电子商务安全技术第二部分课件

电子商务安全技术第二部分1第第7 7章章 电子商务安全技术电子商务安全技术前前 言言通过本章的学习，让学生学习电子交易的安通过本章的学习，让学生学习电子交易的安全需求和安全威胁，以及电子商务的安全体全需求和安全威胁，以及电子商务的安全体系角色构成。系角色构成。了解电子交易的安全需求和安全威胁；了解电子交易的安全需求和安全威胁；了解防火墙技术、了解防火墙技术、VPNVPN技术、病毒防范技术和技术、病毒防范技术和安全检测技术；安全检测技术；了解密码学的相关知识，理解加密技术；了解密码学的相关知识，理解加密技术；理解认证技术，了解认证机构（理解认证技术，了解认证机构（CACA）的主要）的主要职能，了解数字证书的格式并尝试使用数字职能，了解数字证书的格式并尝试使用数字证书进行网络安全通信；证书进行网络安全通信；理解理解SSLSSL协议和协议和SETSET协议的相关知识，了解如协议的相关知识，了解如何利用这两个协议来保证交易安全何利用这两个协议来保证交易安全;了解公钥了解公钥基础设施（基础设施（PKIPKI）。）。电子商务安全技术第二部分2第第7 7章章 电子商务安全技术电子商务安全技术案例案例1 1：“互联网互联网”事件事件19881988年年1111月月2 2日，美国康奈尔大学日，美国康奈尔大学 学生罗伯特学生罗伯特.莫瑞斯将自己编写的蠕虫莫瑞斯将自己编写的蠕虫程序送进互联网，蠕虫病毒程序具有很程序送进互联网，蠕虫病毒程序具有很强的自我复制功能，快速向整个互联网强的自我复制功能，快速向整个互联网蔓延。莫瑞斯开始以为无害的程序，以蔓延。莫瑞斯开始以为无害的程序，以惊人的速度袭击了庞大的互联网，当发惊人的速度袭击了庞大的互联网，当发现情况不妙是，他本人对此已无法控制。现情况不妙是，他本人对此已无法控制。蠕虫病毒程序造成大量数据被破坏，整蠕虫病毒程序造成大量数据被破坏，整个经济损失估计达个经济损失估计达96009600万美元。这次万美元。这次“互联网互联网”事件极大震惊了网络安全人事件极大震惊了网络安全人员和其它专业人员，为网络安全敲响警员和其它专业人员，为网络安全敲响警钟，使网络安全成为最迫切的研究课题。钟，使网络安全成为最迫切的研究课题。电子商务安全技术第二部分3第第7 7章章 电子商务安全技术电子商务安全技术案例案例2 219991999年在西方国家大爆发的年在西方国家大爆发的melissamelissa又称为又称为“梅丽莎梅丽莎”或者美丽杀手，或者美丽杀手，是一种是一种word97word97宏病毒，专门针对微软的宏病毒，专门针对微软的电子邮件服务器电子邮件服务器ms exchangems exchange和电子邮件和电子邮件收发系统收发系统outlookoutlook。该病毒利用。该病毒利用outlookoutlook全域地址表来获取信箱地址信息，并自全域地址表来获取信箱地址信息，并自动给表中前动给表中前5050个信箱发送电子邮件，并个信箱发送电子邮件，并在其后附加一个被感染的文件在其后附加一个被感染的文件list.doc,list.doc,内含大量的色情网址。该病毒会在每台内含大量的色情网址。该病毒会在每台被感染的电脑上重复这样的动作，造成被感染的电脑上重复这样的动作，造成邮件服务器严重阻塞以至最后瘫痪。邮件服务器严重阻塞以至最后瘫痪。“梅丽莎梅丽莎”当年造成了超过当年造成了超过80008000万美元万美元的经济损失。的经济损失。电子商务安全技术第二部分4第第7 7章章 电子商务安全技术电子商务安全技术案例案例3 3“熊猫烧香熊猫烧香”2006”2006与与20072007年岁交替年岁交替之际，一名为之际，一名为“熊猫烧香熊猫烧香”的计算机病的计算机病毒在互联网上掀起轩然大波。从去年毒在互联网上掀起轩然大波。从去年1212月首次出现至今，短短一个多月，病毒月首次出现至今，短短一个多月，病毒已迅速在全国蔓延，受害用户至少上百已迅速在全国蔓延，受害用户至少上百万，计算机反病毒公司的热线电话关于万，计算机反病毒公司的热线电话关于该病毒的咨询和求助一直不断，互联网该病毒的咨询和求助一直不断，互联网上到处是受害者无奈的求助、怨恨、咒上到处是受害者无奈的求助、怨恨、咒骂，电脑里到处是熊猫烧香的图标，重骂，电脑里到处是熊猫烧香的图标，重要文件被破坏，局域网彻底瘫痪，病毒要文件被破坏，局域网彻底瘫痪，病毒造成的损失无法估量。造成的损失无法估量。电子商务安全技术第二部分5第第7 7章章 电子商务安全技术电子商务安全技术案例案例4 4江苏徐州捣毁涉案千余人特大网络江苏徐州捣毁涉案千余人特大网络传销集团传销集团新华网南京新华网南京7 7月月3030日电日电 记者日前从记者日前从江苏省公安厅了解到，徐州警方近期捣江苏省公安厅了解到，徐州警方近期捣毁一个涉案毁一个涉案10001000余人的特大网络传销集余人的特大网络传销集团，这个集团租用境外服务器，以高回团，这个集团租用境外服务器，以高回报率为诱饵骗取钱财，至案发非法经营报率为诱饵骗取钱财，至案发非法经营数额达数额达200200多万元，主要犯罪嫌疑人贾某、多万元，主要犯罪嫌疑人贾某、顾某、魏某、刘某等被成功抓获。顾某、魏某、刘某等被成功抓获。电子商务安全技术第二部分6 网络安全的危害性巨大，防不胜防。网络安全的危害性巨大，防不胜防。微软的官方统计数据称微软的官方统计数据称20022002年因网络安全问年因网络安全问题给全球经济直接造成了题给全球经济直接造成了130130亿美元的损失。亿美元的损失。