第四章电子商务安全

1第4章电子商务安全本章主要内容：电子商务安全问题电子商务交易安全电子商务数据传输安全电子商务安全管理2导入-你知道“验证码”的作用吗？33安全威胁日益严重复合威胁：蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫（如脚本病毒….）1980s1990s2000sTodayCNNIC数据显示，2009年，52%的网民曾遭遇网络安全事件。7赛门铁克发布《2011安全状况调查报告》该报告研究了各种规模企业网络安全的状况。IT公司已经连续两年表示安全是其面临的最主要业务风险，排在传统犯罪活动、自然灾害及恐怖主义之前。报告中的积极结果显示，71%的受访企业表示在过去12个月里遭受过攻击，而2010年这一比例为75%。报告攻击频率增加的企业的比例从2010年的29%下降到了2011年的21%。2011年，92%的企业因为网络攻击受损，而2010年这一比例为100%。84.1电子商务安全问题4.1.1电子商务所面临的安全威胁电子商务中的安全威胁可以来自很多方面，主要是：1.网络系统安全2.交易安全94.1.2电子商务安全要求电子商务交易方自身网络安全电子交易数据的传输安全保密性完整性可认证性不可抵赖性电子商务的支付安全104.1.3电子商务安全保障体系管理上的安全措施法律上的安全保障技术上的安全保障经济实力11电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律、法规、政策124.2电子商务交易安全1.基本概念防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。Internet内部网Server防火墙4.2.1防火墙技术13设计防火墙的准则一切未被允许的就是禁止的防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允许的防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。14防火墙的功能能做什么？安全把关网络活动统计内部隔离不能做什么？不能防范内部入侵不能防范新的威胁控制粒度粗15网络级防火墙（包过滤防火墙）应用级网关电路级网关规则检查防火墙2.防火墙的技术代理防火墙16两种防火墙技术的对比17一、数字签名Hash算法原文摘要摘要对比？原文摘要Internet发送方接收方Hash算法数字签名发送者私钥加密数字签名发送者公钥解密图数字签名过程h=H(M)，其中H()--单向散列函数，M--任意长度明文，h--固定长度散列值4.2.2认证技术18Hash算法原文摘要摘要对比？原文摘要Internet发送方接收方Hash算法数字签名发送者私钥加密数字签名发送者公钥解密发送方私钥数字签名的作用信息是由签名者发送（不可否认性）信息自签发后到收到为止未曾做过任何修改。（完整性）19二、数字时间戳•什么是数字时间戳（DTS）在交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳就是用来证明信息的收发时间的。它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。20数字时间戳的实现流程211．数字证书（DigitalCertificate或DigitalID）数字证书的颁发，不是依靠交易双方自己来完成的，而是需要一个权威的第三方机构，通常称为CA（CertificateAuthority）。数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。三、数字证书和CA认证222．数字证书的内容数字证书包括以下内容如图所示：证书拥有者的姓名；证书拥有者的公钥；公钥的有限期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号等。23例：利用数字证书识别真假网站网站数字证书的标识24图查看证书内容（1）25图申请个人免费证书26支付宝数字证书的申请和使用支付宝账户注册27支付宝实名认证28支付宝数字证书的其它常用操作29认证中心CA（CertificationAuthority）（1）认证中心的功能：核发证书、管理证书、搜索证书、验证证书（2）CA的树形验证结构(如图所示）30知名认证中心①美国的Verisign公司（微软、网景、工行等）②中国电信CTCA系统③中国金融认证中心CFCA④上海市电子商务安全证书管理中心⑤北京数字证书认证中心⑥广东省电子商务认证中心⑦中国数字认证网（），31数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。4.3数据加密技术一、数据加密原理32加密方法的分类在网络应用中一般采取两种加密形式：对称密钥（私钥加密）和非对称密钥（公钥加密），采用何处加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。33二、对称密钥加密体制对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。1）在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2）当通信对象增多时，需要相应数量的密钥。3）对称加密是建立在共同保守秘密的基础之上的。34对称密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密匙A解密35例1：Caesar（恺撒）密码，见表1。表1Caesar（恺撒）密码表明文字母abcdefghijklm密文字母DEFGHIJKLMNOP明文字母nopqrstuvwxyz密文字母QRSTUVWXYZABC单字母加密方法例：明文（记做m）为“important”，Key=3，则密文（记做C）则为“LPSRUWDQW”。36例2：将字母倒排序，见表2。表2字母倒排序明文字母abcdefghijklm密文字母ZYXWVUTSRQPON明文字母nopqrstuvwxyz密文字母MLKJIHGFEDCBA例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。37三、非对称密钥加密体制非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。常用算法（RSA）基本原理：基于数论中一个大数可以分解为两个素数之积，将其中一个素数作为公钥，另外一个素数作为私钥。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。38公开密匙/私有密匙加密老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息39对称与非对称加密体制对比特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用40如：银行有很多客户，每个客户都用公钥加密，而银行则用密钥解密。电子交易中公钥加密应用实例