《电子商务安全技术与应用.ppt》由会员分享,可在线阅读,更多相关《电子商务安全技术与应用.ppt(38页珍藏版)》请在三一办公上搜索。
1、第3章 电子商务安全技术,学习目的与要求,1.识记目标:了解密码技术、数字签名技术和病毒防范措施2.技能目标:理解SSL、SET和S-HTTP等电子商务交易安全措施和安全协议3.应用目标:掌握计算机病毒防范措施和数字证书技术,开篇案例,案例一、罗伯特“蠕虫侵袭Internet事件”星期三,案例二、“熊猫烧香”病毒案,“熊猫烧香”是继CIH之后危害中国最严重的病毒,它是一个由Delphi工具编写的蠕虫,该病毒会自动删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统,并感染系统的.exe、.com、.pif、.src、.html、.asp文件,感染后的文件图标全部变成小熊猫举着三根
2、香的模样,而且系统运行异常缓慢,自动添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒,在硬盘各个分区下生成文件autorun.inf和setup.exe,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,同时终止大量的反病毒软件和防火墙软件进程。其传播方式很多,可以通过U盘和移动硬盘等方式进行传播,它还可以通过共享文件夹、系统弱口令等多种方式进行传播。“熊猫烧香”被国内数家权威病毒监测机构将其列为十大病毒之首。,“熊猫烧香”病毒直接影响了山西、河北、辽宁、广东、湖北、北京、上海、天津等省市的众多单位和个人的计算机系统的正常
3、运行。据专家介绍,“熊猫烧香”病毒自2006牟12月初开始暴发,到2007年1月中旬,该病毒变种数已达90多个,国内多家门户网站被种植这一病毒,个人用户感染者高达几百万。,【思考】,1.企业面临着哪些电子商务安全问题?如何防范?2.企业采取如何措施来解决电子商务的交易安全问题?,一、电子商务安全的基本内容,(一)电子商务安全要素,1.可靠性2.真实性3.机密性4.完整性5.有效性6.不可抵赖性7.内部网的严密性8.身份认证,(二)电子商务安全隐患,1.窃取信息2.篡改信息3.假冒4.恶意破坏5.系统中断,破坏系统的有效性6.“黑客”入侵7.计算机病毒,二、电子商务安全技术,1.虚拟专用网 虚拟
4、专用网(VPN:Virtual private network)是指通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一种逻辑上的专用网路。它是对企业内部网的扩展,可以帮助分公司、公司分支机构、商业伙伴、经销商、客户、外地出差人员及供应商同公司的内部网建立可信的安全连接,以保证数据的安全传输,远程用户可以随时随地经过公网访问公司的资源如公司的内部资料、ERP系统、CRM系统、项目管理系统等。,加密的分类,(1)散列编码。用散列算法求出某个消息的散列值的过程。(2)对称加密技术。又称私有密钥加密,它只用一个密钥对信息进行加密和解密。(3)非对称加密技术。也叫公开密钥加密。,
5、加密技术是最基本的安全技术,它是一种主动的信息安全防范措施,原理是利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法或体制,由加密者和解密者使用的加解密可变参数叫做密钥,如图,密码系统的模型,对称密钥加密,又称私钥加密,指信息的发送方和接收方用一个密钥K去加密和解密数据。即只用一个密钥对信息进行加密和解密。见图,对称密钥加密,非对称加密技术,非对称加密技术也叫公开密钥加密,是1976年由Diffie和Hellmann提出的。基本思想是:每个用户有一个公开密钥PK和一个
6、私人密钥SK,公开密钥PK由认证中心公布,象电话号码一样。私人密钥SK只有用户本人知道,每个用户的公开密钥和私有密钥具有唯一性。如果有n个用户参与通信,则只需产生n对密钥,便于密钥的管理。图,2.密码技术,3.数字签名,数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。,数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。其原理如下:(1)发送方用一个单向散列函数对明文信息m进行运算,形成信息摘要MD(
