試談電子商務(wù)安全技術(shù)

第8章電子商務(wù)安全技術(shù)1學(xué)習(xí)目標(biāo)了解電子商務(wù)面臨的主要安全威脅

了解電子商務(wù)對(duì)安全的基本要求

熟悉電子商務(wù)常用的安全技術(shù)

掌握防火墻的功能和工作原理了解電子商務(wù)常用的加密技術(shù)了解電子商務(wù)的認(rèn)證體系

掌握SSL和SET的流程和工作原理2電子商務(wù)安全技術(shù)8.1電子商務(wù)的安全問題

8.2防火墻技術(shù)8.3數(shù)據(jù)加密技術(shù)8.4認(rèn)證技術(shù)8.5安全技術(shù)協(xié)議38.1電子商務(wù)的安全性問題1．在網(wǎng)絡(luò)的傳輸過程中信息被截獲

2．傳輸?shù)奈募赡鼙淮鄹?/p>

3．偽造電子郵件

4．假冒他人身份

5．不承認(rèn)或抵賴已經(jīng)做過的交易

48.1.1電子商務(wù)對(duì)安全的基本要求

1．授權(quán)合法性

2．不可抵賴性3．保密性

4．身份的真實(shí)性

5．信息的完整性

6．存儲(chǔ)信息的安全性

8.1電子商務(wù)安全概述58.1.2電子商務(wù)安全措施

1．確定通信中的貿(mào)易伙伴身份的真實(shí)性

2．保證電子單證的保密性

3．確定電子單證內(nèi)容的完整性

4．確定電子單證的真實(shí)性5．不可抵賴性6．存儲(chǔ)信息的安全性68.2防火墻的含義及其分類

1.防火墻的含義人們經(jīng)常在建筑物之間修建一些墻壁，以便在火災(zāi)發(fā)生時(shí)，火勢(shì)不至于從一幢建筑蔓延到別一幢建筑，這些墻被稱為“防火墻”。在網(wǎng)絡(luò)世界中，Internet是一個(gè)開放的世界,它在擁有豐富信息量的同時(shí)也存在著許多不安全因素。當(dāng)內(nèi)部網(wǎng)連上Internet，使它的用戶能訪問Internet上的服務(wù)時(shí)，非內(nèi)部網(wǎng)用戶也能通過Internet訪問內(nèi)部網(wǎng)用戶，實(shí)現(xiàn)一些非法操作如：盜取重要資料、破壞文件等。這對(duì)于沒有受到任何保護(hù)的內(nèi)部網(wǎng)用戶來(lái)說(shuō)無(wú)疑是一種災(zāi)難。也需要類似防火墻的東西，我們可以在內(nèi)部網(wǎng)和Internet之間設(shè)置一堵“防火墻”以保護(hù)內(nèi)部網(wǎng)免受外部的非法入侵。7

防火墻是被配置在內(nèi)部網(wǎng)(如企業(yè)內(nèi)部的Intranet)和外部網(wǎng)(如Internet)之間的系統(tǒng)(或一組系統(tǒng))，通過控制內(nèi)外網(wǎng)絡(luò)間信息的流動(dòng)來(lái)達(dá)到增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的目的。防火墻決定了內(nèi)部的哪些服務(wù)可以被外部用戶訪問以及哪些外部服務(wù)可以被內(nèi)部用戶訪問。88.2.防火墻的分類路由器使用包過濾規(guī)則對(duì)IP報(bào)文中的源地址，目標(biāo)地址，封裝協(xié)議等端口進(jìn)行篩選是否屏蔽。優(yōu)點(diǎn)：簡(jiǎn)單，廉價(jià)代理服務(wù)器

在應(yīng)用層設(shè)計(jì)一個(gè)網(wǎng)關(guān)，由它來(lái)連接內(nèi)網(wǎng)用戶和Internet，隔離內(nèi)部主機(jī)和外部主機(jī)的直接通信。缺點(diǎn)：建立和設(shè)置負(fù)責(zé)98.2防火墻的功能(1)未經(jīng)授權(quán)的內(nèi)部訪問

