电子商务网络安全.ppt
《电子商务网络安全.ppt》由会员分享,可在线阅读,更多相关《电子商务网络安全.ppt(98页珍藏版)》请在三一办公上搜索。
1、2023/9/13,电子商务概论,第5章 电子商务网络安全,主讲教师:XXXXXX,2023/9/13,电子商务概论,第5章 电子商务网络安全,学习要点 电子商务对安全的基本要求 防火墙的功能和原理 电子商务加密技术 电子商务安全认证体系 SSL和SET的流程和工作原理 计算机病毒和黑客的防范技术,2023/9/13,电子商务概论,第5章 电子商务网络安全,第一节 电子商务的安全问题 第二节 防火墙技术 第三节 加密技术 第五节 电子商务交易过程 第六节 病毒与黑客的防范,2023/9/13,电子商务概论,第一节 电子商务的安全问题,一、电子商务的网络安全问题 二、电子商务的信息安全要求,20
2、23/9/13,电子商务概论,一、电子商务的网络安全问题,1信息泄漏 在电子交易中商业机密被泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。2篡改 电子的交易中信息在网络上传输,可能被他人非法修改、删除或重做,这样就使信息失去了真实性和完整性。3身份识别问题 如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易。破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。进行身份识别后,交易双方就可防止“相互猜疑”。,2023/9/13,电子商务概论,一、电子商务的网络安全问题,4病毒问题 病毒问题十几年来,各种新型病毒及其变种迅速
3、增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒利用网络作为自己的传播途径,很多病毒借助于网络传播变得更快,破坏性更大,造成经济损失动辄造成数百亿美元的。5黑客问题 随着各种应用工具的传播,黑客已经大众化了,不像过去那样非计算机高手不能成为黑客。曾经大闹雅虎网站的“黑手党男孩”就没有受过专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。,2023/9/13,电子商务概论,二、电子商务的信息安全要求,1信息的保密性 信息的保密性是指信息在传输或存储过程中不被他人窃取。交易中的商务信息均有保密的需求。如信用卡的账号、用户名和密码被人知晓,就可能被盗用,订货
4、和付款的信息被竞争对手获悉,就可能丧失商机。因此,在电子商务的信息传播均须要保密。2信息的完整性 信息的完整性是从信息传输和存储两个方面看。在存储时,网站上的信息要防止非法篡改和破坏。在传输过程中,如果收到的信息与发送的信息一样的话,说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密,能保证第三方看不到真正的信息,但并不能保证信息在传输过程中不被修改。3身份的确定性 网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家来说,要考虑客户是不是骗子,而客户也会担心网上的商店是不是一个黑店。因此,能方便而可靠的确认对方身份是交易的前提。,2023/9/13
5、,电子商务概论,二、电子商务的信息安全要求,4不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。由于商情的千变万化,交易一旦达成是不能否认,否则,必然会损害一方的利益。例如,在定购商品的时候,商品价较低,但收到订单后,商品涨价了,如供货方否认发送订单的实际时间,甚至还否认发送订单的事实,则订货方将会蒙受巨大的损失。因此,电子交易通信过程的各个环节都必须是不可被否认的。5不可修改性 交易的文件是不能被随意修改的,例如,上例所举的例子,如果供货单位在收到订单后,修改订货价,或者改动文件内容,将定购数目改变,则可以大幅收益,而订货单位却会蒙受损失。因此,电
6、子交易的文件必须做到不可修改,以保障交易的严肃和公正。6系统的可靠性 电子商务使用的是计算机系统,其可靠性是指防止计算机失效、程序错误、传输错误等而引起的计算机信息丢失或出错。,2023/9/13,电子商务概论,第二节 防火墙技术,防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,第二节 防火墙技术,一、包
