電子商務安全第三章課件

1、第三章 電子商務安全技術學習并了解常用的電子商務安全技術； 掌握電子數(shù)據(jù)交換技術； 掌握認證技術； 掌握虛擬專用網(wǎng)技術； 了解基于生物特征的身份認證技術。知識目標了解電子商務常用的加密技術，并掌握其應用方法； 了解電子商務常用的防火墻技術，并掌握其應用方法。技能目標第一節(jié) 電子數(shù)據(jù)交換技術一、 電子數(shù)據(jù)交換技術概述電子數(shù)據(jù)交換技術的概念電子數(shù)據(jù)交換（electronic data interchange，EDI）技術是信息技術向商貿(mào)領域滲透并與國際商貿(mào)實務相結合的產(chǎn)物。第一節(jié) 電子數(shù)據(jù)交換技術美國國家標準局EDI標準委員會對EDI的解釋是：EDI指的是在相互獨立的組織機構之間所進行的標準格式、

2、非模糊的具有商業(yè)或戰(zhàn)略意義的信息的傳輸。聯(lián)合國標準化組織將EDI描述成，按照統(tǒng)一標準將商業(yè)或行政事務處理轉(zhuǎn)換成結構化的事務處理或報文數(shù)據(jù)格式，并借助計算機網(wǎng)絡實現(xiàn)的一種數(shù)據(jù)電子傳輸方法。第一節(jié) 電子數(shù)據(jù)交換技術由此可以總結出EDI的含義：EDI是商業(yè)伙伴之間，將按標準、協(xié)議規(guī)范化和格式化的經(jīng)濟信息通過電子數(shù)據(jù)網(wǎng)絡，在單位的計算機系統(tǒng)之間進行自動交換和處理。EDI是電子商務貿(mào)易的一種工具，將商業(yè)文件（如訂單、發(fā)票、發(fā)貨單、報關單和進出口許可證）按統(tǒng)一的標準編制成計算機能識別和處理的數(shù)據(jù)格式，在計算機之間進行傳輸。第一節(jié) 電子數(shù)據(jù)交換技術第一節(jié) 電子數(shù)據(jù)交換技術2. EDI的有關標準EDI網(wǎng)絡通信

3、標準EDI聯(lián)系標準EDI處理標準EDI語義語法標準第一節(jié) 電子數(shù)據(jù)交換技術3. EDI面臨的威脅根據(jù)來源不同，這些威脅可分為內(nèi)部和外部兩種。內(nèi)部威脅是指系統(tǒng)的合法用戶以故意或非法方式進行操作所產(chǎn)生的威脅，如內(nèi)部工作人員利用工作之便或者軟件固有缺陷，非法使用EDI資源或越權存取數(shù)據(jù)；外部威脅泛指搭線竊聽、截取交換信息、冒充合法用戶等。第一節(jié) 電子數(shù)據(jù)交換技術3. EDI面臨的威脅根據(jù)動機不同，這些威脅可分為偶發(fā)性威脅和故意性威脅。偶發(fā)性威脅指偶然發(fā)生的、不帶任何預謀的威脅，如系統(tǒng)故障、操作失誤、軟件出錯或其他不可抗自然力；故意性威脅則指那些人為的、有預謀或動機的威脅，往往伴有網(wǎng)絡攻擊、信息盜取等

4、行為，因此需要重點防范。第一節(jié) 電子數(shù)據(jù)交換技術二、 電子數(shù)據(jù)交換技術的系統(tǒng)構成一個EDI消息處理系統(tǒng)大體上分為以下幾個組成部分：EDI消息傳送系統(tǒng)EDI用戶EDI消息存儲EDI用戶代理第一節(jié) 電子數(shù)據(jù)交換技術EDI消息處理系統(tǒng)的各個組成部分以及它們之間的關系如圖3-2所示第一節(jié) 電子數(shù)據(jù)交換技術三、 電子數(shù)據(jù)交換技術的安全策略和具體措施EDI的實際運作過程中，主要通過三級安全系統(tǒng)來達到前面介紹的安全目的，即網(wǎng)絡級安全、應用級安全、報文級安全。應用級安全報文級安全網(wǎng)絡級安全第一節(jié) 電子數(shù)據(jù)交換技術為了更好地實現(xiàn)EDI安全，可以采用以下幾項具體措施：防拒絕服務訪問控制接收不可抵賴源點不可抵賴電文

