电子商务——电子商务的安全性问题课件

1、2022/7/19电子商务概论1第七章 电子商务的安全技术2022/7/19电子商务概论2电子商务系统安全概述计算机系统的安全隐患硬件系统软件系统 网络的安全隐患 黑客攻击口令攻击服务攻击Ip欺骗 计算机病毒加密机制的不完善系统BUG黑客程序（后门、木马）工作人员的失误人为破坏实用环境自然损坏2022/7/19电子商务概论3电子商务系统的安全隐患数据的安全信息被截获传输的文件被篡改交易的安全伪造电子邮件假冒他人身份否认做过的交易2022/7/19电子商务概论4 电子商务系统对信息安全的基本要求1. 信息的保密性：电子商务系统应该对主要信息进行保护，阻止非法用户获取和理解原始数据。2.数据完整性

2、：电子商务系统应该提供对数据进行完整性认证的手段，确保网络上的数据在传输过程中没有被篡改。 2022/7/19电子商务概论53. 交易者身份的确定性：电子商务系统应该提供通讯双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证，证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构签发，用户申请数字证书时应提供足够的身份信息，证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。 2022/7/19电子商务概论64.授权：电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。5.不可修改性：电子商务系统应能提供对数据原发者的鉴别

3、，确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。6.交易的不可抵赖和不可否认性：电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。2022/7/19电子商务概论77.有效性：电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。8.内部网络的严密性：电子商务系统应能提供网络和数据的安全，保护硬件资源不被非法占有，软件资源免受病毒的侵害。 2022/7/19电子商务概论8电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系

4、基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律、法规、政策2022/7/19电子商务概论9电子商务安全技术病毒防范技术防火墙信息加密数字摘要2022/7/19电子商务概论10病毒防范技术 长期以来，计算机病毒一直是计算机信息系统中的一个很大的不安全因素。由于在网络环境下，计算机病毒更具有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。 2022/7/19电子商务概论11计算机病毒的概念 计算机病毒一般是由病毒制造者编制的一段程序，它们隐藏在计算机系统的数据资源或程序中，能在计算机内部反复进行自我繁殖（复制

5、），危及计算机系统正常工作，浪费系统资源，破坏存储数据，以至使整个计算机瘫痪。 2022/7/19电子商务概论12计算机病毒的特征传染性隐蔽性潜伏性破坏性不可预见性寄生性触发性 2022/7/19电子商务概论13计算机病毒的类型 1) 引导型病毒2) 文件型病毒3) 混合型病毒4）宏病毒 2022/7/19电子商务概论14病毒入侵的途径电子邮件Internet网的下载文件盗版光盘和软盘。 2022/7/19电子商务概论15BIOS病毒现象1、开机运行几秒后突然黑屏2、外部设备无法找到3、硬盘无法找到4、电脑发出异样声音硬盘引导区病毒现象1、无法正常启动硬盘2、引导时出现死机现象3、执行C盘时显

6、示“Not ready error drive A Abort，Retry，Fail?”计算机病毒的症状 2022/7/19电子商务概论16操作系统病毒现象1、引导系统时间变长2、计算机处理速度比以前明显放慢3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象4、系统生成一些特殊的文件5、驱动程序被修改使得某些外设不能正常工作6、软驱、光驱丢失7、计算机经常死机或重新启动2022/7/19电子商务概论17应用程序病毒现象1、启动应用程序出现“非法错误”对话框2、应用程序文件变大3、应用程序不能被复制、移动、删除4、硬盘上出现大量无效文件5、某些程序运行时载入时间变长2022/7/19电子

7、商务概论18计算机病毒防治的基本方法 预防病毒检测病毒杀毒 2022/7/19电子商务概论19防 火 墙 技 术防火墙（firewal1）的概念 防火墙是放在两个网之间用于提高网络安全的软、硬件系统的集合。它具有如下属性： 1、所有从内到外的通信流量，都必须通过它；2、仅仅被本地安全策略定义的切被授权的通信量允许通过；3、系统对外部攻击具有高抵抗力。2022/7/19电子商务概论20防火墙的工作原理 在内部网和外部网之间建立起一条隔离墙，检查进入内部网络的息是否合法，或者是否允许用户的服务请求，从而阻止对内部网络的非法访问和非授权用户的进入，同时防火墙也可以禁止特定的协议通过相应的网络。局域网

