试谈电子商务安全技术

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,#,第8章 电子商务安全技术,1,学习目,标,标,了解电,子,子商务,面,面临的,主,主要安,全,全威胁,了解电,子,子商务,对,对安全,的,的基本,要,要求,熟悉电,子,子商务,常,常用的,安,安全技,术,术,掌握防,火,火墙的,功,功能和,工,工作原,理,理,了解电,子,子商务,常,常用的,加,加密技,术,术,了解电,子,子商务,的,的认证,体,体系,掌握SSL和SET的流程,和,和工作,原,原理,2,电子商,务,务安全,技,技术,8.1电子商,务,务的安,全,全问题,8.2防火墙,技,技术,8.3,数,数据,加,加密技,术,术,8.4,认,认证,技,技术,8.5安全技,术,术协议,3,8.1,电,电子商,务,务的安,全,全性问,题,题,1在网,络,络的传,输,输过程,中,中信息,被,被截获,2传输,的,的文件,可,可能被,篡,篡改,3伪造,电,电子邮,件,件,4假冒,他,他人身,份,份,5不承,认,认或抵,赖,赖已经,做,做过的,交,交易,4,8.1.1电子商,务,务对安,全,全的基,本,本要求,1授权,合,合法性,2不可,抵,抵赖性,3保密,性,性,4身份,的,的真实,性,性,5信息,的,的完整,性,性,6存储,信,信息的,安,安全性,8.1电子商,务,务安全,概,概述,5,8.1.2电子商,务,务安全,措,措施,1确,定,定通信,中,中的贸,易,易伙伴,身,身份的,真,真实性,2保,证,证电子,单,单证的,保,保密性,3确,定,定电子,单,单证内,容,容的完,整,整性,4确,定,定电子,单,单证的,真,真实性,5不,可,可抵赖,性,性,6存,储,储信息,的,的安全,性,性,6,8.2防火墙,的,的含义,及,及其分,类,类,1.,防火墙,的,的含义,人们经,常,常在建,筑,筑物之,间,间修建,一,一些墙,壁,壁，以,便,便在火,灾,灾发生,时,时，火,势,势不至,于,于从一,幢,幢建筑,蔓,蔓延到,别,别一幢,建,建筑，,这,这些墙,被,被称为,“,“防火,墙,墙”。,在网络,世,世界中,，,，Internet是一个,开,开放的,世,世界,它,它在拥,有,有丰富,信,信息量,的,的同时,也,也存在,着,着许多,不,不安全,因,因素。,当,当内部,网,网连上Internet，使它的,用,用户能,访,访问Internet上的服,务,务时，,非,非内部,网,网用户,也,也能通,过,过Internet访问内,部,部网用,户,户，实,现,现一些,非,非法操,作,作如：,盗,盗取重,要,要资料,、,、破坏,文,文件等,。,。这对,于,于没有,受,受到任,何,何保护,的,的内部,网,网用户,来,来说无,疑,疑是一,种,种灾难,。,。也需,要,要类似,防,防火墙,的,的东西,，,，我们,可,可以在,内,内部网,和,和Internet之间设,置,置一堵,“,“防火,墙,墙”以,保,保护内,部,部网免,受,受外部,的,的非法,入,入侵。,7,防火墙,是,是被配,置,置在内,部,部网,(,(如企,业,业内部,的,的Intranet)和外部,网,网(,如,如Internet)之间的,系,系统(,或,或一组,系,系统,),)，通,过,过控制,内,内外网,络,络间信,息,息的流,动,动来达,到,到增强,内,内部网,络,络安全,性,性的目,的,的。防,火,火墙决,定,定了内,部,部的哪,些,些服务,可,可以被,外,外部用,户,户访问,以,以及哪,些,些外部,服,服务可,以,以被内,部,部用户,访,访问。,8,8.2,.,.防火墙,的,的分类,路由器,使用包,过,过滤规,则,则对IP报文中,的,的源地,址,址，目,标,标地址,，,，封装,协,协议等,端,端口进,行,行筛选,是,是否屏,蔽,蔽。