20032003年年8 8月，冲击波蠕虫在视窗暴露安全漏洞短短月，冲击波蠕虫在视窗暴露安全漏洞短短2626天之后喷涌而出，天之后喷涌而出，8 8天内导致全球电脑用户损失高达天内导致全球电脑用户损失高达2020亿美元之多，无论是企业系统或家庭电脑用户无一幸免亿美元之多，无论是企业系统或家庭电脑用户无一幸免。据赛门铁克互联网安全威胁报告书显示，在据赛门铁克互联网安全威胁报告书显示，在20032003年年上半年，有超过上半年，有超过994994种新的种新的Win32Win32病毒和蠕虫被发现，这病毒和蠕虫被发现，这比比20022002年同时期的年同时期的445445种多出一倍有余。而目前种多出一倍有余。而目前Win32Win32病病毒的总数大约是毒的总数大约是4 4千个。在千个。在20012001年的同期，只有年的同期，只有308308种新种新Win32Win32病毒被发现。病毒被发现。电子商务安全技术第二部分7国外案例国外案例9494年末，俄罗斯一位黑客与其伙伴从圣彼得堡的年末，俄罗斯一位黑客与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国城市银一家小软件公司的联网计算机上，向美国城市银行发动了一连串攻击，通过电子转帐方式，从城行发动了一连串攻击，通过电子转帐方式，从城市银行在纽约的计算机主机里窃取市银行在纽约的计算机主机里窃取11001100万美元。万美元。9696年年8 8月月1717日，美国司法部的网络服务器遭到黑日，美国司法部的网络服务器遭到黑客入侵，并将客入侵，并将“美国司法部美国司法部”的主页改为的主页改为“美国美国不公正部不公正部”，将司法部部长的照片换成了阿道夫，将司法部部长的照片换成了阿道夫.希特勒，将司法部徽章换成了纳粹党徽，并加希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字手。此外还留下了很多攻击美国司法政策的文字。电子商务安全技术第二部分8 9696年年9 9月月1818日，黑客又光顾美国中央情报局的网络服务器日，黑客又光顾美国中央情报局的网络服务器，将其主页由，将其主页由“中央情报局中央情报局”改为改为“中央愚蠢局中央愚蠢局”。9696年年1212月月2929日，黑客侵入美国空军的全球网网址并将其主日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他谎言。迫使美国国防部一度关闭了其他8080多个军方网址。多个军方网址。20002000年年2 2月月7 7日日9 9日，日，Yahoo,ebay,Amazon Yahoo,ebay,Amazon 等著名网站等著名网站被黑客攻击，直接和间接损失被黑客攻击，直接和间接损失1010亿美元。亿美元。20042004年年1010月月1919日，一个电脑黑客非法侵入了位于美国旧金日，一个电脑黑客非法侵入了位于美国旧金山的伯克利加州大学的计算机系统，访问了约山的伯克利加州大学的计算机系统，访问了约140140万人的万人的个人资料和社会保障号码。个人资料和社会保障号码。电子商务安全技术第二部分9 2.2.国内案例国内案例 9797年初，北京某年初，北京某ISPISP被黑客成功侵入，并在清华被黑客成功侵入，并在清华大学大学“水木清华水木清华”BBSBBS站的站的“黑客与解密黑客与解密”讨论区张贴有关如何免费通过该讨论区张贴有关如何免费通过该ISPISP进入进入InternetInternet的文章。的文章。9797年年4 4月月2323日，美国德克萨斯州内查德逊地区西日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个南贝尔互联网络公司的某个 PPPPPP用户侵入中国互用户侵入中国互联网络信息中心的服务器，破译该系统的联网络信息中心的服务器，破译该系统的shutdownshutdown帐户，帐户，把中国互联网信息中心的主页把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。换成了一个笑嘻嘻的骷髅头。电子商务安全技术第二部分10 20042004年年1010月月1717日日1818时，著名杀毒软件厂商时，著名杀毒软件厂商江民公司的网站江民公司的网站()()主页被黑。主页被黑。首页上首页上 只只有署名为河马史诗的人所写的一句话有署名为河马史诗的人所写的一句话(如图如图 )。2 0042 004年年2 2月月2 2日日1616时，金山时，金山剑侠情缘网络剑侠情缘网络版版官方网站被黑客修改。如下截图官方网站被黑客修改。如下截图 所示，黑客在页面上自述攻击目的是希望所示，黑客在页面上自述攻击目的是希望得到游戏中的虚拟货币得到游戏中的虚拟货币50005000万。万。更多延伸阅读更多延伸阅读:“艳照门艳照门”事件暴露数据安全误区事件暴露数据安全误区 电子商务安全技术第二部分11电子商务安全技术第二部分12电子商务安全技术第二部分13第第7 7章章 电子商务安全技术电子商务安全技术7.1.1 7.1.1 电子商务的安全威胁电子商务的安全威胁1.1.信息的截获和窃取信息的截获和窃取2.2.信息的篡改信息的篡改3.3.信息假冒信息假冒4.4.交易抵赖交易抵赖网络安全威胁的具体表现形式：网络安全威胁的具体表现形式：（1 1）病毒）病毒（2 2）挂马网站）挂马网站（3 3）网络钓鱼的危害）网络钓鱼的危害（4 4）假网站）假网站（5 5）手机病毒）手机病毒（6 6）企业安全漏洞大）企业安全漏洞大电子商务安全技术第二部分14第第7 7章章 电子商务安全技术电子商务安全技术7.1.2 7.1.2 电子商务的安全要求电子商务的安全要求1.1.