7、Message Digest),采用信息摘要能够加快数字签名的速度。(2)发送方用自己的私人密钥S对信息摘要进行加密得到Es(MD)。(3)将加密后的信息摘要和明文信息m一起发送出去。即:c=m+Es(MD)B。(4)接收方用同样的单向散列函数对明文信息m进行计算,形成另一信息摘要MD。(5)接收方把接收到的信息摘要用发送方的公开密钥P解密,恢复出加密前信息摘要MD,并与步骤(4)形成的信息摘要MD进行比较,若两者完全一样,即MDMD,则证明信息是完整的,并且数字签名是有效的。,数字签名定义,(1)发送方首先用哈希函数从明文文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方
8、的数字签名。(2)发送方选择一个对称密钥对文件加密,然后通过网络传输到接收方,最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。(3)发送方用接收方的公钥给对称密钥加密,并通过网络把加密后的对称密钥传输到接收方。(4)接收方使用自己的私钥对密钥信息进行解密,得到对称密钥。(5)接收方用对称密钥对文件进行解密,得到经过加密的数字签名。(6)接收方用发送方的公钥对数字签名进行解密,得到数字签名的明文。(7)接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。,数字签名过程,数字证书也叫数字标识(Digital
9、Certificate,Digital ID),是一种应用广泛的信息安全技术,它是由权威公正的第三方机构即CA中心(Certificate Authority,即证书授权中心)签发,是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,其实质上就是一系列密钥,即一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据,用于签名和加密数字信息,以解决交易的各方相互间的信任问题。目前主要数字证书有:安全电子邮件证书、个人和企业身份证书、服务器证书和代码签名证书等几种类型,分别应用于不同的场合。如代码签名证书主要用于给程序签名;安全电子邮件证书,用于给邮件数字签名;而个人数字证书用
10、途则很广,可以用来给Office文档、软件代码、XML文件、Email等文件数字签名。数字证书可以存放在计算机的硬盘、随身U盘、IC卡或CUP卡中,也可以放在自己的E-mail中。,数字证书概述,物理隔离技术,在电子商务系统建设中,外部网络连接着广大消费者,内部网络连接着企业内部的桌面办公系统,专网连接着各部门的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从消费者到企业的网络畅通、资源共享、方便快捷是电子商务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸(GAP)技
11、术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。,电子商务交易安全措施和安全协议,1.部分告知(PartialOrder)即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。2.另行确认(OrderConfirmation)即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。,早期的电子商务交易安全措施,安全套接层协议(SSL:Secure Sockets Layer),网景(Netscape)公司于1994年提出的主要用于提高应用程序之间的
12、数据安全系数,实现兼容浏览器和服务器(通常是WWW服务器)之间安全通信的协议,位于TCPIP和HTTP或其他协议如SNMP或FTP之间,能提供保密性、鉴别和数据完整性。目前是Internet网上安全通讯与交易的标准。SSL支持许多加密算法。SSL分为两层,一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据传送的格式。,SSL提供的安全服务,(1)用户和服务器的合法性认证。为使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上,客户机和服务器都有各自的识别号
