第4章电子商务的安全问题.ppt
,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,网络安全问题,计算机病毒:破坏功能或毁坏数据的计算机指令或程序代码。,拒绝服务:用数百条消息填塞某人的E-mail信箱的一种在线袭扰的方法。,黑客攻击:口令攻击 服务攻击 IP欺骗,案例分析,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,1卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,2买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,3信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,4信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况,内部网的严密性,完整性,保密性,不可修改性,交易者身份的确定性,交易的无争议性和不可抵赖性,有效性,授权合法性,电子商务的安全控制要求概述,网络安全问题,电子商务的安全性问题,电子商务对安全控制的要求,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,防火墙的定义,它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。,防火墙具有如下属性:所有从内到外的通信流量,都必须通过它;仅仅被本地安全策略定义的且被授权的通信量允许通过;系统对外部攻击具有高抵抗力。,案例分析,防火墙的工作原理,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,防火墙的基本原理,案例分析,防火墙的安全控制基本准则,一切未被允许的都是禁止的,一切未被禁止的都是允许的,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,网络安全的控制,保护易受攻击的服务,屏蔽内部信息,控制对特殊站点的访问,集中化的安全管理,提供日志和审计功能,提供报警服务,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,包过滤型防火墙,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,代理服务器型防火墙,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,监测型防火墙,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,防火墙的局限性,防火墙不能保护绕过它的连接,防火墙无法完全防止新出现的网络威胁,防火墙不能阻止来止内部的破坏,防火墙不能防止病毒,电子商务的安全控制要求概述,防火墙的概念,防火墙的体系结构与功能,防火墙的分类,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,防火墙的局限性,案例分析,数据加密过程,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,加密技术,就是采用数学方法对原始信息(通常称为“明文”)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”),密码表,将英文:This is a secret.加密后得到密文,如下图:,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,对称式密钥加密技术,所谓对称加密,是指加密和解密使用的是同一种算法(密钥)。,案例分析,对称式密钥加密技术的优缺点,缺点:密钥传递存在安全隐患、密钥分发复杂、不认识的人之间无法使用、无法解决数字签名验证的问题。,优点:加密速度快、保密度高,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,非对称式加密方式,是指数据发送计算机和数据接收计算机使用不同的密钥。,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,A和B必须配对才能成功解密。密钥中的两把密钥通常称为公共密钥和私用密钥。简称公钥和私钥,不对称加密方式的优点,避免了直接在网络上传送密钥,实现了绝对的安全数据传送,不对称加密方式的缺点,需要更多的计算量,尤其是在数据量巨大时,可能会占用的CPU,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,数字摘要过程,案例分析,数字摘要,Hash函数应该满足的个条件,对同一数据使用同一Hash函数,其运算结果应该是一样的。,Hash函数应具有运算结果不可预见性,即从源文件的变化不能推导出缩影结果的变化。,Hash函数具有不可逆性,即不能通过文件缩影反算出源文件的内容。,电子商务的安全控制要求概述,对称式密钥加密技术,公开密钥密码体制,数字摘要,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,数字签名技术,数字签名过程,作用:(1)防止抵赖(2)确认文件真假采用的算法:(1)RSA签名(2)DES签名(3)Hash签名,数字信封,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,数字信封工作过程,案例分析,数字时间戳()包括:,需要加时间戳的文件的摘要,收到文件的日期和时间,的数字签名,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,数字证书,证书拥有者的姓名,证书拥有者的公共密钥,公共密钥的有效期,颁发数字证书的单位,数字证书的序列号,颁发数字证书单位的数字签名,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,认证中心的层次结构,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,电子商务的认证体系,PKI CA:PKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台,目的是管理密钥和证书。,用户自己认定的CA。,SET CA:所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,安全交易的过程,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,安全交易的过程图示,案例分析,电子商务的安全控制要求概述,基本认证技术,认证中心与认证体系,安全交易的过程,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,案例分析,电子商务的安全控制要求概述,SSL安全协议,SET安全交易协议,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,安全套接层协议(),SSL协议可以分为两个子协议:SSL握手协议(Handshake protocol)和SSL纪录协议(Record protocol)。,SSL协议基于TCP/IP,SSL连接可以看成在TCP/IP连接的基础上建立一个安全通道,在这一通道中,所有点对点的信息都将加密,从而确保信息在Internet上传输时,不会被第三方窃取。,SSL协议与SET协议的比较,案例分析,的工作过程,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,提供的安全服务,信息完整:利用机密共享和ash组提供信息完整性服务,相互认证:这是客户机与服务器相互识别的过程,信息保密:通过使用公开密钥和对称密钥技术以达到数据加密,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,SET协议的工作原理,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,SET协议的工作原理,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,(5)消费者发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由消 费者进行数字签名。同时,利用双重签名技术保证商家看不到消费者的账号信息。(6)商家接受订单后,向消费者的金融机构请求支付认可。(7)通过 GateWay到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。,(8)商家发送订单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。(9)商家给顾客装运货物或完成订购的服务。到此为止,一个购买过程已经结束。商家可 以立即请求银行将钱从购物者的账号转移到商家账号,也可以等到某一时间,请求成 批划账处理。(10)商家从消费者的金融机构请求支付。在认证操作和支付,SET协议的核心技术,采用RSA算法的非对称密钥技术。,采用电子数字签名。,采用DES算法的对称密钥技术。,采用电子信封。,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,协议的安全动态认证,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,SSL协议与SET协议的比较,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,案例分析:熊猫烧香引发的思考,1网民法律意识淡薄2网络病毒形成“产业链”3网络信息安全环境有待治理,1黑客攻击主要采取哪几种手段?2简述防火墙安全控制的两条准则。3防火墙有哪些局限性?4简述数据加密流程。5简述数据摘要的加密流程。6简述数字签名的作用和工作流程。7数字时间戳的作用是什么?由哪几部分组成?8简述安全交易的过程。9什么是SSL的握手协议?10简述SET协议的工作原理。11用表格表示SSL协议与SET协议的区别。,复习思考题,电子商务的安全控制要求概述,电子商务的认证技术,防火墙技术,数据加密技术,安全技术协议,SSL安全协议,SET安全交易协议,SSL协议与SET协议的比较,案例分析,