模块5 电子商务与安全技术《电子商务技术基础》教学课件

《电子商务技术基础》✩精品课件合集第X章XXXX模块5电子商务与安全技术第五章电子商务与安全技术5.1电子商务的安全概述5.2防火墙技术5.3信息安全与加密技术5.4电子交易的安全认证技术5.1电子商务的安全概述电子商务是以INTERNET为依托所从事的商务活动。为了保证商务活动中数据的安全可靠交换，电子商务的安全成为电子商务系统的首要问题。要保证电子商务的安全，涉及到密码安全、计算机安全、网络安全和信息安全。5.1电子商务的安全概述5.1.1网络安全的概述1、网络安全（1）密码安全（2）计算机安全（3）网络安全（4）信息安全5.1电子商务的安全概述5.1.1网络安全的概述2、网络安全所面临的安全问题身份窃取非援权访问冒充合法用户数据窃取破坏数据的完整性拒绝服务否认数据流分析干扰系统正常运行病毒与恶意攻击5.1电子商务的安全概述5.1.1网络安全的概述3、导致网络不安全的因素（1）环境（2）资源共享（3）数据通信（4）计算机病毒（5）TCP/IP协议的安全缺陷5.1电子商务的安全概述5.1.1网络安全的概述4、安全技术措施单纯从技术角度来讲，网络安全需要解决以下几个方面的技术问题：如何认证用户使用名与他们的真实身份一致。标准网络协议（例如和）使假冒一个人或组织相当容易。如何在网络上不透明发送用户名和密码来进行用户认证。5.1电子商务的安全概述5.1.1网络安全的概述4、安全技术措施单纯从技术角度来讲，网络安全需要解决以下几个方面的技术问题：如何认证用户使用名与他们的真实身份一致。标准网络协议（例如和）使假冒一个人或组织相当容易。如何在网络上不透明发送用户名和密码来进行用户认证。如何确信这些服务在上均有效。也就是说，如何避免在防火墙内外采用不同的安全措施。如何在实时（例如网络客户与网络服务器间的数据流）和存储转发应用（例如电子邮件）情况下保护通信秘密。如何确保信息在发送和接收间避免干扰。如何保护秘密文件，使得只有授权的用户可以访问。5.1电子商务的安全概述5.1.2电子商务的安全交易体系在电子商务活动过程中，为了保证电子商务活动的安全性，必须建立一套有效的安全机制作为保证，使商家、消费者及银行等各方相互之间通过网络来从事的交易数据安全、可靠和保密。

5.1电子商务的安全概述5.1.2电子商务的安全交易体系5.1电子商务的安全概述5.1.2电子商务的安全交易体系在这样一个安全的电子商务交易系统中，必须做到以下几点安全控制要求：

（1）保密性（2）身份认证（3）不可抵赖性（4）信息的完整性、防篡改性5.1电子商务的安全概述5.1.3电子商务中常用安全技术1、专用网技术VPN(VPN:VirtualPrivateNetwork)是一项非常适合电子数据交换（EDI）的技术，它可以在不同地理位置的两参计算机之间建立一个按需的连接，以此达到在公共的Internet上或个别的企业局域网之间实现安全的电子交易的目的。

5.1电子商务的安全概述5.1.3电子商务中常用安全技术2、防火墙技术“防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件组成的，一个或一组系统，用于增强内部网络和之间的访问控制。防火墙形成设置在被保护网络和外部网络之间的一道屏障，使互联网与内部网之间建立起一个安全网关，从而防止发生不可预测的，潜在破坏性的侵入。

5.1电子商务的安全概述5.1.3电子商务中常用安全技术防火墙具有以下优点：保护那些易受攻击的服务。控制对特殊站点的访问。集中化的安全管理。对网络存取访问进行记录和统计。5.1电子商务的安全概述5.1.3电子商务中常用安全技术防火墙主要有以下功能：保护数据的完整性。保护网络的有效性。保护数据的精密性。5.1电子商务的安全概述5.1.3电子商务中常用安全技术3、数据加密技术（1）数据传输加密技术（2）数据存储加密技术（3）数据完整性鉴别技术（4）密钥管理技术5.1电子商务的安全概述5.1.3电子商务中常用安全技术4、安全协议（1）电子邮件的安全协议

