第7章電商務安全技術

1、logo1第7章 電子商務安全技術前 言通過本章的學習，讓學生學習電子交易的安全需求和安全威脅，以及電子商務的安全體系角色構成。了解電子交易的安全需求和安全威脅；了解防火墻技術、vpn技術、病毒防范技術和安全檢測技術；了解密碼學的相關知識，理解加密技術；理解認證技術，了解認證機構（ca）的主要職能，了解數字證書的格式并嘗試使用數字證書進行網絡安全通信；理解ssl協(xié)議和set協(xié)議的相關知識，了解如何利用這兩個協(xié)議來保證交易安全;了解公鑰基礎設施（pki）。logo2第7章 電子商務安全技術案例1：“互聯(lián)網”事件1988年11月2日，美國康奈爾大學 學生羅伯特. 莫瑞斯將自己編寫的蠕蟲程序送進互聯(lián)

2、網，蠕蟲病毒程序具有很強的自我復制功能，快速向整個互聯(lián)網蔓延。莫瑞斯開始以為無害的程序，以驚人的速度襲擊了龐大的互聯(lián)網，當發(fā)現情況不妙是，他本人對此已無法控制。蠕蟲病毒程序造成大量數據被破壞，整個經濟損失估計達9600萬美元。這次“互聯(lián)網”事件極大震驚了網絡安全人員和其它專業(yè)人員，為網絡安全敲響警鐘，使網絡安全成為最迫切的研究課題。logo3第7章 電子商務安全技術案例21999年在西方國家大爆發(fā)的melissa又稱為“梅麗莎”或者美麗殺手，是一種word97宏病毒，專門針對微軟的電子郵件服務器ms exchange和電子郵件收發(fā)系統(tǒng)outlook。該病毒利用outlook全域地址表來獲取信箱

3、地址信息，并自動給表中前50個信箱發(fā)送電子郵件，并在其后附加一個被感染的文件list.doc,內含大量的色情網址。該病毒會在每臺被感染的電腦上重復這樣的動作，造成郵件服務器嚴重阻塞以至最后癱瘓?！懊符惿碑斈暝斐闪顺^8000萬美元的經濟損失。logo4第7章 電子商務安全技術案例3“熊貓燒香”2006與2007年歲交替之際，一名為“熊貓燒香”的計算機病毒在互聯(lián)網上掀起軒然大波。從去年12月首次出現至今，短短一個多月，病毒已迅速在全國蔓延，受害用戶至少上百萬，計算機反病毒公司的熱線電話關于該病毒的咨詢和求助一直不斷，互聯(lián)網上到處是受害者無奈的求助、怨恨、咒罵，電腦里到處是熊貓燒香的圖標，重要文

4、件被破壞，局域網徹底癱瘓，病毒造成的損失無法估量。logo5第7章 電子商務安全技術案例4江蘇徐州搗毀涉案千余人特大網絡傳銷集團新華網南京7月30日電 記者日前從江蘇省公安廳了解到，徐州警方近期搗毀一個涉案1000余人的特大網絡傳銷集團，這個集團租用境外服務器，以高回報率為誘餌騙取錢財，至案發(fā)非法經營數額達200多萬元，主要犯罪嫌疑人賈某、顧某、魏某、劉某等被成功抓獲。logo6第7章 電子商務安全技術7.1.1 電子商務的安全威脅1.信息的截獲和竊取2.信息的篡改3.信息假冒4.交易抵賴7.1.2 電子商務的安全要求1.機密性2.鑒別性3.完整性4.有效性5.不可抵賴性logo7第7章 電子

5、商務安全技術7.1.3 電子商務的安全體系角色構成電子商務系統(tǒng)把服務商、客戶和銀行三方通過internet連接起來，實現具體的業(yè)務操作，電子商務安全系統(tǒng)除了三方的安全代理服務器外，還應該包含ca認證系統(tǒng)。電子商務的安全體系結構包括下列幾個角色：1.銀行2.服務商3.客戶方4.認證機構logo8第7章 電子商務安全技術7.2.1 操作系統(tǒng)安全1.windows 2000安全性對安全性要求極高的金融機構和其它公司或部門會很滿意這個新的操作系統(tǒng)。但是，全面利用windows 2000的安全性意味著必須使用active directory，并且需要相當重視管理并進行重要的培訓。windows 2000