机密性（商业机密）机密性（商业机密）2.2.鉴别性（身份）鉴别性（身份）3.3.完整性（信息）完整性（信息）4.4.有效性（电子票据）有效性（电子票据）5.5.不可抵赖性（合约、契约）不可抵赖性（合约、契约）电子商务安全技术第二部分15第第7 7章章 电子商务安全技术电子商务安全技术7.1.3 7.1.3 电子商务的安全体系角色构电子商务的安全体系角色构成成电子商务系统把服务商、客户和银电子商务系统把服务商、客户和银行三方通过行三方通过InternetInternet连接起来，实现具连接起来，实现具体的业务操作，电子商务安全系统除了体的业务操作，电子商务安全系统除了三方的安全代理服务器外，还应该包含三方的安全代理服务器外，还应该包含CACA认证系统。认证系统。电子商务的安全体系结构包括下列电子商务的安全体系结构包括下列几个角色：几个角色：1.1.银行银行2.2.服务商服务商3.3.客户方客户方4.4.认证机构认证机构电子商务安全技术第二部分16第第7 7章章 电子商务安全技术电子商务安全技术7.2.1 7.2.1 操作系统安全操作系统安全Windows Windows 7 7安全性安全性 1.1.保护内核保护内核 2.2.更安全的网页浏览更安全的网页浏览 3.3.用户账户控制（用户账户控制（UACUAC）4.4.强大的强大的WindowsWindows防火墙防火墙 5.Windows BitLocker 5.Windows BitLocker磁盘加密功能磁盘加密功能 6.6.行动中心行动中心Action CenterAction Center电子商务安全技术第二部分17第第7 7章章 电子商务安全技术电子商务安全技术7.2.2 7.2.2 防火墙技术防火墙技术防火墙是一种安全有效的防范技术防火墙是一种安全有效的防范技术措施，是在措施，是在内部网和内部网和InternetInternet之间构筑之间构筑的一道屏障的一道屏障，它控制和防止内部网对外，它控制和防止内部网对外的非允许访问，也控制和防止外部的非的非允许访问，也控制和防止外部的非法访问。从狭义上来讲，防火墙是指安法访问。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；装了防火墙软件的主机或路由器系统；从广义上看，是整个网络访问控制机制、从广义上看，是整个网络访问控制机制、安全策略和防入侵措施等安全行为。安全策略和防入侵措施等安全行为。1.1.实现防火墙的主要技术实现防火墙的主要技术实现防火墙的主要技术有：包过滤，实现防火墙的主要技术有：包过滤，代理服务防火墙和应用网关等。代理服务防火墙和应用网关等。电子商务安全技术第二部分18第第7 7章章 电子商务安全技术电子商务安全技术7.2.2 7.2.2 防火墙技术防火墙技术包过滤路由器防火墙示意图包过滤路由器防火墙示意图代理服务用于双重宿主主机的原理示意图代理服务用于双重宿主主机的原理示意图电子商务安全技术第二部分19第第7 7章章 电子商务安全技术电子商务安全技术7.2.2 7.2.2 防火墙技术防火墙技术2.2.防火墙的主要类型防火墙的主要类型 (1)(1)基于基于IPIP包过滤器的体系结构包过滤器的体系结构(2)(2)双重宿主主机体系结构双重宿主主机体系结构(3)(3)被屏蔽主机体系结构被屏蔽主机体系结构(4)(4)屏蔽子网体系结构屏蔽子网体系结构电子商务安全技术第二部分20第第7 7章章 电子商务安全技术电子商务安全技术7.2.2 7.2.2 防火墙技术防火墙技术双重宿主主机体系结构示意图双重宿主主机体系结构示意图屏蔽主机防火墙体系结构示意图屏蔽主机防火墙体系结构示意图Internet电子商务安全技术第二部分21第第7 7章章 电子商务安全技术电子商务安全技术7.2.2 7.2.2 防火墙技术防火墙技术屏蔽子网防火墙体系结构图屏蔽子网防火墙体系结构图电子商务安全技术第二部分22Internet Intranet E-Mail 服务器 Web 服务器 内部客户机 数据库 外 部 WWW客户 防火墙 电子商务安全技术第二部分23第第7 7章章 电子商务安全技术电子商务安全技术7.2.3 VPN7.2.3 VPN技术技术1.VPN1.VPN的概念的概念虚拟专用网络被定义为通过一个公虚拟专用网络被定义为通过一个公用网络（通常是用网络（通常是InternetInternet）建立一个临）建立一个临时的安全的连接，是一条穿过公用网络时的安全的连接，是一条穿过公用网络的安全、稳定的隧道。的安全、稳定的隧道。VPNVPN如何保证接入用户的合法性、如何保证接入用户的合法性、保证网络访问的安全性以及系统本身的保证网络访问的安全性以及系统本身的安全可靠性呢？安全可靠性呢？首先，首先，VPNVPN产品都应该保证通过公产品都应该保证通过公用网络平台传输数据的专用性和安全性。用网络平台传输数据的专用性和安全性。其次，其次，VPNVPN还应当为不同网络的数据提供还应当为不同网络的数据提供不同等级的服务质量保证。其三，对于不同等级的服务质量保证。其三，对于带宽和流量的控制。带宽和流量的控制。电子商务安全技术第二部分24第第7 7章章 电子商务安全技术电子商务安全技术2.2.实现实现VPNVPN的安全协议的安全协议实现实现VPNVPN通常用到的安全协议主要通常用到的安全协议主要包括包括SOCKS v5SOCKS v5、IPSecIPSec和和PPTP/L2TPPPTP/L2TP。3.3.