《电子商务网络安全.ppt》由会员分享,可在线阅读,更多相关《电子商务网络安全.ppt(98页珍藏版)》请在三一办公上搜索。
1、2023/9/13,电子商务概论,第5章 电子商务网络安全,主讲教师:XXXXXX,2023/9/13,电子商务概论,第5章 电子商务网络安全,学习要点 电子商务对安全的基本要求 防火墙的功能和原理 电子商务加密技术 电子商务安全认证体系 SSL和SET的流程和工作原理 计算机病毒和黑客的防范技术,2023/9/13,电子商务概论,第5章 电子商务网络安全,第一节 电子商务的安全问题 第二节 防火墙技术 第三节 加密技术 第五节 电子商务交易过程 第六节 病毒与黑客的防范,2023/9/13,电子商务概论,第一节 电子商务的安全问题,一、电子商务的网络安全问题 二、电子商务的信息安全要求,20
2、23/9/13,电子商务概论,一、电子商务的网络安全问题,1信息泄漏 在电子交易中商业机密被泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。2篡改 电子的交易中信息在网络上传输,可能被他人非法修改、删除或重做,这样就使信息失去了真实性和完整性。3身份识别问题 如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易。破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。进行身份识别后,交易双方就可防止“相互猜疑”。,2023/9/13,电子商务概论,一、电子商务的网络安全问题,4病毒问题 病毒问题十几年来,各种新型病毒及其变种迅速
3、增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒利用网络作为自己的传播途径,很多病毒借助于网络传播变得更快,破坏性更大,造成经济损失动辄造成数百亿美元的。5黑客问题 随着各种应用工具的传播,黑客已经大众化了,不像过去那样非计算机高手不能成为黑客。曾经大闹雅虎网站的“黑手党男孩”就没有受过专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。,2023/9/13,电子商务概论,二、电子商务的信息安全要求,1信息的保密性 信息的保密性是指信息在传输或存储过程中不被他人窃取。交易中的商务信息均有保密的需求。如信用卡的账号、用户名和密码被人知晓,就可能被盗用,订货
4、和付款的信息被竞争对手获悉,就可能丧失商机。因此,在电子商务的信息传播均须要保密。2信息的完整性 信息的完整性是从信息传输和存储两个方面看。在存储时,网站上的信息要防止非法篡改和破坏。在传输过程中,如果收到的信息与发送的信息一样的话,说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密,能保证第三方看不到真正的信息,但并不能保证信息在传输过程中不被修改。3身份的确定性 网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家来说,要考虑客户是不是骗子,而客户也会担心网上的商店是不是一个黑店。因此,能方便而可靠的确认对方身份是交易的前提。,2023/9/13
5、,电子商务概论,二、电子商务的信息安全要求,4不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。由于商情的千变万化,交易一旦达成是不能否认,否则,必然会损害一方的利益。例如,在定购商品的时候,商品价较低,但收到订单后,商品涨价了,如供货方否认发送订单的实际时间,甚至还否认发送订单的事实,则订货方将会蒙受巨大的损失。因此,电子交易通信过程的各个环节都必须是不可被否认的。5不可修改性 交易的文件是不能被随意修改的,例如,上例所举的例子,如果供货单位在收到订单后,修改订货价,或者改动文件内容,将定购数目改变,则可以大幅收益,而订货单位却会蒙受损失。因此,电
6、子交易的文件必须做到不可修改,以保障交易的严肃和公正。6系统的可靠性 电子商务使用的是计算机系统,其可靠性是指防止计算机失效、程序错误、传输错误等而引起的计算机信息丢失或出错。,2023/9/13,电子商务概论,第二节 防火墙技术,防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,第二节 防火墙技术,一、包