6、具有公共密鑰加密基礎架構。windows 2000可以使用ipsec這種加密的ip協(xié)議來加密網絡上的數據。logo9第7章 電子商務安全技術2.windows 2003安全性（1）ntfs和共享權限 （2）文件和文件夾的所有權 現在，你不僅可以擁有文件系統(tǒng)對象（文件或文件夾）的所有者權限，而且還可以通過該文件或文件夾“高級安全設置”對話框的“所有者”選項卡將權限授予任何人。 （3）身分驗證 身分驗證方面的增強涵蓋了基于本地系統(tǒng)的身份驗證和基于活動目錄域的身份驗證。logo10第7章 電子商務安全技術7.2.2 防火墻技術防火墻是一種安全有效的防范技術措施，是在內部網和internet之間構筑的

7、一道屏障，它控制和防止內部網對外的非允許訪問，也控制和防止外部的非法訪問。從狹義上來講，防火墻是指安裝了防火墻軟件的主機或路由器系統(tǒng)；從廣義上看，是整個網絡訪問控制機制、安全策略和防入侵措施等安全行為。1.實現防火墻的主要技術實現防火墻的主要技術有：包過濾，代理服務防火墻和應用網關等。logo11第7章 電子商務安全技術7.2.2 防火墻技術包過濾路由器防火墻示意圖代理服務用于雙重宿主主機的原理示意圖logo12第7章 電子商務安全技術7.2.2 防火墻技術2.防火墻的主要類型 (1)基于ip包過濾器的體系結構(2)雙重宿主主機體系結構(3)被屏蔽主機體系結構(4)屏蔽子網體系結構logo13

8、第7章 電子商務安全技術7.2.2 防火墻技術雙重宿主主機體系結構示意圖屏蔽主機防火墻體系結構示意圖internetlogo14第7章 電子商務安全技術7.2.2 防火墻技術屏蔽子網防火墻體系結構圖logo15第7章 電子商務安全技術7.2.3 vpn技術1.vpn的概念虛擬專用網絡被定義為通過一個公用網絡（通常是internet）建立一個臨時的安全的連接，是一條穿過公用網絡的安全、穩(wěn)定的隧道。vpn如何保證接入用戶的合法性、保證網絡訪問的安全性以及系統(tǒng)本身的安全可靠性呢？首先，vpn產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。其次，vpn還應當為不同網絡的數據提供不同等級的服務質

9、量保證。其三，對于帶寬和流量的控制。 logo16第7章 電子商務安全技術2.實現vpn的安全協(xié)議實現vpn通常用到的安全協(xié)議主要包括socks v5、ipsec和pptp/l2tp。3.如何才能建立vpn (1)各站點必須在網絡設備上建立一臺具有vpn功能的設備；(2)各站點必須知道對方站點使用的ip地址；(3)兩站點必須對使用的授權檢查和需要采用的數字證書方式達成一致；(4)兩站點必須對需要使用的加密方法和交換密鑰的方法達成一致。logo17第7章 電子商務安全技術7.2.3 vpn技術兩個internet站點之間建立的vpn示意圖logo18第7章 電子商務安全技術4.vpn應用（1）通

10、過internet實現安全遠程用戶訪問（2）通過internet實現網絡互聯(lián)（3）連接企業(yè)內部網絡計算機5.vpn產品選項（1）基于防火墻的vpn（2）基于路由器的vpn（3）專用軟件或硬件logo19第7章 電子商務安全技術7.2.4 病毒防范技術1.病毒的概念計算機病毒是一種有很強破壞和感染力的計算機程序。這種程序和其他程序不同，當把它輸入正常工作的計算機以后，會搞亂或者破壞已有的信息。它具有再生的能力，會自動進入有關的程序進行自我復制，沖亂正在運行的程序，破壞程序的正常運行。它像微生物一樣，可以繁殖，因此被稱為“計算機病毒”。logo20第7章 電子商務安全技術2.病毒類型計算機病毒的種

