電子商務(wù)安全第三章課件

1、第三章 電子商務(wù)安全技術(shù)學(xué)習(xí)并了解常用的電子商務(wù)安全技術(shù)； 掌握電子數(shù)據(jù)交換技術(shù)； 掌握認(rèn)證技術(shù)； 掌握虛擬專用網(wǎng)技術(shù)； 了解基于生物特征的身份認(rèn)證技術(shù)。知識目標(biāo)了解電子商務(wù)常用的加密技術(shù)，并掌握其應(yīng)用方法； 了解電子商務(wù)常用的防火墻技術(shù)，并掌握其應(yīng)用方法。技能目標(biāo)第一節(jié) 電子數(shù)據(jù)交換技術(shù)一、 電子數(shù)據(jù)交換技術(shù)概述電子數(shù)據(jù)交換技術(shù)的概念電子數(shù)據(jù)交換（electronic data interchange，EDI）技術(shù)是信息技術(shù)向商貿(mào)領(lǐng)域滲透并與國際商貿(mào)實(shí)務(wù)相結(jié)合的產(chǎn)物。第一節(jié) 電子數(shù)據(jù)交換技術(shù)美國國家標(biāo)準(zhǔn)局EDI標(biāo)準(zhǔn)委員會對EDI的解釋是：EDI指的是在相互獨(dú)立的組織機(jī)構(gòu)之間所進(jìn)行的標(biāo)準(zhǔn)格式、

2、非模糊的具有商業(yè)或戰(zhàn)略意義的信息的傳輸。聯(lián)合國標(biāo)準(zhǔn)化組織將EDI描述成，按照統(tǒng)一標(biāo)準(zhǔn)將商業(yè)或行政事務(wù)處理轉(zhuǎn)換成結(jié)構(gòu)化的事務(wù)處理或報文數(shù)據(jù)格式，并借助計算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)的一種數(shù)據(jù)電子傳輸方法。第一節(jié) 電子數(shù)據(jù)交換技術(shù)由此可以總結(jié)出EDI的含義：EDI是商業(yè)伙伴之間，將按標(biāo)準(zhǔn)、協(xié)議規(guī)范化和格式化的經(jīng)濟(jì)信息通過電子數(shù)據(jù)網(wǎng)絡(luò)，在單位的計算機(jī)系統(tǒng)之間進(jìn)行自動交換和處理。EDI是電子商務(wù)貿(mào)易的一種工具，將商業(yè)文件（如訂單、發(fā)票、發(fā)貨單、報關(guān)單和進(jìn)出口許可證）按統(tǒng)一的標(biāo)準(zhǔn)編制成計算機(jī)能識別和處理的數(shù)據(jù)格式，在計算機(jī)之間進(jìn)行傳輸。第一節(jié) 電子數(shù)據(jù)交換技術(shù)第一節(jié) 電子數(shù)據(jù)交換技術(shù)2. EDI的有關(guān)標(biāo)準(zhǔn)EDI網(wǎng)絡(luò)通信

3、標(biāo)準(zhǔn)EDI聯(lián)系標(biāo)準(zhǔn)EDI處理標(biāo)準(zhǔn)EDI語義語法標(biāo)準(zhǔn)第一節(jié) 電子數(shù)據(jù)交換技術(shù)3. EDI面臨的威脅根據(jù)來源不同，這些威脅可分為內(nèi)部和外部兩種。內(nèi)部威脅是指系統(tǒng)的合法用戶以故意或非法方式進(jìn)行操作所產(chǎn)生的威脅，如內(nèi)部工作人員利用工作之便或者軟件固有缺陷，非法使用EDI資源或越權(quán)存取數(shù)據(jù)；外部威脅泛指搭線竊聽、截取交換信息、冒充合法用戶等。第一節(jié) 電子數(shù)據(jù)交換技術(shù)3. EDI面臨的威脅根據(jù)動機(jī)不同，這些威脅可分為偶發(fā)性威脅和故意性威脅。偶發(fā)性威脅指偶然發(fā)生的、不帶任何預(yù)謀的威脅，如系統(tǒng)故障、操作失誤、軟件出錯或其他不可抗自然力；故意性威脅則指那些人為的、有預(yù)謀或動機(jī)的威脅，往往伴有網(wǎng)絡(luò)攻擊、信息盜取等

