電子商務(wù)安全技術(shù)課件

電子商務(wù)安全技術(shù)5.1.1

電子商務(wù)安全的概念密碼安全---由技術(shù)上提供強(qiáng)韌的密碼系統(tǒng)及其正確應(yīng)用來(lái)實(shí)現(xiàn)，是通信安全的最核心部分。計(jì)算機(jī)安全---計(jì)算機(jī)數(shù)據(jù)和程序文件不至被非授權(quán)人員，計(jì)算機(jī)和程序訪問(wèn)，獲取和修改，可以通過(guò)限制使用的物理范圍，利用特殊軟件和安全功能構(gòu)造來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)安全---通過(guò)物理設(shè)施的保護(hù)，軟件及職員的安全防止非授權(quán)的訪問(wèn)，偶發(fā)或蓄意的干擾或破壞。信息安全---保護(hù)信息免遭非授權(quán)泄密或處理能力的喪失。5.1.2

對(duì)電子商務(wù)的四類威脅中斷---不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用。竊取---指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏或丟失，通常包括信息在傳輸中丟失或泄漏，信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)建立隱蔽隧道等。更改---以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入信息，以取得有益于攻擊者的響應(yīng)，以干擾用戶的正常使用。偽造---以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，惡意修改數(shù)據(jù)，以假冒。5.1.3

安全設(shè)計(jì)的保密級(jí)別A,B,C,D四級(jí)密鑰長(zhǎng)度信息擴(kuò)張加密解密安全監(jiān)測(cè)與管理電子商務(wù)業(yè)務(wù)系統(tǒng)5.1.4

電子商務(wù)安全體系結(jié)構(gòu)安全平臺(tái)(操作系統(tǒng),數(shù)據(jù)庫(kù),網(wǎng)絡(luò)…)密碼算法(分組密碼,共鑰密碼,HASH…)認(rèn)證手段(數(shù)字簽名,證書授權(quán),MAC…)安全協(xié)議(SET,SSL,S/HTTP…)電子商務(wù)支付系統(tǒng)5.1.5

安全與密碼學(xué)術(shù)機(jī)構(gòu)國(guó)際密碼研究協(xié)會(huì)四大洲密碼協(xié)會(huì)（亞，歐，美，澳）中國(guó)密碼研究協(xié)會(huì)（CACR）

5.2.1

加密解密方法古典加密解密方法

加密解密模型：m-明文c-密鑰k-密鑰k=k’時(shí)，為對(duì)稱密鑰k!=k’時(shí)，為不對(duì)稱密鑰

原文公鑰/私鑰加密加密原文公鑰/私鑰解密密文5.2.1

加密解密方法凱撒密碼：一一對(duì)應(yīng)明文

ABCDEFGHIJKLMNOP密鑰1

defghIjklmnopqrs密鑰2

vzyabcdefghIjklm實(shí)例：CHINA密鑰1

fklqd密鑰2

yefkv5.2.1

加密解密方法換位密碼明文

COMPUTERSECURIT分組

COMPUTERSECURIT密文

CTCOEUMRRPSIUET5.2.1

加密解密方法實(shí)例明文information密文9683567303134633967383

棋盤密碼

46187520936abcdefghij3klmnopqrst

5.2.1

加密解密方法

矩陣密碼MA=CM=CA-15.2.2

加密解密方法現(xiàn)代加密解密算法：

單鑰加密體制（k=k’）DES(DataEncryptionStandard)

公鑰加密體制（k!=k’）RSA（三位發(fā)明者名字的首字母）5.3.1

防火墻技術(shù)Internet的安全概念保護(hù)內(nèi)部資源防止外部入侵控制監(jiān)督外部機(jī)器對(duì)內(nèi)部資源的訪問(wèn)控制監(jiān)督內(nèi)部機(jī)器對(duì)外部網(wǎng)的訪問(wèn)5.3.2

防火墻技術(shù)防火墻的分類：包過(guò)濾型防火墻TCP/IP,報(bào)文類,源IP地址,目的IP地址,源端口號(hào)應(yīng)用網(wǎng)關(guān)型防火墻telnet26端口號(hào)259,使用代理技術(shù)在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)成一個(gè)屏障5.3.2

防火墻的安全策略沒有被列為允許訪問(wèn)的服務(wù)都是被禁止的；沒有被列為禁止訪問(wèn)的服務(wù)都是被允許的。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層InternetInternet防火墻包過(guò)濾5.3.3

常用防火墻軟件SecureIISv1.24

SecureIIS是由eeye安全公司出品的一個(gè)應(yīng)用級(jí)防火墻，基于CHAM技術(shù)可以保護(hù)IIS免受各種已知或未知的攻擊。

