电子商务-B-第16讲.ppt

《电子商务-B-第16讲.ppt》由会员分享，可在线阅读，更多相关《电子商务-B-第16讲.ppt（72页珍藏版）》请在三一办公上搜索。

1、1/72,电 子 商 务,张文新 副教授,电话：,课 程 安 排,2/72,3/72,第16讲,电子商务安全技术,4/72,内容提要16.1.电子商务安全要求与安全内容 16.2.网络安全技术 16.3.交易安全技术,5/72,网络存在的安全威胁,6/72,触目惊心的电子商务安全风险,通过窃取个人信息进行的盗窃近年来增长很快，并导致2003年全球范围内2210亿美元的损失，几乎是2000年的3倍。2005年6月17日，美国曝出有史以来规模最大的信用卡个人数据外泄事件。美国万事达卡国际组织宣布，美国专为银行、会员机构、特约商店处理卡片交易资料的外包厂商Card Systems Solutions

2、公司资料库遭到入侵，包括万事达、VISA、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险，其中万事达信用卡用户达1390万，VISA信用卡用户高达2200万。,7/72,图13-1 假银联网站主页,触目惊心的电子商务安全风险,8/72,电子商务所面临的安全问题信息的截获和窃取；信息的篡改；信息假冒；交易抵赖。,16.1.电子商务的安全要求与安全内容,9/72,电子商务安全需求,安全机密性：防破坏、防窃取；完整一致性：防篡改；交易有效性：防抵赖。,16.1.电子商务的安全要求与安全内容,10/72,电子商务安全内容,电子商务安全从整体上可分为两大部分：计算机网络安全和

3、商务交易安全,两者相辅相成，缺一不可。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。,16.1.电子商务的安全要求与安全内容,11/72,商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。,电子商务安全内容,16.1.电子商务的安全要求与安全内容,12/72,在实施网络安全防范措施时要考虑以下几点：利用数据存储技术加强数

4、据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等,16.2.电子商务的网络安全技术,13/72,常用的计算机网络安全技术,病毒防范技术身份识别技术防火墙技术,16.2.电子商务的网络安全技术,14/72,防火墙技术,基本概念防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网

5、络的信息流，且本身具有较强的抗攻击能力。,16.2.电子商务的网络安全技术,15/72,什么是防火墙？在被保护网络和Internet之间;或者和其它网络之间限制访问的;软件和硬件的组合。,16.2.电子商务的网络安全技术,16/72,防火墙的功能保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类；保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源；保护数据的机密性。加密敏感数据。,16.2.电子商务的网络安全技术,17/72,防火墙的作用,Internet,总部,办事处,分公司,VPN客户端用户,分公司,!

6、$!#%$%4,18/72,防火墙的基本原理,数据过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。,屏蔽路由器,16.2.电子商务的网络安全技术,19/72,代理服务：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Int-ernet用户和内部网之间的通讯以代替直接交谈。,代理服务,防火墙的基本原理,16.2.电子商务的网络安全技术,20/72,设计防火墙的准则一切未被允许的就是禁止的:防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允

7、许的:防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。,16.2.电子商务的网络安全技术,21/72,构筑防火墙需考虑的主要因素,你的公司要控制什么或要保护什么?你的公司要控制或要保护到什么程度?财政预算?技术问题：屏蔽路由器还是代理服务器?,16.2.电子商务的网络安全技术,22/72,数字加密技术,16.3.电子商务的交易安全技术,数字签名技术,数字证书认证技术,23/72,加密:数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为

8、数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。,加密技术,16.3.电子商务的交易安全技术,24/72,什么是加密？,加密：加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。,16.3.电子商务的交易安全技术,25/72,加密技术的主要分类对称加密：在对数据加密的过程中，使用同样的密钥进行加密和解密。常见密匙算法：DES非对称（公开密钥/私有密钥）：与对称密钥不同，公开密钥/私有密钥使用相互关联的一对算法对数据进行加密和解密。常见密匙算法:RSA,13.3.电子商务的交易安全技术,26/72,对称加密技术在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥

9、。当通信对象增多时，需要相应数量的密钥。对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。,16.3.电子商务的交易安全技术,27/72,对称密匙（保密密匙）加密,16.3.电子商务的交易安全技术,28/72,图：对称加密示意图,29/72,图：用对称密钥进行加密和解密的原理,10.3.信息安全保障技术,信息加密技术,30/72,对称加密的简单算法之一：恺撒密码(单字母替换)明文：a b c d e f g h i j k l m n o p q密文：d e f g h i j k l m n o p q r

10、s t此时密钥为3，即每个字母顺序推后3个。若明文为student，对应的密文则为vwxghqw。解密使用相同的方法，密钥为-3。由于英文字母为26个，因此恺撒密码仅有26个可能的密钥，非常不安全。,16.3.电子商务的交易安全技术,31/72,对称密钥加密技术的典型算法是DES(Data Encryption Standard数据加密标准)。DES的密钥长度为56bit，其加密算法是公开的，其保密性仅取决于对密钥的保密。优点：加密处理简单，加密解密速度快。缺点：密钥管理困难，密钥传输过程中可能失密。,16.3.电子商务的交易安全技术,32/72,对称加密算法在电子商务交易过程中存在三个问题：

