第3章电子商务安全技术

第三章电子商务安全技术•2016年3月，中国互联网络信息中心发布的《2015年中国网民网络信息安全状况调查报告》：2015年我国70%网民曾遭遇过网络安全事件；超过九成网民均碰到过网络钓鱼网站，77.5%是因为在网络下载或浏览时遭遇病毒或木马的攻击。•黑客产业的攻击重心从2011年起逐渐转向社交和网购应用。其中，聊天、交友、微博等社交网络的好友列表成为木马和钓鱼网站的主力传播通道。•2015年，钓鱼网站、木马等威胁已经给网络购物用户造成超过200亿元的损失电子商务安全现状网络安全主要威胁•1.诈骗短信链接•2.恶意软件泛滥•3.日益诡诈的钓鱼网站•4.即时通讯成为主要攻击对象•5.网上银行攻击频繁•6.骚扰电话钓鱼网站•钓鱼网站是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的网址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的网页代码，以此来骗取用户银行或信用卡账号、密码等私人资料。•特点：•1、成本低：制作一个钓鱼网站成本只有几十元，域名也大多可以免费申请•2、周期短：3-5天，被识破后，又将网页内容切换到另一域名•3、高伪装性•4、病毒式推广：钓鱼网站制作者和病毒、木马以及流氓软件的传播者相互勾结，通过病毒、木马、流氓软件来弹出钓鱼网站的广告，针对特定目标的钓鱼网站会通过一些聊天工具、贴吧、论坛或网络游戏内置的聊天频道来推广。现阶段手机使用过程中常遇到的安全问题•1、假银行短信链接•2、假公安局电话•3、短信诈骗链接•4、钓鱼网站•5、QQ诈骗链接•6、QQ、微信被盗号假借朋友名义发来的骗钱•7、上网过程中的恶意链接•8、手机木马•9、银行卡被复制电子商务系统安全•1、计算机网络安全•2、电子商务交易安全•计算机网络安全是基础，电子商务交易安全是目标，只有在计算机网络安全的前提下，电子商务交易安全才有可能。电子商务系统安全技术电子商务安全技术网络安全技术病毒防范技术防火墙技术虚拟专用网技术网络入侵检测网络扫描技术交易安全技术加密技术认证技术安全协议电子商务系统安全技术交易安全技术加密技术认证技术安全协议安全管理体系网络安全技术病毒防范技术防火墙技术VAN（虚拟专用网技术）网络入侵检测安全监控网络扫描法律、法规、政策保密性认证性完整性不可抵赖性有效性访问控制性电子商务系统安全需求•1、信息的保密性•（信息的部分或全部窃取）•2、信息的完整性•（发送方发送的信息和•接收方收到的信息是完全一样的）电子商务系统安全交易的需求•3、身份的认证性•（伪造身份）•4、不可否认性•(发送方发送了信息否认•接收方收到了信息抵赖）•5、信息的可靠性•（信息中断、非法访问）电子商务网络安全威胁•1、物理实体的安全问题•2、自然灾害、意外事故•3、黑客的恶意攻击•4、软件的漏洞和“后门”•5、网络协议的安全漏洞•6、计算机病毒的攻击操作系统、数据库系统、防火墙、各种应用软件等的漏洞和“后门”信息的有效性访问的可控性电子商务系统安全•1、计算机网络安全•计算机网络设备安全、计算机网络系统安全、数据库安全、应用软件安全等。•2、电子商务交易安全•计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可加密的概念•用基于数学算法的程序和保密的密钥•对信息进行编码，生成难以理解的字符串。加密技术的相关概念•明文：加密前的数据称为明文，用M表示。•密文：加密后的数据称为密文，用C表示。•加密：把明文M经过加密算法E和加密密钥Ke•的计算后得到密文C的过程称为加密•解密：把密文C经过解密算法D和解密密钥Kd•的计算后得到明文M的过程称为解密信息加密技术•信息加密系统模型加密方法的分类●对称加密（私钥加密）●非对称加密(公钥加密)古代对称加密：恺撒密码（移位加密算法）•对于任意密钥k将明文的每个字母循环后移k位得到密文，例如：设k=3明文：securemessage密文：古代对称加密：词组密钥密码•密钥为２６字母的词组，置换规则为：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：对称加密（私钥加密）：Ke=Kd•优点–对信息编码和解码的速度快，效率高。