7-电子商务安全技术

石家庄铁道学院经济管理分院电子商务安全技术E-commerceSecurityTechnology石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com本章主要内容：电子商务安全概述网络安全技术技术交易安全技术石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com7.1电子商务安全概述一、电子商务所面临的安全问题1.信息的截获和窃取2.信息的篡改3.信息假冒4.交易抵赖石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com7.1电子商务安全概述二、电子商务安全需求机密性（confidentiality）完整性(integrity)认证性(authenticity)不可抵赖性(accountability)有效性(validity)石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com电子商务安全构架7.1电子商务安全概述电子商务安全体系交易安全技术网络安全技术法律法规、政策安全应用协议（SET、SSL）安全认证手段（数字签名、CA体系）基本加密算法（对称和非对称加密算法）病毒防范身份识别技术防火墙技术虚拟专用网石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com7.2计算机网络安全技术计算机网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。目前，常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com一．病毒防范技术为了防范病毒，可以采用以下的措施：（1）安装防病毒软件，加强内部网的整体防病毒措施；（2）加强数据备份和恢复措施；（3）对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。网络病毒防治必须考虑安装病毒防治软件。安装的病毒防治软件应具备四个特性：（1）集成性。（2）单点管理。（3）自动化。（4）多层分布石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com二．身份识别技术口令标记方法生物特征法石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com安全级别石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com校园一卡通石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com三．防火墙技术1.基本概念防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com防火墙示意图防火墙外部网客户机电子邮件服务器Web服务器数据库服务器Intranet公司内部网络石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com2.设计防火墙的准则一切未被允许的就是禁止的防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允许的防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com3.防火墙的功能保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类；保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源；保护数据的机密性。加密敏感数据。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com三、防火墙技术4.防火墙的实现技术防火墙系统的实现技术主要分为：分组过滤（PacketFilter）代理服务（ProxyService）目前，比较完善的防火墙系统通常结合使用两种技术。代理服务可以大大降低分组过滤规则的复杂度，是分组过滤技术的重要补充。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com分组过滤分组过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。代理服务代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言，似乎是直接与外部网络相连的。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com四．虚拟专用网技术（VirtualPrivateNetwork，VPN）虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com在虚拟专用网中交易双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务，其优点是经济、便于管理、方便快捷地适应变化，但也存在安全性低，容易受到攻击等问题。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com一、加密技术数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何处加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。7.3交易安全技术石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com1．对称密钥加密体制对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。2．非对称密钥加密体制非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com例3：单表置换密码，见表3。假设密钥Key是BEIJINGTSINGHUA（北京清华），由此密码构造的字符置换表如下：表3单表置换密码明文字母abcdefghijklm密文字母BEIJNGTSHUACD明文字母nopqrstuvwxyz密文字母FKLMOPQRVWXYZ例：如果明文m为“important”，则密文C则为“HDLKOQBFQ”。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com对称与非对称加密体制对比特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com二、认证技术信息认证的目的（1）确认信息的发送者的身份；（2）验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。常用的安全认证技术1.数字摘要数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹FingerPrint），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com2.数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。hi.wxp@163.com3.数字签名数字签名就是信息发送者先给自己将要发送的正文内容做一个消息摘要，然后用自己的私钥给这个数字摘要加密，这个加密以后的数字摘要就是数字签名。接收者收到传递的正文以后，再计算一次数字摘要，同时用发送者的公钥打开传来的加密数字摘要，两者进行对比，如果两个数字摘要相同，则可以肯定收到的是发送者的原件。因为用公钥打开的数字摘要只有用发送者自己私钥才能生成，就好象发送者自己在文本上签过字一样，所以把它称作数字签名。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com数字签名原理示意图hi.wxp@163.com4.数字时间戳在各种政务和商务文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子文件中，同样需对文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digitaltime-stampservice）就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要(digest)；②DTS收到文件的日期和时间；③DTS的数字签名。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com5.数字证书对数字签名和公开密钥加密技术来说，都会面临公开密钥的分发问题，即如何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。所以，必须有一项技术来解决公钥与合法拥有者身份的绑定问题。假设由一个人自称某一个公钥是自己的，必须有一定的措施和技术来对其进行验证。数字证书是解决这一问题的有效方法。它通常是一个签名文档，标记特定对象的公开密钥。电子证书由一个认证中心（CA）签发，认证中心类似于现实生活中公证人的角色，它具有权威性，是一个普遍可信的第三方。当通信双方都信任同一个CA时，两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。在网上电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com6.安全认证机构电子商务授权机构（CA），也称为电子商务认证中心（CertificateAuthority），是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。CA的四大职能：证书发放证书更新证书撤销证书验证石家庄铁道学院经济管理分院商务信息系xingpengwang@163.com7.3.3安全认证协议1．安全套接层（SS