如何才能建立如何才能建立VPNVPN(1)(1)各站点必须在网络设备上建立各站点必须在网络设备上建立一台具有一台具有VPNVPN功能的设备；功能的设备；(2)(2)各站点必须知道对方站点使用各站点必须知道对方站点使用的的IPIP地址；地址；(3)(3)两站点必须对使用的授权检查两站点必须对使用的授权检查和需要采用的数字证书方式达成一致；和需要采用的数字证书方式达成一致；(4)(4)两站点必须对需要使用的加密两站点必须对需要使用的加密方法和交换密钥的方法达成一致。方法和交换密钥的方法达成一致。电子商务安全技术第二部分25第第7 7章章 电子商务安全技术电子商务安全技术7.2.3 VPN7.2.3 VPN技术技术两个两个InternetInternet站点之间建立的站点之间建立的VPNVPN示意图示意图电子商务安全技术第二部分26第第7 7章章 电子商务安全技术电子商务安全技术4.VPN4.VPN应用应用（1 1）通过）通过InternetInternet实现安全远程用户访实现安全远程用户访问问（2 2）通过）通过InternetInternet实现网络互联实现网络互联（3 3）连接企业内部网络计算机）连接企业内部网络计算机5.VPN5.VPN产品选项产品选项（1 1）基于防火墙的）基于防火墙的VPNVPN（2 2）基于路由器的）基于路由器的VPNVPN（3 3）专用软件或硬件）专用软件或硬件电子商务安全技术第二部分27第第7 7章章 电子商务安全技术电子商务安全技术7.2.4 7.2.4 病毒防范技术病毒防范技术1.1.病毒的概念病毒的概念计算机病毒是一种有很强破坏和感计算机病毒是一种有很强破坏和感染力的计算机程序。这种程序和其他程染力的计算机程序。这种程序和其他程序不同，当把它输入正常工作的计算机序不同，当把它输入正常工作的计算机以后，会搞乱或者破坏已有的信息。它以后，会搞乱或者破坏已有的信息。它具有再生的能力，会自动进入有关的程具有再生的能力，会自动进入有关的程序进行自我复制，冲乱正在运行的程序，序进行自我复制，冲乱正在运行的程序，破坏程序的正常运行。它像微生物一样，破坏程序的正常运行。它像微生物一样，可以繁殖，因此被称为可以繁殖，因此被称为“计算机病毒计算机病毒”。电子商务安全技术第二部分28第第7 7章章 电子商务安全技术电子商务安全技术2.2.病毒类型病毒类型计算机病毒的种类很多，分类方法计算机病毒的种类很多，分类方法也很多，按工作机理分类可以把病毒分也很多，按工作机理分类可以把病毒分为以下几种：为以下几种：(1)(1)引导区病毒引导区病毒(2)(2)文件型病毒文件型病毒(3)(3)入侵型病毒入侵型病毒 (4)(4)外壳型病毒外壳型病毒按传播媒介分类可以把病毒分为以按传播媒介分类可以把病毒分为以下几种：下几种：(1)(1)单机病毒。单机病毒。(2)(2)网络病毒。网络病毒。电子商务安全技术第二部分29电子商务安全技术第二部分30电子商务安全技术第二部分31第第7 7章章 电子商务安全技术电子商务安全技术2.2.病毒类型病毒类型病毒种类太多，反病毒公司为了方病毒种类太多，反病毒公司为了方便管理，他们会按照病毒的特性，将病便管理，他们会按照病毒的特性，将病毒进行分类命名。一般格式为：毒进行分类命名。一般格式为：.。常见的病毒前缀的解释（针对常见的病毒前缀的解释（针对WindowsWindows操作系统）：操作系统）：(1)(1)系统病毒系统病毒 (2)(2)蠕虫病毒蠕虫病毒 (3)(3)木马病毒、黑客病毒木马病毒、黑客病毒 (4)(4)脚本病毒脚本病毒 (5)(5)宏病毒宏病毒 (6)(6)后门病毒后门病毒 电子商务安全技术第二部分32电子商务安全技术第二部分33电子商务安全技术第二部分34电子商务安全技术第二部分35第第7 7章章 电子商务安全技术电子商务安全技术3.3.病毒的特性病毒的特性病毒表现的几种常见特性如下：病毒表现的几种常见特性如下：(1)(1)感染性感染性(2)(2)流行性流行性(3)(3)欺骗性欺骗性(4)(4)危害性危害性(5)(5)潜伏性潜伏性(6)(6)隐蔽性隐蔽性4.4.病毒的预防病毒的预防计算机病毒的防治要从防毒、查毒、计算机病毒的防治要从防毒、查毒、解毒三个方面进行。解毒三个方面进行。电子商务安全技术第二部分36第第7 7章章 电子商务安全技术电子商务安全技术7.2.5 7.2.5 安全检测技术安全检测技术1.1.入侵检测技术入侵检测技术(1)(1)入侵检测的含义入侵检测的含义入侵行为主要是指对系统资源的非入侵行为主要是指对系统资源的非授权使用，可以造成系统数据的丢失和授权使用，可以造成系统数据的丢失和破坏、系统拒绝服务等危害。入侵检测破坏、系统拒绝服务等危害。入侵检测（Intrusion DetectionIntrusion Detection）定义为）定义为“识别识别非法用户未经授权使用计算机系统，或非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为合法用户越权操作计算机系统的行为”，通过对计算机网络中的若干关键点或计通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。安全策略的行为和被攻击的迹象。电子商务安全技术第二部分37第第7 7章章 电子商务安全技术电子商务安全技术1.1.