①PEMPEM是增强Internet电子邮件隐秘性的标准草案②安全多用途互联网邮件扩展协议③PEM-MIME(MOSS)MOSS(MIME对象安全服务)5.1电子商务的安全概述5.1.3电子商务中常用安全技术4、安全协议（2）Internet主要的安全协议

①SSL(安全槽层)协议②S-HTTP(安全的超文本传输协议)5.1电子商务的安全概述5.1.3电子商务中常用安全技术4、安全协议（3）UN/EDIFACT的安全（4）安全电子交易规范(SET)

5.1电子商务的安全概述5.1.3电子商务中常用安全技术

5、授权在电子商务系统中有各种不同用途的证书类型，其中最重要的是公钥证书，它将公开密钥与特定的人、器件或其他实体联系起来。公钥证书是由被称作证书机构的人或实体签署的，其中包含有掌握相应密钥的持证者的确切身份或其他属性。公钥证书是将公钥体制用于大规模安全电子商务的基本要素。5.1电子商务的安全概述5.1.3电子商务中常用安全技术

5、授权在电子商务系统中有各种不同用途的证书类型，其中最重要的是公钥证书，它将公开密钥与特定的人、器件或其他实体联系起来。公钥证书是由被称作证书机构的人或实体签署的，其中包含有掌握相应密钥的持证者的确切身份或其他属性。公钥证书是将公钥体制用于大规模安全电子商务的基本要素。用户向CA注册，建立起注册者与CA的关系，注册者向CA提供必要的有关信息。经过主体认证、证书生成等确定证书的使用期限和授权信息。5.2防火墙技术5.2.1防火墙的安全控制基本准则要为网络建立防火墙，首先需要决定防火墙将采取何种安全控制基本准则。

1、一切未被允许的都是禁止的2、一切未被禁止的都是允许的5.2防火墙技术5.2.2防火墙主要类型1、数据包过滤

包过滤（PacketFilter）技术是在网络层中对数据包实施有选择的通过，也称网络层防火墙，作用于IP层，通常由过滤路由器来构建。

5.2防火墙技术5.2.2防火墙主要类型2、代理技术防火墙

代理技术防火墙，也称应用层防火墙，作用于应用层。其核心是运行于防火墙主机上的代理服务器进程，它代替网络用户完成特点的TCP／IP功能。

5.2.2防火墙主要类型

综合上述两种防火墙技术的优缺点，在实际构建防火墙系统时，通常由过滤路由器和代理服务器组合在一起构成一个混合的多级防火墙系统，由过滤路由器提供第一级的安全防护，主要用于防止IP欺骗攻击，再由代理服务器提供更高级的安全防护机制。

5.2防火墙技术5.2防火墙技术5.2.3防火墙体系结构

1、双重宿主主机体系结构5.2防火墙技术5.2.3防火墙体系结构2、被屏蔽主机体系结构5.2防火墙技术5.2.3防火墙体系结构3、被屏蔽子网体系结构5.2防火墙技术5.2.4防火墙系统总体设计1、设计防火墙系统的拓扑结构(1)双宿主主机结构(2)屏蔽主网关结构(3)屏蔽子网网关结构2、制定网络安全策略3、确定包过滤规则

5.2防火墙技术5.2.5规划代理服务器

代理服务器(PROXY)是防火墙系统中的一个服务器进程，安装运行在防火墙主机上，为内部网络与外部网络充当中继，防止内部网络与外部网络的直接连接。

5.2防火墙技术5.2.6防火墙系统设计实例

5.2防火墙技术5.2.6防火墙系统设计实例1、包过滤规则的设计

对于过滤路由器中过滤规则的设计，我们采用的安全策略是：不允许IP源路由，起于内部网络的服务允许给过滤子网中的代理服务器，允许外部网络到代理服务器的流量，允许过滤子网中代理服务器到内部网络的流量。

