电子商务安全技术-课件

第四章电子商务安全技术案例学习目标学习内容1ppt课件案例国外早期，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。国内早期，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。2ppt课件第四章电子商务安全技术

电子商务安全面临的问题电子商务安全的要求电子商务安全技术3ppt课件一电子商务所面临的安全问题

电子商务中的安全隐患可分为如下几类：

1.信息的截获和窃取

2.信息的篡改

3.信息假冒

4.交易抵赖4ppt课件二电子商务安全要求数据完整性即数据在传输过程中的完整性.也就是数据在发送前和到达后是否完全一样.数据保密性即数据是否会被非法窃取.数据可用性即当需要时能否存取所需的信息,或在系统故障的情况下数据会否丢失.身份认证对信息的传播即内容具有控制能力.5ppt课件三电子商务安全内容

电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

6ppt课件

商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。7ppt课件电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律、法规、政策8ppt课件安全模型9ppt课件企业级安全总体规划安全业务调度安全安全政策法规功能设计安全职能划分安全应用级安全文件安全目录安全数据安全邮件安全群件安全事件安全系统级安全操作系统安全用户管理安全分布系统管理安全故障诊断系统监控安全网络运行监测平台安全网络级安全

...信息传输安全路由安全广域网安全节点安全协议安全链路安全物理安全网络安全内容----网络安全体系10ppt课件

电子商务安全要求对应的安全技术11ppt课件数据完整性机制奇偶位、校验和、循环冗余校验CRC(CyclicRedundancyCheck）

消息发送方可同时发送该消息的校验值，消息接收方接到消息时只需要重新计算一次校验值，并比较两校验值是否相同就可以判断该消息是否正确了。以上技术不能绝对保证数据的完整性，2个原因:如果校验值和消息数据同时破坏，且改变后的校验值和消息又正巧匹配，则系统无法发现错误。1中所述技术上的缺陷，可能被人恶意利用。12ppt课件数据完整性机制消息验证码(MAC)为防止传输和存储的消息被有意或无意地篡改，采用密码技术对消息进行运算生成消息验证码（MAC），附在消息之后发出或与信息一起存储，对信息进行认证。计算MAC的算法是不可逆的。加密的数据和MAC一起发送给接收者，接收者就可以用MAC来校验加密数据，保证数据没有被窜改过。

13ppt课件数据保密性机制加密与解密算法和密钥数据加密标准DES公开密钥密码体制数字签名14ppt课件加密与解密

消息（message）被称为明文（plaintext）。用某种方法伪装消息以隐藏它的内容的过程称为加密（encryption），被加密的消息称为密文（ciphertext），而把密文转变为明文的过程称为解密（decryption）。加密解密明文密文原始明文15ppt课件算法和密钥算法和密钥密码算法（algorithm）也叫密码（cipher），适用于加密和解密的数学函数。（通常情况下有两个相关的函数，一个用来加密，一个用来解密）如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的（restricted）算法。受限制的算法不可能进行质量控制或标准化。每个用户和组织必须由他们自己唯一的算法。16ppt课件算法和密钥现代密码学用密钥（key）解决了这个问题。加密解密明文密文原始明文加密解密明文密文原始明文密钥密钥加密密钥解密密钥17ppt课件算法和密钥所有这些算法的安全性都基于密钥的安全性；而不是基于算法的安全性。这就意味着算法可以公开，也可以被分析，可以大量生产使用算法的产品，即使偷听者知道你的算法也没有关系。密码系统由（cryptosystem）由算法以及所有可能的明文、密文和密钥组成。对称算法基于密钥的算法通常有两类：对称算法和公开密钥算法。18ppt课件算法和密钥对称算法（symmetricalgorithm）有时又叫传统密码算法，就是加密密钥能够从解密密钥推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫做秘密密钥算法或单钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。19ppt课件算法和密钥对称算法可以分为两类。一次只对明文中的单个位（有时对字节）运算的算法称为序列算法（streamalgorithm）或序列密码（streamcipher）。另一类算法是对明文的一组位进行运算，这些位称为分组（block），相应的算法称为分组算法（blockalgorithm）或分组密码（blockcipher）。20ppt课件算法和密钥公开密钥算法公开密钥算法（public-keyalgorithm，也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在这些系统中，加密密钥叫做公开密钥（publickey），解密密钥叫做私人密钥（privatekey）。21ppt课件算法常见的计算机算法DES是最通用的计算机加密算法。DES是美国和国际标准，它是对称算法，加密和解密的密钥是相同的。RSA是最流行的公开密钥算法，它能用作加密和数字签名DSA是另外一种公开密钥算法，它不能用作加密，只能用作数字签名。22ppt课件

