中职课件《电子商务概论》项目6 电子商务安全技术

电子商务概论主讲教师任务1电子商务安全的内容任务2网络安全保障技术任务3网络认证系统任务4防火墙3项目6电子商务安全技术03项目6电子商务安全技术随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络自身的脆弱性等各方面的严峻挑战。因此如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户十分关心的重大问题。项目导读任务1电子商务安全的内容活动1电子商务安全概述1.电子商务安全威胁的类别（1）信息的截获和窃取:由于没采用加密措施，数据信息在网络上以明文的形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，找到信息的规律和格式，进而得到传输信息的内容。（2）信息的篡改：入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络中传送的信息数据在中途修改，然后再发向目的地。信息的篡改有如下三种方式：篡改：改变信息流的次序，更改信息的内容。删除：除去某个消息或消息的某些部分。插入：在信息中插入一些信息，让接收方读不懂或接收到错误的信息。任务1电子商务安全的内容活动1电子商务安全概述（3）假冒信息：掌握了数据的格式后，可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者获取信息，远端用户通常很难分辨。（4）交易抵赖：由于电子商务在无纸化条件下进行，信息的发送方在发送信息后或接收方在接收信息后否认已有的操作。活动1电子商务安全概述电子商务安全的基本要求主要体现在以下几个方面。

（1）保密性：保证个人的、专用的高度敏感信息的机密。

（2）认证性：确认通信双方的身份合法。

（3）完整性：保证所有存储和管理的信息不被篡改。

（4）可访问性：保证系统数据和服务能由合法人员访问。

（5）防御性：能阻挡不希望的信息或黑客的访问。

（6）不可否认性：防止通信或交易双方对已进行业务的否认。

（7）合法性：保证各方的业务符合法律、法规。任务1电子商务安全的内容活动2电子商务安全的分类1.计算机网络安全计算机网络安全是指计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。2.商务交易安全商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。任务1电子商务安全的内容任务1电子商务安全的内容电子商务安全技术是电子商务技术体系的重要组成部分。一个安全的电子商务体系结构如图所示。活动３电子商务安全结构的层次安全电子商务体系结构任务2网络安全保障技术活动1加密技术一个密码体制由明文、密文、密钥与加密运算四个基本要素构成。如图所示为明文加密解密过程。加密解密过程活动1加密技术DES算法的一般过程，如图所示。任务2网络安全保障技术DES算法的一般过程活动1加密技术2.对称加密技术

RSA算法具有如下特点：

●密钥管理简单(网上每个用户仅保有一个密钥，且不需密钥配送)。

●便于数字签名。

●可靠性较高(取决于分解大素数的难易程度)。

●算法复杂，加密/解密速度慢,难于实现。任务2网络安全保障技术活动2数字签名(DigitalSignature)数字签名的功能如下：

(1)接收方能够确认发送方的签名，但不能伪造。

(2)发送方发出签过名的信息后，不能再否认。

(3)接收方对接收到的签名信息也不能否认。

(4)一旦接收方出现争执，仲裁者可有充足的证据进行评判。任务2网络安全保障技术活动3网络安全协议1.SSL安全套接层协议（SecureSocketsLayer）（1）SSL安全协议

SSL安全协议最初是由NetscapeCommunication公司设计开发的，主要用于提高应用程序之间数据的安全系数。（2）SSL安全协议提供的服务①用户和服务器的合法性认证②加密数据以隐藏被传送的数据③保护数据的完整性（3）安全套接层协议实现过程任务2网络安全保障技术活动3网络安全协议2.SET安全电子交易协议（SecureElectronicTransaction）SET协议要达到的目标主要有如下五个：（1）保证电子商务参与者信息的相互隔离，客户的资料加密或打包后经过商家到达银行，但是商家不能看到客户的账户和密码信息。（2）保证信息在Internet上安全传输，防止数据被第三方窃取。（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。（4）保证了网上交易的实时性，使所有的支付过程都是在线的。（5）规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。任务2网络安全保障技术任务3网络认证系统活动1网络认证技术1.网络认证的目的和基本功能

（1）网络认证的目的：验证信息发送者的真实性，此为实体认证，包括信源、信宿等的认证和识别；验证信息的完整性，此为消息的认识、验证数据在传送或存储的过程中是否被篡改、重做或延迟等。

任务3网络认证系统活动1网络认证技术1.网络认证的目的和基本功能

（2）网络认证的基本功能

①可信性:信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者发出的。

②完整性：要求信息在传输过程中保证其完整性，即信息接收者能够确认所获得信息在传输过程中没被修改、延迟和替换等。

③不可抵赖性：要求信息发送方不能否认自己所发出的信息，同样，信息的接收方也不能否认收到的信息。

④访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。活动1网络认证技术2.认证中心简介认证中心主要有以下几种功能。

(1)证书的颁发

认证中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书的申请。

(2)证书的更新

认证中心定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。

(3)证书的查询

证书的查询可以分为两类：其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。任务3网络认证系统活动1网络认证技术2.认证中心简介

(4)证书的作废

当用户的私钥由于泄密等原因造成用户的证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另一种证书作废的情况就是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表(CertificateRevocationList,简称CRL)来完成上述功能。

(5)证书的归档

证书具有有效期，证书过了有效期之后将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易任务3网络认证系统活动2数字证书1.数字证书的含义数字证书就是互联网通信中标志通信各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构，又称为证书授权（CertificateAuthority）中心发行的，可以在网上用它来识别对方的身份。任务3网络认证系统活动2数字证书2.原理数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。任务3网络认证系统活动2数字证书3.特点（1）安全性。①为了避免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性地推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。②第二张证书不能备份，会员必须为每一台计算机重新申请一张③支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。任务3网络认证系统活动2数字证书3.特点（2）唯一性。①支付宝数字证书根据用户身份给予相应的网络资源访问权限。②申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有了类似“钥匙”一样的数字凭证，增强账户使用安全。（3）方便性。①即时申请、即时开通、即时使用。②量身定制多种途径维护数字证书，例如通过短信，安全问题等。③不需要使用者掌握任何数字证书相关知识，也能轻松掌握。任务3网络认证系统任务4防火墙活动1防火墙原理防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。从狭义上讲，防火墙是指两个网络之间访问控制的一个或一组网络设备，是安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括整个网络的安全策略和安全行为，是一整套保障网络安全的手段。任务4防火墙活动2防火墙的基本类型防火墙的基本类型：1.数据包过滤数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。2.应用级网关应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。3.代理服务代理服务(ProxyService)也称链路级网关(CircuitLevelGateways)或TCP通道(TCPTunnels)，也有人将它归为应用级网关。活动3防火墙对非法入侵的防范计算机中的防火墙可以用来防范来自互联网的损坏，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等。因此系统采用防火墙可以防止非法入侵，其防范功能主要体现在以下几个方面：1.防止易受攻击的服务2.控制访问网点系统3.集中安