入侵检测技术入侵检测技术(2)(2)入侵检测系统的主要任务入侵检测系统的主要任务入侵检测系统执行的主要任务包括：入侵检测系统执行的主要任务包括：监视和分析用户及系统活动；审计系统监视和分析用户及系统活动；审计系统构造和弱点；识别和反映已知进攻的活构造和弱点；识别和反映已知进攻的活动模式，向相关人士报警；统计分析异动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件常行为模式；评估重要系统和数据文件的完整性；审计和跟踪管理操作系统，的完整性；审计和跟踪管理操作系统，识别用户违反安全策略的行为。识别用户违反安全策略的行为。电子商务安全技术第二部分38第第7 7章章 电子商务安全技术电子商务安全技术1.1.入侵检测技术入侵检测技术(3)(3)入侵检测系统的分类入侵检测系统的分类按数据源分类按数据源分类A A基于主机的入侵检测系统基于主机的入侵检测系统B B基于网络的入侵检测系统基于网络的入侵检测系统按系统结构分类按系统结构分类A A集中式入侵检测系统集中式入侵检测系统B B分布式入侵检测系统分布式入侵检测系统按入侵的时间分类按入侵的时间分类A A实时入侵检测系统实时入侵检测系统B B事后入侵检测系统事后入侵检测系统电子商务安全技术第二部分39第第7 7章章 电子商务安全技术电子商务安全技术2.2.安全评估技术安全评估技术安全检测和评估是一项复杂的系统安全检测和评估是一项复杂的系统工程，需要很多不同背景的人员，从各工程，需要很多不同背景的人员，从各个不同的方面支认真研究分析。一种可个不同的方面支认真研究分析。一种可行的有效的思路是：首先进行各个单项行的有效的思路是：首先进行各个单项检测与评估，然后再进行综合检测与评检测与评估，然后再进行综合检测与评估。估。为了减少因系统存在的安全漏洞而为了减少因系统存在的安全漏洞而造成的黑客攻击，应当利用现有的网络造成的黑客攻击，应当利用现有的网络安全分析系统分析网络系统结构和配置，安全分析系统分析网络系统结构和配置，同时利用漏洞扫描技术进行系统安全扫同时利用漏洞扫描技术进行系统安全扫描，扫描操作系统和数据库系统的安全描，扫描操作系统和数据库系统的安全漏洞与错误配置，及时发现系统中的弱漏洞与错误配置，及时发现系统中的弱点或漏洞。点或漏洞。电子商务安全技术第二部分40第第7 7章章 电子商务安全技术电子商务安全技术7.3.1 7.3.1 密码学概述密码学概述1.1.密码学的含义密码学的含义密码学是研究加密和解密变换的一密码学是研究加密和解密变换的一门科学。它包含两个分支，一是密码编门科学。它包含两个分支，一是密码编码学；另一个是密码分析学。码学；另一个是密码分析学。密码编码学是对信息进行编码，实密码编码学是对信息进行编码，实现隐蔽信息的一门学科。密码分析学是现隐蔽信息的一门学科。密码分析学是研究分析破译密码的学科。即在未知密研究分析破译密码的学科。即在未知密钥的情况下，从密文推出明文或密钥的钥的情况下，从密文推出明文或密钥的技术。密码学正是在这种破译和反破译技术。密码学正是在这种破译和反破译的过程中发展起来的，这两门学问合起的过程中发展起来的，这两门学问合起来就称为密码学。来就称为密码学。电子商务安全技术第二部分41第第7 7章章 电子商务安全技术电子商务安全技术2.2.密码系统中的几个概念密码系统中的几个概念明文明文:人们将可懂的文本称为明文。人们将可懂的文本称为明文。密文密文:将明文变换成的不可懂的文本称为将明文变换成的不可懂的文本称为密文。密文。加密加密:把明文变换成密文的过程叫加密。把明文变换成密文的过程叫加密。解密解密:把密文变换成明文的过程叫解密。把密文变换成明文的过程叫解密。密码体制密码体制:完成加密和解密的算法称为密完成加密和解密的算法称为密码体制。在计算机上实现的数据加密算法，其码体制。在计算机上实现的数据加密算法，其加密或解密变换是由一个密钥来控制的。加密或解密变换是由一个密钥来控制的。密钥密钥:是由使用密码体制的用户随机选取是由使用密码体制的用户随机选取的，密钥成为唯一能控制明文与密文之间变换的，密钥成为唯一能控制明文与密文之间变换的关键，它通常是一随机字符串。的关键，它通常是一随机字符串。电子商务安全技术第二部分42第第7 7章章 电子商务安全技术电子商务安全技术7.3.2 7.3.2 对称密钥密码体制对称密钥密码体制1.1.数据加密标准数据加密标准DESDESDESDES（Data Encrypt StandardData Encrypt Standard）是）是对称加密算法中最具代表性的。对称加密算法中最具代表性的。DESDES算法算法原是原是IBMIBM公司为保护产品的机密研制成功公司为保护产品的机密研制成功的，后被美国国家标准局和国家安全局的，后被美国国家标准局和国家安全局选为数据加密标准，并于选为数据加密标准，并于19771977年颁布使年颁布使用。用。对称密钥算法提供了一种保护信息对称密钥算法提供了一种保护信息机密性的途径。机密性的途径。电子商务安全技术第二部分43第第7 7章章 电子商务安全技术电子商务安全技术1.1.数据加密标准数据加密标准DESDES对称密钥数据加对称密钥数据加/解密过程示意图解密过程示意图电子商务安全技术第二部分44第第7 7章章 电子商务安全技术电子商务安全技术2.2.对称加密技术（对称加密技术（DESDES）的优缺点）的优缺点对称加密技术（对称加密技术（DESDES）的最大优势）的最大优势是是加加/解密速度快，解密速度快，适合于对适合于对大数据量大数据量进进行加密，但行加密，但密钥管理困难密钥管理困难。对称加密技。对称加密技术要求通信双方事先交换密钥，当系统术要求通信双方事先交换密钥，当系统用户多时，例如在网上购物的环境中，用户多时，例如在网上购物的环境中，商户需要与成千上万的购物者进行交易，商户需要与成千上万的购物者进行交易，若采用简单的对称密钥加密技术，商户若采用简单的对称密钥加密技术，商户需要管理成千上万的密钥与不同的对象需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题。