模塊5 電子商務與安全技術(shù)《電子商務技術(shù)基礎(chǔ)》教學課件

《電子商務技術(shù)基礎(chǔ)》?精品課件合集第X章XXXX模塊5電子商務與安全技術(shù)第五章電子商務與安全技術(shù)5.1電子商務的安全概述5.2防火墻技術(shù)5.3信息安全與加密技術(shù)5.4電子交易的安全認證技術(shù)5.1電子商務的安全概述電子商務是以INTERNET為依托所從事的商務活動。為了保證商務活動中數(shù)據(jù)的安全可靠交換，電子商務的安全成為電子商務系統(tǒng)的首要問題。要保證電子商務的安全，涉及到密碼安全、計算機安全、網(wǎng)絡(luò)安全和信息安全。5.1電子商務的安全概述5.1.1網(wǎng)絡(luò)安全的概述1、網(wǎng)絡(luò)安全（1）密碼安全（2）計算機安全（3）網(wǎng)絡(luò)安全（4）信息安全5.1電子商務的安全概述5.1.1網(wǎng)絡(luò)安全的概述2、網(wǎng)絡(luò)安全所面臨的安全問題身份竊取非援權(quán)訪問冒充合法用戶數(shù)據(jù)竊取破壞數(shù)據(jù)的完整性拒絕服務否認數(shù)據(jù)流分析干擾系統(tǒng)正常運行病毒與惡意攻擊5.1電子商務的安全概述5.1.1網(wǎng)絡(luò)安全的概述3、導致網(wǎng)絡(luò)不安全的因素（1）環(huán)境（2）資源共享（3）數(shù)據(jù)通信（4）計算機病毒（5）TCP/IP協(xié)議的安全缺陷5.1電子商務的安全概述5.1.1網(wǎng)絡(luò)安全的概述4、安全技術(shù)措施單純從技術(shù)角度來講，網(wǎng)絡(luò)安全需要解決以下幾個方面的技術(shù)問題：如何認證用戶使用名與他們的真實身份一致。標準網(wǎng)絡(luò)協(xié)議（例如和）使假冒一個人或組織相當容易。如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來進行用戶認證。5.1電子商務的安全概述5.1.1網(wǎng)絡(luò)安全的概述4、安全技術(shù)措施單純從技術(shù)角度來講，網(wǎng)絡(luò)安全需要解決以下幾個方面的技術(shù)問題：如何認證用戶使用名與他們的真實身份一致。標準網(wǎng)絡(luò)協(xié)議（例如和）使假冒一個人或組織相當容易。如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來進行用戶認證。如何確信這些服務在上均有效。也就是說，如何避免在防火墻內(nèi)外采用不同的安全措施。如何在實時（例如網(wǎng)絡(luò)客戶與網(wǎng)絡(luò)服務器間的數(shù)據(jù)流）和存儲轉(zhuǎn)發(fā)應用（例如電子郵件）情況下保護通信秘密。如何確保信息在發(fā)送和接收間避免干擾。如何保護秘密文件，使得只有授權(quán)的用戶可以訪問。5.1電子商務的安全概述5.1.2電子商務的安全交易體系在電子商務活動過程中，為了保證電子商務活動的安全性，必須建立一套有效的安全機制作為保證，使商家、消費者及銀行等各方相互之間通過網(wǎng)絡(luò)來從事的交易數(shù)據(jù)安全、可靠和保密。

5.1電子商務的安全概述5.1.2電子商務的安全交易體系5.1電子商務的安全概述5.1.2電子商務的安全交易體系在這樣一個安全的電子商務交易系統(tǒng)中，必須做到以下幾點安全控制要求：

（1）保密性（2）身份認證（3）不可抵賴性（4）信息的完整性、防篡改性5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)1、專用網(wǎng)技術(shù)VPN(VPN:VirtualPrivateNetwork)是一項非常適合電子數(shù)據(jù)交換（EDI）的技術(shù)，它可以在不同地理位置的兩參計算機之間建立一個按需的連接，以此達到在公共的Internet上或個別的企業(yè)局域網(wǎng)之間實現(xiàn)安全的電子交易的目的。

5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)2、防火墻技術(shù)“防火墻”是一種形象的說法，其實它是一種由計算機硬件和軟件組成的，一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡(luò)和之間的訪問控制。防火墻形成設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而防止發(fā)生不可預測的，潛在破壞性的侵入。

5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)防火墻具有以下優(yōu)點：保護那些易受攻擊的服務。控制對特殊站點的訪問。集中化的安全管理。對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計。5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)防火墻主要有以下功能：保護數(shù)據(jù)的完整性。保護網(wǎng)絡(luò)的有效性。保護數(shù)據(jù)的精密性。5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)3、數(shù)據(jù)加密技術(shù)（1）數(shù)據(jù)傳輸加密技術(shù)（2）數(shù)據(jù)存儲加密技術(shù)（3）數(shù)據(jù)完整性鑒別技術(shù)（4）密鑰管理技術(shù)5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)4、安全協(xié)議（1）電子郵件的安全協(xié)議