8、用户服务器防火墙Internet2022/7/19电子商务概论21设置防火墙的意义保护内部资源防止外部入侵控制监督外部机器对内部资源的访问控制监督内部机器对外部网的访问2022/7/19电子商务概论22防火墙的体系结构与功能建立防火墙体系结构的准则“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”2022/7/19电子商务概论23防 火 墙 的 功 能未经授权的内部访问未经授权的外部访问危害证明电子欺骗特洛伊木马渗透泛洪2022/7/19电子商务概论24防 火 墙 的 分 类包过滤型防火墙包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。包过滤路由器型

9、防火墙的优点： 处理包的速度要比代理服务器快；包过滤路由器型防火墙的缺点：防火墙的维护比较困难等过滤路由器Internet内部网络2022/7/19电子商务概论25双 宿 网 关 防 火 墙 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。NIC代理服务器NICInternet内部网络2022/7/19电子商务概论26屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏

10、蔽主机防火墙由过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器堡垒主机Internet内部网络2022/7/19电子商务概论272022/7/19电子商务概论28屏 蔽 子 网 防 火 墙外部过滤路由器堡垒主机Internet内部网络内部过滤路由器 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。20

11、22/7/19电子商务概论29监 测 型 防 火 墙对数据进行监测对数据进行分析判断各层的非法入侵利用节点探测，发现问题2022/7/19电子商务概论30防 火 墙 的 缺 点防火墙不能阻止来自内部的破坏防火墙不能保护绕过他的连接防火墙无法完全防治新出现的网络威胁防火墙不能防止病毒2022/7/19电子商务概论31数 据 加 密 技 术定义：就是采用数学方法对原始信息进行再组织，使得加密后的网络上公开传输的内容对于非法接收者来说称为无意义的文字。信息源加密器解密器接收者秘钥源1秘钥源2非法接入密码分析员（窃听者）明文密文明文2022/7/19电子商务概论32目的：是为了防止合法接收者之外的人获

12、取信息系统中的机密信息作用：网络中的数据加密则是通过对网络中传输的信息进行数据加密，满足网络安全中数据加密、数据完整性等的要求。2022/7/19电子商务概论33 部分告之：在网上交易中将最关键的数据略去，再告之。 另行确认：交易后，用电子邮件对交易进行确认。 在线服务：用企业提供的内部网来提供联机服务。早期曾采用过的方法2022/7/19电子商务概论34 对称密钥密码体系对称密钥密码体系(Symmetric Cryptography)又称对称密钥技术，是指使用同一把密钥对信息进行加密和解密。对称密钥密码体系的优点是加密、解密速度很快(高效)，保密度高等；但缺点也很明显：密钥难于共享，需太多密

13、钥。2022/7/19电子商务概论35传统的密码体制凯撒密码F（a）=（a + k）mod na：明文k：密钥n：字母个数 例如： 将字母a，b，c，d，e， x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。如果k=5，XHMTTQ的明文是什么？2022/7/19电子商务概论36DES 加 密 算 法DES是一种数据分组加密算法。加密过程将数据分成长度为64位的数据块使用56位密钥对64位数据进行加密， 16轮反复加密换位穷举法破解56位密钥加密的密文，需要2283

14、年！2022/7/19电子商务概论37非对称密钥密码体系非对称密钥密码体系(Asymmetric Cryptography)也称公开密钥技术，将一个加密系统的加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，。非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。2022/7/19电子商务概论38公 开 密 钥 RSA 算 法既能用于数据加密也能用于数字签名的算法。信息保密原理：具有两个密钥，二者互补，即用公钥加密的密文必须用私钥解密，用私钥加密的密文必须用公钥解密。数字签名认证的原理：数字签名必须发送方使用自己的私钥加密，而接收方

15、则使用发送方的公钥解密。 RSA的安全性 依赖于大数分解，他利用两个很大的质数相乘所产生的乘积来加密。RSA的实用性安全性高，但是运算量大2022/7/19电子商务概论39数 字 摘 要 数字摘要也称为安全Hash编码法，它是一个唯一对应一个信息的值，它由单向Hash加密算法对一个信息作用生成，有固定的长度。源信息摘要摘要源信息摘要Hash函数加密因特网因特网比较Hash函数加密发送端接收端2022/7/19电子商务概论40Hash函数应具备的条件：（1）对同一数据使用同一Hash函数，其运算结果应该是一样的；（2） Hash函数应具有运算结果不可预见性；（3） Hash函数具有不可逆性。 目