一个几乎不可能解决的问题。电子商务安全技术第二部分45第第7 7章章 电子商务安全技术电子商务安全技术7.3.3 7.3.3 非对称密钥密码体制非对称密钥密码体制非对称密钥密码体制最主要的特点非对称密钥密码体制最主要的特点就是加密和解密使用不同的密钥，每个就是加密和解密使用不同的密钥，每个用户保存着一对密钥用户保存着一对密钥公开密钥和秘公开密钥和秘密密钥。密密钥。1.RSA1.RSA算法算法19771977年，年，RivestRivest、ShamirShamir和和AdlemanAdleman三人实现了公开密钥密码体制，三人实现了公开密钥密码体制，并以三个人名字的首字母命名，简称并以三个人名字的首字母命名，简称RSARSA公开密钥体制。公开密钥体制。电子商务安全技术第二部分46第第7 7章章 电子商务安全技术电子商务安全技术1.RSA1.RSA算法算法对称密钥数据加对称密钥数据加/解密过程示意图解密过程示意图电子商务安全技术第二部分47第第7 7章章 电子商务安全技术电子商务安全技术2.2.公开密钥技术（公开密钥技术（RSARSA）的优缺点）的优缺点公开密钥技术公开密钥技术解决了解决了密钥的发布和密钥的发布和管理管理问题，商户可以公开其公开密钥，问题，商户可以公开其公开密钥，而保留私有密钥。购物者可以用人人皆而保留私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，知的公开密钥对发送的信息进行加密，安全地传送给该商户，然后由商户用自安全地传送给该商户，然后由商户用自己的私有密钥进行解密。虽然公钥体制己的私有密钥进行解密。虽然公钥体制消除了消除了秘密密钥共享秘密密钥共享的问题，但并没有的问题，但并没有一个完整的解决方案，仍然有很多的缺一个完整的解决方案，仍然有很多的缺点。相对于对称密钥算法来说，公钥算点。相对于对称密钥算法来说，公钥算法法计算速度非常慢计算速度非常慢。另外，公钥算法也。另外，公钥算法也要求一种使公钥能广为发布的方法和体要求一种使公钥能广为发布的方法和体制，所以把公钥算法和对称算法结合起制，所以把公钥算法和对称算法结合起来不失为一种最佳的选择。来不失为一种最佳的选择。电子商务安全技术第二部分48第第7 7章章 电子商务安全技术电子商务安全技术7.3.4 PGP7.3.4 PGP加密技术加密技术PGPPGP（Pretty Good PrivacyPretty Good Privacy）是由）是由美国的美国的Phil ZimmermannPhil Zimmermann于于2020世纪世纪9090年代年代初开发的。它是一个初开发的。它是一个完整的电子邮件安完整的电子邮件安全软件包全软件包，包括加密、认证、数字签名，包括加密、认证、数字签名和压缩等技术。和压缩等技术。1.PGP1.PGP的功能的功能(1)(1)加密文件加密文件 (2)(2)密钥生成密钥生成 (3)(3)密钥管理密钥管理 (4)(4)收发电子函件收发电子函件 (5)(5)数字签名数字签名 (6)(6)认证密钥认证密钥 2.PGP2.PGP工作工程工作工程 电子商务安全技术第二部分49第第7 7章章 电子商务安全技术电子商务安全技术7.4.1 7.4.1 认证技术认证技术认证（认证（AuthenticationAuthentication）是指核实）是指核实真实身份的过程，是防止主动攻击的重真实身份的过程，是防止主动攻击的重要技术。它对于保证开放环境中各种信要技术。它对于保证开放环境中各种信息系统的安全性有重要作用。认证主要息系统的安全性有重要作用。认证主要分为以下两个方面分为以下两个方面:第一是消息认证。第第一是消息认证。第二是实体认证。二是实体认证。1.1.消息认证消息认证消息认证是一种过程，它使得通信消息认证是一种过程，它使得通信的接收方能够验证所收到的报文（发送的接收方能够验证所收到的报文（发送者、报文内容、发送时间和序列等）在者、报文内容、发送时间和序列等）在传输的过程中是否被假冒、伪造和篡改，传输的过程中是否被假冒、伪造和篡改，是否感染上病毒等，即保证信息的完整是否感染上病毒等，即保证信息的完整性和有效性。性和有效性。电子商务安全技术第二部分50电子商务安全技术第二部分51第第7 7章章 电子商务安全技术电子商务安全技术2.2.实体认证实体认证信息系统的安全性还取决于能否验信息系统的安全性还取决于能否验证用户或终端的个人身份。证用户或终端的个人身份。一个身份证明系统一般由三方组成：一个身份证明系统一般由三方组成：一方是示证者，由证件的持有人提出某一方是示证者，由证件的持有人提出某种请求，并出示证件；一方是验证者，种请求，并出示证件；一方是验证者，检验示证者出示的证件的正确性和合法检验示证者出示的证件的正确性和合法性；第三方是认证机构，它一般由权威性；第三方是认证机构，它一般由权威机构充当，我们把此类技术就称为身份机构充当，我们把此类技术就称为身份证明技术或认证技术。证明技术或认证技术。电子商务安全技术第二部分52第第7 7章章 电子商务安全技术电子商务安全技术7.4.2 7.4.2 证书机构（证书机构（CACA）证书机构证书机构(Certification(Certification AuthorityAuthority，即，即CA)CA)是一个可信的第三方是一个可信的第三方实体，其主要职责是保证用户的真实性。