11、(1)要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，因此双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。(2)密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。(3)对称加密算法一般不能提供信息完整性鉴别。,16.3.电子商务的交易安全技术,33/72,非对称密钥加密体制非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Pri

12、vate-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。,16.3.电子商务的交易安全技术,34/72,图：使用公钥加密和对应的私钥解密的示意图,35/72,非对称加密系统的关键是寻找对应的公钥和私钥，并运用某种数学方法使得加密过程不可逆，即用公钥加密的信息只能用与该公钥配对的私钥才能解密；反之亦然。非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律，其安全性是基于大数分解的困难性。,16.3.电子商务的交易安全技术,36/72,RSA原理RSA密码是基于数论中的大数因子分解这个数学难题的算法；应

13、用的基本原理是：两个大的素数（质数）、相乘之后得到一个大数，在不知两个素数的情况下分解这个大数非常困难，至今也没有有效的算法可以解决；RSA算法应用这个理论，将两个大素数相乘得到的大数和其一些变形的数学处理公布出来作为公钥，而将两个素数和它们的数学变形作为私钥，控制加解密算法进行加解密运算。,16.3.电子商务的交易安全技术,37/72,数字签名对文件进行加密只解决了第一个问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段。数字签名(Digita1 Signature)及验证(Verification)，就是实现信息在公开网络上安全传输的重要方法。数字签名代表了

14、文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字名，一个最简单的哈希函数是把文件的二进制码相累加，取最后的若干位。哈希函数对发送数据的双方都是公开的。,16.3.电子商务的交易安全技术,38/72,具有数据摘要的数字签名,10.3.信息安全保障技术,39/72,图：数字签字与验证过程示意图,16.3.电子商务的交易安全技术,40/72,数字签名之应用：,10.3.信息安全保障技术,41/72,数字证书与CA认证,数字证书（Digital Certificate 或Digital ID）数字证书采用公私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信

15、息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。,16.3.电子商务的交易安全技术,42/72,我国电子商务认证机构建设的基本情况自1998年5月17日我国第一家CA认证中心产生以来，目前已建成和在建中的CA认证中心已经超过100家。这些认证机构大致可以分为三类。第一类是行业主管部门建立的CA中心，如由中国人民银行牵头，组织国内12家商业银行共同组建的中国金融CA认证中心(CFCA)，以及电信CA、海关CA

16、等；第二类是地方政府部门建立的CA中心，如北京CA、上海CA等；第三类是民间资本建立的商业CA，大多和国际CA巨头合作，如天威诚信。从整体上看，我国CA机构的规模还比较小，一般投资在1500万到3000万元人民币之间；发放的证书也比较少。上海CA发放证书约60万张，中国金融CA认证中心发放证书30万张左右，天威诚信发放证书十余万张。所有认证机构基本上都还没有形成自己的盈利模式。,16.3.电子商务的交易安全技术,43/72,数字证书的内容证书拥有者的姓名；证书拥有者的公钥；公钥的有限期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号等。,16.3.电子商务的交易安全技术,44

17、/72,认证中心CA（Certification Authority）认证中心的功能：核发证书、管理证书、搜索证书、验证证书CA的树形验证结构(如图所示）,16.3.电子商务的交易安全技术,45/72,图 CA的树形结构,16.3.电子商务的交易安全技术,46/72,提供身份认证、数据保密、数据完整性等服务,16.3.电子商务的交易安全技术,图 CA认证的一般过程,47/72,申请和使用数字证书的方法,48/72,图 查看证书内容（1）,49/72,图 查看证书内容（2）,50/72,图 查看证书内容（3）,51/72,数字证书的申请（1）下载并安装根证书（如图15所示）（2）申请证书（如图6

18、8所示）（3）将个人身份信息连同证书序列号一并邮寄到中国数字认证网,52/72,图 1 下载根证书（1）,53/72,图 2 下载根证书（2）,54/72,图 3 安装根证书（1）,55/72,图 4 安装根证书（2）,56/72,图 5 查看根证书,57/72,图 6 申请个人免费证书,58/72,图 7 下载个人证书,59/72,图 8 查看个人证书,60/72,数字证书应用操作实例（个人证书在安全电子邮件中的应用）在Outlook Express 5 发送签名邮件(如图916所示)：在Outlook Express 5中设置证书发送签名邮件。用Outlook Express 5发送加密电

19、子邮件（如图1417所示）：获取收件人数字证书发送加密邮件,61/72,图 9 在Outlook Express中设置证书（1）,62/72,图 10 在Outlook Express中设置证书（2）,63/72,图 11 在Outlook Express中设置证书（3）,64/72,图 12 发送签名邮件,65/72,图 13 收到签名邮件的提示信息,66/72,数字证书应用操作实例（个人证书在安全电子邮件中的应用）用Outlook Express 5发送加密电子邮件（如图1417所示）：获取收件人数字证书发送加密邮件,67/72,图 14 查询和下载收件人数字证书,68/72,图15：将收件人证书添加到通信簿,69/72,图 16 发送加密邮件,70/72,图 17 收到加密邮件的提示信息,71/72,本讲小结,防范电子商务安全风险的策略系统的安全观，做好网络安全和交易安全两方面的工作；保证电子商务安全的技术手段主要有防火墙技术、防病毒技术、信息加密、数字签名、CA认证。,72/72,本讲结束,谢谢！,