16、前常用的算法有安全散列算法（SHA-1)和MD52022/7/19电子商务概论41电子商务的认证技术数字签名数字信封数字时间戳数字证书2022/7/19电子商务概论42数 字 签 名 采用数字签名的目的：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。 数字签名的实现方式： 发送方从报文中生成报文摘要，发送方利用自己的私钥对其加密形成发送方的数字签名，和报文一起发送给对方，接收方接收了报文后首先分离出数字签名，利用发送方的公钥解密，并利用原始报文计算出报文摘要，若二者吻合，确定数字签名是发送方的。2022/7/19电子商务

17、概论43信息Hash摘要加密Privare key加密数字签名发送数字签名信息Hash加密Publice key摘要比较两者如一致信息被确认数 字 签 名 过 程2022/7/19电子商务概论44数 字 信 封 “数字信封”(也称电子信封)技术：用密码技术的手段保证只有规定的收信人才能阅读信的内容。具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方。收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文。2022/7/19电子商务概论45数 字 时 间

18、 戳网络安全中，需要对传输资料文件的日期和时间信息采取安全措施，可通过DTS(Digital Time-stamp Service)实现，它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。组成： （1）需要加载时间戳的日期和时间； （2）DTS收到文件的日期和时间； (3) DTS的数字签名2022/7/19电子商务概论46数 字 证 书 什么是数字证书 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况

19、下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息 。 证书的格式遵循ITU X.509国际标准。2022/7/19电子商务概论47数字证书的三种类型个人证书它仅仅为某一个用户提供数字证书。企业（服务器）数字证书它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。2022/7/19电子商务概论48一个标准的X.509数字证书内容 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采

20、用UTC时间格式，它的计时范围为1950-2049； 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的数字签名。2022/7/19电子商务概论49数字证书的作用使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 2022/7/19电子商务概论50 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公

21、共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。数字证书原理简介2022/7/19电子商务概论51认 证 中 心认证中心，又称为证书授证(Certificate Authority)中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档。 2022/7/19电子商务概论52数字证书在网上招标系统中的应用身份确定？传输安全？抵赖？2022/7/19电子商务概论531、 个人数字证书的申请 个人数字证书介绍 可以利用个人数字证书来发

22、送签名或加密的电子邮件。 个人数字证书分为二个级别 第一级数字证书，仅仅提供电子邮件的认证，不对个人的。真实姓名等信息认证； 第二级个人数字证书提供对个人姓名、身份等信息的认证。 个人数字证书的获得 当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三五天内即可颁发数字证书。数字证书的申请、颁发2022/7/19电子商务概论542、服务器数字证书的申请 Web服务器证书的作用：验证Web服务器的真实性。 (1) 服务器数字证书的情况分析 服务器数字证书的可信度是建立在： 对管理和操作该服务器的组织或单位的进行必要的信用调查； 接受数字证书操作的严密规

23、范； 强有力的技术支持，例如，难以破解的加密技术； 设备的高可靠性。2022/7/19电子商务概论55安 全 交 易 的 过 程2022/7/19电子商务概论56 A用户先用Hash算法对发送发信息（即“明文”）进行运算，形成“信息摘要”，并用自己的私人密钥对其加密，从而形成数字签名。 A用户再把数字签名及自己的数字证书附在明文后面。 A用户随机产生的对称密钥（DES密钥）对明文进行加密，形成密文。 为了安全把A用户随机产生的对称密钥送达B用户，A用户用B用户的公开密钥对其进行加密，形成了数字信封。这样A用户最后把密文和数字信封一起发送给B用户。 B用户收到A用户的传来的密文与数字信封后，先用自己的私有密钥对数字信封进行解密，从而获得A用户的DES密钥，再用该密钥对密文进行解密，继而得到明文、A用户的数字签名及用户的数字证书。 为了确保“明文”的完整性，B用户把明文用Hash算法对明文进行运算，形成“信息摘要”。 同时B用户把A用户的数字签名用A用户的公开密钥进行解密，从而形成另一“信息摘要1”。 B用户把“信息摘要”与“信息摘要1”进行比较，若一致，说明收到的“明文”没有被修改过。2022/7/