天網(wǎng)防火墻V2.48

天網(wǎng)防火墻（SkyNet-FireWall）個(gè)人版是一款由天網(wǎng)安全實(shí)驗(yàn)室制作的給個(gè)人電腦使用。KFW網(wǎng)絡(luò)防火墻最新一代的網(wǎng)絡(luò)安全防火墻，無(wú)論在功能、效率、界面、操作方面性上都領(lǐng)先同類防火墻。5.4

計(jì)算機(jī)病毒概念：是一類特殊的計(jì)算機(jī)程序分類：良性-降低計(jì)算機(jī)效率,不破壞系統(tǒng)資源惡性—降低效率，破壞系統(tǒng)資源結(jié)構(gòu)：引導(dǎo)模塊,傳染模塊,表現(xiàn)模快5.4

計(jì)算機(jī)病毒防止：防毒軟件(實(shí)時(shí)監(jiān)控掃描),防火墻防毒卡,全平臺(tái)防毒傳播媒介：郵件,下載,磁盤,軟件,光盤等特點(diǎn)：傳染性,潛伏性,針對(duì)性持久性,繁殖性,破壞性5.5

操作系統(tǒng)的安全設(shè)計(jì)隔離控制物理---設(shè)備分配時(shí)間---分時(shí)使用加密---防止泄漏邏輯---進(jìn)程透明訪問(wèn)控制設(shè)備（存儲(chǔ)器，I/O設(shè)備）最小權(quán)限5.5

操作系統(tǒng)的安全設(shè)計(jì)系統(tǒng)測(cè)試形式化測(cè)試：程序的正確性（復(fù)雜，費(fèi)時(shí)）鑒定：需求檢查，源碼檢查破壞分析：專家分析，黑客攻擊5.6.1

信息安全的熱點(diǎn)課題千年蟲問(wèn)題：四位數(shù)表示法日期后推法5.6.2

信息安全的熱點(diǎn)課題數(shù)據(jù)備份軟件硬件數(shù)據(jù)隱藏生物電子安全平臺(tái)信息安全平臺(tái)電子商務(wù)平臺(tái)電子支付平臺(tái)5.6.3

信息安全的熱點(diǎn)課題應(yīng)用系統(tǒng)移動(dòng)通信（手機(jī)，短消息網(wǎng)關(guān)）CA中心網(wǎng)上銀行網(wǎng)絡(luò)郵局等5.7HTTPSSLSET定義及區(qū)別

5.7.1定義HTTP（HyperTextTransportProtocol）超文本傳輸協(xié)議。SSL（SecureSocketLayer）由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SET

（SecureElectronicTransactions）為了克服SSL安全協(xié)議的缺點(diǎn)，滿足電子交易持續(xù)不斷地增加的安全要求，VISA國(guó)際組織及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全電子交易。5.7.2

SET中的安全技術(shù)數(shù)字信封---依靠系統(tǒng)持證消息不被泄漏，并能可靠傳送的技術(shù)。雙重簽名--將訂單信息和個(gè)人賬號(hào)信息分別進(jìn)行數(shù)字簽名，確保商家和銀行均看不到對(duì)方的信息。持卡者證書---是支付卡的電子化表示，由哈希算法根據(jù)賬號(hào)生成的碼，如果知道賬號(hào)，就可以導(dǎo)出碼值，反之則不行。商家證書---表示可以用什么卡結(jié)算，一個(gè)商家可擁有多個(gè)卡，表示它與多個(gè)銀行有合作關(guān)系，可接受多種付款方式。5.7.2SET中的安全技術(shù)消費(fèi)者在線商店收單銀行支付網(wǎng)關(guān)發(fā)卡銀行批準(zhǔn)確認(rèn)確認(rèn)審核請(qǐng)求協(xié)商審核訂單確認(rèn)認(rèn)證中心認(rèn)證認(rèn)證認(rèn)證5.7.2SET中的安全技術(shù)SET協(xié)議中的角色有：消費(fèi)者：購(gòu)買者通過(guò)計(jì)算機(jī)與商家交流，通過(guò)由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡進(jìn)行結(jié)算。在與商家的會(huì)話中，SET可保證消費(fèi)者的個(gè)人賬號(hào)信息不被泄露。發(fā)卡機(jī)構(gòu)：一個(gè)金融機(jī)構(gòu)，為每一個(gè)建立了賬戶的顧客頒發(fā)付款卡。商家：提供商品或服務(wù)，使用SET可以保證消費(fèi)者信息的安全。接受卡支付的商家必須和銀行有關(guān)系。銀行：在線交易的商家在銀行開立賬號(hào)，并且處理支付卡的認(rèn)證和支付。支付網(wǎng)關(guān)：由銀行操作的，將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。5.7.3三者的區(qū)別HTTP協(xié)議無(wú)任何安全設(shè)置；

