电子商务课件模块八: 电子商务安全.ppt
模块八:电子商务安全,电子商务信息安全要素,系统安全加密与解密数字签名、数字证书,能够分析网络安全与电子商务系统安全的关系2.能说明电子商务过程电子信息安全传递的过程3.能够在网上申请个人CA证书并应用。,学习目标,能力点,知识点,通过本模块的学习与训练,能够掌握电子商务信息与系统安全的要素;安全防范的措施;明确电子商务安全中加密技术与数字证书的概念。能够说明电子商务过程电子信息安全传递的过程;能够在互联网下载CA证书并使用.,模块八:电子商务安全案例展示,1.96年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统 计,有53的企业受到过计算机病毒的侵害,42的企业的计算机系统在过去 的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击 就达25万次之多。,2.94年末,俄罗斯黑客弗拉基米尔?利文与其伙伴从圣彼得堡的一家小软件公 司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐 方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。,1.国外案例,模块八:电子商务安全案例展示,3.96年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“美国司法 部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫?希特 勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法 部部长的助手。此外还留下了很多攻击美国司法政策的文字,我们也去网上看看吧!,4.96年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由?中央情报局”改为“中央愚蠢局”。5.96年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其 中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国 政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。,模块一:电子商务基础案例展示,2.国内案例,1.97年初,北京某ISP被黑客成功侵入,并在清华大学“水木清华”BBS站 的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。,2.97年4月23日,美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个 PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shutdown帐户,把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。,模块一:电子商务基础案例展示,2.国内案例,3.96年初CHINANET受到某高校的一个研究生的攻击;96年秋,北京某ISP 和它的用户发生了一些矛盾,此用户便攻击该ISP的服务器,致使服务中断了数 小时。,4.2001年,计算机病毒在我国感染情况严重,特别是“红色代码”二型、“尼姆达(Nimda)等恶性病毒在我国大面积传播,造成一些政府机构、教育科研单位等行业的网络通讯阻塞,甚至出现服务器瘫痪。2002年,以电子邮件、特洛伊木马、文件共享等为传播途径的混合性病毒肆虐,影响最大的“求职信”病毒持续六个月高居感染率第一。2003年8月11日,一种名为“冲击波”(WORMMSBLAST.A)的新型蠕虫病毒在国内互联网和部分专用信息网络上传播。全国有上万台电脑遭感染。其变种病毒WORM-MSBLAST.D在全球感染数百家企业。,模块一:电子商务基础案例展示,?怎么办呀?吓人呀?,自然灾害、意外事故;计算机犯罪;人为行为,比如使用不当,安全意识差等;黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。,逻辑炸弹,这是一个由满足某些条件(如时间、地点、特定名字的出现等)时,受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的,它有一个定时器,由编写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。如欢乐时光,时间逻辑炸弹。,它是一种短小的程序,这个程序使用未定义过的处理器来自行完成运行处理。它通过在网络中连续高速地复制自己,长时间的占用系统资源,使系统因负担过重而瘫痪。如震荡波、冲击波、尼姆达、恶邮差等。,蠕虫,陷阱入口,陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序能正常完成某种事情,而别人则往往会进入死循环或其他歧路。,它是一种未经授权的程序,它提供了一些用户不知道的功能。当使用者通过网络引入自己的计算机后,它能将系统的私有信息泄露给程序的制造者,以便他能够控制该系统。如Ortyc.Trojan木马病毒,木马Backdoor.Palukka,酷狼,IE枭雄,腾讯QQ木马病毒。,特洛伊木马,这是允许两个程序互相破坏的游戏程序,它能造成对计算机系统安全的威胁。,核心大战,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,(1)预防病毒技术 它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。(2)检测病毒技术 它是通过对计算机病毒的静态或者动态特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,(3)消除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上采用防病毒芯片以及对网络目录和文件设置访问权限等。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数字摘要,信息加密应用,思考,课外操作?写出流程:你的一名好友买了一台电脑用来上网查询信息,但又怕中病毒。现请你帮忙帮他处理!主要是下载杀病毒软件、安装、升级与安装个人防火墙。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,电子商务安全是一个复杂的系统问题,在使用电子商务的过程中会涉及到以下几个有关安全方面的要素。1)可靠性 2)真实性 3)机密性 4)完整性 5)有效性 6)不可抵赖性,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。,解密:是加密的逆过程,即将密文还原成明文。,加密和解密必须依赖两个要素:算法和密钥。算法是加密和解密的计算方法;密钥是加密所需的一串数字。,加密,解密,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,它用且只用一个密钥对信息进行加密和解密,由于加密和解密用的是同一密钥,所以发送者和接收者都必须知道密钥。对称加密方法对信息编码和解码的速度很快,效率也很高,但需要细心保存密钥。因为密钥必须安全地分发给通信各方,所以对称加密的主要问题就出在密钥的分发上,包括密钥的生成、传输和存放。,对称加密:,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,对称加密:,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,非对称加密 也叫公开密钥加密,它用两个数学相关的密钥对信息进行编码。