,优点：,简,简单，,廉,廉价,代理服,务,务器,在应用,层,层设计,一,一个网,关,关，由,它,它来连,接,接内网,用,用户和Internet，隔离,内,内部主,机,机和外,部,部主机,的,的直接,通,通信。,缺点：,建,建立和,设,设置负,责,责,9,8.2防火墙,的,的功能,(1),未,未经授,权,权的内,部,部访问,(2),危,危害证,明,明,(3),未,未经授,权,权的外,部,部访问,(4),电,电子欺,骗,骗,(5),特,特洛伊,木,木马,(6),渗,渗透,(7),泛,泛洪,10,8.2,防,防火,墙,墙技术,1.防火墙,系,系统设,计,计,2.包过滤,路,路由器,3.应用层,网,网关防,火,火墙,4.电路层,防,防火墙,11,8.2防火墙,的,的安全,策,策略及,局,局限性,1.防火墙,的,的安全,策,策略,访问策,略,略设置,：,：没有,被,被允许,访,访问的,视,视为禁,止,止和没,有,有禁止,访,访问的,视,视为允,许,许,2.,防,防火墙,的,的局限,性,性,不能阻,止,止内部,破,破坏,不能保,护,护绕过,它,它的连,接,接,无法防,止,止新的,威,威胁,不能防,止,止病毒,12,8.3,数,数据,加,加密技,术,术,8.3,.,.1数据加,密,密、解,密,密基本,过,过程,8.3,.,.2对称式,密,密钥加,密,密技术,8.3,.,.3公开密,钥,钥加密,技,技术,8.3,.,.4对称密,钥,钥和公,开,开密钥,的,的结合,13,8.3,.,.1数据加,密,密、解,密,密基本,过,过程,解密,加密,明文,暗文,密钥,加密解,密,密过程,14,8.3,.,.2对称式,密,密钥加,密,密技术,加密和,解,解密均,采,采用一,把,把密钥,，,，通信,双,双方都,须,须获得,这,这把密,钥,钥才进,行,行通信,。,。,优缺点,：,：,密钥是,保,保密通,信,信的安,全,全关键,。,。,多人通,信,信时密,钥,钥的组,合,合数量,会,会出现,爆,爆炸式,膨,膨胀，,分,分发复,杂,杂，保,存,存繁琐,。,。,通信双,方,方必须,统,统一的,密,密钥。,加密速,度,度快，,保,保密度,高,高,15,8.3,.,.3公开密,钥,钥加密,技,技术,通信的,每,每个用,户,户都有,一,一对选,定,定的密,钥,钥，一,个,个可以,公,公开，,即,即公共,密,密钥，,用,用于加,密,密，一,个,个由用,户,户安全,拥,拥有，,即,即秘密,钥,钥匙，,用,用于解,密,密。,优缺点,：,：,密钥少,便,便于管,理,理,密钥分,配,配简单,不需要,秘,秘密的,通,通信来,传,传输密,钥,钥,可以实,现,现数字,签,签名和,数,数字鉴,别,别,加密解,密,密的速,度,度慢,16,8.4,认,认,证,证技术基本概,念,念,1证,书,书,在一个,电,电子商,务,务系统,中,中，所,有,有参于,活,活动的,实,实体都,必,必须用,证,证书来,表,表明自,己,己的身,份,份。证,书,书一方,面,面可以,用,用来向,系,系统中,的,的其它,实,实体证,明,明自己,的,的身份,，,，另一,方,方面由,于,于每份,证,证书都,携,携带着,证,证书持,有,有者的,公,公钥（,签,签名证,书,书携带,的,的是签,名,名公匙,，,，加密,证,证书携,带,带的是,加,加密公,钥,钥），,所,所以，,证,证书也,可,可以向,接,接收者,证,证实某,人,人或某,个,个机购,对,对公开,密,密匙的,拥,拥有，,同,同时也,起,起着公,钥,钥分发,的,的作用,。,。,8.4,.,.1基本概,念,念,：,17,8.4,认,认,证,证技术,2RA(Release Auditing),RA即证书,发,发放审,核,核部门,，,，它是CA认证体,系,系的一,个,个组成,部,部分。