5、加密數(shù)字簽名防止電文丟失1234567第二節(jié) 密 碼 技 術1. 密碼學的組成和密碼系統(tǒng)的要素密碼學主要是研究通信安全保密的學科，它包括兩個分支：密碼編碼學和密碼分析學。一、 密碼學概述密碼編碼學密碼分析學第二節(jié) 密 碼 技 術密碼編碼學主要研究對信息進行變換，以保護信息在信道的傳遞過程中不被攻擊者竊取、解讀和利用的方法；密碼分析學則與密碼編碼學相反，它主要研究如何分析和破譯密碼。這兩者之間既相互對立又相互促進。第二節(jié) 密 碼 技 術準確地說，一個密碼系統(tǒng)由明文空間、密文空間、密碼方案和密鑰空間組成。密碼方案密文空間密鑰空間明文空間第二節(jié) 密 碼 技 術2. 密碼的安全攻擊者可采用電磁偵聽、聲

6、音竊聽、搭線竊聽等方法直接得到未加密的明文或加密后的密文，這種對密碼系統(tǒng)的攻擊手段稱為被動攻擊；攻擊者也可采用刪除、更改、插入、重放等手段主動地發(fā)送破壞消息，使收信人得不到發(fā)信人發(fā)送的全部有效信息，這種對密碼系統(tǒng)的攻擊手段稱為主動攻擊。第二節(jié) 密 碼 技 術對于一個密碼系統(tǒng)來說，若攻擊者無論得到多少密文也求不出確定明文所需的足夠信息，這種密碼系統(tǒng)就是理論上不可破譯的，稱該密碼系統(tǒng)具有無條件安全性（或完善保密性）。若一個密碼系統(tǒng)理論上雖可破譯，但為了由密文得到明文或密鑰卻需要付出非常多的計算時間和精力，而不能在期望的時間內(nèi)或?qū)嶋H可能的經(jīng)濟條件下求出準確的答案，這種密碼系統(tǒng)就是實際不可破譯的，或稱

7、該密碼系統(tǒng)具有計算安全性（或?qū)嶋H保密性）。第二節(jié) 密 碼 技 術3. 哈希函數(shù)哈希函數(shù)也稱為哈希算法，是將任意長的數(shù)字串映射成一個較短的定長輸出數(shù)字串的函數(shù)。這個函數(shù)易于計算，生成的字符串稱為原字符串的哈希值，也稱哈希碼、哈希結果等，或簡稱哈希。第二節(jié) 密 碼 技 術1. 鏈路鏈路加密鏈路鏈路的加密方法將網(wǎng)絡看做鏈路連接的結點集合，每一個鏈路被獨立地加密。二、 信息傳輸中的加密方式第二節(jié) 密 碼 技 術2. 結點加密結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供加密保護。結點加密是指每對結點共用一個密鑰，對相鄰兩個結點間（包括結點本身）傳送的數(shù)據(jù)進行加密保護。第二節(jié) 密 碼 技 術結點加

8、密方法的特點在于：密文在該裝置中被解密并被重新加密明文不通過結點機，避免了鏈路鏈路加密結點處易受攻擊的缺點在結點處采用一個與結點機相連的密碼裝置第二節(jié) 密 碼 技 術3. 端端加密端端加密又稱脫線加密或包加密，建立在OSI參考模型的網(wǎng)絡層和傳輸層。第二節(jié) 密 碼 技 術4. 三種加密方式的選擇第二節(jié) 密 碼 技 術對于以上三種加密方式進行分析和對比，可以得出下面的結論：（1） 在多個網(wǎng)絡互連的環(huán)境下，宜采用端端加密方式。（2） 在需要保護的鏈路數(shù)不多、要求實時通信、不支持端端加密遠程調(diào)用通信等場合，宜采用鏈路鏈路加密方式。第二節(jié) 密 碼 技 術（3） 在需要保護的鏈路數(shù)較多的場合以及在文件保護

