第八章电子商务安全技术案例

第八章电子商务安全技术第8章电子商务安全技术8.1电子交易的安全需求8.2网络安全技术8.3信息安全技术8.4电子商务的认证技术8.5安全电子交易技术第八章电子商务安全技术学习目标◇了解电子交易的安全需求和安全威胁◇了解Windows系列操作系统的安全性◇了解防火墙技术、VPN技术、病毒防范技术和安全检测技术◇理解加密技术、识别和认证技术◇掌握数字证书的格式◇理解SSL协议和SET协议的相关知识第八章电子商务安全技术案例•案例一购买联通CDMA包年上网卡被骗。•案例二网上买手机连遭陷阱。•案例三在网络支付时帐户被盗。•案例四通过网上钓鱼来步步引诱欺骗消费者。第八章电子商务安全技术案例启示•案例一因为用户对联通的相关资费不清楚；•案例二因为用户没有自始至终地坚持“货到付款”；•案例三因为网络支付时由于假平台网站的迷惑性或其它原因用户的密码被盗；•案例四利用了用户贪小便宜的心理。第八章电子商务安全技术案例启示据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。并面临着严峻的形势。第八章电子商务安全技术案例启示2005年1月26日，瑞士达沃斯，第35届世界经济论坛。主题：“为艰难抉择承担责任”。阿里巴巴CEO马云：2003~2004年，电子商务的诚信(长期过程)；2005年，中国电子商务的安全支付年；第八章电子商务安全技术8.1电子交易的安全需求问题的提出美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。一家大公司网络联机通信服务公司的主干网出现重大故障，40万用户被迫中断联络40小时。从1993年起，黑客在中国的活动就没有停止过。在1997年以后，黑客入侵活动日益猖獗，逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到黑客的攻击。第八章电子商务安全技术8.1.1电子商务的安全威胁1、信息的截获和窃取2、信息的篡改3、信息假冒4、交易抵赖8.1电子交易的安全需求第八章电子商务安全技术8.1电子交易的安全需求安全问题解决方案采用技术数据被泄漏或篡改(机密性、完整性)加密数据以防非法读取或篡改对称加密、非对称加密、信息摘要信息假冒或发送数据后抵赖(真实性、有效性、不可抵赖性)对信息的发送者进行身份验证数字签名、数字时间戳、认证技术未经授权擅自的访问网络(可靠性，严密性)对访问网络或服务器某些流量进行过滤和保护防病毒、防火墙网络对特定对象开放专用网络操作系统、应用软件的安全用户注册、用户权限用户名、密码数据库安全访问控制、数据备份与管理DBMS8.1电子交易的安全需求•电子商务的安全需求包括两方面：–电子交易的安全需求–计算机网络系统的安全（第二节讲）第八章电子商务安全技术8.1.2电子商务的安全要求◇机密性◇鉴别性◇完整性◇有效性◇不可抵赖性8.1电子交易的安全需求第八章电子商务安全技术8.1电子交易的安全需求◇完整性请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙请给丙汇100元交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。第八章电子商务安全技术8.1电子交易的安全需求电子商务安全框架安全管理体系交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密钥算法网络安全技术病毒防范身份识别防火墙技术分组过滤和代理服务等法律法规、政策计算机网络安全和商务交易安全网络设备安全网络系统安全数据库安全(计算机自身)实现电子商务的5种安全需求(交易过程)相铺相成，密不可分第八章电子商务安全技术8.1电子交易的安全需求8.1.3电子商务安全体系的角色构成◇服务商◇客户方◇银行◇认证机构8.1电子交易的安全需求第八章电子商务安全技术8.2网络安全技术8.2.1操作系统安全8.2.2防火墙技术8.2.3VPN技术8.2.4病毒防范技术8.2.5入侵检测技术第八章电子商务安全技术8.2网络安全技术8.2.1操作系统安全◇WindowsNT安全性（1）域用户管理方式（WindowsNT通过定义域之间的信任关系来允许在一个域中定义的用户可以在另一个域中来验证身份，并可以访问其网络资源。）（2）共享和权限限制(NTFS文件系统)（3）多安全协议支持第八章电子商务安全技术8.2网络安全技术8.2.1操作系统安全◇Windows2000安全性（1）建立Kerberos认证（2）活动目录AD（3）对公钥基础设施PKI的集成支持第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术⑴防火墙概念一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使互联网（Internet）与内部网（Intranet）之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。它的作用就像一个门卫，出去或者进来的信息都要经过它的审查，只有经过审查通过的信息才能予以放行。第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术⑵防火墙的安全策略“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术⑶防火墙的主要功能①、防火墙是保护内部网安全的屏障②、可对可疑操作进行审计跟踪③、防止内部网信息泄漏④、保护数据的完整性第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术⑷防火墙的局限性①、防火墙无法防范内部用户的攻击②、防火墙无法防范不通过它的连接③、限制了有用的网络访问④、防火墙很难防范病毒⑤、防火墙不能防备新的网络安全问题⑥、防火墙不能防止数据驱动式攻击第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术（5）防火墙的实现技术①包过滤技术:禁止来自某些特定的原地址、目的地址和TCP端口的访问（网络层和传输层），对高层次无能为力。