电子商务基础课件-电子商务安全技术汇编

1、电子商务安全技术2011学年北京交通大学本科生课程10/9/20221电子商务安全技术安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术电子商务的安全问题与需求网络平台安全与防火墙技术数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制数字证书与认证中心CASSL与SET协议机制10/9/20222电子商务所面临的安全问题系统的中断与瘫痪信息被窃取信用卡信息、身份信息等等信息被篡改QQ号等信息被伪造黑网站安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20223电子商务的安全要求保证网上相关数据

2、流的保密性保证网络上相关商务数据不被随意篡改（完整性）保证电子商务各方身份的认定保证电子商务行为发生的事实及发生内容的不可抵赖性保证电子商务系统运行的稳定可靠、快捷，做好数据备份与灾难恢复功能，并保证一定的商务处理速度安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20224电子商务的安全策略所谓电子商务的安全策略，是一个实体或组织机构在从事电子商务实务中关于安全方面的纲要性条例，用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受、各种安全防护方法与工具的应用。电子商务安全策略陈述的

3、内容：物理安全、网络安全、访问授权、病毒防护、灾难恢复等，电子商务的安全策略要随时间变化而变化，要根据实际情况进行修改安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20225电子商务安全策略的目的保障相关电子商务信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏；能够有序的、方便的鉴别和测试电子商务系统的安全状态；能够对电子商务可能的风险作出一个基本的评估；制定措施和手段用于电子商务系统的安全被破坏后的恢复工作。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与

4、SET协议机制10/9/20226电子商务安全策略的主要内容定义实现安全的电子商务所需要保护的资源要确定保护的风险涉及的有关电子商务安全的法律法规规划电子商务的具体安全防护机制安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20227某公司的电子商务安全策略AAA公司是一个大型制造型企业，公司通过Extranet与100多家公司有供应链上的交易活动，这些活动包括订货、合同签订、供货、发货、网络支付等。对AAA公司而言，关键的资源就是服务器上的相关电子合同及支付信息文档等。这些文档不但密切关系到本公司的重大经济利益，而且涉及到其

5、他许多公司的经济信息，如果这些信息泄露或被修改，有可能对AAA公司造成重大损失。因此，这些关键资源的风险极大，对电子商务安全的要求很高。针对AAA的电子商务安全要求，这家公司的电子商务安全策略应包含哪些内容？安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20228电子商务安全方法与工具电子商务业务流程中各参与方的身份认证电子商务相关数据流内容的保密性电子商务相关数据流内容的完整性保证电子商务行为和内容的不可否认性处理多方贸易业务中的多边安全认证问题电子商务系统中应用软件、支撑的网络平台的正常运行积极寻求相关管理既有的帮助，理

6、解并有效使用相应的电子商务法律、信用体系保护自己。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/20229AAA公司安全策略的基本规则对每一次电子商务业务流程进行机密性、完整性和认证性防护对电子商务涉及的软、硬件系统进行有效防护与备份，能灾难恢复对不可否认性的要求严格，如支付确认、合同签收对不可拒绝性的要求一般，如价格查询对访问控制性的要求极严格，隔绝外部对有关支付信息文档的访问，严格控制内部人员对支付结算文档或者合同的访问安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议

7、机制10/9/202210AAA公司的安全防护机制应用密钥加密技术，数字指纹与数字签名，数字证书等安全技术（或工具）实现网上交易需要的机密性、完整 性和认证性，并制定严格的密钥管理制度配置双机系统，磁盘阵列与防病毒软件系统为了实现对不可否认性的严格要求，对不可否认性的认证文件，必须建立严格的备份、归档制度，如电子备份与纸质备份并用等针对不可拒绝性的一般性要求，可以对客户的硬件设施等不提出特殊要求安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202211AAA公司的安全防护机制因为要求隔绝外部对电子商务保密性信息文档的访问，必

8、须设置良好的防火墙等内部网络防护措施因为要求严格控制内部人员对电子商务有关的重要文档的访问，因此一方面从技术上使用一切预防和监察手段，如网络监控与追踪软件；另一方面，制定内部人员对整体信息文档的访问权限守则和监督制度安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202212电子商务网络平台的安全及防火墙技术网络平台系统的构成及其主要安全威胁Internet网络平台系统的安全措施防火墙技术与应用安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202213网络平

9、台系统的构成及其主要安全威胁InternetIntranet银行专网客户机支付网关商家服务器安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202214公共通讯通道所面临Internet的安全威胁截断阻塞伪造篡改介入安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202215Intranet网络所面临的安全威胁作为节点的Intranet所面临的安全威胁与internet是不同的Intranet是一个边界确定、结构严谨、控制严格的环境，并且可以在企业（商家等）中