11、類很多，分類方法也很多，按工作機理分類可以把病毒分為以下幾種：(1)引導區(qū)病毒(2)文件型病毒(3)入侵型病毒 (4)外殼型病毒按傳播媒介分類可以把病毒分為以下幾種：(1)單機病毒。(2)網絡病毒。logo21第7章 電子商務安全技術2.病毒類型病毒種類太多，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。一般格式為：.。常見的病毒前綴的解釋（針對windows操作系統(tǒng)）： (1)系統(tǒng)病毒 (2)蠕蟲病毒 (3)木馬病毒、黑客病毒 (4)腳本病毒 (5)宏病毒 (6)后門病毒 logo22第7章 電子商務安全技術3.病毒的特性病毒表現的幾種常見特性如下：(1)感染性(2)流行

12、性(3)欺騙性(4)危害性(5)潛伏性(6)隱蔽性4.病毒的預防計算機病毒的防治要從防毒、查毒、解毒三個方面進行。logo23第7章 電子商務安全技術7.2.5 安全檢測技術1.入侵檢測技術(1)入侵檢測的含義入侵行為主要是指對系統(tǒng)資源的非授權使用，可以造成系統(tǒng)數據的丟失和破壞、系統(tǒng)拒絕服務等危害。入侵檢測（intrusion detection）定義為“識別非法用戶未經授權使用計算機系統(tǒng)，或合法用戶越權操作計算機系統(tǒng)的行為”，通過對計算機網絡中的若干關鍵點或計算機系統(tǒng)資源信息的收集并對其進行分析，從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。logo24第7章 電子商務安全技術

13、1.入侵檢測技術(2)入侵檢測系統(tǒng)的主要任務入侵檢測系統(tǒng)執(zhí)行的主要任務包括：監(jiān)視和分析用戶及系統(tǒng)活動；審計系統(tǒng)構造和弱點；識別和反映已知進攻的活動模式，向相關人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數據文件的完整性；審計和跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。logo25第7章 電子商務安全技術1.入侵檢測技術(3)入侵檢測系統(tǒng)的分類按數據源分類a基于主機的入侵檢測系統(tǒng)b基于網絡的入侵檢測系統(tǒng)按系統(tǒng)結構分類a集中式入侵檢測系統(tǒng)b分布式入侵檢測系統(tǒng)按入侵的時間分類a實時入侵檢測系統(tǒng)b事后入侵檢測系統(tǒng)logo26第7章 電子商務安全技術2.安全評估技術安全檢測和評估是一項復雜的系統(tǒng)工

14、程，需要很多不同背景的人員，從各個不同的方面支認真研究分析。一種可行的有效的思路是：首先進行各個單項檢測與評估，然后再進行綜合檢測與評估。為了減少因系統(tǒng)存在的安全漏洞而造成的黑客攻擊，應當利用現有的網絡安全分析系統(tǒng)分析網絡系統(tǒng)結構和配置，同時利用漏洞掃描技術進行系統(tǒng)安全掃描，掃描操作系統(tǒng)和數據庫系統(tǒng)的安全漏洞與錯誤配置，及時發(fā)現系統(tǒng)中的弱點或漏洞。logo27第7章 電子商務安全技術7.3.1 密碼學概述1.密碼學的含義密碼學是研究加密和解密變換的一門科學。它包含兩個分支，一是密碼編碼學；另一個是密碼分析學。密碼編碼學是對信息進行編碼，實現隱蔽信息的一門學科。密碼分析學是研究分析破譯密碼的學科

15、。即在未知密鑰的情況下，從密文推出明文或密鑰的技術。密碼學正是在這種破譯和反破譯的過程中發(fā)展起來的，這兩門學問合起來就稱為密碼學。logo28第7章 電子商務安全技術2.密碼系統(tǒng)中的幾個概念明文:人們將可懂的文本稱為明文。密文:將明文變換成的不可懂的文本稱為密文。加密:把明文變換成密文的過程叫加密。解密:把密文變換成明文的過程叫解密。密碼體制:完成加密和解密的算法稱為密碼體制。在計算機上實現的數據加密算法，其加密或解密變換是由一個密鑰來控制的。密鑰:是由使用密碼體制的用戶隨機選取的，密鑰成為唯一能控制明文與密文之間變換的關鍵，它通常是一隨機字符串。logo29第7章 電子商務安全技術7.3.2