,它,它负责,对,对证书,申,申请者,进,进行资,格,格审查,，,，并决,定,定是否,同,同意给,该,该申请,者,者发放,证,证书，,并,并承担,因,因审核,错,错误所,引,引起的,和,和为不,符,符合资,格,格的证,书,书申请,者,者发放,证,证书所,引,引起的,一,一切后,果,果，因,此,此它应,由,由能够,承,承担这,些,些责任,的,的机构,担,担任。,18,8.4认证技,术,术,3CP(CertificatePerform),CP即证书,发,发放的,执,执行部,门,门，它,是,是CA认证体,系,系的另,外,外一个,组,组成部,分,分，负,责,责为已,授,授权的,申,申请者,制,制作、,发,发放和,管,管理证,书,书，并,承,承担因,操,操作运,营,营错误,所,所产生,的,的一切,后,后果，,包,包括失,密,密和为,没,没有获,得,得授权,者,者发放,证,证书等,，,，它可,以,以由审,核,核授权,部,部门自,己,己担任,，,，也可,委,委托给,第,第三方,机,机构担,任,任。,19,8.4认证技,术,术,4RS(Releasee),RS即证书,的,的受理,者,者，它,是,是CA认证体,系,系的又,一,一个组,成,成部分,，,，接收,用,用户的,证,证书申,请,请请求,，,，转发,给,给CP和RA进行相,应,应的处,理,理。,20,8.4认证技,术,术,5CRL,(,(CertificateRepeal List,),),CRL是“证,书,书作废,表,表”的,缩,缩写。CRL中记录,尚,尚未过,期,期但已,声,声明作,废,废的用,户,户证书,的,的序列,号,号，供,证,证书使,用,用者在,认,认证对,方,方证书,时,时查询,使,使用。CRL通常也,被,被称为,黑,黑名单,。,21,6认,证,证中心,(,(CA:Certification Authority),在电子,交,交易中,，,，无论,是,是数字,时,时间戳,服,服务(DTS,),)还是数,字,字凭证,(,(Digital ID)的发放,，,，都不,是,是靠交,易,易当事,人,人自己,能,能完成,的,的，而,需,需要有,一,一个具,有,有权威,性,性和公,正,正性的,第,第三方,(,(thirdparty)来完成,。,。,认证中,心,心(CA)就是承,担,担网上,安,安全电,子,子交易,认,认证服,务,务、能,签,签发数,字,字证书,、,、并能,确,确认用,户,户身份,的,的服务,机,机构。,认,认证中,心,心通常,是,是企业,性,性的服,务,务机构,，,，主要,任,任务是,受,受理数,字,字凭证,的,的申请,、,、签发,及,及对数,字,字凭证,的,的管理,。,。认证,中,中心依,据,据认证,操,操作规,定,定(CPS,:,:CertificationPracticeStatement,),)来实施,服,服务操,作,作。,22,8.4.2基本认,证,证技术,电子商,务,务的安,全,全通过,以,以下安,全,全技术,来,来保证,：,：,采用数,字,字信封,技,技术保,证,证数据,的,的传输,安,安全,采用数,字,字签名,技,技术进,行,行身份,认,认证并,同,同时保,证,证数据,的,的完整,性,性，完,成,成交易,的,的不可,抵,抵赖性,采用口,令,令字技,术,术或公,开,开密钥,技,技术进,行,行身份,认,认证,23,1数,字,字信封,2数,字,字签名,3身,份,份认证,技,技术,4数,字,字时间,戳,戳,5数,字,字凭证,(,(digital certificate,digitalID,),),基本认,证,证技术,如,如下：,24,8.5安全技,术,术协议,8.5,.,.1安全套,层,层协议,（,（SSL）,SSL,（,（Secure SocktesLayer,）,）是Netscape公司率,先,先采用,的,的一种,网,网络安,全,全协议,，,，它能,把,把在网,页,页和服,务,务器之,间,间传输,的,的数据,加,加密。,这,这种