第7章 安全

1、第七章 電子商務(wù)安全,,,,,,,電子商務(wù)的安全目標(biāo),,電子商務(wù)安全技術(shù),,電子商務(wù)的安全管理,,,,,本章主要內(nèi)容,第一節(jié) 電子商務(wù)的安全目標(biāo),一、電子商務(wù)面臨的威脅二、電子商務(wù)安全的目標(biāo),1. 黑客攻擊2. 搭線竊聽3. 偽裝身份4. 信息泄密、篡改、銷毀5. 間諜軟件襲擊6. 網(wǎng)絡(luò)釣魚,一、電子商務(wù)面臨的威脅,,二、電子商務(wù)安全的目標(biāo),,,,,,,,,完整性,保密性,可靠性,不可否認(rèn)性,安全目標(biāo),真實(shí)性,第二節(jié)

2、電子商務(wù)安全技術(shù),一、加密技術(shù)二、認(rèn)證技術(shù)三、安全協(xié)議四、防火墻技術(shù),,1. 對(duì)稱加密體制的工作過程(如圖所示）,（一） 對(duì)稱加密體制,2. 對(duì)稱加密體制的優(yōu)點(diǎn)與缺點(diǎn),,,1）算法簡(jiǎn)單，系統(tǒng)開銷小；2）加密數(shù)據(jù)效率高，速度快；3）適合加密大量數(shù)據(jù)。,1）密鑰難以共享；2）管理密鑰有困難；3）無法實(shí)現(xiàn)數(shù)字簽名和身份驗(yàn)證；4）密鑰的分發(fā)是加密體系中最薄弱、風(fēng)險(xiǎn)最大的環(huán)節(jié)。,優(yōu)點(diǎn),缺點(diǎn),,,3. 對(duì)稱加密體制的算法,DES（

3、Data Encryption Standard）是一個(gè)對(duì)稱的分組加密算法。DES算法以64位為分組進(jìn)行明文的輸入，在密鑰的控制下產(chǎn)生64位的密文；反之輸入64位的密文，輸出64位的明文。它的密鑰總長(zhǎng)度是64位，因?yàn)槊荑€表中每個(gè)第8 位都用作奇偶校驗(yàn)，所以實(shí)際有效密鑰長(zhǎng)度為56位。DES算法可以通過軟件或硬件實(shí)現(xiàn)。,（二）非對(duì)稱加密體制,,2. 非對(duì)稱加密體制的優(yōu)點(diǎn)與缺點(diǎn),,,1）密鑰管理簡(jiǎn)單；2）便于進(jìn)行數(shù)字簽名和身份認(rèn)證，從

4、而保證數(shù)據(jù)的不可抵賴性；,1）算法復(fù)雜；2）加密數(shù)據(jù)的速度和效率較低；3）存在對(duì)大報(bào)文加密困難。,優(yōu)點(diǎn),缺點(diǎn),,,3. 非對(duì)稱加密體制的算法,,RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman設(shè)計(jì)的非對(duì)稱的方法，算法以發(fā)明者的名字的首字母來命名的。它是第一個(gè)既可用于加密，也可用于數(shù)字簽名的算法。 RSA只用于少量數(shù)據(jù)加密，在Internet中廣泛使用的電子郵件和文件加密軟件PGP(Pretty

5、Good Privacy)就是將RSA作為傳送會(huì)話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。,（三）兩種加密體系的對(duì)比,（四）對(duì)稱與非對(duì)稱加密體系的結(jié)合,在實(shí)際應(yīng)用中，通常將利用DES對(duì)稱加密算法來進(jìn)行大容量數(shù)據(jù)的加密，而采用RSA非對(duì)稱加密算法來傳遞對(duì)稱加密算法所使用的密鑰。這種二者結(jié)合的體系，就集成了兩類加密算法的優(yōu)點(diǎn)，既實(shí)現(xiàn)了加密速度快的優(yōu)點(diǎn)，又實(shí)現(xiàn)了安全方便管理密鑰的優(yōu)點(diǎn)。,,,,,,用戶的特征,用戶所擁有的,用戶所知道的,二、認(rèn)證技術(shù),指紋

6、虹膜DNA聲音用戶的行為,身份證護(hù)照密鑰盤,密碼口令,,（一） 身份認(rèn)證概述,（二）消息認(rèn)證概述,,數(shù)字簽名原理示意圖,數(shù)字時(shí)間戳,數(shù)字時(shí)間戳服務(wù)（Digital Time-Stamp Service，DTS）由專門的機(jī)構(gòu)提供。能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分： ★ 需加時(shí)間戳的文件的摘要； ★ DTS收到文件的日期和時(shí)間 ★ DTS的數(shù)字

7、簽名。,三、安全協(xié)議,（一）傳輸層安全協(xié)議——SSL1. 秘密性： 使用對(duì)稱密鑰實(shí)現(xiàn)數(shù)據(jù)加密，確保連接安全。 2. 完整性： 使用安全的哈希函數(shù)如MD5、SHA等計(jì)算校驗(yàn)碼，確保了信息的完整性和可靠性連接。3. 認(rèn)證性： 通過非對(duì)稱加密技術(shù)實(shí)現(xiàn)身份驗(yàn)證。,,BANK,,,顧客,商家,銀行,,商品選擇，訂單的完成 數(shù)字簽名,(3) 向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。(4) 商店發(fā)貨或提供服務(wù)，請(qǐng)求支