16、 對稱密鑰密碼體制1.數據加密標準desdes（data encrypt standard）是對稱加密算法中最具代表性的。des算法原是ibm公司為保護產品的機密研制成功的，后被美國國家標準局和國家安全局選為數據加密標準，并于1977年頒布使用。對稱密鑰算法提供了一種保護信息機密性的途徑。logo30第7章 電子商務安全技術1.數據加密標準des對稱密鑰數據加/解密過程示意圖logo31第7章 電子商務安全技術2.對稱加密技術（des）的優(yōu)缺點對稱加密技術（des）的最大優(yōu)勢是加/解密速度快，適合于對大數據量進行加密，但密鑰管理困難。對稱加密技術要求通信雙方事先交換密鑰，當系統(tǒng)用戶多時，例如在

17、網上購物的環(huán)境中，商戶需要與成千上萬的購物者進行交易，若采用簡單的對稱密鑰加密技術，商戶需要管理成千上萬的密鑰與不同的對象通信，除了存儲開銷以外，密鑰管理是一個幾乎不可能解決的問題。logo32第7章 電子商務安全技術7.3.3 非對稱密鑰密碼體制非對稱密鑰密碼體制最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰公開密鑰和秘密密鑰。1.rsa算法1977年，rivest、shamir和adleman三人實現了公開密鑰密碼體制，并以三個人名字的首字母命名，簡稱rsa公開密鑰體制。logo33第7章 電子商務安全技術1.rsa算法對稱密鑰數據加/解密過程示意圖logo34第7章 電

18、子商務安全技術2.公開密鑰技術（rsa）的優(yōu)缺點公開密鑰技術解決了密鑰的發(fā)布和管理問題，商戶可以公開其公開密鑰，而保留私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密，安全地傳送給該商戶，然后由商戶用自己的私有密鑰進行解密。雖然公鑰體制消除了秘密密鑰共享的問題，但并沒有一個完整的解決方案，仍然有很多的缺點。相對于對稱密鑰算法來說，公鑰算法計算速度非常慢。另外，公鑰算法也要求一種使公鑰能廣為發(fā)布的方法和體制，所以把公鑰算法和對稱算法結合起來不失為一種最佳的選擇。logo35第7章 電子商務安全技術7.3.4 pgp加密技術pgp（pretty good privacy）是由美國的ph

19、il zimmermann于20世紀90年代初開發(fā)的。它是一個完整的電子郵件安全軟件包，包括加密、認證、數字簽名和壓縮等技術。1.pgp的功能(1)加密文件 (2)密鑰生成 (3)密鑰管理 (4)收發(fā)電子函件 (5)數字簽名 (6)認證密鑰 2.pgp工作工程 logo36第7章 電子商務安全技術7.4.1 認證技術認證（authentication）是指核實真實身份的過程，是防止主動攻擊的重要技術。它對于保證開放環(huán)境中各種信息系統(tǒng)的安全性有重要作用。認證主要分為以下兩個方面:第一是消息認證。第二是實體認證。1.消息認證消息認證是一種過程，它使得通信的接收方能夠驗證所收到的報文（發(fā)送者、報文內

20、容、發(fā)送時間和序列等）在傳輸的過程中是否被假冒、偽造和篡改，是否感染上病毒等，即保證信息的完整性和有效性。logo37第7章 電子商務安全技術2.實體認證信息系統(tǒng)的安全性還取決于能否驗證用戶或終端的個人身份。一個身份證明系統(tǒng)一般由三方組成：一方是示證者，由證件的持有人提出某種請求，并出示證件；一方是驗證者，檢驗示證者出示的證件的正確性和合法性；第三方是認證機構，它一般由權威機構充當，我們把此類技術就稱為身份證明技術或認證技術。logo38第7章 電子商務安全技術7.4.2 證書機構（ca）證書機構(certification authority，即ca) 是一個可信的第三方實體，其主要職責是保