13、,由公开密钥编排。为了验证用户,SSL要求在握手交换数据中做数字认证,以此来确保用户的合法性(2)加密数据以隐藏被传送的数据。SSL采用的加密技术既有对称密钥,也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术且经数字证书鉴别,这样就可以防止非法用户破译。(3)维护数据的完整性。客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道,以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息,从而保证其机密性和数据的完整性,防止非法用户破译。,SSL的工作原理客户机的浏览器在登
14、录服务器的安全网站时,服务器将招呼要求发给浏览器(客户机),浏览器以客户机招呼来响应。接着浏览器要求服务器提供数字证书,如同要求查看有照片的身份证。作为响应,服务器发给浏览器一个认证中心签名的证书。浏览器检查服务器证书的数字签字与所存储的认证中心的公开密钥是否一致。一旦认证中心的公开密钥得到验证,签名也就证实了。此动作完成了对商务服务器的认证。由于客户机和服务器需要在Internet上传输信用卡号、发票和验证代码等,所以双方都同意对所交换的信息进行安全保护。SSL安全协议的运行步骤(1)接通阶段。客户通过网络向服务商打招呼,服务商回应;(2)密码交换阶段。客户与服务商之间交换双方认可的密码;(
15、3)会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码;(4)检验阶段。检验服务商取得的密码;(5)客户认证阶段。验证客户的可信度;(6)结束阶段。客户与服务商之间相互交换结束的信息。当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一方收到资料后,再将编码资料还原,即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料,安全电子交易协议(SET),安全电子交易协议(SET:Secure Electronic Transaction)是由Visa和Master Card两大信用卡组织于1997年5月提出的一种应用在Internet上、以信用卡为基础的电
16、子付款系统规范,用来确保开放网络持卡交易的安全性。它具有检验购物实际持卡人真实身份的能力,并对金融机构、消费者、零售商和销售商从事网络贸易提供了必要的安全保证。简单地说,SET规格使用了公开密钥所编成的密码文件,以维护在任何开放网络上的个人金融资料的保密性。SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。SET协议是一个开放式的工业标准。它可支持多个对象(单位),在Internet的TCP/IP基础上安全可靠地传送商贸和金融信息。任何人,任何系统都可以利用SET工具(SET toolkit)来实现商贸系统操作过程中的安全和保密问题。其中支付(payment)和认证(cert
17、ificate)是SET toolkit主要向系统开发者提供的两大主要功能。由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的机密性、真实性、完整性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。,S-HTTP安全协议,1.S-HTTP安全协议概述安全超文本传输协议(S-HTTP:Secure HyperText Transfer Protocol)是一种面向安全信息通信的协议。它是EIT公司结合 HTTP 而设计的一种消息安全通信协议,是HTTP的扩展,仅适用于HTTP联结上。2.S-HTTP安全协
18、议的作用(1)S-HTTP支持公钥加密和数字签名,并具有保密性。(2)S-HTTP可提供通信保密、身份识 别、可信赖的信息传输服务及数字签名等。(3)S-HTTP 提供了完整且灵活的加密算法及相关参数。选项协商用来确定客户机和服务器在安全事务处理模式、加密算法(如用于签名的非对称算法 RSA 和 DSA等、用于对称加解密的 DES 和 RC2 等)及证书选择等方面达成一致。(4)S-HTTP 支持端对端安全传输,客户机可能“首先”启动安全传输(使用报头的信息),如它可以用来支持加密技术。S-HTTP是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。当使用 S-HTTP时,敏感的数据信息
