第4章电子商务安全问题电子商务的安全威胁及需求防火墙、IDS、IPS技术等加密技术认证技术安全协议———学习要点了解电子商务的安全需求了解网络安全措施理解对称密钥加密原理理解非对称密钥加密的原理了解电子商务认证技术了解SSL与SET协议的功能和作用1、电子商务安全性要求基本要求定义保密性保持个人的、专用的和高度敏感数据的机密完整性保证存储和传输的数据不被篡改认证性确认通信双方的合法身份不可否认性防止通信或交易双方对已进行的业务的否认防御性能够阻挡不希望的信息或黑客的攻击可访问性保证系统、数据和服务由合法的人员访问合法性保证各方的业务符合可适用的法律和法规有效性电子形式的合同具有法律效力案例1钓鱼网站所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。案例2账户被盗总统微博黑客入侵事件2010年9月26日报道,委内瑞拉总统查韦斯的Twitter账户疑遭到黑客入侵。自9月22日以来,查韦斯的Twitter账户出现混乱状况,至少3条微博都不是查韦斯本人写的。委内瑞拉官员呼吁美国方面协助这一广受欢迎的社交网站管理员对此进行调查。据悉,查韦斯在Twitter上有85万粉丝,每天会收到数百条留言。电子商务网络面临的不安全企图在未经授权的情况下进入计算机的人。影响计算机的使用并能自我复制的一组计算机指令或代码。黑客计算机病毒拒绝服务攻击1、电子商务安全性要求基本要求定义保密性保持个人的、专用的和高度敏感数据的机密完整性保证存储和传输的数据不被篡改认证性确认通信双方的合法身份不可否认性防止通信或交易双方对已进行的业务的否认防御性能够阻挡不希望的信息或黑客的攻击可访问性保证系统、数据和服务由合法的人员访问合法性保证各方的业务符合可适用的法律和法规有效性电子形式的合同具有法律效力2.网络安全措施防火墙技术(firewall)入侵检测技术(IntrusionDetectionSystem)入侵防护系统(IntrusionPreventionSystem)病毒防治技术防火墙技术(服务器安全防范)概念:防火墙是一种隔离控制技术,通过在网络之间设置电子屏障来保护内部网络的安全。构成:路由器、路由器的软件模块、防火墙软件Internet防火墙局域网根据规则判断是否允许分组通过局域网防火墙未被明确允许的都将被禁止未被明确禁止的都被允许防火墙的分类包过滤技术过程:检查数据包---过滤数据包优点:方便有效、简单易行缺点:高层防范能力差、审核性不强代理服务技术应用层网关作为代理服务器(应用网关:过滤、统计分析)代理服务技术因特网应用服务器服务器代理客户访问控制代理服务器:较强的数据流监控、过滤、记录、报告等功能双穴主机网关屏蔽被保护网络问题?内部网外部网堡垒主机屏蔽主机网关堡垒主机受保护注意:路由器的安全及协调性内部网外部网屏蔽路由器堡垒主机屏蔽子网网关内部网外部网外部路由器堡垒主机内部路由器被屏蔽的子网缺点:内部攻击、病毒、口令泄密等不能防范入侵检测系统(IDS)通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,及时识别入侵行为和未授权网络流量并实时报警。缺点:无法有效阻断攻击、蠕虫爆发的网络瘫痪等入侵防护系统(IPS)对出入流进行有效准确监测网络异常流量,提供主动的实时的防护。(能实时主动拦截黑客攻击、蠕虫、网络病毒、木马等恶意流量)杀毒软件预防、检测、清除病毒升级操作系统、浏览器安全设置安装杀毒软件,并升级安装数字证书,认证识别设置复杂无规律的密码不在聊天时透漏个人信息不浏览不明网页选C2C,B2C买卖方注意:信用标志、营业执照、公司地址和电话、支付方式及账号、聊天记录等客户端的安全防范3.数据加密技术对称密钥加密(如:替代\换位)非对称密钥加密混合加密应用:数字摘要技术数字签名技术数字信封技术数字时间戳数据的加密加密、解密、明文、密文、算法、密钥利用基于数学方法的程序和保密的密钥对信息进行编码,明文变成密文的过程。算法:数学函数密钥:可变参数(加密密钥、解密密钥)注意:加密系统中,算法是相对稳定的,而密钥是可以改变的。Y=ax+b对称密钥体制加密密钥=解密密钥,典型DES、IDEA算法明文密文明文发送方用加密密钥对信息加密接收方用解密密钥对密文解密替代加密法单字符加密(简单替代加密)同音替代加密码(如A:x,l,n)多元替代加密(如ABA:THE)多字母替代(如多表代换)26字母出现的频度分析IMISSYOU.?LPLVVBRX换位加密法明文:computergraphicsmaybeslowbutatleastit’snotexpensive.COMPUTERGRAPHICSMAYBESLOWBUTATLEASTITSNOTEXPENSIVE密文:CAELTOPSEEMHLAXPIOSPUCWTETSBINEMUTSRATSIGYANVRBTOE对称密钥体制加密密钥=解密密钥,典型DES、IDEA算法密钥如何传递?