电子商务的安全.ppt

1、,第5章电子商务的安全,5.1电子商务安全概述,电子商务的安全威胁,电子商务网络系统安全威胁 交易安全威胁,1、计算机软件系统的潜在安全问题 2、安全产品使用不当 3、缺少严格的网络安全管理制度,1、交易者可能在交易过程中被竞争对手盗取各种资料 2、交易伙伴有企图抵赖或欺诈的行为 3、交易的各方存在被冒名顶替的风险,电子商务的安全要求,电子商务交易方,电子商务交易方,在网络基础设施上开展的电子交易,Internet或其他网络设施,1、电子商务交易方自身网络安全,硬件资源的安全 软件和数据库资源的安全 内部系统的门户安全,2、电子交易数据的传输安全,交易数据和信息的保密性要求 交易数据和信息的完

2、整性要求 交易各方身份的可认证性要求 交易本身的不可抵赖性要求,3、电子商务的支付安全,电子支付是电子商务中的重要环节，涉及用户与银行等金融部门的交互接口，其安全形势整个电子商务安全中重要方面。 网上金融服务,电子商务安全保障体系,1、管理上的安全措施 2、法律上的安全措施 3、技术上的安全保障,（1）有关电子商务交易各方合法身份认证的法律 （2）有关保护交易者个人及交易数据的法律 （3）有关电子商务中电子合同合法性及如何进行认证的法律 （4）有关网络知识产权保护的法律,5.2电子商务交易方自身网络安全保障技术,用户账号管理和网络杀毒技术,用户账号管理技术 网络杀毒技术,1、用户分级管理是很多

3、操作系统都支持的用户管理方法 2、单一登录密码制度保证用户在企业计算机网路里任何地方都使用同一个用户名和密码 3、用户身份确认方法对用户登录方法进行限制,1、预防病毒技术 2、监测病毒技术 3、消除病毒技术,防火墙技术,防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。 防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。,1、防火墙基本概念,2、防火墙的主要作用功能,能做什么？ 安全把关 网络活动统计 内部隔离,不能做什么？ 不能防范内

4、部入侵 不能防范新的威胁 控制粒度粗,防火墙的功能,保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类； 保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源； 保护数据的机密性。加密敏感数据。,3、防火墙类型,包过滤型防火墙 应用级网关 代理服务器,客户1,客户n,Intranet,不安全网络,包过滤防火墙,安全网络,图 包过滤型防火墙的工作原理示意图,代理服务：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。,代理服务,选用和建立合

5、适的防火墙系统,防火墙并不能对企业内部网络进行全面的保护 必须与企业整体安全防护措施、其他网络安全技术相结合才能更好地发挥作用,5.3电子商务数据传输安全保障技术,数据加密,加密 解密 密钥,数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。 在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何处加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。,两种不同的加密算法,对称加密体制或秘密密钥,对称加密体制的工作过程 使用最广泛的对称加密算法DES算法 对称加密存在的问题,加

6、密技术的主要分类,对称密匙 在对数据加密的过程中，使用同样的密匙进行加密和解密。 常见密匙算法：DES、IDEA,公开密匙/私有密匙 与对称密匙不同，公开密匙/私有密匙使用相互关联的一对算法对数据进行加密和解密。 常见密匙算法：RSA,公开密匙/私有密匙加密,老张,小李的公开密匙,小李,老张,密文,小李,小李的私有密匙,老张的私有密匙,老张的公开密匙,密文,鉴别,保密,用RSA鉴别,只有老张能发出该信息 用RSA保密,只有小李能解开该信息,图公开密钥加密法的应用过程示意图一,图公开密钥加密法的应用过程示意图二,如何管理密钥,对称密钥管理 公开密钥管理/数字证书,解决数据传输完整性问题：数字签名

7、,数字签名技术的原理 利用数字签名发送信息的流程,发送方,接收方,数字签名,1对原文实施哈希过程得到数字签名,非对称加密,2对数字签名利用自己的私钥进行加密,发送,3把原文和加密的数字签名发送到接收方,非对称加密,4对加密的数字签名利用自己的公钥进行解密,重新实现数字签名,5利用哈希函数和受到的明文重新获得数字签名,比较数字签名,6比较解密的数字签名和重新计算获得的数字签名，若一致，说明文件在传输过程中未遭到破坏,利用数字签名发送信息流程示意图,数据加密和认证技术在电子商务中的综合应用 虚拟私人网（VPN技术）,1、虚拟私人网 2、VPN应用平台 3、VPN的特点,用来传输加密数据的网络,（1

8、）纯软件平台VPN （2）专用硬件平台VPN （3）辅助硬件平台的VPN,5.4电子商务交易用户身份识别与认证技术,认证中心CA （Certification Authority,认证中心的功能：核发证书、管理证书、搜索证书、验证证书 CA的树形验证结构(如图所示）,CA认证的过程,电子商务交易的各方向CA中心提交自己的公开密钥和其他代表自己身份的信息。 CA中心在验证了用户的有效身份后，向用户颁发一个附有自己签名的证书，该数字证书用CA的私有密钥进行加密。 参与电子商务交易的各方如果从同一个CA处获得证书或相互信任为对方签发证书的CA，他们就可以通过交换数字证书来获得对方的公钥。 利用CA的

9、公开密钥验证其数字签名。 当用户的私有密钥泄露或由于证书的有效期已到，CA中心就需要将该用户的数字证书作废，并要向外界公布作废证书的信息。,数字证书的内容和验证,数字证书的内容 数字证书的种类 数字证书的管理和验证,中国金融认证中心,中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。 北京数字证书认证中心 （），为网上电子政务和电子商务活动提供数字证书服务。,5.5电子商务支付安全,SSL协议,SSL协议工作原理 SSL协议的安全交易过程 SSL协议的优点和缺点,利用认证技术识别各自的身份 利用加密技术保证通道的保密性 利用数字签名技术保证信息传送的完整性,S

10、ET协议,SET协议的主要目标 基于SET协议的交易流程 SET协议的优点和缺点,保障付款信息的安全 保障付款过程的安全 保证付款过程遵守相同的协议和格式标准,顾客在网上浏览商品 顾客购买商品，向商家发送购买请求及付款账户信息，SET协议介入 商家处理订购信息，发送货物，向为顾客提供信用卡的金融机构提出付款请求完成交易,SET协议和SSL协议的比较,SET协议给银行、商家、持卡客户带来了更多的安全，使他们在进行网上交易时更加放心，但实现复杂、成本高； 而SSL协议则简单快捷，但仍然存在安全漏洞； 随着Internet宽带接入的大规模应用，越来越多商家追求更加安全的电子商务，SET协议机制将逐步被更多的企业、商家与客户所接受，仍然具有良好的应用前景,5.电子商务安全评估与安全策略,电子商务安全评估,评估内容 评估标准及其发展 系统安全评估的一般步骤,、内部网络的安全评估 、从企业外部进行评估,、制定系统安全标准 、按照安全标准对系统进行监测，找出问题和漏洞 、对问题进行分析,电子商务安全策略,制定安全策略时需要考虑的问题,从均衡性和整体性考虑问题 不能由单一的网络技术或产品来达到 需要系统具有可评估性 要求安全策略的制定具有动态性,安全