电子商务安全第三章课件

第三章第三章 电子商务安全技术电子商务安全技术学习并了解常用的电子商务安全技术；掌握电子数据交换技术；掌握认证技术；掌握虚拟专用网技术；了解基于生物特征的身份认证技术。知识目标知识目标了解电子商务常用的加密技术，并掌握其应用方法；了解电子商务常用的防火墙技术，并掌握其应用方法。技能目标技能目标第一节第一节 电子数据交换技术电子数据交换技术一、一、电子数据交换技术概述电子数据交换技术概述1.电子数据交换技术的概念电子数据交换（electronic data interchange，EDI）技术是信息技术向商贸领域渗透并与国际商贸实务相结合的产物。第一节第一节 电子数据交换技术电子数据交换技术美国国家标准局EDI标准委员会对EDI的解释是：EDI指的是在相互独立的组织机构之间所进行的标准格式、非模糊的具有商业或战略意义的信息的传输。联合国标准化组织将EDI描述成，按照统一标准将商业或行政事务处理转换成结构化的事务处理或报文数据格式，并借助计算机网络实现的一种数据电子传输方法。第一节第一节 电子数据交换技术电子数据交换技术由此可以总结出EDI的含义：EDI是商业伙伴之间，将按标准、协议规范化和格式化的经济信息通过电子数据网络，在单位的计算机系统之间进行自动交换和处理。EDI是电子商务贸易的一种工具，将商业文件（如订单、发票、发货单、报关单和进出口许可证）按统一的标准编制成计算机能识别和处理的数据格式，在计算机之间进行传输。第一节第一节 电子数据交换技术电子数据交换技术第一节第一节 电子数据交换技术电子数据交换技术2.EDI的有关标准EDI网络通信标准EDI联系标准EDI处理标准EDI语义语法标准第一节第一节 电子数据交换技术电子数据交换技术3.EDI面临的威胁根据来源不同，这些威胁可分为内部和外部两种。内部威胁是指系统的合法用户以故意或非法方式进行操作所产生的威胁，如内部工作人员利用工作之便或者软件固有缺陷，非法使用EDI资源或越权存取数据；外部威胁泛指搭线窃听、截取交换信息、冒充合法用户等。第一节第一节 电子数据交换技术电子数据交换技术3.EDI面临的威胁根据动机不同，这些威胁可分为偶发性威胁和故意性威胁。偶发性威胁指偶然发生的、不带任何预谋的威胁，如系统故障、操作失误、软件出错或其他不可抗自然力；故意性威胁则指那些人为的、有预谋或动机的威胁，往往伴有网络攻击、信息盗取等行为，因此需要重点防范。第一节第一节 电子数据交换技术电子数据交换技术二、二、电子数据交换技术的系统构成电子数据交换技术的系统构成一个EDI消息处理系统大体上分为以下几个组成部分：EDI消息传送系统EDI用户EDI消息存储EDI用户代理第一节第一节 电子数据交换技术电子数据交换技术EDI消息处理系统的各个组成部分以及它们之间的关系如图3-2所示第一节第一节 电子数据交换技术电子数据交换技术三、三、电子数据交换技术的安全策略和具体措施电子数据交换技术的安全策略和具体措施EDI的实际运作过程中，主要通过三级安全系统来达到前面介绍的安全目的，即网络级安全、应用级安全、报文级安全。应用级安全报文级安全网络级安全第一节第一节 电子数据交换技术电子数据交换技术为了更好地实现EDI安全，可以采用以下几项具体措施：防拒绝服务防拒绝服务访问控制访问控制接收不可抵赖接收不可抵赖源点不可抵赖源点不可抵赖电文加密电文加密数字签名数字签名防止电文丢失防止电文丢失1234567第二节第二节 密密 码码 技技 术术1.密码学的组成和密码系统的要素密码学主要是研究通信安全保密的学科，它包括两个分支：密码编码学和密码分析学。一、一、密码学概述密码学概述密码编码学密码分析学第二节第二节 密密 码码 技技 术术密码编码学主要研究对信息进行变换，以保护信息在信道的传递过程中不被攻击者窃取、解读和利用的方法；密码分析学则与密码编码学相反，它主要研究如何分析和破译密码。这两者之间既相互对立又相互促进。第二节第二节 密密 码码 技技 术术准确地说，一个密码系统由明文空间、密文空间、密码方案和密钥空间组成。密码方案密文空间密钥空间明文空间第二节第二节 密密 码码 技技 术术2.密码的安全攻击者可采用电磁侦听、声音窃听、搭线窃听等方法直接得到未加密的明文或加密后的密文，这种对密码系统的攻击手段称为被动攻击；攻击者也可采用删除、更改、插入、重放等手段主动地发送破坏消息，使收信人得不到发信人发送的全部有效信息，这种对密码系统的攻击手段称为主动攻击。第二节第二节 密密 码码 技技 术术对于一个密码系统来说，若攻击者无论得到多少密文也求不出确定明文所需的足够信息，这种密码系统就是理论上不可破译的，称该密码系统具有无条件安全性（或完善保密性）。若一个密码系统理论上虽可破译，但为了由密文得到明文或密钥却需要付出非常多的计算时间和精力，而不能在期望的时间内或实际可能的经济条件下求出准确的答案，这种密码系统就是实际不可破译的，或称该密码系统具有计算安全性（或实际保密性）。