Upload
ofira
View
100
Download
0
Embed Size (px)
DESCRIPTION
第五章 电子商务安全技术. 主要内容. 5.1 电子商务安全的内容 5.2 计算机网络安全技术 5.3 电子交易安全技术 5.4 数字证书应用实例 案例 & 实训. 5.1 电子商务安全的内容. 信息在传输或存储过程中不被他人窃取(通过加密). 信息在传输或存储过程中保证数据的一致性,不会被非授权修改和破坏. 保证电子交易过程中各个环节均是不可否认的(通过数字签名). ● 电子商务的安全要素 ( 点击 ). 保密性. ;完整性. ;不可否认性. ;可靠性. ● 电子商务安全的主要内容. - PowerPoint PPT Presentation
Citation preview
1
第五章 电子商务安全技术第五章 电子商务安全技术
2
主要内容 主要内容 5.1 电子商务安全的内容
5.2 计算机网络安全技术
5.3 电子交易安全技术
5.4 数字证书应用实例
案例 & 实训
3
5.1 5.1 电子商务安全的内容电子商务安全的内容
●电子商务的安全要素 (点击 )保密性
●电子商务安全的主要内容 计算机网络的安全
电子交易的安全
信息在传输或存储过程中不被他人窃取(通过加密)
;完整性 ;不可否认性 ;可靠性
信息在传输或存储过程中保证数据的一致性,不会被非授权修改和破坏
保证电子交易过程中各个环节均是不可否认的(通过数字签名)
指电子商务系统面对各类故障、病毒、灾害等情况下的可靠程度
4
5.2 5.2 计算机网络安全技术计算机网络安全技术
5.2.1 病毒防范技术
5.2.2 黑客防范技术
5.2.3 防火墙技术
5
5.2.1 5.2.1 病毒防范技术病毒防范技术 据病毒的破坏性来分
据病毒的寄生或传染方式分
良性病毒和恶性病毒
①引导区病毒 ②文件型病毒 ③宏病毒 ④脚本病毒 ⑤网络蠕虫程序 ⑥“特洛伊木马”程序
据病毒环境分
6
5.2.1 5.2.1 病毒防范技术病毒防范技术
(1) 充分运用反病毒软件
(2) 增强意识,主动防卫
(3) 保持警惕,即时解毒
7
5.2.2 5.2.2 黑客防范技术黑客防范技术
黑客攻击手法:
通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器等 。 拒绝服务攻击:
是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。
8
5.2.5.2.3 3 防火墙技术防火墙技术
防火墙是位于两个信任程度不同的网络之间(如企业内部网和 Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙——信息隔离的屏障
5.2.5.2.3 3 防火墙技术防火墙技术
10
5.2.5.2.3 3 防火墙技术防火墙技术防火墙的功能
不足: 不能防范不经由防火墙的攻击; 不能完全防止感染了病毒的软件或文件的传输;无
法控制来自内部的非法访问。
处于企业的内部局域网与外联网之间,限制外部的网络用户对内部网络的访问以及管理内部用户访问外界的权限。
11
5.2.5.2.3 3 防火墙技术防火墙技术防火墙的分类
IP级防火墙• 优点:对用户透明,速度快。• 缺点:没有用户使用记录,不能防止IP地址盗用.