一般加密/解密的函数（算法）是公开的，一个算法的强度（被破解的难度）除了依赖于算法本身以外，还往往与密钥长度有关，通常密钥越长，强度越高。这是因为，密钥越长，被猜出的可能性越低。所以，保密入情入理在于一个强度高的算法加上一个长度长的密钥。对于不同的要求，长度可以不同，比如，为了保护你的电子邮件不让孩子阅读，密钥长度有64位就可以了，但是，为了保护一个商业秘密，可能至少需要256位的密钥。(1）替换（substitution）加密算法（2）变换（transposition）加密算法(3）数据加密标准（DES，DataEncryptionStandard）是美国政府于1997年发布的，DES使用相同的算法来对数据进行加密和解密，所使用的加密密钥和解密密钥是相同的。算法的输入有64位的明文，使用56位的密钥，输出是64位的密文，它例用16轮的混合操作，目的是彻底地打乱明文的信息，使得密文的每一位都依赖于明文的每一位和密钥的每一位.。

23ppt课件常规密钥密码体制

密码技术是保证网络、信息安全的核心技术。加密方法有：替换加密和转换加密一替换加密法：1.单字母加密法2.多字母加密法例一：Caesar(恺撒)密码例二：将字母倒排序例三：单表置换密码例一：Vigenere密码例二：转换加密24ppt课件单字母加密方法例：明文（记做m）为“important”，Key=3，则密文（记做C）则为“LPSRUWDQW”。25ppt课件例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。26ppt课件

例：如果明文m为“important”，则密文C则为“HDLKOQBFQ”。27ppt课件公开密钥加密技术加密密钥是公开的，不可进行解密，解密密钥为私钥，是保密的，且解密密钥不可被推算出来的单向函数算法称公开密钥算法。所有的通信仅涉及公钥，而任何私钥不会被传输。28ppt课件公钥密码体制（RSA）公钥（m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%￥公钥(m,n=pq)乱文;~@‘互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘乱文;~@‘密文%#%￥乱文;~@‘原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥29ppt课件秘密密钥加密技术

加密算法与解密算法是相同的且是公开的，加密密钥与解密密钥是同一个且不可被推算出来的单向函数算法。密钥的生成与发送需严格管理。30ppt课件DES密码体制密钥原文ABCD原文ABCD密文%#%￥密钥生成与分发密钥互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥4078秒

485小时

5659天

6441年

7210696年

802,738,199年DESCHALL小组破译能力PASSWORD通常用DES算法31ppt课件对称与非对称加密体制对比特

性对

称非

对

称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用32ppt课件

认证技术

信息认证的目的（1）确认信息的发送者的身份；（2）验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。常用的安全认证技术

1.数字摘要

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹FingerPrint），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。33ppt课件2.数字信封

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。3.数字签名在网络环境中，可以用电子数字签名作为模拟，从而为电子商务提供不可否认服务。把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。把这两种机制结合起来就可以产生所谓的数字签名。34ppt课件数字签名（DigitalSignature）的原理①

被发送文件用安全Hash编码法SHA（SecureHashAlgorithm）编码加密产生128bit的数字摘要；②

发送方用自己的私用密钥对摘要再加密，这就形成了数字签名；③

将原文和加密的摘要同时传给对方；④

对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要；⑤

将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。35ppt课件数字签名技术公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%￥公钥(m,n=pq)互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥36ppt课件数字签名原理示意图37ppt课件4.数字时间戳时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：①

需加时间戳的文件的摘要(digest)；②DTS收到文件的日期和时间；③DTS的数字签名。38ppt课件图数字时间戳的应用过程

39ppt课件5.数字证书

所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。40ppt课件安全认证机构

电子商务授权机构（CA），也称为电子商务认证中心（CertificateAuthority），是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。

CA的四大职能：证书发放证书更新证书撤销证书验证41ppt课件

世界著名的认证中心Verisign

世界上较早的数字证书认证中心是美国的Verisign公司（）。图认证中心VeriSign的主页42ppt课件6）中国知名的认证中心①中国数字认证网（

）②中国金融认证中心（

）③中国电子邮政安全证书管理中心（/CA/index.htm）④北京数字证书认证中心（）⑤广东省电子商务认证中心（）⑥上海市电子商务安全证书管理中心有限公司（）⑦海南省电子商务认证中心（）⑧天津CA认证中心（/ca/ca-1/ca.htm)⑨山东省CA认证中心（）43ppt课件

数字证书能够起到标识贸易方的作用,是目前电子商务广泛采用的技术。微软公司的InternetExplorer和网景公司的Navigator和电子邮件软件OutlookExpress等都提供了数字证书的功能来作为身份鉴别的手段。图－14为IE的Internet选项设置，在内容选项卡中就有证书项目，点击即可查看您的数字证书，如图－15为在GlobalSign申请的个人数字证书。申请了证书后就可以用证书证实你的身份，当然也可以查看你的证书的内容。如果你有多个证书，可以先选中该证书，然后点击图