7、过滤型防火墙 二、代理服务型防火墙 三、应用网关型防火墙 四、电路网关型防火墙 五、复合型防火墙,2023/9/13,电子商务概论,一、包过滤型防火墙,包过滤型防火墙实质上是一个过滤网关,它决定接收到的数据包的取舍。该防火墙逐一审查每个数据包以判断它是否与其过滤规则相匹配。如果找到一个匹配,且规则允许这个包通过,这个包将根据路由表中的信息继续前进。如果找不到一个匹配,则规则拒绝此包,也就是把这个包过滤掉了。包过滤一般是在OSI七层协议的网络层下实现的,用户一般不会察觉到防火墙的存在。此防火墙由较高的网络性能,对应用程序具有较好的透明性,缺点是无法有效的区分同一IP地址下不同的用户,所以安全性相
8、对较低些。,2023/9/13,电子商务概论,二、代理服务型防火墙,代理服务型防火墙也是在OSI七层协议的应用层下实现的。代理使用一个客户程序与特定的中间节点连接,然后中间节点与期望的服务器进行实际连接。使用此防火墙时,外部网络与内部网络之间不存在直接连接,因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。,2023/9/13,电子商务概论,三、应用网关型防火墙,应用网关防火墙的物理位置与包过滤防火墙一样,但它却工作在OSI七层协议的应用层上。应用网关防火墙执行比包过滤防火墙更严格的安全策略。对于所转发的每种应用,应用层网关都需要使用专用的程序代码。每当一个新的需保护的应用加入网络
9、中时,必须为其编制专用的程序代码,如果网络过滤人员不对一种特别应用程序编制出相应的专用程序代码,这种应用程序就不能通过防火墙。虽然编制程序比较复杂,但是,网络的安全性得到了提高。,2023/9/13,电子商务概论,四、电路网关型防火墙,电路网关的物理位置在内部与外部网之间,工作在OSI七层协议的网络层,不过,电路网关在作为外部主机代理方面类似应用网关,但电路网关是在传输控制协议(TCP)这一级来完成控制的。它通过防火墙开了一个通孔,既根据用户的要求,开通或封闭TCP/IP 的连接。电路网关型防火墙向最终用户提供较好的透明性,但它的代价是损失了某些安全性,即不能实施强制的验证和协议过滤。,202
10、3/9/13,电子商务概论,五、复合型防火墙,出于高安全性的需要,出现了把基于包过滤和基于代理访问技术相结合的防火墙,即复合型防火墙。在复合型防火墙中,内部网络和外部网络都可以访问主机,称为堡垒主机,它是一个被特别包装的、用来防范各类攻击的特殊系统。,2023/9/13,电子商务概论,第三节 加密技术,一、密钥加密算法 二、数字摘要 三、数字签名 四、数字时间戳,2023/9/13,电子商务概论,一、密钥加密算法,1对称密钥体制(1)基本原理 对称密钥体制又称常规密钥密码体制、私钥密码体制和单钥密码,就是加密和解密使用的是同一个密钥和算法,如果不相同,也可以由一个密钥来推导出另一个密钥来。当A
11、发送数据给B时,A用加密密钥将明文进行加密后成为密文,而B在接收到密文后,必须用A的密钥进行解密,还原成明文。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,一、密钥加密算法,(2)DES算法 数据加密标准(data Encryption Standard,DES),是1977年美国国家标准局宣布用于非国家保密机关的数据保护。DES算法原是IBM公司于1971年至1972年研制成功的,ISO也已将DES作为数据加密标准。DES对64位二进制数据加密,产生64位密文数据。使用的密钥也64位,实际密钥长度为56位(8为用于奇偶校验)。解密时的过程与加密时相似,但密钥的顺序正好
12、相反。现在DES可由软件和硬件实现。美国AT&T首先用LSI芯片实现了DES的全部过程,该产品称为数据加密处理机DEP。DES采用64位长的密钥,能将原文的若干个64位块变换成加密的若干个64位代码块。原文经过一系列的排列与置换所产生的结果再与原文异或合并(X/OR)。该加密过程重复16次,每次所用的密钥位排列不同。据说运行DES加密文件通过256种可能的密钥,一个百万次的系统也需7个小时。三倍编码使DES更加安全,等价于具有112位长的代码,同时,编码与解码时间也延长了三倍。,2023/9/13,电子商务概论,一、密钥加密算法,(3)IDEA算法 IDEA(International Dat
13、a Encryption Algorithm)是一种国际信息加密算法。它是1991年在瑞士ETH Zurich由中国学者来学嘉和James Massey发明,于1992年正式公开,是一个分组为64位,密钥128位。迭代八轮的密码体制。此算法使用长达128位的密钥,有效地消除了试图用穷举法搜索密码的可能性。,2023/9/13,电子商务概论,一、密钥加密算法,(4)对称密钥体制加密技术的优缺点 对称加密技术具有加密速度快,保密度高等优点。缺点是:密钥是保密安全的关键,发送方必须安全、可靠地把密钥护送到接收方,一旦密钥在网上被窃取,密文就会被解密,所以,对称加密技术密钥发送十分复杂,所花代价也十分