19、不会在网络上明文传输。,计算机病毒防范措施,“熊猫烧香”病毒案 案件回放:“熊猫烧香”是继CIH之后危害中国最严重的病毒,它是一个由Delphi工具编写的蠕虫,该病毒会自动删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统,并感染系统的.exe、.com、.pif、.src、.html、.asp文件,感染后的文件图标全部变成小熊猫举着三根香的模样,而且系统运行异常缓慢,自动添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒,在硬盘各个分区下生成文件autorun.inf和setup.exe,并且利用Windows系统的自动播放功能来运行,搜索硬
20、盘中的.exe可执行文件并感染,同时终止大量的反病毒软件和防火墙软件进程。其传播方式很多,可以通过U盘和移动硬盘等方式进行传播,它还可以通过共享文件夹、系统弱口令等多种方式进行传播。“熊猫烧香”被国内数家权威病毒监测机构将其列为十大病毒之首。“熊猫烧香”病毒直接影响了山西、河北、辽宁、广东、湖北、北京、上海、天津等省市的众多单位和个人的计算机系统的正常运行。据专家介绍,“熊猫烧香”病毒自2006牟12月初开始暴发,到2007年1月中旬,该病毒变种数已达90多个,国内多家门户网站被种植这一病毒,个人用户感染者已经高达几百万。2007年9月24日在湖北省仙桃法院开庭审理。法院以涉嫌破坏计算机信息系
21、统罪,依法对“熊猫烧香”病毒制造者和传播者李俊、王磊、张顺、雷磊4人进行公开审理,法庭当天宣判4人破坏计算机信息系统罪名成立,依法判处李俊4年有期徒刑、王磊2年半有期徒刑、张顺2年有期徒刑、雷磊1年有期徒刑。,2.计算机病毒特点,(1)自我复制的能力(2)潜在的破坏力(3)由人为编制而成(4)破坏系统程序(5)传染性在网络环境下,网络病毒除了具有计算机病毒的共性外,还具有一些新的特点:(1)感染速度快(2)迅速扩散(3)扩散面广(4)传播的形式复杂多样(5)难于彻底清除(6)破坏性大(7)激发形式多样,3.计算机网络病毒类型,(1)蠕虫。它是一种短小的程序,这个程序使用未定义过的处理器来自行完
22、成运行处理。它通过在网络中连续高速地复制自己,长时间的占用系统资源,使系统因负担过重而瘫痪。(2)逻辑炸弹。这是一个由满足某些条件(如时间、地点、特定名字的出现等)时,受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的,它有一个定时器,由编写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。,(3)特洛伊木马。特洛伊木马(Trojan house)是一种基于远程控制的黑客工具。它是一种未经授权的程序,当使用者不小心把木马通过网络引入自己的计算机后,它能将系统的私有信息泄露给程序的制造者,以便他能够控制该系统。例如它能将输入的计算机用户名、口令或编辑文档复制存入一个隐蔽的文件中
23、,供攻击者检索。为避免出现木马病毒,可以分别用以下的方法对账户进行检测:首先在dos命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator,就是administrators组的,如果发现一个系统内置的用户是属于administrators组的,那几乎肯定该电脑被木马入侵了,而且别人在该电脑上克隆了账户,那么就可以使用“net user用户名/del”来删掉这个用户。(4)陷阱入口。陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序
24、能正常完成某种事情,而别人则往往会进入死循环或其他歧路。,计算机网络病毒的危害,计算机病毒的危害可以分为对计算机网络的危害和对微型计算机的危害两个方面。(1)病毒对网络的主要危害。病毒程序通过“自我复制”传染正在运行的其他程序,并与正常运行的程序争夺计算机资源;病毒程序可冲毁存储器中的大量数据,致使计算机其他用户的数据蒙受损失;病毒不仅侵害所使用的计算机系统,而且侵害与该系统联网的其他计算机系统;病毒程序可导致以计算机为核心的网络失灵。(2)病毒对计算机的危害。计算机病毒破坏磁盘文件分配表,使用户在磁盘上的信息丢失;将非法数据置入操作系统,引起系统崩溃;删除硬盘或软盘上特定的可执行文件或数据文
