第7章电子商务安全.ppt

第七章 电子商务安全,电子商务的安全目标,电子商务安全技术,电子商务的安全管理,本章主要内容,第一节 电子商务的安全目标,一、电子商务面临的威胁 二、电子商务安全的目标,1. 黑客攻击 2. 搭线窃听 3. 伪装身份 4. 信息泄密、篡改、销毁 5. 间谍软件袭击 6. 网络钓鱼,一、电子商务面临的威胁,二、电子商务安全的目标,完整性,保密性,可靠性,不可否认性,安全目标,真实性,第二节 电子商务安全技术,一、加密技术 二、认证技术 三、安全协议 四、防火墙技术,一、加密技术,1. 对称加密体制的工作过程(如图所示）,（一） 对称加密体制,2. 对称加密体制的优点与缺点,1）算法简单，系统开销小； 2）加密数据效率高，速度快； 3）适合加密大量数据。,1）密钥难以共享； 2）管理密钥有困难； 3）无法实现数字签名和身份验证； 4）密钥的分发是加密体系中最薄弱、风险最大的环节。,优点,缺点,3. 对称加密体制的算法,DES（Data Encryption Standard）是一个对称的分组加密算法。 DES算法以64位为分组进行明文的输入，在密钥的控制下产生64位的密文；反之输入64位的密文，输出64位的明文。它的密钥总长度是64位，因为密钥表中每个第8 位都用作奇偶校验，所以实际有效密钥长度为56位。 DES算法可以通过软件或硬件实现。,（二）非对称加密体制,2. 非对称加密体制的优点与缺点,1）密钥管理简单； 2）便于进行数字签名和身份认证，从而保证数据的不可抵赖性；,1）算法复杂； 2）加密数据的速度和效率较低； 3）存在对大报文加密困难。,优点,缺点,3. 非对称加密体制的算法,RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称的方法，算法以发明者的名字的首字母来命名的。它是第一个既可用于加密，也可用于数字签名的算法。 RSA只用于少量数据加密，在Internet中广泛使用的电子邮件和文件加密软件PGP(Pretty Good Privacy)就是将RSA作为传送会话密钥和数字签名的标准算法。,（三）两种加密体系的对比,（四）对称与非对称加密体系的结合,在实际应用中，通常将利用DES对称加密算法来进行大容量数据的加密，而采用RSA非对称加密算法来传递对称加密算法所使用的密钥。 这种二者结合的体系，就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。,用户的特征,用户所拥有的,用户所知道的,二、认证技术,指纹 虹膜 DNA 声音 用户的行为,身份证 护照 密钥盘,密码 口令,（一） 身份认证概述,（二）消息认证概述,数字签名原理示意图,数字时间戳,数字时间戳服务（Digital Time-Stamp Service，DTS）由专门的机构提供。能提供电子文件发表时间的安全保护。 数字时间戳是一个经加密后形成的凭证文档，它包括三个部分： 需加时间戳的文件的摘要； DTS收到文件的日期和时间 DTS的数字签名。,三、安全协议,（一）传输层安全协议SSL 1. 秘密性： 使用对称密钥实现数据加密，确保连接安全。 2. 完整性： 使用安全的哈希函数如MD5、SHA等计算校验码，确保了信息的完整性和可靠性连接。 3. 认证性： 通过非对称加密技术实现身份验证。,BANK,顾客,商家,银行,商品选择，订单的完成 数字签名,(3) 向消费者所在银行请求支付认可。 (4) 商店发货或提供服务，请求支付。,（二） 应用层安全协议SET,交易流程示意图,SET协议的目标,SET协议保证了在电子交易过程中： (1)机密性-保证信息的安全传输。 (2)数据完整性-保证电子商务参与者信息的相互隔离。 (3)身份的合法性-解决多方认证问题。 (4)不可否认性-保证网上交易的实时性。 (5)兼容性和互操作功能。,SSL协议和SET协议的对比,四、防火墙技术,防火墙是一种隔离技术，是指一种将内部网和公众访问网（如Internet）分开的方法。防火墙可以通过过滤不安全的服务而降低风险，可以强化网络安全策略，对网络存取和访问进行监控审计，防止内部信息的外泄； 防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）； 在实际使用中，用户在受信任的网络上通过防火墙访问Internet时， 经常会发现存在延迟并且必须进行多次登录才能访问互联网或企业内部网。,一、机构制度管理 二、风险制度管理 三、法律制度管理,第三节 电子商务的安全管理,一、机构制度管理,（一）认证机构 在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。 认证机构CA(Certification Authority)就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。 （二） 数字证书 数字证书又称为数字凭证、数字标识。是由CA证书授权中心 发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以用它来证明自己在互联网中的身份或识别对方的身份。,二、风险制度管理,电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险，尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等，以确保企业电子商务的顺利进行。,三、法律制度管理,2004年8月28日全国人大常委会第十一次会议通过了中华人民共和国电子签名法。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。 2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过电子认证服务管理办法，自2005年4月1日起施行。 2005年11月10日中国银行业监督管理委员会第40次主席会议通过电子银行业务管理办法自2006年3月1日起施行。,一、选择题,1. 用户识别方法不包括：( ) A. 根据用户知道什么来判断 B. 根据用户拥有什么来判 C. 根据用户地址来判断 D. 根据用户是什么来判断 2. 以下身份认证技术中，属于生物特征识别技术的有包括：( ) A. 数字签名识别法 B. 指纹识别法 C. 语音识别法 D. 头盖骨的轮廓识别法 3. 触发电子商务安全问题的原因有：( ) A. 黑客的攻击 B. 管理的欠缺 C. 网络的缺陷 D. 软件的漏洞 4. 病毒防范制度包括的内容有：( ) A. 给自己的电脑安装防病毒软件 B. 不打开陌生地址的电子邮件 C. 认真执行病毒定期清理制度 D. 高度警惕网络陷阱 5. 下面属于不安全口令的有：( ) 使用用户名作为口令 B. 使用自己或者亲友的生日作为口令 C. 用学号或是身份证号码等作口令 D. 使用常用的英文单词做口令,习题,二、复习思考题,请简述认证中心的提供的服务有哪些? 防火墙是什么? 防火墙能否保证内部网络的绝对安全? SSL、SET、SHTTP各是什么协议，它们的区别是什么？ SET支付系统中的交易成员有哪些？,三、技能实训题,利用所学数字证书和相关知识，登陆中国数字认证网或其他CA认证中心，下载个人数字证书或者安全E-mail证书，进行数字证书的安装和导入导出；并下载Foxmmail软件（或者利用Outlook Express）。 要求两个同学一组，相互交换公钥，并利用数字证书发送和接收安全电子邮件。,谢谢！,