保其能发挥预计的功能,并且可以利用现有的设备和人员进行管理;下载病毒特征码数据库更新文件,在测试范围内进行升级,彻底理解这种防病毒系统的重要方面。(5)系统安装:在测试得到满意结果后,就可以将此种防病毒软件安装在整个网络范围内。173.防火墙技术(1)防火墙的基本概念防火墙是指由软件和硬件设备(一般是计算机或路由器等)组合而成,处于企业内部网与外部网之间。用于加强内外之间安全防范的一个或一组系统。防火墙实质是一组硬件和软件的组合。位于企业内部网的门户处,是数据和服务进出内部网的唯一通
7、路,通过在防火墙上进行规则的设置来对进出的内容进行检查,从而维护内部网的安全。18设计防火墙的准则一切未被允许的就是禁止的防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境,但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允许的防火墙转发所有信息流,然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境,可为用户提供更多的服务。但在日益增多的网络服务面前,网管人员的疲于奔命可能很难提供可靠的安全防护。19(2)防火墙的主要作用通过要求登陆账号和密码或通过IP地址的识别等方法限制非法用户进入企业内部网;通过在防火墙上设置过滤规则来过滤掉不符合规则的数据
8、或者限制提供/接受的服务类型;通过访问记录可以对访问威胁状况进行分析。20(3)不同类型的防火墙包过滤型防火墙:一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。21代理服务器防火墙:代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。22一个典型的防火墙构成23构筑防火墙需考虑的主要因素你的公司要控制什么或要保护什么你的公司要控制或要保护到什么程度财政预算技术问题:屏蔽路由器还是代理服务器.246.3电子商务数据传输安全保障技术一、数据加密技术二、数字签名技术三、身份认证技术25一、数
9、据加密技术加密解密密钥加密算法26两种不同的加密算法目前,加密算法很多,根据密钥性质不同,可分为对称加密体制和非对称加密体制两大类型。271对称密钥加密体制对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥保存和管理困难;谁能找到安全途径,又如何维护就成了一个问题;无法鉴别数据发送方和接受方。28对称加密技术1)在首次通信前,双方必须通过除网络以外的另外安全途径传递统一的密钥。2)当通信对象增多时,需要相应数量的密钥。3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方
10、的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。29对称密匙(保密密匙)加密明文消息密钥A加密加密消息明文消息密钥A解密30单字母加密方法例:明文(记做m)为“important”,Key=3,则密文(记做C)则为“LPSRUWDQW”。31例:如果明文m为“important”,则密文C则为“RNKLIGZMZ”。322非对称密钥加密体制非对称密钥加密系统,又称公钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者用公开密钥去加密,而信息接收者则用私
11、有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。33公开密钥/私有密钥加密老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密钥老张的公开密钥密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息34对称与非对称加密体制对比特特 性性对对 称称非非 对对 称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单不好管理简单不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者相对速度相对速度非常快非常快慢慢用途用途用来做大量资料的加用来
12、做大量资料的加密密用来做加密小文件或对信息签字等不用来做加密小文件或对信息签字等不太严格保密的应用太严格保密的应用35非对称加密方法和对称加密方法在实际操作中的结合非对称加密的特点安全性好,但速度较慢,不适合对大量文件进行加密而对称加密,所以人们在实际操作中采用对称加密和非对称加密相结合的方法。首先,用加密速度快的对称加密方法加密明文文件。接着,用安全性较高的非对称加密方法对密钥进行加密,之后,将密文和经加密之后的密钥一并发送给接受方。最后,接受方用自己的私有密钥解开加密后的密钥,得到解密密文的密钥,将密文转换为明文。36二、数字签名技术图数字签名的作用37数字签名的基础是加密技术,但与上述加