第八章电子商务安全技术Internet包过滤路由器Internet包过滤防火墙安全区域8.2.2防火墙技术（5）防火墙的实现技术②代理服务防火墙：用户和被访问主机间增加一代理服务器，代替用户进行安全检测。8.2网络安全技术InternetInternet防火墙代理服务器即双重宿主主机第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术（5）防火墙的实现技术③应用网关防火墙：采用为每种所需服务在网关上安装专用程序代码的方式管理Internet各种服务。（建立在网络应用层）第八章电子商务安全技术8.2网络安全技术8.2.2防火墙技术（6）防火墙的主要类型①基于IP包过滤器的体系结构②双重宿主主机体系结构③被屏蔽主机体系结构④被屏蔽子网体系结构（内外路由器）第八章电子商务安全技术8.2网络安全技术8.2.3VPN技术（1）VPN的概念VPN即虚拟专用网络，通过一个公用的网络建立的一个临时的安全链接，是一条穿过公用网络的安全稳定的隧道。第八章电子商务安全技术8.2网络安全技术8.2.3VPN技术（2）VPN的建立第八章电子商务安全技术8.2.3VPN技术（3）VPN的应用①通过Internet实现安全远程用户访问②通过Internet实现网络互联③连接企业内部网络计算机8.2网络安全技术第八章电子商务安全技术8.2网络安全技术8.2.3VPN技术（4）VPN的选择①基于防火墙的VPN②基于路由器的VPN③专用软件或硬件第八章电子商务安全技术8.2网络安全技术8.2.4病毒防范技术1、病毒的概念：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。（发展）熊猫烧香病毒谁打开了潘多拉的魔盒8.2网络安全技术8.2.4病毒防范技术2、病毒的类型①引导区病毒②文件型病毒③入侵型病毒④外壳型病毒第八章电子商务安全技术8.2网络安全技术8.2.4病毒防范技术3、病毒的特征①感染性②流行性③欺骗性④危害性⑤潜伏性⑥隐蔽性第八章电子商务安全技术8.2网络安全技术8.2.4病毒防范技术4、病毒的预防①防毒②查毒③解毒第八章电子商务安全技术8.2网络安全技术杀毒软件8.2网络安全技术8.2.5入侵检测技术1、入侵行为含义：对系统资源的非授权使用，可以造成系统数据的丢失和破坏、系统拒绝服务等危害。2、IDS：识别非法用户未经授权使用计算机系统，或者合法用户超越计算机系统的行为。第八章电子商务安全技术8.2网络安全技术8.2.5入侵检测技术2、主要任务：①监视和分析用户系统活动；②审计系统构造和弱点；③识别反映已知进攻的活动模式向有关人士报警；④统计分析异常行为模式；⑤评估重要系统各数据文件的完整性；⑥审计和跟踪管理操作系统，识别用户违法安全策略的行为。第八章电子商务安全技术8.2网络安全技术8.2.5入侵检测技术3、分类⑴按数据源分类：①基于主机的入侵检测系统②基于网络的入侵检测系统⑵按系统结构分类：①集中式入侵检测系统②分布式入侵检测系统⑶按入侵的时间分类：①实时入侵检测系统②事后入侵检测系统第八章电子商务安全技术8.2网络安全技术8.2.5入侵检测技术2、安全检测评估技术①进行各个单项检测与评估②进行综合检测与评估第八章电子商务安全技术8.3信息安全技术8.3.1密码学概述8.3.2对称密钥密码体制8.3.3非对称密钥密码体制8.3.4PGP技术第八章电子商务安全技术8.3信息安全技术8.3.1密码学概述含义：研究密码和解密变换的一门学科。概念：明文人们可以懂的文本。密文将明文换成不可懂得文件加密把明文换成密文的过程解密把密文换成明文的过程密码体制完成加密和解密的算法密钥随机字符窜第八章电子商务安全技术8.3信息安全技术8.3.2对称密钥密码体制加密的分类按密钥和相关加密程序类型可把加密分为：对称加密非对称加密第八章电子商务安全技术8.3信息安全技术8.3.2对称密钥密码体制加密密钥：加密/解密使用相同的密钥加密算法：DES(DataEncryptionStandard)优点：加密、解密速度很快(高效)缺点：存在密钥的约定和保管困难的问题,解密秘钥可推导出。第八章电子商务安全技术8.3信息安全技术加密原文加了密原文原文密钥解密texttext+1-1ufyu8.3信息安全技术8.3信息安全技术DES（数据加密标准）是一种分组加密算法。它对64bit数据块进行加密。如果待加密数据更长的话，则必须将其划分成64bit的数据块。最后一个数据块很可能比64bit要短。在这种情况下，通常用0将最后一个数据块填满（填充）。DES加密的结果仍然是64bit的数据块。密钥长度为64bit（其中包含8个校验比特）。特点：比较安全，且硬件实现效率高。第八章电子商务安全技术8.3信息安全技术8.3.3非对称密钥密码体制加密密钥:加密/解密使用不同密钥:公开密钥(PK)和私人密钥(SK)加密算法:1977年麻省理工学院的三位（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统RSA优点:减低密钥传递风险、减少密钥组合数量、识别私有密钥使用者身份缺点:存在对大报文加密困难,即无法对大于密钥长度的报文加密第八章电子商务安全技术8.3信息安全技术8.3信息安全技术特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用8.4电子商务的认证技术8.4.1认证技术8.4.2证书机构8.4.3数字证书第八章电子商务安全技术8.4电子商务的认证技术8.4.1认证技术认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。第八章电子商务安全技术8.4电子商务的认证技术认证模型：发方私钥加密，收方公钥解密第八章电子商务安全技术8.4电子商务的认证技术广泛使用的认证技术数字