①PEMPEM是增強Internet電子郵件隱秘性的標準草案②安全多用途互聯(lián)網(wǎng)郵件擴展協(xié)議③PEM-MIME(MOSS)MOSS(MIME對象安全服務)5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)4、安全協(xié)議（2）Internet主要的安全協(xié)議

①SSL(安全槽層)協(xié)議②S-HTTP(安全的超文本傳輸協(xié)議)5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)4、安全協(xié)議（3）UN/EDIFACT的安全（4）安全電子交易規(guī)范(SET)

5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)

5、授權(quán)在電子商務系統(tǒng)中有各種不同用途的證書類型，其中最重要的是公鑰證書，它將公開密鑰與特定的人、器件或其他實體聯(lián)系起來。公鑰證書是由被稱作證書機構(gòu)的人或?qū)嶓w簽署的，其中包含有掌握相應密鑰的持證者的確切身份或其他屬性。公鑰證書是將公鑰體制用于大規(guī)模安全電子商務的基本要素。5.1電子商務的安全概述5.1.3電子商務中常用安全技術(shù)

5、授權(quán)在電子商務系統(tǒng)中有各種不同用途的證書類型，其中最重要的是公鑰證書，它將公開密鑰與特定的人、器件或其他實體聯(lián)系起來。公鑰證書是由被稱作證書機構(gòu)的人或?qū)嶓w簽署的，其中包含有掌握相應密鑰的持證者的確切身份或其他屬性。公鑰證書是將公鑰體制用于大規(guī)模安全電子商務的基本要素。用戶向CA注冊，建立起注冊者與CA的關(guān)系，注冊者向CA提供必要的有關(guān)信息。經(jīng)過主體認證、證書生成等確定證書的使用期限和授權(quán)信息。5.2防火墻技術(shù)5.2.1防火墻的安全控制基本準則要為網(wǎng)絡(luò)建立防火墻，首先需要決定防火墻將采取何種安全控制基本準則。

1、一切未被允許的都是禁止的2、一切未被禁止的都是允許的5.2防火墻技術(shù)5.2.2防火墻主要類型1、數(shù)據(jù)包過濾

包過濾（PacketFilter）技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，也稱網(wǎng)絡(luò)層防火墻，作用于IP層，通常由過濾路由器來構(gòu)建。

5.2防火墻技術(shù)5.2.2防火墻主要類型2、代理技術(shù)防火墻

代理技術(shù)防火墻，也稱應用層防火墻，作用于應用層。其核心是運行于防火墻主機上的代理服務器進程，它代替網(wǎng)絡(luò)用戶完成特點的TCP／IP功能。

5.2.2防火墻主要類型

綜合上述兩種防火墻技術(shù)的優(yōu)缺點，在實際構(gòu)建防火墻系統(tǒng)時，通常由過濾路由器和代理服務器組合在一起構(gòu)成一個混合的多級防火墻系統(tǒng)，由過濾路由器提供第一級的安全防護，主要用于防止IP欺騙攻擊，再由代理服務器提供更高級的安全防護機制。

5.2防火墻技術(shù)5.2防火墻技術(shù)5.2.3防火墻體系結(jié)構(gòu)

1、雙重宿主主機體系結(jié)構(gòu)5.2防火墻技術(shù)5.2.3防火墻體系結(jié)構(gòu)2、被屏蔽主機體系結(jié)構(gòu)5.2防火墻技術(shù)5.2.3防火墻體系結(jié)構(gòu)3、被屏蔽子網(wǎng)體系結(jié)構(gòu)5.2防火墻技術(shù)5.2.4防火墻系統(tǒng)總體設(shè)計1、設(shè)計防火墻系統(tǒng)的拓撲結(jié)構(gòu)(1)雙宿主主機結(jié)構(gòu)(2)屏蔽主網(wǎng)關(guān)結(jié)構(gòu)(3)屏蔽子網(wǎng)網(wǎng)關(guān)結(jié)構(gòu)2、制定網(wǎng)絡(luò)安全策略3、確定包過濾規(guī)則

5.2防火墻技術(shù)5.2.5規(guī)劃代理服務器

代理服務器(PROXY)是防火墻系統(tǒng)中的一個服務器進程，安裝運行在防火墻主機上，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)充當中繼，防止內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接連接。

5.2防火墻技術(shù)5.2.6防火墻系統(tǒng)設(shè)計實例

5.2防火墻技術(shù)5.2.6防火墻系統(tǒng)設(shè)計實例1、包過濾規(guī)則的設(shè)計

對于過濾路由器中過濾規(guī)則的設(shè)計，我們采用的安全策略是：不允許IP源路由，起于內(nèi)部網(wǎng)絡(luò)的服務允許給過濾子網(wǎng)中的代理服務器，允許外部網(wǎng)絡(luò)到代理服務器的流量，允許過濾子網(wǎng)中代理服務器到內(nèi)部網(wǎng)絡(luò)的流量。