13、密技术不同的是,它不是使用密钥而是使用一种函数进行加密,这个函数被成为哈西函数,该函数对于发送者和接收者都是公开的。数字签名的过程就是把待签名的文件输入哈西函数,通过函数的作用生成一段完整的代码,这段代码被称为摘要,再用发送者的私钥对摘要进行非对称加密。数字签名代表着文件的特征,它的值将随着文件的变化而变化,不同的文件的数字签名的值一定是不同的。38数字签名的作用(1)鉴别传送的信息是否遭到更改。(2)利用数字签名和加密技术可以识别信息发送者的身份39一种组合的加密协议4041数字签名技术试图为我们解决电子交易中的一个难题:身份识别问题,但如果只利用这一技术,显然不能彻底解决问题。例如:A收到
14、带有B数字签名的文件,A只能判断出网络世界中声称是B的人(或者是拥有B的公有密钥和私有密钥的人)给他发出了这个文件,并且文件在传输过程中没有遭到更改。但A无法确定B在真实世界中的身份,公司规模、信用状况等,也无法确定是否有人利用一对公有密钥和私有密钥在互联网上冒充了B。42三、身份认证技术CA认证在网络这个虚拟世界里,必须有人向公共密钥的使用者证明,公布在网上的公钥的真实合法性。CA中心是负责验证公钥主体的真实身份以及它与公钥匹配关系的机构,在验证完成后为网络用户发放数字证书。CA中心负责对互联网上的用户进行管理和授权,它接受电子交易各方的申请,审查申请者在真实世界中的资质和身份。431、CA
15、认证的过程1.电子商务交易的各方向CA中心提交自己的公钥和其他证明自己身份的信息,CA中心在验证了用户的有效身份后,向用户颁发一个附有自己签名的数字证书,该数字证书用CA中心的私有密钥进行加密。2.参与电子商务交易的各方如果从同一个CA处获得了数字证书或相互信任为对方颁发证书的CA,他们就可以通过交换数字证书来获得对方的公钥。3.利用数字证书和CA中心,用户不再需要验证每一个交易伙伴的身份,而只需要验证并信任为其颁发数字证书的CA的公开密钥即可。4.当用户私有密钥遗失或数字证书有效期限已到,CA中心就需要公布该用户的数字证书作废,并向外界公布作废证书的信息。442数字证书的内容数字证书是一份文
16、档,记录了用户的公开密钥和其他身份信息。数字证书一般包括以下内容如图所示:l证书拥有者的身份信息;l证书拥有者的公钥;l数字证书的有限期;l颁发数字证书的单位;l颁发数字证书单位的数字签名;l数字证书的类别和序列号等。45图查看证书内容(1)46图查看证书内容(2)47图查看证书内容(3)483.数字证书的管理与验证电子商务交易各方在交易中通过交换来验证彼此的身份。如果对签发数字证书的CA是信任的,就可认可其数字证书上提供的内容。如果对签发数字证书的CA不信任,那么每一个CA中心也有数字证书,该证书由比它规模更大、更权威、更容易获得人们认可的CA中心签发的,即CA中心是有不同层次的,你可以通过
17、数字证书一层一层追上去,直到遇到你可以相信的CA为止。49认证中心的层次结构50国内外CA中心简介国外常见的CA有VeriSign、GTE Cyber Trust、Thawte等。国内常见的CA有中国商务在线l中国数字认证网(),数字认证,数字签名,CA认证,CA证书,数字证书,安全电子商务。l北京数字证书认证中心(),为网上电子政务和电子商务活动提供数字证书服务。l上海市数字证书认证中心514数字证书的申请(1)下载并安装根证书(2)申请证书(3)将个人身份信息连同证书序列号一并邮寄到中国数字认证网52图下载根证书(1)53图下载根证书(2)54图安装根证书(1)55图安装根证书(2)56图
18、查看根证书57图申请个人免费证书58图下载个人证书59图查看个人证书606.4电子商务安全交易标准1安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。它提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输。其主要功能(1)为服务器认证服务器。安全连接建立起来后,始终对服务器进行认证,对客户身份有选择认证。61(2)保证数据传输的机密性与完整性。在安全连接建立起来之后,SSL能保证数据传输的机密性与完整性。也就是在客户机与服务器之间建立安全的信息传输通道。622.SET(SecureElectronicTransaction)持卡人密文商家银行发卡机构CA密文协商定单确认审核确认审核批准认证认证认证提供身份认证、数据保密、数据完整性等服务63SET协议规范所涉及的对象:消费者在线商店收单银行电子货币认证中心(CA)
浙ICP备2021020529号-1 | 浙B2-20240490 