10、实现强制性的集中安全控制安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202216Internet网络平台系统的安全措施保护网络安全保护应用安全保护系统安全安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202217Internet网络平台安全之保护网络安全全面规划网络平台的安全策略制定网络安全的管理措施使用防火墙尽可能记录网络上的一切活动，根据这些记录信息来定位和分析非法入侵活动注意对网络设备的物理保护。电缆、路由器、用户联网机、网络服务器等硬件可能会受到

11、物理攻击检验网络平台系统的脆弱性建立可靠的识别和鉴别机制安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202218Internet网络平台安全之保护应用安全应用安全，顾名思义就是保障应用程序使用过程和结果的安全。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过安全工具或策略来消除隐患。电子商务的应用层包括BtoB或BtoC等电子商务的应用软件设计、各类相关数据库的设计等等，形式多样、种类复杂因此电子商务的应用层对安全的要求最严格、最复杂安全问题&需求网络平台安全&防火墙数据机密性技术数据完整

12、性技术数字证书与认证中心CASSL与SET协议机制10/9/202219Internet网络平台安全之保护系统安全所谓系统安全，是指从整体电子商务系统的角度来进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等相互关联。涉及到系统安全内的措施有：（1）检查和确认安装软件是否存在安全漏洞，比如说对各种病毒和木马的查杀。（2）技术（认证）与管理（审计、用户权限）相结合使系统具有最小穿透风险性，（3）对入侵进行检测、审计、追踪。后面的防火墙技术提供这个功能。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202220防火墙技

13、术与应用防火墙（Firewall）是一种由计算机软件和硬件组成的隔离系统设备，用在安全的企业内部网（Intranet）和不完全的Internet之间构筑一道防护屏障，按照预先构筑的条件对进出实体进行区分，实现内外有别。防火墙屏障InternetIntranet业务服务器业务数据库客户I客户II安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202221防火墙的功能门在网络之间移动数据，体现信息传输的功能闸将未授权的数据移动进行进行过滤，保证网络安全，体现管理控制的功能反向追踪保护站点不被任意链接，甚至建立反向追踪，记录所有网络

14、活动。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202222防火墙的组成Internet不安全网络网关Intranet安全网络外部过滤器内部过滤器安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202223数据机密性技术加密：加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202224加密技术的主要分类对称密钥 对称密钥加

15、密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202225对称密钥的使用过程乙银行：有一笔100万元资金转账到贵行LJ666账户上Htfckle&%$hT$#gcn,$&HHtfckle&%$hT$#gcn,$&H乙银行：有一笔100万元资金转账到贵行LJ666账户上加密解密密钥A密钥A网络传输信息明文信息密文信息密文信息密文安全问题&需求网络平台安全&防火墙数据机密性技术数据完

16、整性技术数字证书与认证中心CASSL与SET协议机制10/9/202226对称加密法的优缺点优点：加密速度快，应用简单（一把密钥）多用于专用网络中相对固定的信息传输对象中，如金融通信专网、军事通信专网。缺点（1）算法公开，安全性依赖于密钥的保护，必须不定时更换，要保证传递密钥的安全通道的安全性（电话通知、邮寄、专人）（2）当网络中有n个用户时，必须有n(n-1)/2个密钥，否则失去保密意义，这就限制了网络的规模（3）难以进行用户身份认证，只能解决数据的机密性问题。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202227不对

17、称密钥加密非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202228乙银行：请将100万元从ZX888账户上转移至贵行LJ666账户上客户甲Htfckle&%$hT$#gcn,$&HHtfckle&%$hT$#gcn,$

18、&H乙银行：请将100万元从ZX888账户上转移至贵行LJ666账户上客户甲加密解密公开密钥B私人密钥A网络传输支付通知明文支付通知密文支付通知密文支付通知密文安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制客户甲乙银行10/9/202229客户甲：本行已将100万元从ZX888账户上转移至LJ666账户上乙银行Htfckle&%$hT$#gcn,$&HHtfckle&%$hT$#gcn,$&H客户甲：本行已将100万元从ZX888账户上转移至LJ666账户上乙银行解密加密公开密钥B私人密钥A网络传输支付确认明文支付确认密文支付确认密文

19、支付确认密文安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制客户甲乙银行10/9/202230不对称密钥加密的优缺点优点：身份认证较为方便密钥分配简单不对称密钥加密能很好的支持完成对传输信息的数字签名，以解决信息的否认和抵赖缺点：加解密速度慢，一般只适用于少量数据加密。例如向客户传送支付信息、银行卡或者网络银行密码安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202231特 性对 称非 对 称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理