•缺点–如何将密钥安全地送给接收方–密文和密钥的传送通常需采用不同的渠道–如何对数量庞大的密钥进行分发、传输和存储。加密的安全性主要取决于密钥的长度。•常用的现代对称加密算法：DES算法•DES加密算法是由IBM公司在1970年研制的，1977年1月15日由美国国家标准局和美国国家标准协会对外宣布，作为非机密机构（军事机构）的加密标准，用于绝大多数非绝密数据的加密。•是典型的对称加密算法•DES算法在ATM、磁卡及智能卡、加油站、高速公路收费站等领域被广泛应用。现代加密算法：公钥加密体制•又称非对称加密或双钥加密，它的概念是由美国Stanford大学的Diffie与ellman于1976年提出的。•公钥技术是二十世纪最伟大的思想之一•改变了密钥分发的方式•可以广泛用于数字签名和身份认证服务公钥加密体制•每个用户都拥有一对密钥：公开密钥和私有密钥。•公开密钥是公开信息，而私有密钥是保密的，需要由用户自己保密。•如某企业的一对密钥：•公开密钥：ddrtiogkd315ssfg•私有密钥：aq54677gfkgffghh公钥加密体制公开密钥体制特点：•1、没有任何两个私有或公开密钥是相同的；•2、一个信息如果用A的私有密钥加密，只能用A的公开密钥才能解密；如果一个信息用A的公开密钥加密，则只能用A的私有密钥才能解密。•3、已知公开密钥，不可能推算出私有密钥。•4、公开密钥就象个人或企业名称一样，可以从公共机构得知；私有密钥必须保密，否则后果自负。•5、如果一个人的私有密钥泄漏，则其公开密钥也作废．电子交易中公钥加密应用实例•A）用接收方公钥加密信息保密信息如：银行有很多客户，每个客户都用银行的公钥加密，而银行则用私有密钥解密。电子交易中公钥加密应用实例•B）用自己的私钥加密信息使发送者无法抵赖电子交易中公钥加密应用实例非对称密钥系统（公钥加密）：KeKd•优点–N个人彼此之间传输保密信息只需N对密钥，而且由于公钥是公开的，所以公钥的发布也不成问题。•缺点–加密和解密的速度相对慢一些•常用加密算法–RSA算法，基本原理：基于数论中一个大数很难分解为两个素数之积。加密技术的应用•1、数字摘要•采用单向Hash函数对文件进行变换运算得到一串字符，称为数字指纹或数字摘要。•HASH算法特征：•1）数字摘要是一串无意义的某个长度的字符串（128、160、256、512位等）。•2）单向性：从数字摘要推算不出原文•3）唯一性：只有完全相同的两个信息进行单向Hash函数算法后得到的数字摘要是相同的，两个信息只要有一点差异，形成的数字摘要都完全不同；•4）单向Hash函数算法是一种公开的算法。数字摘要的作用：判断信息在传送过程中是否被修改，也即信息的完整性二、数字信封数字信封：信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用自已的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。数字信封作用：信息保密、完整性••123123对称加密••用乙方公开密钥加密•私有密钥原文密文1对称密码123123密文2乙方接收密文2得到对称加密密码123123密文1原文用123123解密信息信息信息比较相同？不同？信息发送方信息接收方数字签名实现原理作用：1、对信息发送方身份认证，即签名，发送方发送了信息的不可否认性。2、确认信息是否被修改，信息的完整性数字时间戳技术•什么是数字时间戳（DTS）在交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳就是用来证明信息的收发时间的。它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。