第二节第二节 密密 码码 技技 术术3.哈希函数哈希函数也称为哈希算法，是将任意长的数字串映射成一个较短的定长输出数字串的函数。这个函数易于计算，生成的字符串称为原字符串的哈希值，也称哈希码、哈希结果等，或简称哈希。第二节第二节 密密 码码 技技 术术1.链路链路加密链路链路的加密方法将网络看做链路连接的结点集合，每一个链路被独立地加密。二、二、信息传输中的加密方式信息传输中的加密方式第二节第二节 密密 码码 技技 术术2.结点加密结点加密的目的是对源结点到目的结点之间的传输链路提供加密保护。结点加密是指每对结点共用一个密钥，对相邻两个结点间（包括结点本身）传送的数据进行加密保护。第二节第二节 密密 码码 技技 术术结点加密方法的特点在于：密文在该装置中被解密并被重新加密明文不通过结点机，避免了链路链路加密结点处易受攻击的缺点在结点处采用一个与结点机相连的密码装置第二节第二节 密密 码码 技技 术术3.端端加密端端加密又称脱线加密或包加密，建立在OSI参考模型的网络层和传输层。第二节第二节 密密 码码 技技 术术4.三种加密方式的选择第二节第二节 密密 码码 技技 术术对于以上三种加密方式进行分析和对比，可以得出下面的结论：（1）在多个网络互连的环境下，宜采用端端加密方式。（2）在需要保护的链路数不多、要求实时通信、不支持端端加密远程调用通信等场合，宜采用链路链路加密方式。第二节第二节 密密 码码 技技 术术（3）在需要保护的链路数较多的场合以及在文件保护、邮件保护、支持端端加密的远程调用、实时性要求不高的通信等场合，宜采用端端加密方式。（4）对于需要防止流量分析的场合，可考虑采用链路链路加密和端端加密组合的加密方式。第三节第三节 认认 证证 技技 术术一、一、数字签名数字签名第三节第三节 认认 证证 技技 术术（一）（一）身份认证的概念身份认证的概念身份认证是实现网络安全的重要机制之一，在安全的网络通信中，涉及的通信各方常以某种形式的身份认证机制来验证彼此的身份，即验证其身份与对方所宣称的是否一致，以确保通信的安全。二、二、身份认证身份认证第三节第三节 认认 证证 技技 术术身份认证一般涉及两方面的内容：身份标识身份验证第三节第三节 认认 证证 技技 术术（二）（二）身份认证的方法身份认证的方法1.基于口令的身份认证方案使用自己或者亲友的生日作为口令使用用户名（账号）的变换形式作为口令使用学号、身份证号、单位内的员工号码等作为口令使用常用的英文单词作为口令使用用户名（账号）作为口令12345第三节第三节 认认 证证 技技 术术2.基于智能卡的身份认证方案智能卡（smart card）是一种带有智能性的集成电路卡，它不仅具有读写和存储数据的功能，还具有加密、处理数据的能力。第三节第三节 认认 证证 技技 术术3.基于生物特征的身份认证方案基于生物特征的身份认证是以人体唯一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别方式来实现认证功能的。与传统的身份认证方式相比，该技术具有很好的安全性、可靠性和有效性。第四节第四节 虚拟专用网技术虚拟专用网技术虚拟专用网（virtual private network，VPN）是将internet作为计算机网络主干的一种网络模式，它是企业网在互联网等公共网络上的延伸，在公用的或不可信的网络基础结构上提供安全保障，包括从客户端到网关的安全远程访问和从网关到网关的安全连接。一、一、虚拟专用网简介虚拟专用网简介第四节第四节 虚拟专用网技术虚拟专用网技术第四节第四节 虚拟专用网技术虚拟专用网技术二、二、虚拟专用网的安全性虚拟专用网的安全性隧道交换MPLSIPSec微软的点对点加密技术第四节第四节 虚拟专用网技术虚拟专用网技术第五节第五节 防火墙技术防火墙技术一、一、防火墙概述防火墙概述（一）（一）防火墙防火墙简介简介在逻辑上来看，防火墙是一个分离器，是一个限制器，也是一个分析器，它有效地监控了内部网和internet之间的任何活动，保证了内部网络的安全。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且其本身也必须能够抵抗渗透攻击。第五节第五节 防火墙技术防火墙技术第五节第五节 防火墙技术防火墙技术（二）（二）防火墙的防火墙的功能功能1.数据包过滤7.流量控制和统计分析、流量计费9.URL级信息过滤10.向客户发布信息的地点8.虚拟专用网2.审计和报警机制6.MAC与IP地址的绑定4.地址转换3.远程管理5.代理第五节第五节 防火墙技术防火墙技术（三）（三）防火墙的基本防火墙的基本技术技术分组过滤器代理服务第五节第五节 防火墙技术防火墙技术二、二、防火墙技术的体系结构防火墙技术的体系结构防火墙技术的体系结构主要有3种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。