6－

15中的查看按钮弹出即所选证书对话框就可以查看证书中的信息，如图

－

16所示，点击详细内容选项卡可以查看证书的具体信息，包括版本、算法、公钥、有效期等如图

－

17所示，这个证书的算法是RSA算法，公钥为1024位。44ppt课件图

－

14Internet选项对话框45ppt课件图

－

15证书对话框46ppt课件图

－

16证书常规内容47ppt课件图

－

17证书的详细信息48ppt课件虚拟专用网VPNVPN的概念虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。虚拟专用网可以对数据传输提供全方位的安全保护，不仅能在网络与网络之间建立专用通道，保护网关与网关之间信息传输的安全，而且能在企业内部的用户与网关之间、移动办公用户和网关之间、用户与用户之间建立安全通道，建立全方位的安全保护，保证网络的安全。

49ppt课件VPN的类型可以根据网络连接方式的不同把VPN分为以下几种类型

:AccessVPN（远程访问虚拟专网）与传统的远程访问网络相对应

IntranetVPN（企业内部虚拟专网）与企业内部的Intranet相对应。ExtranetVPN（扩展的企业内部虚拟专网）与企业网和相关合作伙伴的企业网所构成的Extranet相对应。

50ppt课件数据可用性保证合法用户在任何时候都能使用、访问资源，阻止非法用户使用系统资源。实现方法：访问控制、防火墙、入侵检测等。51ppt课件防火墙—防止攻击的屏障

防火墙是作为Intranet的D第一道防线，是把内部网和公共网分隔的特殊网络互连设备，可以用于网络用户访问控制、认证服DD务、数据过滤等。52ppt课件防火墙的分类

报文分组过滤网关应用级网关信息级网关53ppt课件防火墙之报文过滤网关一般是基于路由器来实现。例如，商用的CISCO、BAY公司等路由器都在不同程度上支持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤，即让某些地址发生的分组穿越路由器到达目的地。非特定IP地址3333333333333333333333333特定源IP地址8888888888禁止8888888888888特定目的IP地址0033333333333333禁止3333333333333333禁止禁止88禁止禁止33IP欺骗是黑克常用的手法54ppt课件防火墙之应用级网关应用级网关是为专门的应用设计专用代码，用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些。例如DEC公司生产的SEAL软件包就具有对出境的FTP进行个人身份认证，并对其使用带宽进行限制。FTP服务器访问Emial合法访问FTP非法访问FTP访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial访问Emial合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP认证合法合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP合法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP认证非法非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP非法访问FTP55ppt课件防火墙之信息级网关

信息级网关是用于进行信息过滤的。其基本思想是限制含有指定敏感词汇的信息包进入系统。显然这种方法对图象、声音、影像、加密信息是难以起作用的，但对不应进入的公开资料的流入可以起限制性作用。...like......like......like......like......like......like......like......like......like......like......like......like......like......like......like...正常通过...like......like......like......like......like......like......like......like......like......like......like......like...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”...…“6•4”......“6•4”......“6•4”...敏感禁入...“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......“6•4”......like......like...正常通过正常通过敏感禁入敏感禁入...“6•4”......“6•4”...56ppt课件防火墙的目标1.确保内部网向外部网的全功能互联和内部网的安全；2.所有内部网络与外部网的信息交流必须经过防火墙；3.只有按本地的安全策略被授权的信息才允许通过；4.防火墙本身具有防止被穿透的能力。57ppt课件防火墙从理论上来讲，防火墙是你所能采取的最严格的安全措施。然而同样和容易带来一些问题：防火墙带来的严格的安全性实际上削弱了网络的功能。你在安全上得到了多少，那么你在功能上就失去了多少。防火墙很容易使你忽视内部的安全问题。这样防火墙就成了你位一的安全屏障，如果防火墙一旦被突破，你将失去全部的安全性。防火墙将成为网络的瓶颈。58ppt课件防火墙防火墙坚不可摧吗？没有坚不可摧的防火墙。常见的入侵方式如下：从目标网络上跳出真正的攻击目标。努力获得有关内部系统的确切信息。阅读最新的安全文章任何一个防火墙都无法有效的防止来自内部的攻击。59ppt课件防火墙商业防火墙CheckpointFirewallandFirewall-1可以控制时间对象，可以将处理任务分散到一组工作站上。CiscoPIXNokiaIP330,IP660固化CheckPointFirewall-160ppt课件入侵检测系统(IDS)的分类

基于主机基于网络混合分布式61ppt课件用户身份认证保证通信对方的身份是真实的。实现方法：帐号-口令