7、过滤型防火墙 二、代理服务型防火墙 三、应用网关型防火墙 四、电路网关型防火墙 五、复合型防火墙,2023/9/13,电子商务概论,一、包过滤型防火墙,包过滤型防火墙实质上是一个过滤网关,它决定接收到的数据包的取舍。该防火墙逐一审查每个数据包以判断它是否与其过滤规则相匹配。如果找到一个匹配,且规则允许这个包通过,这个包将根据路由表中的信息继续前进。如果找不到一个匹配,则规则拒绝此包,也就是把这个包过滤掉了。包过滤一般是在OSI七层协议的网络层下实现的,用户一般不会察觉到防火墙的存在。此防火墙由较高的网络性能,对应用程序具有较好的透明性,缺点是无法有效的区分同一IP地址下不同的用户,所以安全性相
8、对较低些。,2023/9/13,电子商务概论,二、代理服务型防火墙,代理服务型防火墙也是在OSI七层协议的应用层下实现的。代理使用一个客户程序与特定的中间节点连接,然后中间节点与期望的服务器进行实际连接。使用此防火墙时,外部网络与内部网络之间不存在直接连接,因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。,2023/9/13,电子商务概论,三、应用网关型防火墙,应用网关防火墙的物理位置与包过滤防火墙一样,但它却工作在OSI七层协议的应用层上。应用网关防火墙执行比包过滤防火墙更严格的安全策略。对于所转发的每种应用,应用层网关都需要使用专用的程序代码。每当一个新的需保护的应用加入网络
9、中时,必须为其编制专用的程序代码,如果网络过滤人员不对一种特别应用程序编制出相应的专用程序代码,这种应用程序就不能通过防火墙。虽然编制程序比较复杂,但是,网络的安全性得到了提高。,2023/9/13,电子商务概论,四、电路网关型防火墙,电路网关的物理位置在内部与外部网之间,工作在OSI七层协议的网络层,不过,电路网关在作为外部主机代理方面类似应用网关,但电路网关是在传输控制协议(TCP)这一级来完成控制的。它通过防火墙开了一个通孔,既根据用户的要求,开通或封闭TCP/IP 的连接。电路网关型防火墙向最终用户提供较好的透明性,但它的代价是损失了某些安全性,即不能实施强制的验证和协议过滤。,202
10、3/9/13,电子商务概论,五、复合型防火墙,出于高安全性的需要,出现了把基于包过滤和基于代理访问技术相结合的防火墙,即复合型防火墙。在复合型防火墙中,内部网络和外部网络都可以访问主机,称为堡垒主机,它是一个被特别包装的、用来防范各类攻击的特殊系统。,2023/9/13,电子商务概论,第三节 加密技术,一、密钥加密算法 二、数字摘要 三、数字签名 四、数字时间戳,2023/9/13,电子商务概论,一、密钥加密算法,1对称密钥体制(1)基本原理 对称密钥体制又称常规密钥密码体制、私钥密码体制和单钥密码,就是加密和解密使用的是同一个密钥和算法,如果不相同,也可以由一个密钥来推导出另一个密钥来。当A
11、发送数据给B时,A用加密密钥将明文进行加密后成为密文,而B在接收到密文后,必须用A的密钥进行解密,还原成明文。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,一、密钥加密算法,(2)DES算法 数据加密标准(data Encryption Standard,DES),是1977年美国国家标准局宣布用于非国家保密机关的数据保护。DES算法原是IBM公司于1971年至1972年研制成功的,ISO也已将DES作为数据加密标准。DES对64位二进制数据加密,产生64位密文数据。使用的密钥也64位,实际密钥长度为56位(8为用于奇偶校验)。解密时的过程与加密时相似,但密钥的顺序正好
12、相反。现在DES可由软件和硬件实现。美国AT&T首先用LSI芯片实现了DES的全部过程,该产品称为数据加密处理机DEP。DES采用64位长的密钥,能将原文的若干个64位块变换成加密的若干个64位代码块。原文经过一系列的排列与置换所产生的结果再与原文异或合并(X/OR)。该加密过程重复16次,每次所用的密钥位排列不同。据说运行DES加密文件通过256种可能的密钥,一个百万次的系统也需7个小时。三倍编码使DES更加安全,等价于具有112位长的代码,同时,编码与解码时间也延长了三倍。,2023/9/13,电子商务概论,一、密钥加密算法,(3)IDEA算法 IDEA(International Dat
13、a Encryption Algorithm)是一种国际信息加密算法。它是1991年在瑞士ETH Zurich由中国学者来学嘉和James Massey发明,于1992年正式公开,是一个分组为64位,密钥128位。迭代八轮的密码体制。此算法使用长达128位的密钥,有效地消除了试图用穷举法搜索密码的可能性。,2023/9/13,电子商务概论,一、密钥加密算法,(4)对称密钥体制加密技术的优缺点 对称加密技术具有加密速度快,保密度高等优点。缺点是:密钥是保密安全的关键,发送方必须安全、可靠地把密钥护送到接收方,一旦密钥在网上被窃取,密文就会被解密,所以,对称加密技术密钥发送十分复杂,所花代价也十分