SSL協(xié)議提供了客戶端認(rèn)證和服務(wù)器端認(rèn)證，其中以服務(wù)器端認(rèn)證最為常用；

SET協(xié)議提供的安全保障更為全面，主要用在CA，持卡者，商家服務(wù)器和支付網(wǎng)關(guān)之間。5.7.3三者的區(qū)別

保證電子商務(wù)參與者信息的相互隔離即商家不能看到客戶的帳戶和密碼信息；保證信息在Intemet上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取；

解決多方認(rèn)證問(wèn)題，不僅要對(duì)消費(fèi)者的信用卡認(rèn)證，而且要求對(duì)在線商店的信譽(yù)程度認(rèn)證，同時(shí)還有消費(fèi)者、在線商店與銀行間的認(rèn)證；

保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過(guò)程都是在線的；規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，可以在不同的硬件和操作系統(tǒng)平臺(tái)上運(yùn)行。

SET獨(dú)特的安全性

安全技術(shù)數(shù)字簽名數(shù)字時(shí)間戳數(shù)字憑證消息摘要數(shù)字簽名（DigitalSignature)它能確認(rèn):（1）信息是由簽名者發(fā)送的（2）信息自簽發(fā)后到收到為止未曾做過(guò)任何修改。處理過(guò)程：（采用雙重加密）（1）使用SHA編碼將發(fā)送文件加密產(chǎn)生128bit的數(shù)字摘要；（2）發(fā)送方用自己的專用密鑰對(duì)摘要再加密，形成數(shù)字簽名；（3）將原文和加密的摘要同時(shí)傳給對(duì)方；

數(shù)字簽名（DigitalSignature)（4）接受方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生同一摘要；（5）將解密后的摘要和收到的文件在接受方重新加密產(chǎn)生的摘要相互對(duì)比，如果兩者一致，則說(shuō)明在傳送過(guò)程中信息沒有破壞和篡改。否則，則說(shuō)明信息已經(jīng)失去安全性和保密性。數(shù)字時(shí)間戳網(wǎng)絡(luò)安全中，需要對(duì)傳輸資料文件的日期和時(shí)間信息采取安全措施，可通過(guò)DTS(DigitalTime-stampService)實(shí)現(xiàn)，它對(duì)電子文件提供發(fā)表時(shí)間的安全保護(hù)。該服務(wù)由專門的網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)提供。組成：（1）需要加載時(shí)間戳的日期和時(shí)間；（2）DTS收到文件的日期和時(shí)間；

(3)DTS的數(shù)字簽名數(shù)字時(shí)間戳網(wǎng)絡(luò)安全中，需要對(duì)傳輸資料文件的日期和時(shí)間信息采取安全措施，可通過(guò)DTS(DigitalTime-stampService)實(shí)現(xiàn)，它對(duì)電子文件提供發(fā)表時(shí)間的安全保護(hù)。該服務(wù)由專門的網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)提供。它是一個(gè)經(jīng)過(guò)加密形成的憑證文檔，組成：（1）需要加載時(shí)間戳的日期和時(shí)間；（2）DTS收到文件的日期和時(shí)間；（3）DTS的數(shù)字簽名。數(shù)字時(shí)間戳?xí)r間戳的產(chǎn)生過(guò)程：（1）用戶將需要加時(shí)間戳的文件用HASH編碼加密形成摘要；（2）摘要送到DTS,DTS加入該文件摘要的收到日期和時(shí)間信息后再對(duì)該文件加密，即進(jìn)行數(shù)字簽名；（3）送回用戶。數(shù)字憑證數(shù)字憑證（DigitalCertificateorDigitalID)又稱為數(shù)字證書或者是數(shù)字標(biāo)識(shí)，是INTERNET上使用電子手段證實(shí)用戶身份和用戶訪問(wèn)網(wǎng)絡(luò)資源權(quán)限的一種安全防范手段。數(shù)字憑證的格式：CCITTX.509(1)憑證擁有者的姓名；（2）憑證擁有者的公共密鑰；（3）公共密鑰的有效期；（4）頒發(fā)數(shù)字憑證的單位；（5）數(shù)字憑證的序列號(hào)（SerialNumber)；(6)頒發(fā)數(shù)字憑證單位的數(shù)字簽名；數(shù)字憑證數(shù)字憑證的類型：（1）個(gè)人憑證（PersonalDigitalID)(2)企業(yè)服務(wù)器憑證（ServerID)(3)軟件開發(fā)者憑證（DeveloperID)消息摘要消息摘要是一個(gè)用來(lái)檢測(cè)消息的完整性和證明消息沒有被干擾的數(shù)值。HASH函數(shù)的基本原理是將一些數(shù)據(jù)作為輸入并生成摘要hash值，它以來(lái)輸入的內(nèi)容和