1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发明了 RSA公开密钥密码系统。他们的发明为敏感信息的交换方式带来了新的途径。在此系统中有一对密码,给别人用的就叫公钥,给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密,用公钥加密后的密文,只有私钥能解。,非对称加密,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,非对称加密,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数字摘要,信息加密应用,思考,所谓数字摘要,是指通过单向Hash函数,将需加密的明文“摘要”成一串128bit固定长度的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要而成的密文也不能推出其明文。数字摘要类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。只有数字指纹完全一致,才可以证明信息在传送过程中是安全可靠,没有被篡改。数字指纹的应用使交易文件的完整性(不可修改性)得以保证。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,数字签名的含义和作用 在书面文件上亲笔签名或盖章是传统商务中确认文件真实性和法律效力的一种最为常用的手段。作用:确认当事人的身份,起到了签名或盖章的作用。能够鉴别信息自签发后到收到为止是否被篡改。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,数数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。完数字签名技术具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力,在电子商务安全服务中的源鉴别、完整性服务、不可否认性服务方面有着特别重要的意义。,作用,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,数字签名和验证的具体步骤如下:报文的发送方从原文中生成一个数字摘要,再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。发送方将数字签名作为附件与原文一起发送给接收方。接收方用发送方的公钥对已收到的加密数字摘要进行解密;接收方对收到的原文用Hash算法得到接收方的数字摘要;将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同,则说明信息完整且发送者身份是真实的,否则说明信息被修改或不是该发送方发送的。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,由于发送方的私钥是由自己管理使用的,其他人无法仿冒使用,一旦发送方用自己的私钥加密发送了信息也不能否认,所以数字签名解决了电子商务信息的完整性鉴别和不可否认性(抵赖性)问题。,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数安摘要,信息加密应用,思考,安全威胁,非对称密钥,加密与解密,对称密钥,模块八:电子商务安全的相关知识(1),病毒防范,病毒种类,防范措施,商务安全要素,信息加密,数字签名,数字摘要,信息加密应用,思考,思考?供应商与分销商在网上进行信息传输的保密性、完整性、不可否认性分别采用什么技术来保证的。如何实现的?你能说出他的流程吗?,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。证书由社会上公认的认证中心发行。认证中心负责在发行证书前需要证实个人身份和密钥所有权,如果由于它签发的证书造成不恰当的信任关系,该机构需要负责任。,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,证书数据 版本信息;证书序列号,每一个由CA发行的证书必须有一个唯一的序列号;CA所使用的签名算法;发行证书CA的名称;证书的有效期限;证书主题名称;被证明的公钥信息,包括公钥算法、公钥的位字符串表示;包含额外信息的特别扩展。发行证书的CA签名 证书第二部分包括发行证书的CA签名和用来生成电子签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,客户证书 服务器证书(站点证书)安全邮件证书 CA机构证书,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,使用前,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,使用前,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,使用后,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,(1)用户提出申请,向登记中心操作员发送一封签名加密的邮件,声明自己自愿撤消证书。如果服务器的证书需要撤消,则由管理员向登记中心操作员联系。(2)登记中心同意证书撤消操作员键入用户或服务器的序列号,对请求进行数字签名。(3)认证中心查询证书撤消请求列表,选出其中的一个,验证操作员的数字签名。如果正确的话,则同意用户的证书撤消申请,同时更新CRL列表,然后将CRL以多种格式输出。(4)登记中心转发证书撤消列表,操作员导入CRL,并以多种不同的格式将CRL公布于众。(5)其他用户通过浏览安全服务器下载或浏览CRL。,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,认证中心(CA)电子商务认证授权机构也称为电子商务认证中心(Certificate Authority,CA)。在电子商务交易中,无论是数字时间戳服务(DTS)还是数字证书(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。CA就是承担网上安全电子交易的认证服务,它能签发数字证书,并能确认用户身份的服务机构。CA通常是一个服务性机构,主要任务是受理数字证书的申请,签发及管理数字证书。,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,(1)证书发放 可以有多种方法向申请者发放证书,可以发放给最终用户签名的或加密的证书。向持卡人只能发放签名的证书,向商户和支付网关可以发放签名并加密的证书。(2)证书更新 持卡人证书、商户和支付网关证书应定期更新,更新过程与证书发放过程是一样的。(3)证书撤消 证书的撤消可以有许多理由,如私钥被泄密,身份信息的更新或终止使用等。(4)证书验证 在进行交易时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,可逐级验证CA的身份,一直到公认的权威CA处,就可确信证书的有效性。,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,中国数字认证网()中国金融认证中心()中国电子邮政安全证书管理中心(/index.htm)北京数字证书认证中心()广东省电子商务认证中心()上海市电子商务安全证书管理中心有限公司()海南省电子商务认证中心()天津CA认证中心()山东省CA认证中心(),数字证书,职能,撤销,认证中心,模块八:电子商务安全的相关知识(2),概念,内容,种类,使用,申请,常用认证中心,体系结构,思考,交易双方没有认证中心可以吗?上网申请CA证书并使用。淘宝网是如何认证的?,