9、、郵件保護、支持端端加密的遠程調(diào)用、實時性要求不高的通信等場合，宜采用端端加密方式。（4） 對于需要防止流量分析的場合，可考慮采用鏈路鏈路加密和端端加密組合的加密方式。第三節(jié) 認 證 技 術一、 數(shù)字簽名第三節(jié) 認 證 技 術（一） 身份認證的概念身份認證是實現(xiàn)網(wǎng)絡安全的重要機制之一，在安全的網(wǎng)絡通信中，涉及的通信各方常以某種形式的身份認證機制來驗證彼此的身份，即驗證其身份與對方所宣稱的是否一致，以確保通信的安全。二、 身份認證第三節(jié) 認 證 技 術身份認證一般涉及兩方面的內(nèi)容：身份標識身份驗證第三節(jié) 認 證 技 術（二） 身份認證的方法1. 基于口令的身份認證方案使用自己或者親友的生日作為口

10、令使用用戶名（賬號）的變換形式作為口令使用學號、身份證號、單位內(nèi)的員工號碼等作為口令使用常用的英文單詞作為口令使用用戶名（賬號）作為口令12345第三節(jié) 認 證 技 術2. 基于智能卡的身份認證方案智能卡（smart card）是一種帶有智能性的集成電路卡，它不僅具有讀寫和存儲數(shù)據(jù)的功能，還具有加密、處理數(shù)據(jù)的能力。第三節(jié) 認 證 技 術3. 基于生物特征的身份認證方案基于生物特征的身份認證是以人體唯一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計算機的強大功能和網(wǎng)絡技術進行圖像處理和模式識別方式來實現(xiàn)認證功能的。與傳統(tǒng)的身份認證方式相比，該技術具有很好的安全性、可靠性

11、和有效性。第四節(jié) 虛擬專用網(wǎng)技術虛擬專用網(wǎng)（virtual private network，VPN）是將internet作為計算機網(wǎng)絡主干的一種網(wǎng)絡模式，它是企業(yè)網(wǎng)在互聯(lián)網(wǎng)等公共網(wǎng)絡上的延伸，在公用的或不可信的網(wǎng)絡基礎結構上提供安全保障，包括從客戶端到網(wǎng)關的安全遠程訪問和從網(wǎng)關到網(wǎng)關的安全連接。一、 虛擬專用網(wǎng)簡介第四節(jié) 虛擬專用網(wǎng)技術第四節(jié) 虛擬專用網(wǎng)技術二、 虛擬專用網(wǎng)的安全性隧道交換MPLSIPSec微軟的點對點加密技術第四節(jié) 虛擬專用網(wǎng)技術第五節(jié) 防火墻技術一、 防火墻概述（一） 防火墻簡介在邏輯上來看，防火墻是一個分離器，是一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和inter

12、net之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務，以及哪些外部服務可以被內(nèi)部人員訪問。防火墻必須只允許授權的數(shù)據(jù)通過，而且其本身也必須能夠抵抗?jié)B透攻擊。第五節(jié) 防火墻技術第五節(jié) 防火墻技術（二） 防火墻的功能1. 數(shù)據(jù)包過濾7. 流量控制和統(tǒng)計分析、流量計費9. URL級信息過濾10. 向客戶發(fā)布信息的地點8. 虛擬專用網(wǎng)2. 審計和報警機制6. MAC與IP地址的綁定4. 地址轉(zhuǎn)換3. 遠程管理5. 代理第五節(jié) 防火墻技術（三） 防火墻的基本技術分組過濾器代理服務第五節(jié) 防火墻技術二、 防火墻技術的體系結構防火墻技術的體系