应用级防火墙 • 优点:能详细记录所有访问状态信息,更安全可靠. • 缺点:当内部网络终端较多时,访问效率较低。
状态监测防火墙 • 优点:能监测无连接状态 • 缺点:多少要影响网络速度,配置较复杂
应用级防火墙:在应用层实现 ,实现方式有许多种,其中最常见的方法是通过代理服务器(也称为应用网关)。 状态监测防火墙:在不影响网
络正常运行的情况下,通过监测引擎抽取状态,并动态保存起来作为执行安全策略的参考。 当用户的访问请求到达网关的操作系统前,由状态监视器抽取有关数据进行分析,然后结合网络的安全配置和安全规定做出相应的处理动作。
IP 级防火墙:在 IP层实现的,也称为包过滤型防火墙,主要通过路由器及过滤器来完成对外界计算机访问内部网络的限制,也可以指定或限制内部网络访问因特网。包过滤器是运行在路由器上的一个软件,它能阻止 IP包任意通过路由器。网管应预先配置包过滤器的过滤条件,包括源地址、目的地址及各种网络服务。凡是满足过滤条件的 IP数据包都会被过滤掉。
12
Internet
Private network
Packet-filtering router
IP 级防火墙
13
TELNET
FTP
SMTP
HTTPOutside host Inside host
Outside connection
Inside connection
Application-level gateway
应用级防火墙
返回
14
5.3 5.3 电子交易安全技术电子交易安全技术 5.3.1 信息加密技术
5.3.2 信息摘要技术
5.3.3 数字签名技术
5.3.4 数字时间戳技术
5.3.5 数字证书技术
5.3.6 安全电子交易协议
15
5.3.1 5.3.1 信息加密技术信息加密技术信息加密系统模型
16
1.1. 加密技术的相关概念加密技术的相关概念
明文:加密前的数据称为明文,用M表示。密文:加密后的数据称为密文,用 C表示。 加密:把明文M经过加密算法 E和加密密钥 Ke 的计算后得到密文 C的过程称为加密 解密:把密文 C 经过解密算法 D和解密密钥 Kd 的计算后得到明文 M 的过程称为解密
17
2.2. 加密方法的分类加密方法的分类
●对称加密 (单钥加密 )
●非对称加密 (公钥加密 )
18
对称加密(单钥加密) :对称加密(单钥加密) : Ke=KdKe=Kd优点
– 对信息编码和解码的速度快,效率高。 缺点
– 如何将新密钥安全地发送给授权双方;– 如何对数量庞大的密钥进行分发、传输和存储。 N
个人彼此之间进行保密通信就需要 N(N-1)/2 个密钥。
常用加密算法DES( Data Encryption Standard ,数据加密标准)
由 IBM 设计,被美国政府采用,作为非军事和非机密数据的加密标准。 返回
19
非对称加密(公钥加密):非对称加密(公钥加密): Ke<>KdKe<>Kd特点 每个用户保存着一对密钥——公钥和私钥,公钥是公开的,可以公开传送给需要的人,私钥只有本人知道,是保密的,用公钥加密的信息只能用对应的私钥才能解密,并且在算法上保证从公钥无法推导出私钥。
公钥技术是二十世纪最伟大的思想之一 改变了密钥分发的方式可以广泛用于数字签名和身份认证服务
20
非对称密钥系统(公钥加密):非对称密钥系统(公钥加密): Ke<>KdKe<>Kd
优点– N 个人彼此之间传输保密信息只需 N 对密钥,而且由于公
钥是公开的,所以公钥的发布也不成问题。
缺点– 加密和解密的速度比对称加密系统要慢得多,效率不高。
常用加密算法– RSA 算法,基本原理:基于数论中一个大数可以分解为
两个素数之积,将其中一个素数作为公钥,另外一个素数作为私钥 。 返回
21
3.3. 电子交易中公钥加密应用实例电子交易中公钥加密应用实例A )用非对称密钥发送保密信息
22
B )用非对称密钥使信息发送者无法抵赖
思考:如何在非对称加密系统中同时实现发送保密信息和对信息发送者的身份验证。
3.3. 电子交易中公钥加密应用实例电子交易中公钥加密应用实例
23
如:银行有很多客户,每个客户都用公钥加密,而银行则用密钥解密。
3.3. 电子交易中公钥加密应用实例电子交易中公钥加密应用实例
返回
24
5.3.2 5.3.2 信息摘要技术信息摘要技术 信息摘要是一种防止信息被改动
的方法,其中核心技术是摘要函数或散列函数( Hash函数)算法。常用的算法是 MD5 、 SHA-1 等。经过这些算法的处理,即使只改变原始信息中的一个字母,对应的压缩信息也会变为截然不同的“信息指纹”,从而确保信息不能被非法篡改。