8、付。,（二） 應(yīng)用層安全協(xié)議——SET,交易流程示意圖,SET協(xié)議的目標(biāo),SET協(xié)議保證了在電子交易過程中： (1)機(jī)密性--保證信息的安全傳輸。 (2)數(shù)據(jù)完整性--保證電子商務(wù)參與者信息的相互隔離。 (3)身份的合法性--解決多方認(rèn)證問題。 (4)不可否認(rèn)性--保證網(wǎng)上交易的實(shí)時(shí)性。 (5)兼容性和互操作功能。,SSL協(xié)議和SET協(xié)議的對(duì)比,四、防火墻技術(shù),,,防火墻是一種隔離技術(shù)，是指一種將內(nèi)部網(wǎng)和公

9、眾訪問網(wǎng)（如Internet）分開的方法。防火墻可以通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，可以強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部信息的外泄； 防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）； 在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)， 經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄才能訪問互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng)。,一、機(jī)構(gòu)制度管理二、風(fēng)險(xiǎn)制度管理三、法

10、律制度管理,,第三節(jié) 電子商務(wù)的安全管理,一、機(jī)構(gòu)制度管理,（一）認(rèn)證機(jī)構(gòu) 在電子交易中，無論是時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而是需要一個(gè)具有權(quán)威性和公正性的第三方機(jī)構(gòu)來完成。 認(rèn)證機(jī)構(gòu)CA(Certification Authority)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。（二） 數(shù)字證書 數(shù)字證書又稱為數(shù)字憑證、數(shù)字標(biāo)識(shí)。是由C

11、A證書授權(quán)中心 發(fā)行的，能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔，人們可以用它來證明自己在互聯(lián)網(wǎng)中的身份或識(shí)別對(duì)方的身份。,,二、風(fēng)險(xiǎn)制度管理,,,電子商務(wù)風(fēng)險(xiǎn)管理就是跟蹤、評(píng)估、監(jiān)測(cè)和管理商務(wù)整個(gè)過程中所形成的電子商務(wù)風(fēng)險(xiǎn)，盡力避免電子商務(wù)風(fēng)險(xiǎn)給企業(yè)造成的經(jīng)濟(jì)損失、商業(yè)干擾以及商業(yè)信譽(yù)喪失等，以確保企業(yè)電子商務(wù)的順利進(jìn)行。,三、法律制度管理,2004年8月28日全國人大常委會(huì)第十一次會(huì)議通過了《中華人民共和國電子

12、簽名法》。簽名法是我國推進(jìn)電子商務(wù)發(fā)展，掃除電子商務(wù)發(fā)展障礙的重要步驟。該法被認(rèn)為是中國首部真正電子商務(wù)法意義上的立法。2005年1月28日中華人民共和國信息產(chǎn)業(yè)部第十二次部務(wù)會(huì)議審議通過《電子認(rèn)證服務(wù)管理辦法》，自2005年4月1日起施行。2005年11月10日中國銀行業(yè)監(jiān)督管理委員會(huì)第40次主席會(huì)議通過《電子銀行業(yè)務(wù)管理辦法》自2006年3月1日起施行。,,一、選擇題,1. 用戶識(shí)別方法不包括：( )A. 根據(jù)用戶知道什

13、么來判斷          B. 根據(jù)用戶擁有什么來判C. 根據(jù)用戶地址來判斷     D. 根據(jù)用戶是什么來判斷2. 以下身份認(rèn)證技術(shù)中，屬于生物特征識(shí)別技術(shù)的有包括：( )A. 數(shù)字簽名識(shí)別法 B. 指紋識(shí)別法C. 語音識(shí)別法

14、 D. 頭蓋骨的輪廓識(shí)別法 3. 觸發(fā)電子商務(wù)安全問題的原因有：( )A. 黑客的攻擊 B. 管理的欠缺C. 網(wǎng)絡(luò)的缺陷 D. 軟件的漏洞4. 病毒防范制度包括的內(nèi)容有：( )A. 給自己的電腦安裝防病毒軟件 B. 不打開陌生地址的電子郵件C. 認(rèn)真執(zhí)行病毒定期清理制度 D. 高度警惕網(wǎng)絡(luò)陷阱5. 下面屬于不安全口令

15、的有：( )使用用戶名作為口令 B. 使用自己或者親友的生日作為口令C. 用學(xué)號(hào)或是身份證號(hào)碼等作口令 D. 使用常用的英文單詞做口令,,習(xí)題,二、復(fù)習(xí)思考題,請(qǐng)簡(jiǎn)述認(rèn)證中心的提供的服務(wù)有哪些?防火墻是什么? 防火墻能否保證內(nèi)部網(wǎng)絡(luò)的絕對(duì)安全?SSL、SET、SHTTP各是什么協(xié)議，它們的區(qū)別是什么？SET支付系統(tǒng)中的交易成員有哪些？,,三、技能實(shí)訓(xùn)題,利用所學(xué)數(shù)字證書和相關(guān)知識(shí)，登陸中國數(shù)字認(rèn)證網(wǎng)或其他CA認(rèn)