数字时间戳技术数字签名CA认证机构•CA（CertificateAuthority）：身份认证机构，也称数字认证中心，是由权威的、公正的第三方机构来担任，为各类用户签发数字证书的机构。CA的职能•证书发放•证书查询•证书更新•证书撤消知名认证中心•①美国的Verisign公司（微软、网景、工行等）•②中国电信CTCA系统•③中国金融认证中心CFCA•④上海市电子商务安全证书管理中心•⑤北京数字证书认证中心•⑥广东省电子商务认证中心•⑦中国数字认证网我国CA建设现状•1、缺乏统筹和协调，没有建立一个全国性根CA（如美国的邮政CA），各地区都建成自己的一套CA体系•2、交叉认证的不兼容在2005年4月1日实施的电子签名法中明确推荐使用第三方证书，这样就排除了商业银行即当运动员又当裁判员时可能存在的各种风险。数字证书，就是用电子手段来证实一个用户的身份，由可信任的、权威的、公正的认证机构CA签发的电子文件。具有信息可靠真实、防篡改的特点。其作用类似于现实生活中的身份证。证书中一般有如下几项：数字证书1）证书拥有者的信息；2）证书拥有者的公开密钥；3）办理数字证书的单位；4）数字证书的有效期；5）证书的版本号；6）数字证书的序列号；7）签名算法认证机构对数字证书的内容进行审查核实后，对它数字签名见阿里巴巴数字证书数字证书类型•1、个人证书（客户证书）•1）个人身份证书：•2）个人电子邮件证书：•3）个人网上银行卡证书：数字证书类型•2、企业数字证书：用于证实一个企业的真实身份，以便企业在网上进行各类电子商务活动•3、设备数字证书：•1）WEB服务器证书•2）网关证书•4、代码签名数字证书：•用于软件开发人员对其开发的软件代码进行数字签名，以防止软件代码被篡改，以防病毒或黑客数字证书的存储•1、硬盘•2、USBKEY•3、智能卡安全协议•SSL协议、SET协议、•网际邮件扩充协议（S/MIME）•安全超文本传输协议（S-HTTP）•PGP协议等SSL协议•1．安全套接层（SSL）协议•由Netscape公司1994年设计开发，是国际上最早应用于电子商务的一种安全协议,•现在绝大部分的网络服务器和浏览器都支持SSL协议•已成为信息保密通信的工业标准SSL的优点、缺点•优点：•1、能确保信息在互联上安全传输。•2、所有浏览器、服务器都支持SSL，加、解密速度较快。•缺点：•1、无法保证商家不看持卡人的支付信息了，对客户的身份认证不是必须的•2、双方不对信息做数字签名，不能确保不可否认性。•只适合小金额的交易。•由VISA和MasterCard两大信用卡公司于1997年5月联合开发•主要用以对信用卡支付时的安全加密•具有信息保密性、完整性、不可否认性、认证性等特征•SET已成为国际上所公认的在Internet上使用信息卡安全支付的标准•已得到IBM、HP、微软等绝大多数公司以及绝大多数银行的支持。安全电子交易（SET）协议SET安全协议SET协议的特点保证信息的机密性保证支付信息的完整性多方认证使用成本较高，操作较复杂，加解密时间较长计算机网络安全技术•1、防火墙技术•2、VAN（虚拟专用网技术）•3、网络入侵检测•4、漏洞扫描•5、防病毒技术防火墙•防火墙定义：•是设置在被保护网络（本地网络）和外界网络（主要指互联网）之间的软件或硬件设备的组合，是两个网络之间的唯一通道，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，如允许或拒绝访问，防止对重要信息资源的非法存取和访问，以达到保护本地网络安全的目的。防火墙示例图InternetIntranetE-Mail服务器Web服务器内部客户机数据库外部路由器防火墙防火墙示例图可以是二层及若干层防火墙关键技术•分组过滤型（包过滤型）•代理服务器型状态检测技术防火墙技术•1、分组过滤型防火墙•1）主要通过路由器及包过滤器来完成对外界计算机访问内部网络的限制•2）它根据IP数据包头源地址，目的地址、端口号