14、高昂。多人通信时使用的密钥数会大幅度增加,n个人两两通信,需要的密钥数为n(n-1)/2。,2023/9/13,电子商务概论,一、密钥加密算法,2非对称密码体制(1)基本原理 非对称密码体制又称公钥密码体制和双钥密码等,为了改进对称加密的密钥传递的缺陷,于是出现了非对称加密技术。这种密钥技术中的密钥都是成双的,即有一对互补的钥匙,一个称为公钥(Public Key),另一个称为私钥(Private Key),其中公钥是公开的,这个公钥可以放在服务器上供任何人下载,另一个私钥必须自己保留。由于这两个密钥之间存在一定的数学关系,因此这两个密钥中的一个密钥加密,只能被另一个密钥解开。使用的时候,A用
15、B的公钥将明文加密成为密文,然后通过网络传送给B,B用自己的私钥将密文解密,还原成明文。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,一、密钥加密算法,(2)RSK算法 非对称密码体制中最具代表性的,便是RSK算法。已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。该算法以发明者Ronald Rivest、Adi Shamir 及Leonard Adleman三人名字的首字母命名。具体算法是:用户选择2个足够大的秘密的素数p和q(一般位100位以上的十进制数)。令n=pq,n是公开的。实际上,从n分解除因子p和q是极其困难的。定义n的欧拉函数
16、(n)=(p-1)(q-1),(n)及小于等于n并于n互素的数的个数。选择一个相对较大的整数e作为加密指数,(n)互素。解同余方程ed=lmod。若用整数X、Y分别表示明文、密文,则以下二式可用于加密和解密(X、Y均小于n):加密:Y=X mod n 解密:X=Y mod n 每个用户都有一组密钥(e,d、n)。对这种体制,只有(e,n)是出现在公共手册上的(即PK),d则是需要用户保密的(即SK)。,2023/9/13,电子商务概论,一、密钥加密算法,(3)公开密钥的优缺点 公开密钥的优点:密钥少便于管理,网络中用户只需可靠保存自己的解密密钥,则n个用户只需保存好n个解密密钥即可。加密密钥分
17、配简单,用户可以在服务器上下载。缺点是加密、解密速度慢,不易对数据块大的数据进行加密。,2023/9/13,电子商务概论,一、密钥加密算法,3组合加密算法 组合加密算法(Pretty Good Privacy,PGP)是由美国的Phil Zimmermann创造的,它结合了RSA公钥的安全和对称DES/IDEA加密的快速的优点,即对网络中传递的明文用DES/IDEA加密,而加密的密钥则用RSA加密传递,对方收到密文和加密的密钥后,先用RSA解开密钥,再用密钥解开密文。因此,PGP成为了世界上最流行的加密软件包。PGP目前有运行于MS-DOS、Unix、Windows 2000、Windows
18、XP、Windows 2003等各种不同操作系统上的版本,可以用它来对文件进行加密,或者使用它来在文件上进行数字签名。,2023/9/13,电子商务概论,一、密钥加密算法,PGP加密不仅速度快,而且强度足够大。如果想用穷举法来破解PGP密码,并使用10亿台每秒钟能试探10亿个密钥的计算机(目前还不存在每秒能试探10亿个密码的计算机,计算机总量也没有10亿台),那么做完所有的试探所需要的时间至少要100亿年。目前能得到的PGP是PGPi,PGPi 是PGP的国际版,它是在PGP的基础上修改而成的,因为PGP是功能强大的加密系统,而美国对加密系统的出口是有限制的,这就是你无法在正常的渠道中获得PG
19、P的原因。,2023/9/13,电子商务概论,二、数字摘要,数字摘要又称为安全Hash编码法或MDS编码法,是Ron Rivest 在70年代设计的。该编码采用了单向Hash函数,它将明文直接“摘要”成一串128Bit的密文,这一串密文就称为数字摘要。它具有固定的长度,不同的明文的摘要,其结果是决对不会相同的,而同样的明文其摘要却必定是一致的。因此,这串摘要便成为了验证明文是否是“真身”的依据,明文好像被附上了的数字“指纹”,所以,数字摘要又称为数字指纹(Finger Print)。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,三、数字签名,数字签名(digital s
