暨大版-电子商务安全问题

1、第4章 电子商务安全问题 电子商务的安全威胁及需求 防火墙、IDS、IPS技术等 加密技术 认证技术 安全协议 学习要点点了解电子商务务的安全全需求了解网络安全全措施理解对称密钥钥加密原原理理解非对称密密钥加密密的原理理了解电子商务务认证技技术了解SSL与SET协议的功功能和作作用1、电子商务务安全性性要求 基本要求 定义保密性保持个人的、专用的和高度敏感数据的机密完整性保证存储和传输的数据不被篡改认证性确认通信双方的合法身份不可否认性防止通信或交易双方对已进行的业务的否认防御性能够阻挡不希望的信息或黑客的攻击可访问性保证系统、数据和服务由合法的人员访问合法性保证各方的业务符合可适用的法律和法

2、规有效性电子形式的合同具有法律效力案例1钓鱼网站站所谓“钓钓鱼网站站”是一一种网络络欺诈行行为，指指不法分分子利用用各种手手段，仿冒真实实网站的的URL地址以及及页面内内容，或者利利用真实实网站服服务器程程序上的的漏洞在在站点的的某些网网页中插插入危险险的HTML代码，以以此来骗骗取用户户银行或或信用卡卡账号、密码等等私人资资料。案例2账户被盗盗总统微博博黑客入入侵事件件2010年9月26日报道，委内瑞瑞拉总统统查韦斯斯的Twitter账户疑遭遭到黑客客入侵。自9月22日以来，查韦斯斯的Twitter账户出现现混乱状状况，至至少3条微博都都不是查查韦斯本本人写的的。委内瑞拉拉官员呼呼吁美国国方

3、面协协助这一一广受欢欢迎的社社交网站站管理员员对此进进行调查查。据悉，查查韦斯在在Twitter上有85万粉丝，每天会会收到数数百条留留言。电子商务务网络面面临的不不安全企图在未未经授权权的情况况下进入入计算机机的人。影响计算算机的使使用并能能自我复复制的一一组计算算机指令令或代码码。黑客计算机病病毒拒绝服务务攻击1、电子商务务安全性性要求 基本要求 定义保密性保持个人的、专用的和高度敏感数据的机密完整性保证存储和传输的数据不被篡改认证性确认通信双方的合法身份不可否认性防止通信或交易双方对已进行的业务的否认防御性能够阻挡不希望的信息或黑客的攻击可访问性保证系统、数据和服务由合法的人员访问合法性

4、保证各方的业务符合可适用的法律和法规有效性电子形式的合同具有法律效力2.网络安全全措施防火墙技技术（firewall）入侵检测测技术（IntrusionDetection System）入侵防护护系统（IntrusionPreventionSystem）病毒防治治技术防火墙技技术（服务器器安全防防范）概念：防火墙是是一种隔离控制制技术，通过在网络之间间设置电子子屏障来来保护内部网络络的安全。构成：路由器、路由器器的软件件模块、防火墙软软件 Internet防火墙局域网根据规则则判断是是否允许许分组通通过局域网防火墙未被明确确允许的的都将被被禁止未被明确确禁止的的都被允允许防火墙的的分类包过滤技

5、技术过程：检查数据据包-过滤数据据包优点：方便有效效、简单单易行缺点：高层防范范能力差差、审核核性不强强代理服务务技术应用层网网关作为为代理服服务器（应用网网关：过滤、统统计分析析）代理服务务技术 因特网应用服务器服务器代代理客户访问控制代理服务务器：较强的的数据流流监控、过滤、记录、报告等功功能双穴主机机网关屏蔽被保保护网络络问题？内部网外部网堡垒主机机屏蔽主机机网关堡垒主机机受保护护注意：路由器的的安全及及协调性性内部网外部网屏蔽路由由器堡垒主机机屏蔽子网网网关内部网外部网外部路由由器堡垒主机机内部路由由器被屏蔽的的子网缺点：内部攻击击、病毒毒、口令令泄密等等不能防防范入侵检测测系统（ID