被屏蔽主机体系结构被屏蔽子网体系结构双重宿主主机体系结构第五节第五节 防火墙技术防火墙技术1.双重宿主主机体系结构防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。第五节第五节 防火墙技术防火墙技术2.被屏蔽主机体系结构被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外部网络的隔离和对内网的保护。第五节第五节 防火墙技术防火墙技术3.被屏蔽子网体系结构被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络（周边网络），并且将容易受到攻击的堡垒主机置于这个周边网络中。这种防火墙比较复杂，主要由4个部件构成，分别为周边网络、外部路由器、内部路由器以及堡垒主机。第五节第五节 防火墙技术防火墙技术3.被屏蔽子网体系结构第五节第五节 防火墙技术防火墙技术三、三、个人防火墙个人防火墙个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式，保护计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，可以监视传入、传出网卡的所有网络通信。第五节第五节 防火墙技术防火墙技术个人防火墙的优点包括：增加了保护级别，不需要额外的硬件资源；除了可以抵挡外来的攻击，还可以抵挡内部的攻击；对公共网络中的单个系统提供了保护。个人防火墙主要的缺点是对公共网络只有一个物理接口，而真正的防火墙应该监视并控制两个或更多的网络接口之间的通信。这样一来，个人防火墙本身可能容易受到威胁，或者说是具有这样一个弱点网络通信可以绕过防火墙的规则。第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术一、一、指纹识别技术指纹识别技术指纹识别技术的优缺点指纹识别技术的应用指纹识别技术简介第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术二、二、人脸识别技术人脸识别技术人脸识别的研究内容大致包括以下5个方面：人脸鉴别（face identification）人脸表征（face representation）表情姿态分析（expression/gesture analysis）生理分类（physical classification）人脸检测（face detection）12345第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术三、三、声纹识别技术声纹识别技术1.声纹识别技术简介声纹识别属于生物特征识别技术的一种，它是一项根据语音波形中反映说话人生理、心理和行为特征的语音参数自动识别说话人身份的技术。第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术2.声纹识别技术的应用领域声纹识别技术主要应用于以下领域：安全控制语音电话拨号电话银行军队和国防司法系统考勤系统第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术四、四、虹膜识别技术虹膜识别技术1.虹膜识别技术的依据虹膜组织特征在人出生半年至一年半内发育完全，并终生保持不变 虹膜组织具有因人而异的固有特征不可能在对视觉无严重影响的情况下用外科手术改变虹膜特征一般性疾病不会对虹膜组织造成损伤虹膜的纤维组织细节复杂而丰富12345第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术2.虹膜识别的关键技术虹膜图像采集特征提取虹膜图像预处理分类第六节第六节 基于生物特征的身份认证技术基于生物特征的身份认证技术3.虹膜识别技术的应用领域互联网保护、用户登录以及计算机安全商业贸易领域教育领域日常考勤医疗卫生领域12345本章小结本章小结本章主要介绍了几种与电子商务安全息息相关的技术手段，其中包括电子数据交换技术、认证技术、密码技术、虚拟专用网技术、防火墙技术和目前较为流行的基于生物特征的身份认证技术。通过本章的学习，读者应熟悉电子商务常用的安全技术，并可以在日常生活工作中注意到这些技术的应用。综合训练综合训练1.EDI的安全措施有哪些？2.简述对称密钥密码体制和非对称密钥密码体制的定义。3.身份认证主要涉及哪几方面的内容？4.请列举几种保证VPN安全性的技术。5.简述防火墙的概念及功能。综合训练综合训练综合训练综合训练实训设计实训设计掌握瑞星个人防火墙的使用方法。实训目标实训目标实训设备实训设备可以连入internet的中高档微机若干。实训设计实训设计实训内容实训内容一、安装瑞星个人防火墙二、启动瑞星个人防火墙三、瑞星个人防火墙主界面四、规则设置五、安全级别设置