5.2防火墻技術(shù)5.2.6防火墻系統(tǒng)設(shè)計實例2、代理服務器的設(shè)計

代理服務器為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)雙方的通信充當中繼，阻止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的直接連接，再輔以用戶身份驗證模塊和監(jiān)控、記錄模塊，可以完全控制通信雙方的會話過程，提供更高級的安全性。5.3信息安全與加密技術(shù)5.3.1密碼學概述1、概述加密是通過對信息的重新組合，使得只有收發(fā)又方才能解碼還原信息。傳統(tǒng)的加密系統(tǒng)是以密鑰為基礎(chǔ)的。加密。簡言之就是把明文變換成密文的過程。解密就是把密文還原成明文的過程。認證，識別個人，網(wǎng)絡(luò)上的機器或機構(gòu)。身份認證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份認證主要包括認證依據(jù)，認證系統(tǒng)和安全要求。數(shù)字簽名，將發(fā)送文件與特定的密鑰捆在一起。大多數(shù)電子交易采用兩個密鑰加密；密文和用來解碼的密鑰一起發(fā)送，而該密鑰本身又被加密，還需要另一個密鑰來解碼。這種組合加密被稱為數(shù)字簽名，它可能成為未來電子商業(yè)中首選的安全技術(shù)。簽名識別，數(shù)字簽名的反過程，它證明簽名有效。

5.3信息安全與加密技術(shù)5.3.1密碼學概述2、保密系統(tǒng)模型

5.3信息安全與加密技術(shù)5.3.2單鑰密碼體制單鑰密碼體制，也稱為對稱密碼體制或私密碼體制，其加密密鑰和解密密鑰相同，既指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進行加密和解密運算。

5.3信息安全與加密技術(shù)5.3.3雙鑰密碼體制

雙鑰密碼體制，又稱非對稱密碼體制或公鑰密碼體制(publickeysystem)。雙鑰密碼體制是指對信息加密和解密所使用的是不同的密鑰，即有兩個密鑰：一個是公開密鑰，一個是私有密鑰。5.3信息安全與加密技術(shù)5.3.4加密解密應用流程

5.4電子交易的安全認證技術(shù)認證包含消息認證、數(shù)據(jù)源認證和實體認證（身份識別），用以防止欺騙、偽裝等攻擊。5.4電子交易的安全認證技術(shù)認證包含消息認證、數(shù)據(jù)源認證和實體認證（身份識別），用以防止欺騙、偽裝等攻擊。對消息進行數(shù)字簽名、采用消息認證碼（MAC）或用單鑰密碼體制下的共享密鑰對消息進行加密等都可實現(xiàn)消息認證。5.4電子交易的安全認證技術(shù)認證包含消息認證、數(shù)據(jù)源認證和實體認證（身份識別），用以防止欺騙、偽裝等攻擊。對消息進行數(shù)字簽名、采用消息認證碼（MAC）或用單鑰密碼體制下的共享密鑰對消息進行加密等都可實現(xiàn)消息認證。實體認證協(xié)議可分為單向認證協(xié)議和雙向認證協(xié)議。前者是指協(xié)議僅能完成兩個實體中一方對另一方的認證，而后者則可實現(xiàn)兩個通信實體間的相互認證。5.4電子交易的安全認證技術(shù)5.4.1認證系統(tǒng)模型通常的加密解密，防備被動攻擊很有效，對于主動攻擊的效果不夠理想。為了防止主動攻擊，通常采用是認證(Authentication)編碼的方法。

5.4電子交易的安全認證技術(shù)5.4.2認證體系結(jié)構(gòu)網(wǎng)絡(luò)中的認證包括身份認證和消息認證兩類。對于身份認證的方法有以下的三種：1、戶知道的某些東西，如口令等。2、戶保存的某些東西，如令牌、智能卡、磁卡等，也包括軟的東西，如數(shù)字證書等。3、用戶唯一具有的東西，如由生物統(tǒng)計學方法證實的指紋、聲譜、視網(wǎng)膜掃描等。

5.4電子交易的安全認證技術(shù)5.4.3安全認證方法

安全認證技術(shù)也是為了滿足電子商務系統(tǒng)的安全性要求而采取的一種常用的必須的安全技術(shù)。安全認證技術(shù)主要數(shù)字摘要（digitaldigest）、數(shù)字信封（digitalenvelop）、數(shù)字簽名（digitalsignature）、數(shù)字時間戳（DTS:DigitalTime-Stamp）、數(shù)字證書（digitalcertificate）等技術(shù)。5.4電子交易的安全認證技術(shù)5.4.4安全認證協(xié)議1、保密增強郵件協(xié)議2、安全多用途互聯(lián)網(wǎng)郵件擴展協(xié)議3、安全套接層協(xié)議4、安全電子交易協(xié)議5.4電子交易的安全認證技術(shù)5.4.5公鑰基礎(chǔ)結(jié)構(gòu)

1、公鑰基礎(chǔ)結(jié)構(gòu)概述公鑰基礎(chǔ)結(jié)構(gòu)（PKI