14、高昂。多人通信时使用的密钥数会大幅度增加,n个人两两通信,需要的密钥数为n(n-1)/2。,2023/9/13,电子商务概论,一、密钥加密算法,2非对称密码体制(1)基本原理 非对称密码体制又称公钥密码体制和双钥密码等,为了改进对称加密的密钥传递的缺陷,于是出现了非对称加密技术。这种密钥技术中的密钥都是成双的,即有一对互补的钥匙,一个称为公钥(Public Key),另一个称为私钥(Private Key),其中公钥是公开的,这个公钥可以放在服务器上供任何人下载,另一个私钥必须自己保留。由于这两个密钥之间存在一定的数学关系,因此这两个密钥中的一个密钥加密,只能被另一个密钥解开。使用的时候,A用
15、B的公钥将明文加密成为密文,然后通过网络传送给B,B用自己的私钥将密文解密,还原成明文。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,一、密钥加密算法,(2)RSK算法 非对称密码体制中最具代表性的,便是RSK算法。已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。该算法以发明者Ronald Rivest、Adi Shamir 及Leonard Adleman三人名字的首字母命名。具体算法是:用户选择2个足够大的秘密的素数p和q(一般位100位以上的十进制数)。令n=pq,n是公开的。实际上,从n分解除因子p和q是极其困难的。定义n的欧拉函数
16、(n)=(p-1)(q-1),(n)及小于等于n并于n互素的数的个数。选择一个相对较大的整数e作为加密指数,(n)互素。解同余方程ed=lmod。若用整数X、Y分别表示明文、密文,则以下二式可用于加密和解密(X、Y均小于n):加密:Y=X mod n 解密:X=Y mod n 每个用户都有一组密钥(e,d、n)。对这种体制,只有(e,n)是出现在公共手册上的(即PK),d则是需要用户保密的(即SK)。,2023/9/13,电子商务概论,一、密钥加密算法,(3)公开密钥的优缺点 公开密钥的优点:密钥少便于管理,网络中用户只需可靠保存自己的解密密钥,则n个用户只需保存好n个解密密钥即可。加密密钥分
17、配简单,用户可以在服务器上下载。缺点是加密、解密速度慢,不易对数据块大的数据进行加密。,2023/9/13,电子商务概论,一、密钥加密算法,3组合加密算法 组合加密算法(Pretty Good Privacy,PGP)是由美国的Phil Zimmermann创造的,它结合了RSA公钥的安全和对称DES/IDEA加密的快速的优点,即对网络中传递的明文用DES/IDEA加密,而加密的密钥则用RSA加密传递,对方收到密文和加密的密钥后,先用RSA解开密钥,再用密钥解开密文。因此,PGP成为了世界上最流行的加密软件包。PGP目前有运行于MS-DOS、Unix、Windows 2000、Windows
18、XP、Windows 2003等各种不同操作系统上的版本,可以用它来对文件进行加密,或者使用它来在文件上进行数字签名。,2023/9/13,电子商务概论,一、密钥加密算法,PGP加密不仅速度快,而且强度足够大。如果想用穷举法来破解PGP密码,并使用10亿台每秒钟能试探10亿个密钥的计算机(目前还不存在每秒能试探10亿个密码的计算机,计算机总量也没有10亿台),那么做完所有的试探所需要的时间至少要100亿年。目前能得到的PGP是PGPi,PGPi 是PGP的国际版,它是在PGP的基础上修改而成的,因为PGP是功能强大的加密系统,而美国对加密系统的出口是有限制的,这就是你无法在正常的渠道中获得PG
19、P的原因。,2023/9/13,电子商务概论,二、数字摘要,数字摘要又称为安全Hash编码法或MDS编码法,是Ron Rivest 在70年代设计的。该编码采用了单向Hash函数,它将明文直接“摘要”成一串128Bit的密文,这一串密文就称为数字摘要。它具有固定的长度,不同的明文的摘要,其结果是决对不会相同的,而同样的明文其摘要却必定是一致的。因此,这串摘要便成为了验证明文是否是“真身”的依据,明文好像被附上了的数字“指纹”,所以,数字摘要又称为数字指纹(Finger Print)。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,三、数字签名,数字签名(digital s