20、ignatures)是公开密钥加密技术的一种应用。使用方式是:报文的发送方从报文文本中生成一个128Bit的数字摘要,发送方再用自己的密钥对数字摘要进行加密形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给接收方。收方首先从接收到的报文中计算出128Bit的数字摘要,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果这两个数字摘要相同,那么接收方就能确认该数字签名是发送方的,而且还可以确定此报文没有被第三方修改过。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,三、数字签名,但采用公开密钥算法更容易实现。发送者A用自己的私钥SKA对数字摘要X进
21、行运算,将结果DSKA(X)传送给接收者B。B用A的公钥得出EPKA(DSKA(X)=X。因为除A外没有别人能具有A的私钥SKA,所以除A外没有别人能产生密文DSKA(X)。这样,数字摘要X就被签名了。假若A要抵赖曾发送给B。B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发送消息X给B。反之,如果是B将X伪造成X,则B不能再第三者面前出示DSKA(X)。这样就证明B伪造了数字摘要。,2023/9/13,电子商务概论,三、数字签名,要说明的是,数字签名不同于手写签字,数字签名会随文本的变化而变化,而手写签名只是反映了某个人的个性特征,是不变的;数字签名与文本信息是不可分割
22、的,而数字签名是附加在文本之后的,与文本信息是分离的。,2023/9/13,电子商务概论,四、数字时间戳,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(Digital Time-Stamp Service,DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务是网上安全服务项目,由专门机构提供,数字时间戳是一个经加密后形成的证书文件,它包含三个部分:需要加数字时间戳的文件的摘要;数字时间戳服务机构收到文件的日期和时间;数字时间戳服务机构的数字签名。数字时间戳产生的过程为:用户首先将需要加数字时间戳的文件用Hash形成摘要,然后将摘要发送到数字时间戳服务机构,
23、该机构在加入了收到文件摘要的日期和时间信息后再对该文件进行数字签名,然后送回用户。要注意的是,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由数字时间戳服务机构来加的,以其收到文件的时间为依据。,2023/9/13,电子商务概论,第四节 数字证书,一、数字证书 二、CA认证中心 三、数字证书类型 四、数字证书的申请、获取和使用,2023/9/13,电子商务概论,一、数字证书,数字证书又称为数字凭证(Digital Certificate,Digital ID),是用电子手段来证实一个用户的身份。在网上进行电子交易时,如果双方都出示了数字证书,并用它来进行交易操作,那么双方就不
24、必为对方身份的真伪而担心了。数字证书可广泛用于电子邮件、电子商务、电子基金转移等。数字证书的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:证书拥有者的姓名;证书拥有者的公共密钥;公共密钥的有效期;颁发数字证书的单位;数字证书的序列号;颁发数字证书单位的数字签名。,2023/9/13,电子商务概论,二、CA认证中心,在电子交易中,无论是数字时间戳服务还是数字证书的发放,都需要有一个具有权威性和公正性的第三方来完成。认证中心(CA)就是承担网上安全电子交易认证服务、签发数字证书、并确认用户身份的服务机构。认证中心统称是奇特性的服务机构,主要任务是受理数字凭证的申请、签发及对
25、数字凭证的管理。使用者在生成自己的密钥后,直接把公共密钥和身份信息送到认证中心去认证,通过后,认证中心就会将签核过的凭证放到凭证数据库,供其他人查询及下载,所以,交易双方都能在认证中心取得对方的凭证,以证明公共密钥和身份的相关性。除了签发凭证的业务外,认证中心也要负责维护凭证的安全性与完整性,万一交易过程发生纠纷,认证中心按照和用户之间的协议,应负举证的责任,将双方的注册信息和凭证送交司法单位。,2023/9/13,电子商务概论,二、CA认证中心,当前,Internet上提供认证服务的国外公司有Verisign、IBM、AT&T、BBN 等。上海电子商务安全证书管理中心有限公司(http:/)