4、行為，因此需要重點(diǎn)防范。第一節(jié) 電子數(shù)據(jù)交換技術(shù)二、 電子數(shù)據(jù)交換技術(shù)的系統(tǒng)構(gòu)成一個EDI消息處理系統(tǒng)大體上分為以下幾個組成部分：EDI消息傳送系統(tǒng)EDI用戶EDI消息存儲EDI用戶代理第一節(jié) 電子數(shù)據(jù)交換技術(shù)EDI消息處理系統(tǒng)的各個組成部分以及它們之間的關(guān)系如圖3-2所示第一節(jié) 電子數(shù)據(jù)交換技術(shù)三、 電子數(shù)據(jù)交換技術(shù)的安全策略和具體措施EDI的實(shí)際運(yùn)作過程中，主要通過三級安全系統(tǒng)來達(dá)到前面介紹的安全目的，即網(wǎng)絡(luò)級安全、應(yīng)用級安全、報文級安全。應(yīng)用級安全報文級安全網(wǎng)絡(luò)級安全第一節(jié) 電子數(shù)據(jù)交換技術(shù)為了更好地實(shí)現(xiàn)EDI安全，可以采用以下幾項(xiàng)具體措施：防拒絕服務(wù)訪問控制接收不可抵賴源點(diǎn)不可抵賴電文

5、加密數(shù)字簽名防止電文丟失1234567第二節(jié) 密 碼 技 術(shù)1. 密碼學(xué)的組成和密碼系統(tǒng)的要素密碼學(xué)主要是研究通信安全保密的學(xué)科，它包括兩個分支：密碼編碼學(xué)和密碼分析學(xué)。一、 密碼學(xué)概述密碼編碼學(xué)密碼分析學(xué)第二節(jié) 密 碼 技 術(shù)密碼編碼學(xué)主要研究對信息進(jìn)行變換，以保護(hù)信息在信道的傳遞過程中不被攻擊者竊取、解讀和利用的方法；密碼分析學(xué)則與密碼編碼學(xué)相反，它主要研究如何分析和破譯密碼。這兩者之間既相互對立又相互促進(jìn)。第二節(jié) 密 碼 技 術(shù)準(zhǔn)確地說，一個密碼系統(tǒng)由明文空間、密文空間、密碼方案和密鑰空間組成。密碼方案密文空間密鑰空間明文空間第二節(jié) 密 碼 技 術(shù)2. 密碼的安全攻擊者可采用電磁偵聽、聲

6、音竊聽、搭線竊聽等方法直接得到未加密的明文或加密后的密文，這種對密碼系統(tǒng)的攻擊手段稱為被動攻擊；攻擊者也可采用刪除、更改、插入、重放等手段主動地發(fā)送破壞消息，使收信人得不到發(fā)信人發(fā)送的全部有效信息，這種對密碼系統(tǒng)的攻擊手段稱為主動攻擊。第二節(jié) 密 碼 技 術(shù)對于一個密碼系統(tǒng)來說，若攻擊者無論得到多少密文也求不出確定明文所需的足夠信息，這種密碼系統(tǒng)就是理論上不可破譯的，稱該密碼系統(tǒng)具有無條件安全性（或完善保密性）。若一個密碼系統(tǒng)理論上雖可破譯，但為了由密文得到明文或密鑰卻需要付出非常多的計算時間和精力，而不能在期望的時間內(nèi)或?qū)嶋H可能的經(jīng)濟(jì)條件下求出準(zhǔn)確的答案，這種密碼系統(tǒng)就是實(shí)際不可破譯的，或稱

7、該密碼系統(tǒng)具有計算安全性（或?qū)嶋H保密性）。第二節(jié) 密 碼 技 術(shù)3. 哈希函數(shù)哈希函數(shù)也稱為哈希算法，是將任意長的數(shù)字串映射成一個較短的定長輸出數(shù)字串的函數(shù)。這個函數(shù)易于計算，生成的字符串稱為原字符串的哈希值，也稱哈希碼、哈希結(jié)果等，或簡稱哈希。第二節(jié) 密 碼 技 術(shù)1. 鏈路鏈路加密鏈路鏈路的加密方法將網(wǎng)絡(luò)看做鏈路連接的結(jié)點(diǎn)集合，每一個鏈路被獨(dú)立地加密。二、 信息傳輸中的加密方式第二節(jié) 密 碼 技 術(shù)2. 結(jié)點(diǎn)加密結(jié)點(diǎn)加密的目的是對源結(jié)點(diǎn)到目的結(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。結(jié)點(diǎn)加密是指每對結(jié)點(diǎn)共用一個密鑰，對相鄰兩個結(jié)點(diǎn)間（包括結(jié)點(diǎn)本身）傳送的數(shù)據(jù)進(jìn)行加密保護(hù)。第二節(jié) 密 碼 技 術(shù)結(jié)點(diǎn)加