实体，其主要职责是保证用户的真实性。证书机构的主要功能有以下几个：证书机构的主要功能有以下几个：1.1.证书的颁发证书的颁发2.2.证书的更新证书的更新3.3.证书的查询证书的查询4.4.证书的作废证书的作废5.5.证书的归档证书的归档电子商务安全技术第二部分53第第7 7章章 电子商务安全技术电子商务安全技术7.4.3 7.4.3 数字证书数字证书数字证书又称为数字标识（数字证书又称为数字标识（Digital Digital CertificateCertificate，Digital IDDigital ID）。它提供了）。它提供了一种在一种在Internet Internet 上进行身份验证的方式，上进行身份验证的方式，是用来是用来标志和证明网络通信双方身份标志和证明网络通信双方身份的数的数字信息文件，与司机驾照或日常生活中的字信息文件，与司机驾照或日常生活中的身份证相似。身份证相似。1.1.数字证书的作用数字证书的作用(1)(1)除发送方和接收方外信息不被其他人窃取；除发送方和接收方外信息不被其他人窃取；(2)(2)信息在传输过程中不被篡改；信息在传输过程中不被篡改；(3)(3)接收方能够通过数字证书来确认发送方的接收方能够通过数字证书来确认发送方的身份；身份；(4)(4)发送方对于自己发送的信息不能抵赖。发送方对于自己发送的信息不能抵赖。电子商务安全技术第二部分54第第7 7章章 电子商务安全技术电子商务安全技术3.3.证书的类型证书的类型(1)(1)个人证书个人证书(2)(2)单位数字证书单位数字证书(3)(3)服务器证书服务器证书(4)(4)安全电子邮件证书安全电子邮件证书4.4.数字证书的应用数字证书的应用(1)(1)通过通过S/MIMES/MIME协议实现安全的电协议实现安全的电子函件系统；子函件系统；(2)(2)通过通过SSLSSL协议实现浏览器与协议实现浏览器与WebWeb服务器之间的安全通信；服务器之间的安全通信；(3)(3)通过通过SETSET协议实现信用卡网上安协议实现信用卡网上安全支付。全支付。电子商务安全技术第二部分55第第7 7章章 电子商务安全技术电子商务安全技术7.5.1 SSL7.5.1 SSL协议协议SSLSSL协议最初是由协议最初是由Netscape Netscape CommunicationCommunication公司设计开发的，又叫公司设计开发的，又叫“安全套接层（安全套接层（Secure Sockets LayerSecure Sockets Layer）协议协议”。它采用了公开密钥技术，其目标。它采用了公开密钥技术，其目标是保证两个应用者间通信的保密性和可靠是保证两个应用者间通信的保密性和可靠性，可在服务器和客户机两端同时实现支性，可在服务器和客户机两端同时实现支持。持。1.SSL1.SSL协议提供的三种基本的安全服务协议提供的三种基本的安全服务(1)(1)秘密性秘密性(2)(2)认证性认证性(3)(3)完整性完整性电子商务安全技术第二部分56第第7 7章章 电子商务安全技术电子商务安全技术2.SSL2.SSL协议的实现模型协议的实现模型SSLSSL协议实现模型示意图协议实现模型示意图3.SSL3.SSL的应用的应用SSLSSL的典型应用主要有两个方面：一的典型应用主要有两个方面：一是客户端；另一个是服务器端。是客户端；另一个是服务器端。应用层协议（HTTP、TELNET、FTP、SMTP等）SSL握手协议(Handshake Protocol)SSL记录协议(Record Protocol)TCP协议 IP协议 网络接口层（各种局域网和广域网）电子商务安全技术第二部分57第第7 7章章 电子商务安全技术电子商务安全技术7.5.2 SET7.5.2 SET协议协议SSLSSL并没有实现电子支付所要求的并没有实现电子支付所要求的保密性、完整性和不可抵赖性，而且实保密性、完整性和不可抵赖性，而且实现多方互相认证也是很困难的。现多方互相认证也是很困难的。SSLSSL协议协议将逐渐被新的安全电子交易（将逐渐被新的安全电子交易（Secure Secure Electronic TransactionsElectronic Transactions，即，即SETSET）协）协议所取代。议所取代。1.SET1.SET协议中利用的主要技术协议中利用的主要技术在在SETSET协议中利用的主要技术有：协议中利用的主要技术有：加密技术如加密技术如RSARSA和和DESDES算法、数字拇印或算法、数字拇印或数字摘要、数字信封、数字签名、数字数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。时间戳、数字证书等技术。电子商务安全技术第二部分58第第7 7章章 电子商务安全技术电子商务安全技术1.SET1.SET协议中利用的主要技术协议中利用的主要技术数字拇印的形成过程示意图数字拇印的形成过程示意图数字签名的实现过程示意图数字签名的实现过程示意图 数字信封的形成过程示意图数字信封的形成过程示意图 电子商务安全技术第二部分59电子商务安全技术第二部分60第第7 7章章 电子商务安全技术电子商务安全技术2.SET2.SET协议中所涉及的主要对象协议中所涉及的主要对象SETSET协议中所涉及的对象主要有：协议中所涉及的对象主要有：消费者即持卡人消费者即持卡人(Cardholder)(Cardholder)、商家（商家（MerchantMerchant）、）、收单银行收单银行(Acquiring Bank)(Acquiring Bank)、发卡行发卡行(Issuing Bank)(Issuing Bank)、支付网关支付网关(Payment Gateway)(Payment Gateway)认证机构认证机构(Certificate Authority)(Certificate Authority)。