(2)危害證明

(3)未經(jīng)授權(quán)的外部訪問

(4)電子欺騙

(5)特洛伊木馬

(6)滲透

(7)泛洪

108.2防防火火墻墻技技術(shù)術(shù)1.防火火墻墻系系統(tǒng)統(tǒng)設(shè)設(shè)計(jì)計(jì)2.包過過濾濾路路由由器器3.應(yīng)用用層層網(wǎng)網(wǎng)關(guān)關(guān)防防火火墻墻4.電路路層層防防火火墻墻118.2防火火墻墻的的安安全全策策略略及及局局限限性性1.防火火墻墻的的安安全全策策略略訪問問策策略略設(shè)設(shè)置置：：沒沒有有被被允允許許訪訪問問的的視視為為禁禁止止和和沒沒有有禁禁止止訪訪問問的的視視為為允允許許2.防防火火墻墻的的局局限限性性不能能阻阻止止內(nèi)內(nèi)部部破破壞壞不能能保保護(hù)護(hù)繞繞過過它它的的連連接接無(wú)法法防防止止新新的的威威脅脅不能能防防止止病病毒毒128.3數(shù)數(shù)據(jù)據(jù)加加密密技技術(shù)術(shù)數(shù)據(jù)據(jù)加加密密、、解解密密基基本本過過程程對(duì)稱稱式式密密鑰鑰加加密密技技術(shù)術(shù)公開開密密鑰鑰加加密密技技術(shù)術(shù)對(duì)稱稱密密鑰鑰和和公公開開密密鑰鑰的的結(jié)結(jié)合合13數(shù)據(jù)據(jù)加加密密、、解解密密基基本本過過程程解密密加密密明文文暗文文密鑰鑰加密密解解密密過過程程14對(duì)稱稱式式密密鑰鑰加加密密技技術(shù)術(shù)加密密和和解解密密均均采采用用一一把把密密鑰鑰，，通通信信雙雙方方都都須須獲獲得得這這把把密密鑰鑰才才進(jìn)進(jìn)行行通通信信。。優(yōu)缺缺點(diǎn)點(diǎn)：：密鑰鑰是是保保密密通通信信的的安安全全關(guān)關(guān)鍵鍵。。多人人通通信信時(shí)時(shí)密密鑰鑰的的組組合合數(shù)數(shù)量量會(huì)會(huì)出出現(xiàn)現(xiàn)爆爆炸炸式式膨膨脹脹，，分分發(fā)發(fā)復(fù)復(fù)雜雜，，保保存存繁繁瑣瑣。。通信信雙雙方方必必須須統(tǒng)統(tǒng)一一的的密密鑰鑰。。加密密速速度度快快，，保保密密度度高高15公開開密密鑰鑰加加密密技技術(shù)術(shù)通信信的的每每個(gè)個(gè)用用戶戶都都有有一一對(duì)對(duì)選選定定的的密密鑰鑰，，一一個(gè)個(gè)可可以以公公開開，，即即公公共共密密鑰鑰，，用用于于加加密密，，一一個(gè)個(gè)由由用用戶戶安安全全擁?yè)碛杏?，，即即秘秘密密鑰鑰匙匙，，用用于于解解密密。。優(yōu)缺缺點(diǎn)點(diǎn)：：密鑰鑰少少便便于于管管理理密鑰鑰分分配配簡(jiǎn)簡(jiǎn)單單不需需要要秘秘密密的的通通信信來(lái)來(lái)傳傳輸輸密密鑰鑰可以以實(shí)實(shí)現(xiàn)現(xiàn)數(shù)數(shù)字字簽簽名名和和數(shù)數(shù)字字鑒鑒別別加密密解解密密的的速速度度慢慢168.4認(rèn)認(rèn)證證技技術(shù)術(shù)基本本概概念念1．．證證書書在一一個(gè)個(gè)電電子子商商務(wù)務(wù)系系統(tǒng)統(tǒng)中中，，所所有有參參于于活活動(dòng)動(dòng)的的實(shí)實(shí)體體都都必必須須用用證證書書來(lái)來(lái)表表明明自自己己的的身身份份。。證證書書一一方方面面可可以以用用來(lái)來(lái)向向系系統(tǒng)統(tǒng)中中的的其其它它實(shí)實(shí)體體證證明明自自己己的的身身份份，，另另一一方方面面由由于于每每份份證證書書都都攜攜帶帶著著證證書書持持有有者者的的公公鑰鑰（（簽簽名名證證書書攜攜帶帶的的是是簽簽名名公公匙匙，，加加密密證證書書攜攜帶帶的的是是加加密密公公鑰鑰）），，所所以以，，證證書書也也可可以以向向接接收收者者證證實(shí)實(shí)某某人人或或某某個(gè)個(gè)機(jī)機(jī)購(gòu)購(gòu)對(duì)對(duì)公公開開密密匙匙的的擁?yè)碛杏校?，同同時(shí)時(shí)也也起起著著公公鑰鑰分分發(fā)發(fā)的的作作用用。?