25、件;修改或破坏文件的数据;影响内存常驻程序的正常执行;在磁盘上产生虚假坏分区,从而破坏有关的程序或数据文件;更改或重新写入磁盘的卷标号;不断反复传染拷贝,造成存储空间减少,并影响系统运行效率;对整个磁盘或磁盘上的特定磁道进行格式化;系统挂起,造成显示屏幕或键盘的封锁状态。,计算机病毒的防范措施,在实际应用中,防范网络病毒应注意从两方面着手:第一,加强网络管理人员的网络安全意识,有效控制和管理本地网与外界进行的数据交换,同时坚决抵制盗版软件的使用;第二,选择和加载保护计算机网络安全的网络防病毒产品。具体地说,要有效地在整个网络环境下预防病毒应该做到:(1)给自己的电脑安装防病毒软件。应用于网络的
26、防病毒软件有两种:一种是单机版防病毒产品;另一种是联机版防病毒产品。前者是以事后消毒为原理的,当系统被病毒感染之后才能发挥这种软件的作用,适合于个人用户,这类产品有KV3000、瑞星等。后者属于事前的防范,其原理是在网络端口设置一个病毒过滤器,即事前在系统上安装防病毒的网络软件,在病毒入侵到系统之前,将其挡在系统外边。(2)认真执行病毒定期清理制度。病毒定期清理制度可以清除处于潜伏期的病毒,防止病毒的突然爆发,使计算机始终处于良好的工作状态。(3)控制权限。可以将网络系统中易感染病毒的文件的属性、权限加以限制。从而达到预防的目的。(4)高度警惕网络陷阱。网络上常常会出现非常诱人的广告及免费使用
27、的承诺,例如有人发送给某个用户诱人的电子邮件,如果用户被诱惑,那便掉入“黑客”的诡计之中了,它静静地记录着用户输入的每个口令,然后把它们发送给“黑客”的Internet信箱。(5)不打开陌生地址的电子邮件。网络病毒主要的传播渠道是电子邮件,而电子邮件传播病毒的关键是附件中的宏病毒。宏病毒是一类主要感染WORD文档和文档模板文件的病毒。当有人发一封电子邮件给某个用户,如果它们带有病毒,只要用户打开这些文件,用户的计算机就会被宏病毒感染了。此后用户打开或新建文件都可能带上宏病毒,这就导致了宏病毒的感染。,1.计算机病毒概述,1983年美国科学家佛雷德科恩最先证实电脑病毒的存在。它是一种人为制造的寄
28、生于计算机应用程序或操作系统中的可执行、可自行复制、具有传染性和破坏性的恶性程序。从1987年发现第一类流行电脑病毒起,病毒数每年正以40的比率增加。一个很小的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络系统处于瘫痪。计算机病毒已对计算机系统和网络安全构成了极大的威胁,它不仅成为一种新的恐怖活动手段,而且正演变为一种信息战中的进攻性武器。计算机病毒是一种人为编写的程序,通过非法授权入侵并隐藏在执行程序和文件中,当计算机系统运行时,病毒自身复制或者有修改的复制到其它程序中,破坏正常程序的运行和数据安全。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等。,本章实验实训,借助I
29、nternet做如下实验:1.登陆工商银行等银行网站了解数字证书及认证情况。2.登陆广东电子商务认证中心了解数字证书的购买流程及数字签名。3.登陆中国金融认证中心了解PKI技术。4.登陆(中国协卡认证体系)了解数字证书5.登陆中国数字认证网()了解数字认证、数字签名、CA认证、CA证书、数字证书、安全电子商务知识6.利用Google等搜索工具以了解防火墙和计算机病毒知识。7.安装并使用一个杀毒软件或者防火墙软件,了解其杀毒和防范功能。,复习思考题,1.企业开展电子商务活动主要面临哪些方面的安全隐患?2.描述S-HTTP、SSL和SET工作原理。试比较SET协议和SSL协议。3.应用所学的简单加密技术,编一份密文,由同学相互解密。4.阐述加入数字签名和验证的网络文件传输过程。5.简单阐述物理隔离技术的原理。6.什么是数字证书?什么是数字签名?数字证书有哪些作用?7.什么是计算机病毒?有什么特点?介绍你所知道的清除病毒的方法。8.开展电子商务面临的安全隐患主要有哪些?9.什么是防火墙?防火墙的工作原理?谈谈你对防火墙的认识和理解。10.早期的电子商务交易安全措施有哪些?,任务:,病毒的种类有哪些?他们的特点如何(传播及危害性)?了解反病毒产品及解决方案。了解防火墙的概念、分类、防火墙技术。,谢谢!,欢迎提问!,