电子商务安全技术第二部分61第第7 7章章 电子商务安全技术电子商务安全技术3.SET3.SET协议的支付模型协议的支付模型SETSET协议的模型示意图协议的模型示意图电子商务安全技术第二部分62第第7 7章章 电子商务安全技术电子商务安全技术7.5.3 7.5.3 公钥基础设施（公钥基础设施（PKIPKI）公钥基础设施（公钥基础设施（Public Key Public Key InfrastructureInfrastructure，即，即PKIPKI）是由加拿大的）是由加拿大的EntrustEntrust公司开发的，支持公司开发的，支持SETSET、SSLSSL协议、协议、电子证书和数字签名等。电子证书和数字签名等。PKIPKI为一组安全为一组安全服务的集合，可以在分布式计算机系统服务的集合，可以在分布式计算机系统中使用公钥加密机制和证书。中使用公钥加密机制和证书。1.PKI1.PKI的组成的组成 (1)(1)认证机构认证机构 (2)(2)证书库证书库 (3)(3)密钥管理系统密钥管理系统(4)(4)证书管理系统证书管理系统 (5)PKI(5)PKI应用接口系统。应用接口系统。电子商务安全技术第二部分63第第7 7章章 电子商务安全技术电子商务安全技术2.2.国外国外PKIPKI应用现状应用现状美国作为最早提出美国作为最早提出PKIPKI概念的国家，概念的国家，于于19961996年成立了美国联邦年成立了美国联邦PKIPKI筹委会，其筹委会，其PKIPKI技术在世界上处于领先地位。技术在世界上处于领先地位。加拿大在加拿大在19931993就已经开始了政府就已经开始了政府PKIPKI体系雏形的研究工作，到体系雏形的研究工作，到20002000年已在年已在PKIPKI体系方面获得重要的进展。体系方面获得重要的进展。欧洲在欧洲在PKIPKI基础建设方面也成绩显基础建设方面也成绩显著。已颁布了著。已颁布了93931999EC1999EC法规，强调技法规，强调技术中立、隐私权保护、国内与国外相互术中立、隐私权保护、国内与国外相互认证以及无歧视等原则。认证以及无歧视等原则。在亚洲，韩国是最早开发在亚洲，韩国是最早开发PKIPKI体系体系的国家。的国家。电子商务安全技术第二部分64第第7 7章章 电子商务安全技术电子商务安全技术3.3.国内国内PKIPKI建设现状建设现状 我国的我国的PKIPKI技术从技术从19981998年开始起步，年开始起步，由于政府和各有关部门近年来对由于政府和各有关部门近年来对PKIPKI产业产业的发展给予了高度重视。的发展给予了高度重视。自从自从19981998年国内第一家以实体形式年国内第一家以实体形式运营的上海运营的上海CACA中心中心(SHECA)(SHECA)成立以来，成立以来，PKIPKI技术在我国的商业银行、政府采购以技术在我国的商业银行、政府采购以及网上购物中得到广泛应用。及网上购物中得到广泛应用。我国的我国的PKIPKI建设存在不少亟需解决建设存在不少亟需解决的问题，主要是以下几个方面：的问题，主要是以下几个方面：缺乏国家统一指导缺乏国家统一指导 尚未形成完整的国家尚未形成完整的国家PKIPKI体系体系 缺乏有力的法律支持缺乏有力的法律支持电子商务安全技术第二部分65第第7 7章章 电子商务安全技术电子商务安全技术 4.PKI 4.PKI应用前景应用前景 随着随着InternetInternet应用的不断普及和深应用的不断普及和深入，政府部门需要入，政府部门需要PKIPKI支持管理；商业企支持管理；商业企业内部、企业与企业之间、区域性服务业内部、企业与企业之间、区域性服务网络、电子商务网站都需要网络、电子商务网站都需要PKIPKI的技术和的技术和解决方案；大企业需要建立自己的解决方案；大企业需要建立自己的PKIPKI平平台；小企业需要社会提供商业台；小企业需要社会提供商业PKIPKI服务。服务。总的来说，总的来说，PKIPKI的市场需求非常巨的市场需求非常巨大，基于大，基于PKIPKI和应用包括了许多内容，如和应用包括了许多内容，如WWWWWW安全、电子邮件安全、电子数据交换、安全、电子邮件安全、电子数据交换、信用卡交易安全、信用卡交易安全、VPNVPN。从行业应用来看，。从行业应用来看，电子商务、电子政务、远程教育等方面电子商务、电子政务、远程教育等方面都离不开都离不开PKIPKI技术。技术。电子商务安全技术第二部分66第第7 7章章 电子商务安全技术电子商务安全技术7.6 7.6 小结小结本章主要讲述电子商务安全的有关本章主要讲述电子商务安全的有关知识。知识。1.1.电子商务系统电子商务系统2.2.本节讲述了本节讲述了Windows NTWindows NT和和Windows 2000Windows 2000这两种操作系统为了构筑这两种操作系统为了构筑安全性所采用的一些措施。介绍了防火安全性所采用的一些措施。介绍了防火墙、墙、VPNVPN应用；计算机病毒相关知识；入应用；计算机病毒相关知识；入侵检测技术。侵检测技术。3.3.信息安全技术是电子商务安全系信息安全技术是电子商务安全系统中最为核心的内容。统中最为核心的内容。4.4.认证是指核实真实身份的过程。认证是指核实真实身份的过程。5.SET5.SET和和SSLSSL协议协议