项目三电子商务安全与认证(p215)济源职业技术学院经管系-----电子商务专业(一)电子商务的安全隐患1、电子商务的安全与网络安全一、电子商务的安全问题电子商务系统安全网络安全防病毒防黑客入侵检测…………信息的完整性交易双方身份的真实性例子在浔阳,宋江被黄文炳诬陷送入大牢待秋后处斩,为免节外生枝,浔阳知府蔡九决定派戴宗送家书给父亲当朝太师蔡京,请求早点处决宋江。途中,书信被水泊梁山好汉截获。军师吴用请来圣手书生萧让和玉臂匠金大坚,模仿蔡京笔迹写了一封回信,并让人伪造蔡京印章在上面盖章,让蔡九将宋江送到东京处置,这样梁山好汉就可以伺机在半路截获囚车营救宋江。在蔡九和父亲的书信通信过程中出现了三个很严重的安全问题:1、信件内容被截获2、信件内容被伪造3、回信签名被假造电子商务的安全隐患:一、电子商务的安全问题(二)电子商务的信息安全需求信息的保密性信息的完整性信息的不可否认性交易者身份的真实性一、电子商务的安全问题1、信息的保密性----是指信息在传输过程或存储过程中不被他人窃取。因此,信息需要加密以及在必要的节点上设置防火墙。如:在网上传输的信用卡号。一、电子商务的安全问题2、信息的完整性---从信息传输和存储两方面来看。存储时要防止非法篡改、删除和破坏。传输时要求接收方收到的信息与发送的信息完全一样,说明信息在传输过程中没有遭到破坏。一、电子商务的安全问题3、信息的不可否认性----是指发送方不能否认已发送的信息,接收方不能否认已收到的信息。如:订货时的金价较低,事后上涨。一、电子商务的安全问题4、交易者身份的真实性----是指交易双方确实存在,不是假冒的。一、电子商务的安全问题(三)网民的自我保护措施网上的一些虚假、欺诈手段:1、发送电子邮件、以虚假信息引诱用户中圈套2、建立假冒网上银行、网上证券站,骗取用户账号和密码实施盗窃3、利用虚假的电子商务进行诈骗4、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动5、利用用户弱口令等漏洞破解、猜测用户账号和密码一、电子商务的安全问题网民的防范措施(建议):1、针对电子邮件欺诈,对于具有以下特点的邮件要加强警惕(1)伪造发件人信息,如abc@abcbank.com(2)问候语或开场白往往模仿被假冒单位的口吻和语气如“亲爱的用户”(3)邮件内容多为传递紧迫的信息,如以账户状态将影响到正常使用或宣称正在通过网站更新账号资料信息等(4)索取个人信息,要求用户提供账号,密码等信息一、电子商务的安全问题网民的防范措施(建议):2、针对假冒网上银行、网上证券网站的情况(1)核对网址,看是否与真正网址一致(2)选妥和保管好密码(3)做好交易记录,定期查看“历史交易明细”(4)保管好数字证书,避免在公用的计算机上使用网上交易系统。(5)对异常动态提高警惕,例如“系统维护”(6)通过正确的程序登陆支付网关一、电子商务的安全问题网民的防范措施(建议):3、针对虚假电子商务信息的情况,广大网民应掌握诈骗信息特点,在进行网络交易前,要对交易网站和交易双方的资质进行全面了解。4、尽量在不同场合使用有所区别的密码5、不断增强网络安全与道德意识,培养良好的网络安全与道德素质。一、电子商务的安全问题网民的防范措施(建议):6、其他网络安全防范措施:(1)安装防火墙和防病毒软件,并经常升级(2)注意经常给系统打补丁,堵塞软件漏洞(3)禁止浏览器运行未知javascript和activex代码(4)不要打开一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件一、电子商务的安全问题由于数据在保存或传输过程中有可能遭到侵犯者的窃听而失去保密信息,数据加密的主要目的是防止信息的非授权泄露。数据加密被公认为是保护数据传输安全唯一实用的方法和保护存储数据安全的有效方法。二、电子商务的信息安全技术---加密技术二、电子商务的信息安全技术---加密技术1.加密技术一般原理加密技术的基本思想就是伪装信息,使非法接入者无法理解信息的真正含义。伪装就是对信息进行一组数学变换。我们称伪装前的原始信息为明文,经伪装的信息为密文。将明文伪装为密文的过程为加密(Encrypt),其逆过程称为解密(Decrypt)。1.加密技术一般原理加解密使用的一组数学变换称为加密算法。为了有效控制加密、解密算法的实现,在这些算法的实现过程中,需要有某些只被通信双方所掌握的专门的、关键的信息参与,这些信息就称为密钥(Key)。用作加密的称加密密钥,用作解密的称作解密密钥。二、电子商务的信息安全技术---加密技术加密技术的分类:对称密钥加密技术非对称密钥加密技术数字信封二、电子商务的信息安全技术---加密技术对称密钥加密:是指信息的发送方和接收方采用相同的密钥进行加密和解密,这个密钥称为通用密钥或专用密钥。二、电子商务的信息安全技术---加密技术明文密文加密通用密钥发送方密文明文解密通用密钥接收方二、电子商务的信息安全技术---加密技术对称密钥加密技术优点:加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性。缺点:密钥使用一段时间后就要更换,而在密钥传递过程中要保证不能泄密。另外,由于交易对象多,使用相同的密钥就没有安全意义,而使用不同的密钥则密钥量太大,难于管理。为了弥补对称密钥加密技术的不足,出现了非对称密钥加密技术。非对称密钥加密:-----信息的发送方和接收方采用不同的密钥进行加密和解密。在这种加密体制中,每个网络上的用户都有一对唯一对应的密钥,即公开密钥和私有密钥,简称公钥和私钥。公钥是公开的,可以公布在网络上,也可以公开传送给需要的人;私钥只有本人知道,是保密的。解决信息公开传送和密钥管理问题二、电子商务的信息安全技术---加密技术二、电子商务的信息安全技术---加密技术明文非对称密钥加密过程示意图:密文明文解密接收者私钥接收方密文加密接收者公钥发送方二、电子商务的信息安全技术---加密技术非对称密钥加密技术优点:密钥分配简单。