26、,是国内提供认证服务较早的机构,也是上海市从事电子商务安全证书制作、颁发和管理业务的权威性机构。参加电子商务的主体,必须获得SHECA颁发的数字证书。SHECA提供电子商务服务的安全平台,为网上安全交易保驾护航。,2023/9/13,电子商务概论,三、数字证书类型,个人证书(Personal Digital ID):仅仅为某一个用户提供证书,以帮助个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的Web浏览器内,并收发安全的电子邮件等。企业(服务器)证书(Server ID):为网上的某个Web服务器提供的证书,拥有Web服务器的企业就可以对具有证书能力的网站来进行安全的电子交
27、易。有证书的Web服务器会自动地与客户端Web浏览器通信的信息进行加密。软件(开发者)证书(Developer ID):为Internet中被下载的软件提供证书,该证书用于和微软公司Authenticode技术相结合的软件,以使用户在下载软件时能获得相应的信息。,2023/9/13,电子商务概论,四、数字证书的申请、获取和使用,1个人数字证书的申请、获得和使用 个人数字证书的申请可以在用户浏览器上进行,个人数字证书分为两个级别,第一级数字证书仅仅提供个人电子邮件地址的认证。当个人获得一级数字证书后,认证中心会将邮件地址证书列于公共目录。第二级数字证书提供对个人姓名、身份等信息的认证。当获得二级
28、数字证书后,认证中心也会将认证信息列入公共目录。,2023/9/13,电子商务概论,四、数字证书的申请、获取和使用,当个人数字证书申请后,认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实,通常需要3-5天,核实后即可颁发数字证书。数字证书的颁发时由认证中心发回给用户一个确认邮件,在邮件中通知用户有关证书中的信息,同时将该证书安装在用户所用的WWW浏览器或电子邮件系统中。,2023/9/13,电子商务概论,四、数字证书的申请、获取和使用,个人使用获得的数字证书,也就是说在他所用的WWW浏览器上安装了数字证书后,当他要发送一个邮件的时候,在WWW浏览器中就可设置以下三种状态:普通发
29、送,不使用数字证书;签发文件,在发送信息的同时,系统会自动将信息和发送者的数字签名一起发送给对方,但用此方法发送的信息本身并未被加密;加密文件,除了拥有上面签发文件功能外,在发送时还会自动用接收者的公共密钥加密信息,并会注明此信息是加密的。,2023/9/13,电子商务概论,四、数字证书的申请、获取和使用,2服务器数字证书的申请、获得和使用 服务器数字证书帮助企业建立一个虚拟交易环境中的信任度。在现实生活中,一个大超市或大商场能给人们产生一种可信度。而在网上交易的虚拟环境中,人们无法和商家面对面的接触,而需要依靠数字证书来增强信任度。,2023/9/13,电子商务概论,四、数字证书的申请、获取
30、和使用,服务器数字证书的申请验证要比个人身份的验证复杂,需要把调查表文件填写后用电传或电子邮件发送到认证中心,调查文件的内容包括:企业或组织的情况介绍;合作伙伴的情况;营业执照;纳税证明。,2023/9/13,电子商务概论,四、数字证书的申请、获取和使用,当一个服务器证书生效后,它就能以被验证的身份与外界通信,数字证书依靠与之绑定的一对密钥来表示自己的确定性。用该对密钥来加密,从而保证该服务器身份。当一个认证的客户与一个认证的服务器进行通讯的时候,客户端的软件会自动的验证服务器端的数字证书,而服务器绑定的这对密钥又被用来加密一个会话密钥。会话密钥是用来对服务器和客户机的会话进行加密的。每个服务
31、器和客户机的会话均会使用不同的会话密钥。每个会话密钥只有12-24小时的有效期,所以,要在被认证的服务器和客户机通信时进行信息窃听是十分困难的。,2023/9/13,电子商务概论,第五节 电子商务交易过程,一、安全套接层SLL协议 二、安全电子交易SET协议,2023/9/13,电子商务概论,一、安全套接层SLL协议,SSL 安全协议最初是由Netscape Communication公司设计开发的,又叫安全套接层(Secure Sockets Layer,SSL)协议,主要用于提高应用数据的安全。SSL 协议的概念可以被认为:一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,它涉及