8、密方法的特點(diǎn)在于：密文在該裝置中被解密并被重新加密明文不通過結(jié)點(diǎn)機(jī)，避免了鏈路鏈路加密結(jié)點(diǎn)處易受攻擊的缺點(diǎn)在結(jié)點(diǎn)處采用一個與結(jié)點(diǎn)機(jī)相連的密碼裝置第二節(jié) 密 碼 技 術(shù)3. 端端加密端端加密又稱脫線加密或包加密，建立在OSI參考模型的網(wǎng)絡(luò)層和傳輸層。第二節(jié) 密 碼 技 術(shù)4. 三種加密方式的選擇第二節(jié) 密 碼 技 術(shù)對于以上三種加密方式進(jìn)行分析和對比，可以得出下面的結(jié)論：（1） 在多個網(wǎng)絡(luò)互連的環(huán)境下，宜采用端端加密方式。（2） 在需要保護(hù)的鏈路數(shù)不多、要求實(shí)時通信、不支持端端加密遠(yuǎn)程調(diào)用通信等場合，宜采用鏈路鏈路加密方式。第二節(jié) 密 碼 技 術(shù)（3） 在需要保護(hù)的鏈路數(shù)較多的場合以及在文件保護(hù)

9、、郵件保護(hù)、支持端端加密的遠(yuǎn)程調(diào)用、實(shí)時性要求不高的通信等場合，宜采用端端加密方式。（4） 對于需要防止流量分析的場合，可考慮采用鏈路鏈路加密和端端加密組合的加密方式。第三節(jié) 認(rèn) 證 技 術(shù)一、 數(shù)字簽名第三節(jié) 認(rèn) 證 技 術(shù)（一） 身份認(rèn)證的概念身份認(rèn)證是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要機(jī)制之一，在安全的網(wǎng)絡(luò)通信中，涉及的通信各方常以某種形式的身份認(rèn)證機(jī)制來驗(yàn)證彼此的身份，即驗(yàn)證其身份與對方所宣稱的是否一致，以確保通信的安全。二、 身份認(rèn)證第三節(jié) 認(rèn) 證 技 術(shù)身份認(rèn)證一般涉及兩方面的內(nèi)容：身份標(biāo)識身份驗(yàn)證第三節(jié) 認(rèn) 證 技 術(shù)（二） 身份認(rèn)證的方法1. 基于口令的身份認(rèn)證方案使用自己或者親友的生日作為口

10、令使用用戶名（賬號）的變換形式作為口令使用學(xué)號、身份證號、單位內(nèi)的員工號碼等作為口令使用常用的英文單詞作為口令使用用戶名（賬號）作為口令12345第三節(jié) 認(rèn) 證 技 術(shù)2. 基于智能卡的身份認(rèn)證方案智能卡（smart card）是一種帶有智能性的集成電路卡，它不僅具有讀寫和存儲數(shù)據(jù)的功能，還具有加密、處理數(shù)據(jù)的能力。第三節(jié) 認(rèn) 證 技 術(shù)3. 基于生物特征的身份認(rèn)證方案基于生物特征的身份認(rèn)證是以人體唯一的、可靠的、穩(wěn)定的生物特征（如指紋、虹膜、臉部、掌紋等）為依據(jù)，采用計算機(jī)的強(qiáng)大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識別方式來實(shí)現(xiàn)認(rèn)證功能的。與傳統(tǒng)的身份認(rèn)證方式相比，該技術(shù)具有很好的安全性、可靠性

11、和有效性。第四節(jié) 虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)（virtual private network，VPN）是將internet作為計算機(jī)網(wǎng)絡(luò)主干的一種網(wǎng)絡(luò)模式，它是企業(yè)網(wǎng)在互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)上的延伸，在公用的或不可信的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上提供安全保障，包括從客戶端到網(wǎng)關(guān)的安全遠(yuǎn)程訪問和從網(wǎng)關(guān)到網(wǎng)關(guān)的安全連接。一、 虛擬專用網(wǎng)簡介第四節(jié) 虛擬專用網(wǎng)技術(shù)第四節(jié) 虛擬專用網(wǎng)技術(shù)二、 虛擬專用網(wǎng)的安全性隧道交換MPLSIPSec微軟的點(diǎn)對點(diǎn)加密技術(shù)第四節(jié) 虛擬專用網(wǎng)技術(shù)第五節(jié) 防火墻技術(shù)一、 防火墻概述（一） 防火墻簡介在邏輯上來看，防火墻是一個分離器，是一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和inter