；颈靖鸥拍钅睿?78.4認(rèn)認(rèn)證證技技術(shù)術(shù)2．．RA(ReleaseAuditing)RA即證證書書發(fā)發(fā)放放審審核核部部門門，，它它是是CA認(rèn)證證體體系系的的一一個(gè)個(gè)組組成成部部分分。。它它負(fù)負(fù)責(zé)責(zé)對(duì)對(duì)證證書書申申請(qǐng)請(qǐng)者者進(jìn)進(jìn)行行資資格格審審查查，，并并決決定定是是否否同同意意給給該該申申請(qǐng)請(qǐng)者者發(fā)發(fā)放放證證書書，，并并承承擔(dān)擔(dān)因因?qū)弻徍撕隋e(cuò)錯(cuò)誤誤所所引引起起的的和和為為不不符符合合資資格格的的證證書書申申請(qǐng)請(qǐng)者者發(fā)發(fā)放放證證書書所所引引起起的的一一切切后后果果，，因因此此它它應(yīng)應(yīng)由由能能夠夠承承擔(dān)擔(dān)這這些些責(zé)責(zé)任任的的機(jī)機(jī)構(gòu)構(gòu)擔(dān)擔(dān)任任。。188.4認(rèn)證證技技術(shù)術(shù)3．．CP(CertificatePerform)CP即證證書書發(fā)發(fā)放放的的執(zhí)執(zhí)行行部部門門，，它它是是CA認(rèn)證證體體系系的的另另外外一一個(gè)個(gè)組組成成部部分分，，負(fù)負(fù)責(zé)責(zé)為為已已授授權(quán)權(quán)的的申申請(qǐng)請(qǐng)者者制制作作、、發(fā)發(fā)放放和和管管理理證證書書，，并并承承擔(dān)擔(dān)因因操操作作運(yùn)運(yùn)營(yíng)營(yíng)錯(cuò)錯(cuò)誤誤所所產(chǎn)產(chǎn)生生的的一一切切后后果果，，包包括括失失密密和和為為沒沒有有獲獲得得授授權(quán)權(quán)者者發(fā)發(fā)放放證證書書等等，，它它可可以以由由審審核核授授權(quán)權(quán)部部門門自自己己擔(dān)擔(dān)任任，，也也可可委委托托給給第第三三方方機(jī)機(jī)構(gòu)構(gòu)擔(dān)擔(dān)任任。。198.4認(rèn)證技技術(shù)4．RS(Releasee)RS即證書書的受受理者者，它它是CA認(rèn)證體體系的的又一一個(gè)組組成部部分，，接收收用戶戶的證證書申申請(qǐng)請(qǐng)請(qǐng)求，，轉(zhuǎn)發(fā)發(fā)給CP和RA進(jìn)行相相應(yīng)的的處理理。208.4認(rèn)證技技術(shù)5．CRL(CertificateRepealList)CRL是“證證書作作廢表表”的的縮寫寫。CRL中記錄錄尚未未過期期但已已聲明明作廢廢的用用戶證證書的的序列列號(hào)，，供證證書使使用者者在認(rèn)認(rèn)證對(duì)對(duì)方證證書時(shí)時(shí)查詢?cè)兪褂糜?。CRL通常也也被稱稱為黑黑名單單。216．認(rèn)認(rèn)證中中心(CA:CertificationAuthority)在電子子交易易中，，無(wú)論論是數(shù)數(shù)字時(shí)時(shí)間戳戳服務(wù)務(wù)(DTS)還是數(shù)數(shù)字憑憑證(DigitalID)的發(fā)放放，都都不是是靠交交易當(dāng)當(dāng)事人人自己己能完完成的的，而而需要要有一一個(gè)具具有權(quán)權(quán)威性性和公公正性性的第第三方方(thirdparty)來(lái)完成成。認(rèn)證中中心(CA)就是承承擔(dān)網(wǎng)網(wǎng)上安安全電電子交交易認(rèn)認(rèn)證服服務(wù)、、能簽簽發(fā)數(shù)數(shù)字證證書、、并能能確認(rèn)認(rèn)用戶戶身份份的服服務(wù)機(jī)機(jī)構(gòu)。。認(rèn)證證中心心通常常是企企業(yè)性性的服服務(wù)機(jī)機(jī)構(gòu)，，主要要任務(wù)務(wù)是受受理數(shù)數(shù)字憑憑證的的申請(qǐng)請(qǐng)、簽簽發(fā)及及對(duì)數(shù)數(shù)字憑憑證的的管理理。