32、所有的TCP/IP应用程序。,2023/9/13,电子商务概论,一、安全套接层SLL协议,SSL 安全协议主要提供三方面的服务:认证用户和服务器,使得数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不能被改变。,2023/9/13,电子商务概论,一、安全套接层SLL协议,SSL 安全协议的运行步骤包括六步:接通:客户通过网络向服务商连接,服务商回应;密码交换:客户与服务商之间交换双方认可的密码,一般选用RSA密码算法;会谈密码:客户与服务商间产生彼此交谈的会谈密码;验证:检验服务商取得的密码;客户认证:验证客户的可信度;结束:客户与服务商
33、之间相互交换结束的信息。,2023/9/13,电子商务概论,一、安全套接层SLL协议,当上述动作结束后,两者间的资料传送就会被加密,等到另外一端接收到资料后,再将资料还原。即使盗窃者在网络上取得的加密资料,如果没有密钥和算法,就不能获得可读的原文资料。SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,它运行的基本点是商家对客户信息保密的承诺,如全球最大的网上书店亚马逊(Amazon),它在给用户的购买说明中明确表示:“当你在亚马逊公司购书时,受到亚马逊公司安全购买保证保护,所以,你永远不用为你的信用卡安全担心”。,2023/9/13,电子商务概论,一、安全套接层SLL协议,SSL安全
34、协议利于了商家却不利于客户,客户的信息首先被传到商家,商家阅读后再传到银行,这样,客户资料的安全性就受到了威胁。商家认证客户是必要的,但整个过程中缺少了客户对商家的认证。由于在电子商务的开始阶段,参与电子商务的公司大都是一些大公司,信誉度较高,这个问题没有引起人们足够的重视。随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL 协议的缺点完全暴露出来,所以 SSL 协议正在逐渐的被SET协议取代。,2023/9/13,电子商务概论,二、安全电子交易SET协议,为了克服SSL安全协议的缺点,两大信用卡组织Visa和MasterCard,联合开发了安全电子交易协议(Secure El
35、ectronic Transaction,SET)。这是一个为了在Internet上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。由于设计合理,SET协议得到了IBM、HP、Microsoft、Netscape、GTE等许多大公司的支持,已成为工业标准。目前,它已经获得了IETF标准的认可。,2023/9/13,电子商务概论,二、安全电子交易SET协议,SET是一种以信用卡为基础的、在Internet上交易的付款协议,是授权业务信息传输的安全标准,它采用RSA密码算法,利用
36、公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用Hash算法来鉴别信息有无被篡改。,2023/9/13,电子商务概论,二、安全电子交易SET协议,1SET安全协议运行的目标 保证信息在Internet上安全传输,防止数据被黑客或被内部人员窃取;保证电子商务参与者信息的相互隔离。客户的资料会加密打包后通过商家传输到银行,但是商家却不能直接看到客户的账户和密码;解决多方认证的问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行之间的认证;保证网上交易的实时性,使所有的支付过程都是在线的;效仿EDI贸易形式,规范协议和消息格式,促使不
37、同厂家开发的软件具有兼容性和互操作性,并且可以运行在不同的硬件和操作系统平台上。,2023/9/13,电子商务概论,二、安全电子交易SET协议,2SET安全协议涉及的范围 消费者:包括个人消费者和团体消费者,按照在线商店的要求填写订货单,通过发卡银行发行的信用卡进行付费;在线商店:提供商品或服务,具备相应电子货币使用的条件;收单银行:通过支付网关处理消费者和在线商店之间的交易付款问题;电子货币公司和兼有电子货币发行的银行:负责处理电子货币的审核和支付工作;认证中心:负责对交易双方的身份确认,对厂商的信誉度和消费者的支付手段和支付能力进行认证。,2023/9/13,电子商务概论,2023/9/1