25
5.3.2 5.3.2 信息摘要技术信息摘要技术
安全的 Hash函数必须满足的特性
①具有抗碰撞性:指寻找两个不同的输入却能得到相同的输出值在计算上是不可行的;
② 具有不可推导性:指找到一个输入,能得到给定的输出在计算上是不可行的,即不可从结果推导出它的初始状态。
26
5.3.2 5.3.2 信息摘要技术信息摘要技术
27
5.3.3 5.3.3 数字签名技术数字签名技术
什么是数字签名 数字签名( Digital Signature )技术是将摘要用
发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。
数字签名的作用 信息是由签名者发送(不可否认性) 信息自签发后到收到为止未曾做过任何修改。(完整性)
28
5.3.3 5.3.3 数字签名技术数字签名技术
数字签名的实现流程
29
5.3.4 5.3.4 数字时间戳技术数字时间戳技术
什么是数字时间戳( DTS )在交易文件中,时间和签名一样是十分重要
的证明文件有效性的内容。数字时间戳就是用来证明信息的收发时间的。它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。
30
5.3.4 5.3.4 数字时间戳技术数字时间戳技术数字时间戳的实现流程
31
5.3.5 5.3.5 数字证书技术数字证书技术 1.1. 认证中心认证中心 ①CA:核心系统根 ②RA :指证书登记机构③证书的公布系统 Web Publisher ,简称 WP 数字证书的颁发,不是依靠交易双方自己来完成
的,而是需要一个权威的第三方机构,通常称为 CA( Certificate Authority )。 CA 认证系统一般采用PKI ( Public Key Infrastructure ,公钥体系结构)框架来管理密钥和证书。 PKI 是一种遵循既定标准的密钥管理平台,是利用公钥理论和技术建立的提供网络安全服务的基础设施。
对证书申请人或申请组织进行身份审核注册
颁发证书 普通用户和 CA
直接交流的界面
32
CACA 的职能 的职能
●证书发放 ●证书更新 ●证书撤消 ●证书验证
返回
注意: CA首先必须生成公钥体系中自己的根密钥对,并在此基础上生成根证书,从而才能为各级 CA和客户生成、管理证书。
33
知名认证中心知名认证中心 ①美国的 Verisign 公司 www.verisign.com (微软、网景、工行
等)
②中国电信 CTCA 系统 ③中国金融认证中心 CFCA④上海市电子商务安全证书管理中心 ⑤北京数字证书认证中心 ⑥广东省电子商务认证中心 ⑦中国数字认证网
34
我国我国 CACA 建设现状建设现状 我国的 CA 建设尚处于起步阶段,缺乏完整的统筹和协调,没有建立一个政策上完全固定的全国性根 CA(如美国的邮政 CA),而是各行业各地区都建成自己的一套 CA体系。这对处于权威认证地位的 CA来说,不仅是基础设施的浪费,也对电子商务中的身份认证带来一系列问题,如交叉认证的不兼容等。
网上银行认证方式常采用商业银行自建 CA系统,要求网银客户使用。在 2005 年 4月 1日实施的电子签名法中明确推荐使用第三方证书,引入第三方认证机制,这样就排除了商业银行即当运动员又当裁判员时可能存在的各种风险。
35
2.2. 数字证书的相关概念数字证书的相关概念
是网络通信中标识个人、计算机系统或组织的身份和密钥所有权的电子文档,其作用类似于现实生活中的身份证。
数字证书采用公开密钥体制,由交易方共同信任的第三方权威机构发行,交易伙伴之间可以使用数字证书来交换公钥。
36
数字证书的内容 数字证书的内容
按 X.509 数字证书标准,数字证书一般应包含 :证书拥有者(即交易方)的名称;颁发数字证书的单位的名称;颁发数字证书单位的数字签名;证书的序列号、版本号及有效期;证书拥有者的公钥及所使用的加密算法等。
37
例:利用数字证书识别真假网站例:利用数字证书识别真假网站
网站数字证书的标识
38
网站数字证书的内容
39
数字证书的类型数字证书的类型
①个人数字证书②企业数字证书③设备数字证书④代码签名数字证书
也称客户证书,主要为用户提供凭证,以证实其身份和密钥所有权。根据个人数字证书的不同功能,具体又可以分为个人身份证书、个人电子邮件证书、个人网上银行证书等。
包括企业基本信息、企业的公钥及签发单位的数字签名等信息,主要用于证明企业的真实身份,以便企业在网上进行各类 B2B、B2C、 B2G 等电子商务活动。