21、證用戶的真實性。證書機構的主要功能有以下幾個：1.證書的頒發(fā)2.證書的更新3.證書的查詢4.證書的作廢5.證書的歸檔logo39第7章 電子商務安全技術7.4.3 數字證書數字證書又稱為數字標識（ digital certificate，digital id）。它提供了一種在internet 上進行身份驗證的方式，是用來標志和證明網絡通信雙方身份的數字信息文件，與司機駕照或日常生活中的身份證相似。1.數字證書的作用(1)除發(fā)送方和接收方外信息不被其他人竊??；(2)信息在傳輸過程中不被篡改；(3)接收方能夠通過數字證書來確認發(fā)送方的身份；(4)發(fā)送方對于自己發(fā)送的信息不能抵賴。logo40第7章

22、 電子商務安全技術3.證書的類型(1)個人證書(2)單位數字證書(3)服務器證書(4)安全電子郵件證書4.數字證書的應用(1)通過s/mime協(xié)議實現安全的電子函件系統(tǒng)；(2)通過ssl協(xié)議實現瀏覽器與web服務器之間的安全通信；(3)通過set協(xié)議實現信用卡網上安全支付。logo41第7章 電子商務安全技術7.5.1 ssl協(xié)議ssl協(xié)議最初是由netscape communication公司設計開發(fā)的，又叫“安全套接層（secure sockets layer）協(xié)議”。它采用了公開密鑰技術，其目標是保證兩個應用者間通信的保密性和可靠性，可在服務器和客戶機兩端同時實現支持。1.ssl協(xié)議提供

23、的三種基本的安全服務(1)秘密性(2)認證性(3)完整性logo42第7章 電子商務安全技術2.ssl協(xié)議的實現模型ssl協(xié)議實現模型示意圖3.ssl的應用ssl的典型應用主要有兩個方面：一是客戶端；另一個是服務器端。應用層協(xié)議（http、telnet、ftp、smtp等） ssl握手協(xié)議(handshake protocol) ssl記錄協(xié)議(record protocol) tcp協(xié)議 ip協(xié)議 網絡接口層（各種局域網和廣域網） logo43第7章 電子商務安全技術7.5.2 set協(xié)議ssl并沒有實現電子支付所要求的保密性、完整性和不可抵賴性，而且實現多方互相認證也是很困難的。ssl協(xié)議

24、將逐漸被新的安全電子交易（secure electronic transactions，即set）協(xié)議所取代。1.set協(xié)議中利用的主要技術在set協(xié)議中利用的主要技術有：加密技術如rsa和des算法、數字拇印或數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。logo44第7章 電子商務安全技術1.set協(xié)議中利用的主要技術數字拇印的形成過程示意圖數字簽名的實現過程示意圖數字簽名的實現過程示意圖 數字信封的形成過程示意圖數字信封的形成過程示意圖 logo45第7章 電子商務安全技術2.set協(xié)議中所涉及的主要對象set協(xié)議中所涉及的對象主要有：消費者即持卡人(cardholder)、

25、商家（merchant）、收單銀行(acquiring bank)、發(fā)卡行(issuing bank)、支付網關(payment gateway)認證機構(certificate authority)。logo46第7章 電子商務安全技術3.set協(xié)議的支付模型set協(xié)議的模型示意圖logo47第7章 電子商務安全技術7.5.3 公鑰基礎設施（pki）公鑰基礎設施（public key infrastructure，即pki）是由加拿大的entrust公司開發(fā)的，支持set、ssl協(xié)議、電子證書和數字簽名等。pki為一組安全服務的集合，可以在分布式計算機系統(tǒng)中使用公鑰加密機制和證書。1.pki的組成 (1)認證機構 (2)證書庫 (3)密鑰管理系統(tǒng) (4)證書管理系統(tǒng) (5)pki應用接口系統(tǒng)。logo48第7章 電子商務安全技術2.