20、简单不好管理需要数字证书相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202232数据完整性技术数字摘要 Digital Digest，就是发送者对被传送的一个信息报文（比如电子合同或支付通知单）根据某种数学算法计算出一个此信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给接受者，接收者应用此摘要值来检验信息报文在网络传输过程中有没有发生改变来判断信息报文的真实与否数字签名 Digital Signature，也叫电子签名。指

21、利用电子信息加密技术实现在网络传送信息报文时，附加一个特殊的、能唯一代表发送者个人身份的标记，完成出传统上手工签名或印章的作用，以表示确认、负责、经手、真实等。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202233乙银行：请将100万元资金从ZX888转移至LJ666账号上客户甲Hush算法AJDBFUKD78&%支付通知支付通知的数字摘要安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制客户甲10/9/202234数字摘要的优缺点优点：数字摘要可以用于保证信息原文

22、的真实性，可以在一定程度上进行防伪，类似于签名的真实性检验缺点：单用数字摘要如Hush算法并不能完全保证信息原文的完整性安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202235乙银行：请将100万元资金从ZX888转移至LJ666账号上客户甲）*GRrw5uhdsx#%$&*&#乙银行：请将100万元资金从ZX888转移至LJ666账号上客户甲#%$&*&#）*GRrw5uhdsxGR.uh.s.客户甲发送的支付通知M乙银行发送的支付通知M网络传送Hash算法加密数字摘要D数字摘要D数字摘要DHush算法数字签名客户甲的私

23、人密钥客户甲的公开密钥解密安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202236数字签名的作用数字签名是可信的数字签名是不可伪造的同一个数字签名不可多用被数字签名附带的信息报文是不可篡改的数字签名是不可抵赖的，在实际应用中将把日期和时间的签名附在信息报文中，使签名具有时效性安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202237数字证书与认证中心CA所谓数字证书，Digital Certification就是利用电子信息技术手段来确认、鉴定、认证In

24、ternet上信息交流参与者的身份或服务器的身份，是一个担保个人、计算机系统或者组织（企业或政府部门）的身份，并发布加密算法类别、公开密钥及其所有权，经过防伪处理的电子文档安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202238数字证书的内容证书拥有者的姓名；证书拥有者的公钥信息； 公钥的有限期； 颁发数字证书的单位； 颁发数字证书单位的数字签名； 数字证书的序列号安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202239认证中心CA所谓认证中心，英文为

25、Certification Authority，简称CA，是基于Internet平台建立的一个公正的、有权威性的、独立的（第3方的）广受信赖的组织，负责数字证书的发行、管理以及认证服务，以保证网上业务的安全可靠进行安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202240CA的技术基础PKI体系Public Key Infrastructure 公开密钥体系基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名。一个完整的PKI的基本构成包括具有权威的认证中心CA、数字证书库、密钥备份及恢复系统、证书作废系统等。 安全

26、问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202241SSL协议：secure socket layer protocol 安全套接层协议一种在持有数字证书的客户端浏览器（如IE）和远程的WWW服务器之间，构造安全通信通道并传输数据的协议SSL协议机制安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202242CA认证中心客户端商家服务器银行服务器安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/

27、9/202243SET协议机制Secure Electronic Transaction 安全电子交易协议是为使银行卡在Internet上安全内的进行交易提出的一整套完整的安全解决方案采用数字证书方式来证实在网上开展商务活动的实体确实是持卡人本人，以及向持卡人销售商品和服务的参与各方，包括持卡人、商家、银行等身份。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202244CA认证中心持卡客户网上商家支付网关收单银行发卡银行订单审核请求确认确认审核批准认证协商确认安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数

28、字证书与认证中心CASSL与SET协议机制10/9/202245SET协议和SSL协议的比较技术基础相同 都采用了公开（非对称）密钥加密法，私有（对称）密钥加密法、数字摘要等加密技术与数字证书等认证手段功能相同 保证信息在传递过程中的保密性、完整性 安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202246SSL协议和SET协议的比较在网络中的层次不同。SSL是基于传输层的协议，而SET则是基于应用层的协议加密程度不同。SSL在建立了双方的安全通信通道以后，所有传输的信息都会被加密，而SET则会有选择的加密一部分敏感信息。安全问题&需求网络平台安全&防火墙数据机密性技术数据完整性技术数字证书与认证中心CASSL与SET协议机制10/9/202247SSL协议与SET协议的比较SSL无法保证商家在中转信息时看不到客户的信用卡账户SET用网关的公开密钥来加密持卡人的敏感信息，并采用双重签名等方法，保证商家无法看到持卡人传送给网关的信息，也使银行看不到客户的需求商品信息，保护了客户的隐私。安全问题&需求网络平台安全&防火墙