認(rèn)認(rèn)證中中心依依據(jù)認(rèn)認(rèn)證操操作規(guī)規(guī)定(CPS:CertificationPracticeStatement)來(lái)實(shí)施施服務(wù)務(wù)操作作。228.4.2基本認(rèn)認(rèn)證技技術(shù)電子商商務(wù)的的安全全通過過以下下安全全技術(shù)術(shù)來(lái)保保證：：采用數(shù)數(shù)字信信封技技術(shù)保保證數(shù)數(shù)據(jù)的的傳輸輸安全全采用數(shù)數(shù)字簽簽名技技術(shù)進(jìn)進(jìn)行身身份認(rèn)認(rèn)證并并同時(shí)時(shí)保證證數(shù)據(jù)據(jù)的完完整性性，完完成交交易的的不可可抵賴賴性采用口口令字字技術(shù)術(shù)或公公開密密鑰技技術(shù)進(jìn)進(jìn)行身身份認(rèn)認(rèn)證231．?dāng)?shù)數(shù)字信信封2．?dāng)?shù)數(shù)字簽簽名3．身身份認(rèn)認(rèn)證技技術(shù)4．?dāng)?shù)數(shù)字時(shí)時(shí)間戳戳5．?dāng)?shù)數(shù)字憑憑證(digitalcertificate,digitalID)基本認(rèn)認(rèn)證技技術(shù)如如下：：248.5安全技技術(shù)協(xié)協(xié)議安全套套層協(xié)協(xié)議（（SSL）SSL（SecureSocktesLayer））是Netscape公司率率先采采用的的一種種網(wǎng)絡(luò)絡(luò)安全全協(xié)議議，它它能把把在網(wǎng)網(wǎng)頁(yè)和和服務(wù)務(wù)器之之間傳傳輸?shù)牡臄?shù)據(jù)據(jù)加密密。這這種加加密措措施能能夠防防止資資料在在傳輸輸過程程中被被竊取取。因因此采采用SSL協(xié)議傳傳輸密密碼和和信用用卡號(hào)號(hào)等敏敏感信信息以以及身身份認(rèn)認(rèn)證信信息是是一種種比較較理想想的選選擇。。SSL可以被被理解解成一一條受受密碼碼保護(hù)護(hù)的通通道。。通道道的安安全性性取決決于協(xié)協(xié)議中中采用用的加加密算算法。。目前前SSL協(xié)議標(biāo)標(biāo)準(zhǔn)已已經(jīng)成成為網(wǎng)網(wǎng)絡(luò)上上保密密通信信的一一種工工業(yè)標(biāo)標(biāo)準(zhǔn),在C/S和B/S的構(gòu)架架下都都有廣廣泛的的應(yīng)用用。258.5安安全全電子子交易易協(xié)議議（SET）1.SET要達(dá)到到的最最主要要的目目標(biāo)信息在在Internet上的安安全傳傳輸訂單信信息與與個(gè)人人賬號(hào)號(hào)信息息的隔隔離消費(fèi)者者和商商家的的相互互認(rèn)證證，以以確定定雙方方身份份要求軟軟件遵遵循相相同的的協(xié)議議和消消息格格式，，使不不同廠廠家開開發(fā)的的軟件件具有有兼容容性和和互操操作性性。為了在在線交交易時(shí)時(shí)保證證支付付卡的的安全全而設(shè)設(shè)立的的一個(gè)個(gè)事實(shí)實(shí)上的的工業(yè)業(yè)標(biāo)準(zhǔn)準(zhǔn)，已已有多多家大大公司司的支支持：：26消費(fèi)者在線商店支付網(wǎng)網(wǎng)關(guān)收單銀銀行發(fā)卡銀銀行認(rèn)證中中心協(xié)商訂單確認(rèn)審核確認(rèn)審核確認(rèn)審核批準(zhǔn)認(rèn)證認(rèn)證認(rèn)證SET協(xié)議中中的角角色及及SET協(xié)議的的工作作原理理27開篇案案例：：廣東東發(fā)展展銀行行網(wǎng)絡(luò)絡(luò)安全全架構(gòu)構(gòu)從1998年開始始，廣廣東發(fā)發(fā)展銀銀行最最初的的網(wǎng)絡(luò)絡(luò)安全全體系系就依依據(jù)思思科SAFE藍(lán)圖部部署。。SAFE主張，，網(wǎng)絡(luò)絡(luò)安全全建設(shè)設(shè)不能能一蹴蹴而就就，而而應(yīng)該該是一一個(gè)動(dòng)動(dòng)態(tài)的的過程程。所所以在在最初初的部部署中中，思思科主主要協(xié)協(xié)助廣廣東發(fā)發(fā)展銀銀