5.2防火墙技术5.2.6防火墙系统设计实例2、代理服务器的设计

代理服务器为内部网络和外部网络双方的通信充当中继，阻止内部网络和外部网络的直接连接，再辅以用户身份验证模块和监控、记录模块，可以完全控制通信双方的会话过程，提供更高级的安全性。5.3信息安全与加密技术5.3.1密码学概述1、概述加密是通过对信息的重新组合，使得只有收发又方才能解码还原信息。传统的加密系统是以密钥为基础的。加密。简言之就是把明文变换成密文的过程。解密就是把密文还原成明文的过程。认证，识别个人，网络上的机器或机构。身份认证是一致性验证的一种，验证是建立一致性证明的一种手段。身份认证主要包括认证依据，认证系统和安全要求。数字签名，将发送文件与特定的密钥捆在一起。大多数电子交易采用两个密钥加密；密文和用来解码的密钥一起发送，而该密钥本身又被加密，还需要另一个密钥来解码。这种组合加密被称为数字签名，它可能成为未来电子商业中首选的安全技术。签名识别，数字签名的反过程，它证明签名有效。

5.3信息安全与加密技术5.3.1密码学概述2、保密系统模型

5.3信息安全与加密技术5.3.2单钥密码体制单钥密码体制，也称为对称密码体制或私密码体制，其加密密钥和解密密钥相同，既指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算。

5.3信息安全与加密技术5.3.3双钥密码体制

双钥密码体制，又称非对称密码体制或公钥密码体制(publickeysystem)。双钥密码体制是指对信息加密和解密所使用的是不同的密钥，即有两个密钥：一个是公开密钥，一个是私有密钥。5.3信息安全与加密技术5.3.4加密解密应用流程

5.4电子交易的安全认证技术认证包含消息认证、数据源认证和实体认证（身份识别），用以防止欺骗、伪装等攻击。5.4电子交易的安全认证技术认证包含消息认证、数据源认证和实体认证（身份识别），用以防止欺骗、伪装等攻击。对消息进行数字签名、采用消息认证码（MAC）或用单钥密码体制下的共享密钥对消息进行加密等都可实现消息认证。5.4电子交易的安全认证技术认证包含消息认证、数据源认证和实体认证（身份识别），用以防止欺骗、伪装等攻击。对消息进行数字签名、采用消息认证码（MAC）或用单钥密码体制下的共享密钥对消息进行加密等都可实现消息认证。实体认证协议可分为单向认证协议和双向认证协议。前者是指协议仅能完成两个实体中一方对另一方的认证，而后者则可实现两个通信实体间的相互认证。5.4电子交易的安全认证技术5.4.1认证系统模型通常的加密解密，防备被动攻击很有效，对于主动攻击的效果不够理想。为了防止主动攻击，通常采用是认证(Authentication)编码的方法。

5.4电子交易的安全认证技术5.4.2认证体系结构网络中的认证包括身份认证和消息认证两类。对于身份认证的方法有以下的三种：1、户知道的某些东西，如口令等。2、户保存的某些东西，如令牌、智能卡、磁卡等，也包括软的东西，如数字证书等。3、用户唯一具有的东西，如由生物统计学方法证实的指纹、声谱、视网膜扫描等。

5.4电子交易的安全认证技术5.4.3安全认证方法

安全认证技术也是为了满足电子商务系统的安全性要求而采取的一种常用的必须的安全技术。安全认证技术主要数字摘要（digitaldigest）、数字信封（digitalenvelop）、数字签名（digitalsignature）、数字时间戳（DTS:DigitalTime-Stamp）、数字证书（digitalcertificate）等技术。5.4电子交易的安全认证技术5.4.4安全认证协议1、保密增强邮件协议2、安全多用途互联网邮件扩展协议3、安全套接层协议4、安全电子交易协议5.4电子交易的安全认证技术5.4.5公钥基础结构

1、公钥基础结构概述公钥基础结构（PKI