13、結構主要有3種形式：雙重宿主主機體系結構、被屏蔽主機體系結構和被屏蔽子網(wǎng)體系結構。被屏蔽主機體系結構被屏蔽子網(wǎng)體系結構雙重宿主主機體系結構第五節(jié) 防火墻技術1. 雙重宿主主機體系結構防火墻的雙重宿主主機體系結構是指以一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡與內(nèi)部網(wǎng)絡的任務。第五節(jié) 防火墻技術2. 被屏蔽主機體系結構被屏蔽主機體系結構是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡上的堡壘主機共同構成防火墻，主要通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外部網(wǎng)絡的隔離和對內(nèi)網(wǎng)的保護。第五節(jié) 防火墻技術3. 被屏蔽子網(wǎng)體系結構被屏蔽子網(wǎng)體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的特殊網(wǎng)絡（周邊網(wǎng)絡），并且將容

14、易受到攻擊的堡壘主機置于這個周邊網(wǎng)絡中。這種防火墻比較復雜，主要由4個部件構成，分別為周邊網(wǎng)絡、外部路由器、內(nèi)部路由器以及堡壘主機。第五節(jié) 防火墻技術3. 被屏蔽子網(wǎng)體系結構第五節(jié) 防火墻技術三、 個人防火墻個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護計算機免受攻擊。通常，這些防火墻是安裝在計算機網(wǎng)絡接口的較低級別上，可以監(jiān)視傳入、傳出網(wǎng)卡的所有網(wǎng)絡通信。第五節(jié) 防火墻技術個人防火墻的優(yōu)點包括：增加了保護級別，不需要額外的硬件資源；除了可以抵擋外來的攻擊，還可以抵擋內(nèi)部的攻擊；對公共網(wǎng)絡中的單個系統(tǒng)提供了保護。個人

15、防火墻主要的缺點是對公共網(wǎng)絡只有一個物理接口，而真正的防火墻應該監(jiān)視并控制兩個或更多的網(wǎng)絡接口之間的通信。這樣一來，個人防火墻本身可能容易受到威脅，或者說是具有這樣一個弱點網(wǎng)絡通信可以繞過防火墻的規(guī)則。第六節(jié) 基于生物特征的身份認證技術一、 指紋識別技術指紋識別技術的優(yōu)缺點指紋識別技術的應用指紋識別技術簡介第六節(jié) 基于生物特征的身份認證技術二、 人臉識別技術人臉識別的研究內(nèi)容大致包括以下5個方面：人臉鑒別（face identification）人臉表征（face representation）表情姿態(tài)分析（expression/gesture analysis）生理分類（physical c

16、lassification）人臉檢測（face detection）12345第六節(jié) 基于生物特征的身份認證技術三、 聲紋識別技術聲紋識別技術簡介聲紋識別屬于生物特征識別技術的一種，它是一項根據(jù)語音波形中反映說話人生理、心理和行為特征的語音參數(shù)自動識別說話人身份的技術。第六節(jié) 基于生物特征的身份認證技術2. 聲紋識別技術的應用領域聲紋識別技術主要應用于以下領域：安全控制語音電話撥號電話銀行軍隊和國防司法系統(tǒng)考勤系統(tǒng)第六節(jié) 基于生物特征的身份認證技術四、 虹膜識別技術1. 虹膜識別技術的依據(jù)虹膜組織特征在人出生半年至一年半內(nèi)發(fā)育完全，并終生保持不變 虹膜組織具有因人而異的固有特征不可能在對視覺無嚴重影響的情況下用外科手術改變虹膜特征一般性疾病不會對虹膜組織造成損傷虹膜的纖維組織細節(jié)復雜而豐富12345第六節(jié) 基于生物特征的身份認證技術2. 虹膜識別的關鍵技術虹膜圖像采集特征提取虹膜圖像預處理分類第六節(jié) 基于生物特征的身份認證技術3. 虹膜識別技術的應用領域互聯(lián)網(wǎng)保護、用戶登錄以及計算機安全商業(yè)貿(mào)易領域教育領域日?？记卺t(yī)療衛(wèi)生領域12345本章小結本章主要介紹了幾種與電子商務安全息息相關的技術手段，其中包括電子數(shù)據(jù)交換技術、認證技術、密碼技術、虛擬專用網(wǎng)技術、防火墻技術和目前較為流行的基于生物特征的身