密钥的保管?明文密文明文发送方用加密密钥对信息加密接收方用解密密钥对密文解密非对称密钥加密体制定义两个密钥,组成一个密钥对,其中一个公开,另一个私有,也称公开密钥密码体制。一个用于加密,另一个用于解密。(RSA)产生原因可解决对称密钥技术加密时的弊端两种模式加密模式、验证模式混合加密对称密钥加密+非对称密钥加密4.认证技术对称密钥加密非对称密钥加密混合加密应用:数字信封技术数字摘要技术数字签名技术数字时间戳数字信封定义采用双重加密技术,对称加密和非对称加密结合起来,保证只有规定的接收者才能阅读信中的内容。先采用对称加密体制对信息明文加密——再将密钥用接收者的公开密钥进行加密形成数字信封。密钥传递?明文加密对K加密密文A密文B对称密钥K加密1、2、传递密钥3、非对称体制(?)对密文B解密得到密钥,用密钥去解密文A得到明文发送AB数字摘要采用安全Hash编码法对明文中的重要元素进行某种交换运算后得到的一串密文,即为数字摘要,也称数字指纹。作用:验证明文有无被篡改(不同明文形成的密文摘要是不同的,而同样的明文形成的密文摘要是一致的。)使用数字摘要的过程数字摘要信息明文对称密钥K加密非对称体制(收方公钥)接收方(1)两次解密(2)对信息明文HASH编码(3)对比数字签名数字签名与普通签名的不同数字签名的原理目的:(1)信息从发送方A到接收方的安全传送(2)证明信息是发送方A发送的手段:对信息加密,再加密,即双重加密数字签名的过程明文密文密文发送方用Hash编码法对报文明文编码,得到密文即数字摘要发送方用自己的私钥对数字摘要进行加密,得到数字签名使用数字签名的过程1.发送方A将数字签名附在信息明文后一起传送给接收方。2.接收方来验证数字签名是不是发送方A的,验证信息是完整的没有被篡改。数字签名信息明文接收方的验证过程数字时间戳定义确认电子文件发表时间的一种安全保护凭证文档。注意:数字时间戳是一个经加密后形成的凭证文档,由三部分组成。需加时间戳的文件摘要DTS收到文件的日期和时间DTS的数字签名数字证书定义数字证书是一数字文件,由一个权威机构发行的,用来标志参与各方身份信息的一系列数据。(1)CA认证中心发行,具有法律效力(2)身份证明作用(1)证明电子商务或信息交换中参与者的身份(2)提供网上发送信息不可否认性的依据(3)网上纠纷时方便找到具体当事人CertificationAuthority认证机构CA,又称认证中心,证书授权机构,承担网上认证服务,负责签发数字证书并能确认用户身份的受各方信任的权威的第三方机构。(政府机构、企业等)VeriSign任务受理数字证书的申请签发数字证书(颁发)管理数字证书(更新、查询、作废、归档)内容(X.509标准)姓名、公开密钥、公开密钥的有效期、数字证书的序列号、颁发数字证书的单位、颁发数字证书单位的数字签名、私钥数字证书的几种常见类型1.个人数字证书2.企业数字证书3.软件开发者凭证4.网站服务数字证书(Webserver数字证书)5.安全协议S-HTTP安全超文本传输协议SSL安全套接层协议SET安全电子交易协议STT安全交易控制协议S-MIME安全多功能因特网电子邮件扩充协议SSL协议提供的安全服务用户和服务器的合法性认证加密数据以隐藏被传送的数据保护数据的完整性安全套接层协议--SSL定义对因特网上计算机间对话进行的一种网络安全协议,对浏览器的服务器之间传输的数据进行加密。实现基于TCP/IP,HTTP、FTP、Telnet信息加密传输。SSL握手协议SSL记录协议TCPIP安全协议--SET特点1、一个能够保证通过开放网络进行安全资金支付的技术规范,即SET协议。2、对称密钥加密、公钥加密、Hash算法、数字签名、数字信封及数字证书等技术。3、SET是未来电子商务的规范机密性、身份认证、完整性、交易不可否认实现采用PKI和X.509标准----软件、数字证书、数字签名等技术----编码、加密----以维护开放网络上信息的安全目的信息在因特网上安全传输订单信息和个人账户信息隔离持卡人和商家相互认证(买卖双方)统一报文格式\软件等兼容性SET协议的工作过程1.浏览商品2.选择商品3.填写订单4.选择付款方式5.提交订单和付款指令6.商家接受订单,通过支付网关请求支付7.银行确认,返回确认消息8.商家发送订单确认消息给顾客9.交易完成,等待转账和送货Thankyou!电子商务的安全需求防火墙技术\IDS\IPS加密技术认证技术安全协议客户端、服务器的安全防范、通信信道数字摘要数字签名数字信封数字时间戳