用户可以把用于加密的公钥,公开地分发给任何需要的其他用户。利用公钥加密技术可以实现数字签名,并确认对方身份。缺点:加密和解密花费时间长、速度慢,适合于对少量数据进行加密。二、电子商务的信息安全技术---加密技术数字信封----由于对称加密和非对称加密各有优缺点,实际加密过程中通常是将两者结合起来使用,就形成了数字信封。-----结合了对称加密和非对称加密两种技术的优点,使用两个层次的加密来获得非对称加密的灵活性和对称加密的高效性。二、电子商务的信息安全技术---加密技术数字信封加密过程示意图:数字信封加密接收者公钥发送方通用密钥密文加密通用密钥明文通用密钥解密接收者私钥数字信封明文解密通用密钥密文接收方二、电子商务的信息安全技术---加密技术数字信封信息的发送方使用通用密钥对信息进行加密,生成密文,再用接收方的公钥加密通用密钥,生成数字信封(加密后的通用密钥),然后将密文和数字信封一起通过Internet发送给接收方。接收方用私钥对数字信封解密后得到通用密钥,再用通用密钥解密密文得到明文。三、电子商务的信息安全技术---数字摘要数字摘要采用单向Hash函数(所谓单向是指不能被解密)将需要加密的明文“摘要”成一串128bit的密文,这一串密文也称为数字指纹,它有固定的长度,且不同的明文摘要成密文,其结果是不同的,而同样的明文其摘要必定一致。发送方将消息和摘要一同发送,接收方收到后,同样用单向Hash函数对收到的消息产生一个摘要,并与收到的摘要对比以判断信息的完整性。三、电子商务的信息安全技术---数字摘要明文摘要Hash摘要摘要对比明文Hash发送方接收方四、电子商务的安全技术---数字签名在书面文件上签名有两个作用:一是证明文件是由签名者发送并认可的,不可抵赖,负有法律责任;二是保证文件的真实性,不是伪造的,非经签名者许可不许修改。在电子商务活动中也可通过数字签名来实现以上功能。四、电子商务的安全技术---数字签名数字签名是非对称加密和数字摘要技术的综合应用。明文摘要Hash摘要摘要对比明文Hash发送方接收方数字签名发送方私钥数字签名发送方公钥四、电子商务的安全技术---数字签名发送方运用单向Hash函数对明文进行加密得到数字摘要,并用自己的私钥对数字摘要进行加密,形成数字签名;然后将数字签名和明文一起发送给接收方;接收方首先用发送方的公钥对收到的数字签名进行解密,得到数字摘要,再用单向Hash函数对收到的明文产生一个数字摘要,与解密得到的数字摘要进行对比,如果两个摘要相同,则说明得到的信息是完整的,同时也保证发送方不能否认自己已发送了信息。四、CA认证和数字证书(P220)如何在互联网上公布自己的那把需要公开的钥匙,并且使之和我们的身份信息联系在一起呢?CA认证和数字证书将公钥及其拥有者绑定在一起。四、CA认证和数字证书数字证书通常包含有惟一标识证书所有者的名称、惟一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。(P218)四、CA认证和数字证书数字证书的类型1、从使用对象来划分个人数字证书。企业(服务器)数字证书软件(开发者)数字证书2、从数字证书的技术角度划分SSL(安全套接层)证书。--服务于银行对企业或企业对企业的电子商务活动。SET(安全电子交易)证书。---服务于持卡消费、网上购物。四、CA认证和数字证书数字证书的类型3、从证书的用途来看签名证书。用于对信息进行签名,以保证信息的不可否认性。加密证书。用于对信息进行加密,以保证信息的真实性和完整性。四、CA认证和数字证书(P220)数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。四、CA认证和数字证书数字证书的原理:采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私钥,用它进行解密和签名;同时设定一把公钥,并由本人公开,为一组用户所共享,用于加密和验证签名。通过数字手段保证加密过程是一个不可逆过程,即只有私钥才能解密。四、CA认证和数字证书(P220)认证中心即证书授权(Certificateauthority)中心,又称CA中心.作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。四、CA认证和数字证书认证中心认证中心的职能1.证书的颁发2.证书的更新3.证书查询4.证书的作废5.证书的归档接收、验证用户数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。如果认证中心接受该证书申请,则进一步确定给用户颁发何种类型的数字证书。新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。五、防火墙引言——2010年5月24日360公司宣布正式推出全球首款“木马防火墙”。这意味着安全软件从事后“查杀木马”进入到“御木马于电脑之外”的新时代。据360总裁齐向东介绍,360安全卫士7.1正式版内置的360“木马防火墙”,依靠抢先侦测和云端鉴别,智能拦截各类木马,可实现在木马盗取用户账号、隐私等重要信息之前,将其“歼灭”,有效解决了传统安全软件查杀木马的滞后性缺陷。附:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。五、防火墙引言——防火墙就是这一事件的主角。而这一事件给我们带来以下这些思考:防火墙是怎样一种技术?防火墙能够完成哪些工作?五防火墙防火墙是一种被动的防御技术,是一类防范措施的总称,是一种隔离控制技术,在内部专用网和外部网络间设置保护,防止对信息资源的非授权访问。什么是防火墙为什么要设置防火墙防火墙的功能五、防火墙一、什么是防火墙(Firewall)防火墙本义:指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和