6、S） 通过检测测、分析析网络中中的数据据流量，从中发发现网络络系统中中是否有有违反安安全策略略的行为为和被攻攻击的迹迹象，及及时识别别入侵行行为和未未授权网网络流量量并实时时报警。 缺点：无法有效效阻断攻攻击、蠕蠕虫爆发发的网络络瘫痪等等入侵防护护系统（IPS）对出入流流进行有有效准确确监测网网络异常常流量，提供主主动的实实时的防防护。（能实时主主动拦截截黑客攻攻击、蠕蠕虫、网网络病毒毒、木马马等恶意意流量） 杀毒软件件预防、检检测、清清除病毒毒 升级操作作系统、浏览器器安全设设置安装杀毒毒软件，并升级级安装数字证书书，认证识识别设置复杂杂无规律律的密码码不在聊天天时透漏漏个人信信息不浏览不不

7、明网页页选C2C，B2C买卖方注注意：信用标志志、营业业执照、公司地址址和电话话、支付付方式及及账号、聊天记记录等客户端的的安全防防范3.数据加密密技术对称密钥钥加密（如：替替代换位）非对称密密钥加密密混合加密密应用：数字摘要要技术数字签名名技术数字信封封技术数字时间间戳数据的加加密加密、解解密、明明文、密密文、算算法、密钥利用基于于数学方方法的程程序和保保密的密密钥对信信息进行行编码，明文变变成密文文的过程程。算法：数学函数数密钥：可变参数数（加密密密钥、解密密密钥）注意：加密系统统中，算算法是相相对稳定定的，而密钥是是可以改改变的。Y=ax+b对称密钥钥体制 加密密钥钥=解密密钥钥，典型D

8、ES、IDEA算法明文密文明文发送方用用加密密钥钥对信息息加密接收方用用解密密钥钥对密文文解密替代加密密法单字符加加密（简简单替代代加密）同音替代代加密码码（如A：x，l，n）多元替代代加密（如ABA：THE）多字母替替代（如多表代代换）26字母出现现的频度度分析IMISS YOU.？L PLVVBRX换位加密密法明文：computergraphicsmaybeslowbutatleastitsnotexpensive.COMPUTERGRAPHICSMAYBESLOWBUTATLEASTITSNOTEXPENSIVE密文：CAELTOPSEEMHLAXPIOSPUCWTETSBINEMUTS

9、RATSIGYANVRBTOE对称密钥钥体制 加密密钥钥=解密密钥钥，典型DES、IDEA算法密钥如何何传递？密钥的保保管？明文密文明文发送方用用加密密钥钥对信息息加密接收方用用解密密钥钥对密文文解密非对称密密钥加密密体制 定义两个密钥钥，组成成一个密密钥对，其中一一个公开开，另一一个私有有，也称称公开密密钥密码码体制。一个用用于加密密，另一一个用于于解密。（RSA）产生原因因可解决对对称密钥钥技术加加密时的的弊端两种模式式加密模式式、验证证模式混合加密密对称密钥钥加密+非对称密密钥加密密4.认证技术术对称密钥钥加密非对称密密钥加密密混合加密密应用：数数字信封封技术数字摘要要技术数字签名名技术

10、数字时间间戳数字信封封定义采用双重加密密技术，对称加密密和非对对称加密密结合起起来，保证只有有规定的的接收者者才能阅阅读信中中的内容容。先采用对对称加密密体制对对信息明明文加密再将密钥用接收者的的公开密密钥进行加密密形成数数字信封封。 密钥传递递？明文加密对K加密密文A密文B对称密钥钥K加密1、2、传递密钥钥3、非对称体体制（？）对密文B解密得到到密钥，用密钥去去解密文文A得到明文文发送AB数字摘要要采用安全全Hash编码法对对明文中中的重要元素素进行某种种交换运运算后得得到的一一串密文文，即为为数字摘摘要，也也称数字字指纹。作用：验证明文文有无被被篡改（不同明明文形成成的密文文摘要是是不同的

