搜索
第五章电子商务安全课程安排5.1电子商务安全概述5.2信息加密技术式5.3信息认证技术5.4电子商务安全协议2020/5/2425.5其他电子商务安全第五章电子商务安全学习目标熟悉电子商务安全的含义了解目前常见的电子商务安全威胁掌握电子商务安全的需求了解电子商务安全常见的技术了解电子商务安全协议2020/5/2435.1电子商务安全概述电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全和数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性。2020/5/244引例南京法院总结网络诈骗四术:购物及交友花样多曾经在网上被骗钱?如何识破网上支付骗局?发现上当如何处置?2011年6月13日,南京市中级人民法院根据以往审理案件,总结出“网络诈骗四术”:互联网上竞拍及购物诈骗,网银、信用卡诈骗,虚假股票或投资理财“钓鱼”网站诈骗,网上交友、征婚诈骗。2009年,南京全市法院共受理各类型诈骗案件242件、涉案人数达382人,到了2010年,上述两数升至437件、592人,案件数量同比上升81%,涉案人数同比上升55%,增幅明显。其中,利用网络进行诈骗的犯罪增多,高科技手段频现,手段层出不穷,更趋于隐蔽。类型一:互联网上竞拍及购物诈骗一些行骗人会建立“山寨版”电子商务网站,或通过大型电子商务网发布“超低价”、“走私货”、“免税货”、“违禁品”等虚假商品销售信息,以低价吸引网民上当。还有一些行骗人会在网站上搞六合彩赌博网站、淫秽色情网站链接,引诱网民点击进入,交纳注册费,一旦注册成功,手机话费就被扣除。此外,游戏网站向玩家派送“中奖”信息,让玩家汇邮费、税费,买的东西和寄来的东西“货不对版”等,都是诈骗的常见招式。类型二:网银、信用卡诈骗“网络上所谓二代身份证生成器随处可见,只要知道他人的身份资料,就可以直接生成以假乱真的二代身份证复印件,再用这些资料去骗领信用卡”,韩亮表示,有不少案件的犯罪分子都是从网络上购买他人身份资料。类型三:虚假股票或投资理财“钓鱼”网站诈骗一些犯罪分子开设虚假网站,声称向股民有偿推荐优质股票、诱导股民交费“入会”、代理炒股等,骗取事主钱财。事主要么轻信虚假消息,股票被“套牢”,要么把钱汇入嫌疑人账号后,对方就再也联系不上了。类型四:网上交友、征婚诈骗犯罪分子利用网络,刊登个人条件优越的交友信息,吸引事主上当,在通过网络和电话沟通中,用“甜言蜜语”诱惑事主,后以“生病”、“车祸”、“被查扣”、“新店开张”等各种理由让事主垫付钱财。作为网上消费的网民,一定要了解卖家和商品价格,对于没有固定地址、电话的卖家,不要轻易进行交易;一定要妥善保存自己的身份信息、银行卡密码等;对于推荐股票或投资理财的“钓鱼”信息不要“上钩”;交友社交一旦发现被骗及时报警;再就是要增强安全意识,学习安全技术,提高网络识骗防骗能力,保障自身网络活动安全无忧。资料来源:中国新闻网.作者略有删改。5.1电子商务安全概述5.1.1电子商务安全要素由于电子商务是在互联网环境下进行的商务活动,交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关注的问题。因此,为了保证电子商务整个交易活动的顺利进行,电子商务系统必须具备以下几个安全要素:①有效性和真实性②机密性和隐私权③数据的完整性④可靠性和不可抵赖性⑤审查能力2020/5/2475.1.2电子商务的安全威胁与要求1.卖方面临威胁(1)中央系统安全性被破坏(2)竞争者检索商品递送状况(3)被他人假冒而损害公司的信誉(5)其他威胁(4)获取他人的机密数据2.买方面临威胁(1)虚假订单(2)付款后不能收到商品(3)机密性丧失(4)拒绝服务(1)信息传输风险(2)信用风险(4)法律风险(3)管理风险(1)商务数据的机密性(2)商务数据的完整性(3)商务对象的认证性(4)商务服务的不可否认性(5)商务服务的不可拒绝性(6)访问的控制性4.安全控制要求3.威胁来源分析5.1电子商务安全概述5.1.2电子商务的安全威胁及主要的安全技术电子商务的安全威胁包括:信息在网络的传输过程中被截获、传输的文件被篡改、假冒他人身份、不承认已经做过的交易、抵赖、非法访问和计算机病毒等。电子商务的主要安全技术包括:加密技术、认证技术、数字签名、安全套接字协议(SSL)和安全电子交易规范(SET)。2020/5/24102009年7月,某金融机构委托某公司开发一个银行理财产品的计算机程序,该公司便让其员工邹某负责研发。在研发该程序的过程中,邹某突起私念,在未告知公司和该金融机构的情况下私自在程序中加入了一个后门程序,以备在今后自己没有工作的情况下通过该程序进入该理财产品程序,将该金融机构客户的钱转到自己账下。之后程序研发顺利完成并交付至该金融机构投入运行。2009年9月,邹某用自己的银行卡进行了测试,通过自己加入的后门程序,其顺利进入了上述金融机构的理财产品系统。从此之后,邹某一发不可收拾,自2009年11月至今年6月期间,邹某又先后多次通过后门程序进入上述系统,并采用技术手段非法获取了70多名客户的客户资料、密码,非法查询了多名客户的账户余额,同时将23名客户的账户资金在不同的客户账户上相互转入转出,涉及金额共计1万余元。自2009年9月起,该金融机构就陆续接到客户投诉,称自己的账户上有小额资金被无根据交易,随着时间的推移,客户关于此类情况的投诉数量越来越多,频率越来越高,2020/5/2411【案例】该金融机构察觉可能是程序出现问题,于是于今年6月联系上述研发公司进行检测,终于发现了这个秘密的“后门程序”,立即向公安机关报案。公安机关于当月将犯罪嫌疑人邹某抓获归案。邹某归案后对自己的行为供认不讳,承认其不时会利用这个后门对该理财产品的签约客户的银行卡进行测试,大概测试了100多次,用了多少账号自己已无法记清。