38、3,电子商务概论,二、安全电子交易SET协议,3SET安全协议的缺陷 协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书,否则的话,在线商店提供的货物不符合质量标准,消费者提出疑义或要求退货,那责任由谁来承担;协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明定购是不是由签署证书的消费者发出的;SET技术规范没有提及在事务处理完成后,如何安全的保存或销毁此类证据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击;SET安全协议大部分操作依赖CA认证中心的认证,但SET无法确认认证中心是否被攻击、被假冒,也无法确认认证中
39、心的密钥是否已经泄漏或被修改。,2023/9/13,电子商务概论,第六节 病毒与黑客的防范,计算机病毒(computer virus)是带有一段恶意指令的程序,一旦用户运行了被病毒感染的程序,它就会隐藏在系统中不断感染内存或硬盘上的程序,只要满足病毒设计者预定的条件,病毒就会发作,其后果轻则只是和用户开个玩笑,在屏幕上显示几行文字或图片;重则会破坏硬盘数据,甚至擦除主板BIOS芯片内容,使机器不能继续使用。黑客程序(hacker program)实际上也是人们编写的程序,它能够控制和操纵远程计算机,一般由本地和远程两部分程序组成。黑客(hacker)通过E-mail或冒充可供下载的文件把程序暗
40、中发送到远程机器上,如果该程序被远程机器不经意运行,该用户机器中的启动文件或注册表就会被自动修改,以后只要这台机器上了Internet,黑客就可以通过网络找到它,并对它进行远程控制,随意拷贝、修改、删除远程机器上的文件,甚至能自动关闭或重新启动机器。考虑到黑客程序的危害性,不妨把黑客程序也归于计算机病毒类,如果按传播方式划分,可以把病毒分为单机病毒和网络病毒。,2023/9/13,电子商务概论,第六节 病毒与黑客的防范,一、单机病毒 二、网络病毒及其防范 三、网上炸弹及其防范,2023/9/13,电子商务概论,一、单机病毒,1单机病毒的种类 单机病毒包括DOS病毒、Windows病毒和能在多操
41、作系统下运行的宏病毒。DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒程序,例如“黑色星期五”、“DIR”等病毒,它们运行在DOS平台上,由于Win3.x/Win9x依然采用或含有DOS内核,所以这类病毒仍然能够攻击Windows系统,在Windows平台上发作,感染硬盘上的文件。Windows病毒是在 Win3.x/Win9x上编写的纯32位病毒程序,例如4月26号危害全球的CIH病毒等,这类病毒运行于Windows平台,发作时破坏硬盘引导区、感染系统文件和可执行文件、破坏用户资料,甚至擦除主板BIOS,造成主板损坏。,2023/9/13,电子商务概论,一、单机病毒,宏病毒是利用Off
42、ice特有的“宏”(Macro)编写的病毒,它专门攻击微软Office系列Word和Excel文件。这种病毒不仅能运行在Windows环境,还能运行在OS/2或MAC OS上的微软Office软件中,因为Office软件有Windows、OS/2或MAC OS的多种版本,而所有版本中“宏”的定义都相同,所以只要在这些操作系统上打开Office文档,宏病毒就开始发作,感染其他Office文档、改变文件属性,甚至删除文件。,2023/9/13,电子商务概论,一、单机病毒,2单机病毒的防范 考虑到每种杀毒产品都有局限性,所以最好准备几套杀毒软件,用它们来交叉杀毒,杀毒软件还要及时升级;定期用杀毒软件
43、检查硬盘,如果用的是Win9x(CIH病毒对WinNT和Win2000不起作用),每月的26号前一定要检查是否有CIH病毒,或者将系统日期跳过26号;在系统中最好安装病毒实时监控软件(一般杀毒软件都带);所有准备上机的光盘和软盘都要先进行查毒才可使用;用工具软件将系统分区备份成一个文件,存放在其他分区上,一旦系统被病毒破坏,几分钟就可恢复,但备份前一定要对硬盘杀毒;最好将硬盘分成多个逻辑盘,例如C、D上,每个盘最好是FAT32格式,把C盘作为系统盘,容量当然要设大些,C盘最好是FAT32格式,容量应大于2G,这样设置的好处是,有利于提高系统运行速度,此外如果C盘被CIH病毒破坏了,只要它是FA
44、T32格式,且容量大于2G,用一般杀毒软件就可以将C盘上的数据恢复98。,2023/9/13,电子商务概论,二、网络病毒及其防范,1特洛伊木马及其防范 特洛伊木马是一种黑客程序,从它对被感染计算机的危害性方面考虑,不妨也称之为病毒,但它与病毒有区别,特洛伊木马本身一般并不破坏硬盘上的数据,它只是悄悄地潜伏在被感染的计算机里,一旦这台计算机上网,黑客就可以通过Internet找到这台机器,并在远程操纵它,窃取用户的上网账号和密码、随意修改或删除文件,想怎么干就怎么干。特洛伊木马的防范方法是:不要轻易泄露IP地址,下载来历不明的软件,要警惕其中是否隐藏了特洛伊木马,使用下载软件前一定要用特洛伊木马