11、的，而同同样的明明文形成成的密文文摘要是是一致的的。） 使用数字字摘要的的过程 数字摘要要信息明文文对称密钥钥K加密非对称体体制（收收方公钥钥）接收方（1）两次解密密（2）对信息明明文HASH编码（3）对比数字签名名数字签名名与普通通签名的的不同数字签名名的原理理目的：（1）信息从发送方方A到接收方方的安全全传送（2）证明信信息是发发送方A发送的手段：对信息加加密，再再加密，即双重重加密 数字签名名的过程程 明文密文密文发送方用用Hash编码法对报文明明文编码码，得到到密文即即数字摘要要发送方用用自己的私私钥对数字摘摘要进行行加密，得到数字签名名使用数字字签名的的过程发送方A将数字签签名附在在

12、信息明明文后一一起传送送给接收收方。接收方来来验证数数字签名名是不是是发送方方A的，验证证信息是是完整的的没有被被篡改。 数字签名名信息明文文接收方的的验证过过程数字时间间戳定义确认电子子文件发发表时间间的一种种安全保保护凭证证文档。注意：数字时间间戳是一一个经加加密后形形成的凭凭证证文档档，由三三部分组组成。需加时间间戳的文文件摘要要DTS收到文件件的日期期和时间间DTS的数字签签名数字证书书定义数字证书书是一数数字文件件，由一一个权威威机构发发行的，用来标标志参与与各方身身份信息息的一系系列数据据。（1）CA认证中心心发行，具有法法律效力力（2）身份证证明作用（1）证明电电子商务务或信息息

13、交换中中参与者者的身份份（2）提供网网上发送送信息不不可否认认性的依依据（3）网上纠纠纷时方方便找到到具体当当事人Certification Authority认证机构构CA，又称认认证中心心，证书书授权机机构，承承担网上上认证服服务，负负责签发发数字证证书并能能确认用用户身份份的受各各方信任的权威的的第三方方机构。（政府机机构、企企业等）VeriSign 任务受理数字字证书的的申请签发数字字证书（颁发）管理数字字证书（更新、查查询、作作废、归归档）内容（X.509标准）姓名、公公开密钥钥、公开开密钥的的有效期期、数字字证书的的序列号号、颁发发数字证证书的单单位、颁颁发数字字证书单单位的数数字

14、签名名、私钥数字证书书的几种种常见类类型1.个人数字字证书2.企业数字字证书3.软件开发发者凭证证4.网站服务务数字证证书(Webserver数字证书书）5.安全协议议S-HTTP安全超文文本传输输协议SSL安全套接接层协议议SET安全电子子交易协协议STT安全交易易控制协协议S-MIME安全多功功能因特特网电子子邮件扩扩充协议议SSL协议提供供的安全全服务用户和服服务器的的合法性性认证加密数据据以隐藏藏被传送送的数据据保护数据据的完整整性http:/安全套接接层协议议-SSL 定义对因特网网上计算机间间对话进行的一一种网络络安全协协议，对对浏览器的的服务器器之间传输输的数据据进行加加密。实现基于TCP/IP，HTTP、FTP、Telnet信息加密密传输。SSL握手协议SSL记录协议 TCP IP安全协议议-SET 特点1、一个能够够保证通通过开放放网络进进行安全全资金支支付的技技术规范范，即SET协议。2、对称密钥钥加密、公钥加加密、Hash算法、数数字签名名、数字字信封及及数字证证书等技技术。3、SET是未来电电子商务务的规范范机密性、身份认认证、完完整性、交易不不可否认认实现采用PKI和X.509标准-软件、数数字证书书、数字字签名等等技术-编码、加加密-以维护开开放网络络上信息息的安全全目的信息在因因特网上上安全传传输订单信息息和个人人账户信信息隔