他还供述,他目前只是利用这个后门程序对该金融机构的理财签约客户账户进行客户资料查询、客户余额查询、获取密码等操作,同时对部分账户的资金进行相互之间的转移,每次转移的金额从几十元到几百元不等。这些操作都是用来测试其入侵程序能否成功、是否会被发现等等。邹某称其一直抱有侥幸心理,认为每次转移的资金金额比较少,不容易引人注目,就算被人发现也不会造成多大影响。但其未意识到,自己的这种行为已经触犯了刑法。后经核实,本案中犯罪嫌疑人邹某一直只是对该系统进行测试操作尚未对该金融机构的客户造成实际损失。2020/5/2412【案例】5.2信息加密技术为保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术,加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文,明文经过某种加密算法作用后,转换成密文,我们将明文转换为密文的这一过程称为加密,将密文经解密算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥,密钥长度越长,密钥的空间就越大,遍历密钥空间所花的时间就越多,破译的可能性就越小。以密钥类型划分,可将密钥系统分为对称密钥系统和非对称密钥系统。2020/5/24135.2信息加密技术5.2.1密码学概述一般的数据加密模型如下图所示,采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字(密文),而对于合法的接收者,由于掌握正确的密钥,可以通过访问解密过程得到原始数据。密码学分为两类:密码编码学和密码分析学。2020/5/24145.2信息加密技术5.2.2对称密钥系统对称密钥系统,又称单钥密钥系统或密钥系统,是指在对信息的加密和解密过程中使用相同的密钥。也就是说,私钥密钥就是将加密密钥和解密密钥作为一把密钥。对称加密、解密的过程如下图所示。2020/5/24155.2信息加密技术5.2.2对称密钥系统对称密钥系统的安全性依赖于两个因素:①加密算法必须是足够强的,仅仅基于密文本身去解密信息在实践上是不可能的②加密方法的安全性依赖于密钥的秘密性,而不是算法的秘密性密码学的一个原则是“一切秘密寓于密钥之中”,算法可以公开,因此,我们没有必要确保算法的秘密性,而需要保证密钥的秘密性。对称密钥系统的这些特点使其有着广泛的应用。•优点:加密和解密都比较快•缺点:密钥难于共享,对称加密系统最大的问题是需要的密钥太多密钥的分发和管理非常复杂、代价高昂。不能实现数字签名。2020/5/24165.2信息加密技术5.2.2对称密钥系统最典型的对称加密算法是DES算法,DES算法是密码体制中的对称密码体制,又被称为美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法,既可用于加密又可用于解密。DES算法大致可以分成四个部分:初始置换、迭代过程、逆置换和子密钥生成。DES加密算法过程如图所示:2020/5/24175.2信息加密技术5.2.3非对称密钥系统针对对称密钥系统的缺点,1976年有人提出了非对称密钥加密法,非对称密钥加密法是指在对信息的加密和解密过程中使用不同的密钥。每个用户保留两个不同的密钥:一个是公钥(PK),一个是私钥(IK),如果甲要给乙发送一个明文,甲用乙的公钥将明文加密成密文后发出,乙收到甲发送的密文后用乙的私钥将其解密,别人即使中途截取了密文也无法解密。非对称密钥系统主要用于数字签名和密钥分配。优点:密钥较少、灵活、易实现。缺点:要得到较好的加密效果,必须使用较长的密钥,从而加重系统负担和减缓系统吞吐速度。非对称加密、解密过程2020/5/24185.2信息加密技术5.2.3两种加密方法组合使用两种加密方法各有优缺点,对称加密体制的编码效率高,但在密钥分发与管理上存在困难,而非对称密码体制可以很好地解决这个问题。因此,可以组合使用这两种加密方法,如下图所示:2020/5/24195.3信息认证技术在电子商务中,由于参与的各方往往是素未谋面的,身份认证成了必须解决的问题,即在电子商务中,必须解决不可抵赖性问题。交易抵赖包括多个方面,如发言者事后否认曾经发送过某条信息或内容,收信者事后否认曾经收到过某条消息或内容,购买者做了订货单不承认,商家卖出的商品因价格差而不承认原有的交易等。电子商务关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商务顺利进行的关键。2020/5/24205.3信息认证技术5.3.1身份认证身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中,一切信息(包括用户的身份信息)都是由一组特定的数据表示的,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。而我们的生活从现实世界到一个真实的物理世界,每个人都拥有独一无二的物理身份。从是否使用硬件分为:硬件认证软件认证从认证需要验证的条件分为:单因子认证双因子认证2020/5/24215.3信息认证技术5.3.1身份认证方法密码方式密码方式是最简单也是最常用的身份认证方法,是基于“whatyouknow”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者是合法用户。由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此密码方式是一种不安全的身份认证方式。•优点:密码方式简单易用,容易操作•缺点:密码方式的安全性不高,所以在使用过程中必须勤换密码,以保证密码的安全。2020/5/24225.3信息认证技术5.3.1身份认证方法生物学特征生物学特征认证是指采用每个人独一无二的生物学特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物学特征认证是最可靠的身份认