45、检测工具进行检查。对付特洛伊木马除了手工清除方法外,也可用专门的反特洛伊木马软件来清除,还可以用来检测机器上是否有特洛伊木马程序,实时监视计算机端口上是否有“异常活动”。,2023/9/13,电子商务概论,二、网络病毒及其防范,2邮件病毒及其防范 邮件病毒和普通病毒是一样的,只不过是通过电子邮件传播,所以才称为“邮件病毒”,一般通过邮件中的“附件”进行扩散,一旦收到这类E-mail,运行了附件中的病毒程序,就能使计算机染毒。这类病毒本身的代码并不复杂,大都是一些脚本语言,比如I love you病毒,就是一个用 VBScript编写的仅十几kb的脚本文件,只要收到该病毒的E-mail并打开附件
46、后,病毒就会按照脚本指令,将浏览器自动连接上一个网址,下载特洛伊木马程序,更改一些文件后缀为.vbs,最后再把病毒自动发给Outlook通讯簿中的每个人。,2023/9/13,电子商务概论,二、网络病毒及其防范,邮件病毒的防范方法是:不要打开陌生人来信中的附件,特别是“.exe”等可执行文件;养成用最新杀毒软件及时查毒的好习惯,对附件中的文件不要打开,先保存在特定目录中,然后用杀毒软件进行检查;收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁止Java或Active X运行的方法来阻止病毒的发作。,2023/9/13,电子商务概论
47、,三、网上炸弹及其防范,1IP炸弹的防范 IP炸弹一般是指用专用的攻击软件(WinNuke、IGMPNuke等),发送大量的特殊数据,对远程机器中Windows系统的漏洞进行攻击,造成对方Windows的蓝屏死机。当用ICQ、QICQ或在聊天室中聊天时,IP地址很容易被别人查到,如果对方要攻击,只要用专用软件攻击IP就可以了。防范办法是:为Win9x安装网络安全补丁程序或者安装一套个人防火墙系统。对付IP炸弹最好的办法是安装个人防火墙。个人防火墙实际上是一套程序,能对进出计算机的所有数据进行分析,拦截炸弹攻击,切断非法连接。使用个人防火墙前一般要进行系统设置,进行“安全规则设置”,如果对TCP
48、/IP协议很熟,可以自己设置规则,软件一般都设置好了,启动软件就能完成防火墙功能。个人防火墙工作时,如果有人攻击,在系统托盘(系统工具条右端)上会有小图标闪动,还会自动生成“攻击日志”,记录攻击情况,这样只要用IP查询工具,就可以查到谁在攻击。,2023/9/13,电子商务概论,三、网上炸弹及其防范,2邮件炸弹的防范 如果信箱突然出现无数封莫名其妙的邮件,或者出现体积超过邮箱容量的E-mail,这些E-mail撑破了邮箱,就说明已受到邮件炸弹的攻击。邮件炸弹的原理是向有限容量的信箱投入足够多或者足够大的邮件,使邮箱崩溃。这类炸弹很多,例如 Nimingxin、Quickfyre、Amail、E
49、mailbomb、Upyours系列、雪崩等,它们都能发送匿名邮件,连续发送邮件。炸弹的使用也很简单,和平时书写邮件相同,填上收信人的E-mail地址、输入要发送的次数、选择SMTP主机、随意填上地址,按“发信”就开始发送炸弹了。,2023/9/13,电子商务概论,三、网上炸弹及其防范,3ICQ/QICQ炸弹的防范 如果ICQ/QICQ突然收到大量的重复垃圾信息,就说明遭受了ICQ/QICQ炸弹的攻击。以前向别人发QICQ炸弹时会暴露自己的QICQ号码,现在的QICQ炸弹完全不会,甚至没有QICQ也可以发QICQ炸弹。例如QIC-Qbomb使用时只要填上对方的IP地址和QICQ号码,点去“开始
50、”就可以向对方发QICQ炸弹。防范方法是:一般的防火墙对ICQ/QICQ炸弹是不起作用的,因为这些炸弹有自己的协议和端口,攻击的是操作系统的表层,而防火墙是防范对操作系统底层的攻击。对付这类攻击,可用ICQ/QICQ专门的垃圾信息过滤器,它们不仅能阻挡攻击,还能隐藏自己的IP地址,黑客查不到IP地址,也就无法发送ICQ/QICQ炸弹了。,2023/9/13,电子商务概论,本章小结,1电子商务面临的安全威胁归纳起来主要有以下几个方面:在网络的传输过程中被截获、传输的文件可能被篡改、伪造电子邮件,假冒他人身份、不承认或抵赖已作过的交易。从而提出电子商务安全问题的六项基本要求:授权合法性、不可抵赖性