具体又包括应用服务器证书、 Web服务器证书、 VPN网关证书、 VPN 客户端证书等。
分为个人代码签名证书和企业代码签名证书。前者主要用于提供软件开发人员对其开发的软件代码进行数字签名,以有效防止其软件代码被篡改 ,后者主要颁发给具有企业行为的软件开发商或提供商,防止软件代码被篡改,保护软件开发商的版权利益。
40
5.3.65.3.6 安全电子交易协议安全电子交易协议 在电子商务中最广泛应用的安全协议是:
●安全套接层协议( SSL , Secure Sockets Layer ) 由 Netscape公司提出的安全交易协议 主要使用场合:浏览器和服务器(通常是Web服务器)之间安全
通信的协议,是属于网络传输层的标准协议,可用于加密任何基于TCP/IP的应用,如HTTP、 Telnet、 FTP等。
●安全电子交易协议( SET , Secure Electronic Transaction ) 由国际信用卡组织机构(VSA 和 MasterCard)联合包括微软、
网景、IBM在内的各大公司及科研机构共同制定的电子交易协议标准 。
主要使用场合:在线支付
41
1.SSL1.SSL 协议 协议 ●IE 浏览器中支持 SSL 协议的设置
返回
42
1.SSL1.SSL 协议协议● SSL协议工作流程
43
开发成本小,应用简单方便。安全性能还不错。存在客户身份合法性和不可抵赖性等安全隐患缺乏第三方认证
1.SSL1.SSL 协议协议● SSL协议的特点
44
2.SET2.SET 安全协议安全协议 ● SET协议工作流程
45
2.SET2.SET 安全协议安全协议● SET协议的特点
保证信息的机密性保证支付信息的完整性多方认证标准性
46
5. 5. 44 数字证书应用实例数字证书应用实例
5.4.1 个人电子邮件证书的申请和使用
5.4.2支付宝数字证书的申请和使用
47
5.4.15.4.1 个人电子邮件证书的申请和使用个人电子邮件证书的申请和使用个人免费电子邮件数字证书的申请
48
5.4.15.4.1 个人电子邮件证书的申请和使用个人电子邮件证书的申请和使用个人数字证书的查询
49
5.4.15.4.1 个人电子邮件证书的申请和使用个人电子邮件证书的申请和使用个人数字证书的导出 /导入 :点击“工具”|“ Internet选项”|“内容”|“证书”
50
5.4.15.4.1 个人电子邮件证书的申请和使用个人电子邮件证书的申请和使用在 Outlook Express中使用数字证书
51
5.4.25.4.2 支付宝数字证书的申请和使用支付宝数字证书的申请和使用 支付宝账户注册
52
5.4.25.4.2 支付宝数字证书的申请和使用支付宝数字证书的申请和使用 支付宝实名认证
53
5.4.25.4.2 支付宝数字证书的申请和使用支付宝数字证书的申请和使用 支 付宝数字证书的其它常用操作
54
5.5 5.5 案例思考案例思考 背景:近年来,随着网络的普及及网上交易的频繁,网上诈骗行为日益猖獗,严重影响了用户对网上交易安全性的信心。其中,通过恶意邮件、假冒网站等钓鱼式攻击成为用户密码大盗的头把交椅。据美国世界日报的统计,全球“钓鱼”案自 2005年始,以每年高于 200%的速度增长,据 (iResearch)艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示, 2006年中国(大陆 ) 病毒造成的主要危害情况中,“密码被盗”就高达 13.1%,其中各种网络钓鱼病毒及病毒组合占有极大的比重,其数量自 2006年 5月以来呈现急剧上升的趋势。 设置情景 思考问题
55
实训三 数字证书的申请和使用实训三 数字证书的申请和使用 实训目的
(1) 掌握个人免费数字证书的申请和下载的方法。(2) 掌握数字证书的导入、导出方法。(3) 掌握在 Outlook Express中配置数字证书的方法。(4) 掌握在 Outlook Express中利用数字证书收发数字
签名邮件的方法。(5) 掌握在 Outlook Express中利用数字证书收发加密
邮件的方法。 (6) 初步了解 Office 文档的数字签名方法
56
实训三 数字证书的申请和使用实训三 数字证书的申请和使用实训内容
(1) 利用中国数字认证网( www.ca365.com)申请个人免费数字证书。
(2) 查询所申请的证书,并将证书导出到某一存储介质上。
(3) 删除已安装的个人数字证书后,再从存储介质上重新导入证书。
(4) 在Outlook Express中发送和接收数字签名邮件。
57
谢 谢!谢 谢!