20、ignatures)是公开密钥加密技术的一种应用。使用方式是:报文的发送方从报文文本中生成一个128Bit的数字摘要,发送方再用自己的密钥对数字摘要进行加密形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给接收方。收方首先从接收到的报文中计算出128Bit的数字摘要,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果这两个数字摘要相同,那么接收方就能确认该数字签名是发送方的,而且还可以确定此报文没有被第三方修改过。,2023/9/13,电子商务概论,2023/9/13,电子商务概论,三、数字签名,但采用公开密钥算法更容易实现。发送者A用自己的私钥SKA对数字摘要X进
21、行运算,将结果DSKA(X)传送给接收者B。B用A的公钥得出EPKA(DSKA(X)=X。因为除A外没有别人能具有A的私钥SKA,所以除A外没有别人能产生密文DSKA(X)。这样,数字摘要X就被签名了。假若A要抵赖曾发送给B。B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发送消息X给B。反之,如果是B将X伪造成X,则B不能再第三者面前出示DSKA(X)。这样就证明B伪造了数字摘要。,2023/9/13,电子商务概论,三、数字签名,要说明的是,数字签名不同于手写签字,数字签名会随文本的变化而变化,而手写签名只是反映了某个人的个性特征,是不变的;数字签名与文本信息是不可分割
22、的,而数字签名是附加在文本之后的,与文本信息是分离的。,2023/9/13,电子商务概论,四、数字时间戳,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(Digital Time-Stamp Service,DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务是网上安全服务项目,由专门机构提供,数字时间戳是一个经加密后形成的证书文件,它包含三个部分:需要加数字时间戳的文件的摘要;数字时间戳服务机构收到文件的日期和时间;数字时间戳服务机构的数字签名。数字时间戳产生的过程为:用户首先将需要加数字时间戳的文件用Hash形成摘要,然后将摘要发送到数字时间戳服务机构,
23、该机构在加入了收到文件摘要的日期和时间信息后再对该文件进行数字签名,然后送回用户。要注意的是,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由数字时间戳服务机构来加的,以其收到文件的时间为依据。,2023/9/13,电子商务概论,第四节 数字证书,一、数字证书 二、CA认证中心 三、数字证书类型 四、数字证书的申请、获取和使用,2023/9/13,电子商务概论,一、数字证书,数字证书又称为数字凭证(Digital Certificate,Digital ID),是用电子手段来证实一个用户的身份。在网上进行电子交易时,如果双方都出示了数字证书,并用它来进行交易操作,那么双方就不
24、必为对方身份的真伪而担心了。数字证书可广泛用于电子邮件、电子商务、电子基金转移等。数字证书的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:证书拥有者的姓名;证书拥有者的公共密钥;公共密钥的有效期;颁发数字证书的单位;数字证书的序列号;颁发数字证书单位的数字签名。,2023/9/13,电子商务概论,二、CA认证中心,在电子交易中,无论是数字时间戳服务还是数字证书的发放,都需要有一个具有权威性和公正性的第三方来完成。认证中心(CA)就是承担网上安全电子交易认证服务、签发数字证书、并确认用户身份的服务机构。认证中心统称是奇特性的服务机构,主要任务是受理数字凭证的申请、签发及对
25、数字凭证的管理。使用者在生成自己的密钥后,直接把公共密钥和身份信息送到认证中心去认证,通过后,认证中心就会将签核过的凭证放到凭证数据库,供其他人查询及下载,所以,交易双方都能在认证中心取得对方的凭证,以证明公共密钥和身份的相关性。除了签发凭证的业务外,认证中心也要负责维护凭证的安全性与完整性,万一交易过程发生纠纷,认证中心按照和用户之间的协议,应负举证的责任,将双方的注册信息和凭证送交司法单位。,2023/9/13,电子商务概论,二、CA认证中心,当前,Internet上提供认证服务的国外公司有Verisign、IBM、AT&T、BBN 等。上海电子商务安全证书管理中心有限公司(http:/)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 网络安全
链接地址:https://www.31ppt.com/p-6003585.html