12、net之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且其本身也必須能夠抵抗?jié)B透攻擊。第五節(jié) 防火墻技術(shù)第五節(jié) 防火墻技術(shù)（二） 防火墻的功能1. 數(shù)據(jù)包過濾7. 流量控制和統(tǒng)計分析、流量計費(fèi)9. URL級信息過濾10. 向客戶發(fā)布信息的地點(diǎn)8. 虛擬專用網(wǎng)2. 審計和報警機(jī)制6. MAC與IP地址的綁定4. 地址轉(zhuǎn)換3. 遠(yuǎn)程管理5. 代理第五節(jié) 防火墻技術(shù)（三） 防火墻的基本技術(shù)分組過濾器代理服務(wù)第五節(jié) 防火墻技術(shù)二、 防火墻技術(shù)的體系結(jié)構(gòu)防火墻技術(shù)的體系

13、結(jié)構(gòu)主要有3種形式：雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)第五節(jié) 防火墻技術(shù)1. 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指以一臺雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。第五節(jié) 防火墻技術(shù)2. 被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和對內(nèi)網(wǎng)的保護(hù)。第五節(jié) 防火墻技術(shù)3. 被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴(kuò)充至一個由兩臺路由器包圍起來的特殊網(wǎng)絡(luò)（周邊網(wǎng)絡(luò)），并且將容

14、易受到攻擊的堡壘主機(jī)置于這個周邊網(wǎng)絡(luò)中。這種防火墻比較復(fù)雜，主要由4個部件構(gòu)成，分別為周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機(jī)。第五節(jié) 防火墻技術(shù)3. 被屏蔽子網(wǎng)體系結(jié)構(gòu)第五節(jié) 防火墻技術(shù)三、 個人防火墻個人防火墻是一種能夠保護(hù)個人計算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計算機(jī)上運(yùn)行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護(hù)計算機(jī)免受攻擊。通常，這些防火墻是安裝在計算機(jī)網(wǎng)絡(luò)接口的較低級別上，可以監(jiān)視傳入、傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。第五節(jié) 防火墻技術(shù)個人防火墻的優(yōu)點(diǎn)包括：增加了保護(hù)級別，不需要額外的硬件資源；除了可以抵擋外來的攻擊，還可以抵擋內(nèi)部的攻擊；對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護(hù)。個人

15、防火墻主要的缺點(diǎn)是對公共網(wǎng)絡(luò)只有一個物理接口，而真正的防火墻應(yīng)該監(jiān)視并控制兩個或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來，個人防火墻本身可能容易受到威脅，或者說是具有這樣一個弱點(diǎn)網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)一、 指紋識別技術(shù)指紋識別技術(shù)的優(yōu)缺點(diǎn)指紋識別技術(shù)的應(yīng)用指紋識別技術(shù)簡介第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)二、 人臉識別技術(shù)人臉識別的研究內(nèi)容大致包括以下5個方面：人臉鑒別（face identification）人臉表征（face representation）表情姿態(tài)分析（expression/gesture analysis）生理分類（physical c

16、lassification）人臉檢測（face detection）12345第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)三、 聲紋識別技術(shù)聲紋識別技術(shù)簡介聲紋識別屬于生物特征識別技術(shù)的一種，它是一項(xiàng)根據(jù)語音波形中反映說話人生理、心理和行為特征的語音參數(shù)自動識別說話人身份的技術(shù)。第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)2. 聲紋識別技術(shù)的應(yīng)用領(lǐng)域聲紋識別技術(shù)主要應(yīng)用于以下領(lǐng)域：安全控制語音電話撥號電話銀行軍隊(duì)和國防司法系統(tǒng)考勤系統(tǒng)第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)四、 虹膜識別技術(shù)1. 虹膜識別技術(shù)的依據(jù)虹膜組織特征在人出生半年至一年半內(nèi)發(fā)育完全，并終生保持不變 虹膜組織具有因人而異的固有特征不可能在對視覺無嚴(yán)重影響的情況下用外科手術(shù)改變虹膜特征一般性疾病不會對虹膜組織造成損傷虹膜的纖維組織細(xì)節(jié)復(fù)雜而豐富12345第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)2. 虹膜識別的關(guān)鍵技術(shù)虹膜圖像采集特征提取虹膜圖像預(yù)處理分類第六節(jié) 基于生物特征的身份認(rèn)證技術(shù)3. 虹膜識別技術(shù)的應(yīng)用領(lǐng)域互聯(lián)網(wǎng)保護(hù)、用戶登錄以及計算機(jī)安全商業(yè)貿(mào)易領(lǐng)域教育領(lǐng)域日?？记卺t(yī)療衛(wèi)生領(lǐng)域12345本章小結(jié)本章主要介紹了幾種與電子商務(wù)安全息息相關(guān)的技術(shù)手段，其中包括電子數(shù)據(jù)交換技術(shù)、認(rèn)證技術(shù)、密碼技術(shù)、虛擬專用網(wǎng)技術(shù)、防火墻技術(shù)和目前較為流行的基于生物特征的身