第7章 安全

1、第七章 電子商務安全,,,,,,,電子商務的安全目標,,電子商務安全技術,,電子商務的安全管理,,,,,本章主要內(nèi)容,第一節(jié) 電子商務的安全目標,一、電子商務面臨的威脅二、電子商務安全的目標,1. 黑客攻擊2. 搭線竊聽3. 偽裝身份4. 信息泄密、篡改、銷毀5. 間諜軟件襲擊6. 網(wǎng)絡釣魚,一、電子商務面臨的威脅,,二、電子商務安全的目標,,,,,,,,,完整性,保密性,可靠性,不可否認性,安全目標,真實性,第二節(jié)

2、電子商務安全技術,一、加密技術二、認證技術三、安全協(xié)議四、防火墻技術,,1. 對稱加密體制的工作過程(如圖所示）,（一） 對稱加密體制,2. 對稱加密體制的優(yōu)點與缺點,,,1）算法簡單，系統(tǒng)開銷?。?）加密數(shù)據(jù)效率高，速度快；3）適合加密大量數(shù)據(jù)。,1）密鑰難以共享；2）管理密鑰有困難；3）無法實現(xiàn)數(shù)字簽名和身份驗證；4）密鑰的分發(fā)是加密體系中最薄弱、風險最大的環(huán)節(jié)。,優(yōu)點,缺點,,,3. 對稱加密體制的算法,DES（

3、Data Encryption Standard）是一個對稱的分組加密算法。DES算法以64位為分組進行明文的輸入，在密鑰的控制下產(chǎn)生64位的密文；反之輸入64位的密文，輸出64位的明文。它的密鑰總長度是64位，因為密鑰表中每個第8 位都用作奇偶校驗，所以實際有效密鑰長度為56位。DES算法可以通過軟件或硬件實現(xiàn)。,（二）非對稱加密體制,,2. 非對稱加密體制的優(yōu)點與缺點,,,1）密鑰管理簡單；2）便于進行數(shù)字簽名和身份認證，從

4、而保證數(shù)據(jù)的不可抵賴性；,1）算法復雜；2）加密數(shù)據(jù)的速度和效率較低；3）存在對大報文加密困難。,優(yōu)點,缺點,,,3. 非對稱加密體制的算法,,RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman設計的非對稱的方法，算法以發(fā)明者的名字的首字母來命名的。它是第一個既可用于加密，也可用于數(shù)字簽名的算法。 RSA只用于少量數(shù)據(jù)加密，在Internet中廣泛使用的電子郵件和文件加密軟件PGP(Pretty

5、Good Privacy)就是將RSA作為傳送會話密鑰和數(shù)字簽名的標準算法。,（三）兩種加密體系的對比,（四）對稱與非對稱加密體系的結(jié)合,在實際應用中，通常將利用DES對稱加密算法來進行大容量數(shù)據(jù)的加密，而采用RSA非對稱加密算法來傳遞對稱加密算法所使用的密鑰。這種二者結(jié)合的體系，就集成了兩類加密算法的優(yōu)點，既實現(xiàn)了加密速度快的優(yōu)點，又實現(xiàn)了安全方便管理密鑰的優(yōu)點。,,,,,,用戶的特征,用戶所擁有的,用戶所知道的,二、認證技術,指紋

6、虹膜DNA聲音用戶的行為,身份證護照密鑰盤,密碼口令,,（一） 身份認證概述,（二）消息認證概述,,數(shù)字簽名原理示意圖,數(shù)字時間戳,數(shù)字時間戳服務（Digital Time-Stamp Service，DTS）由專門的機構提供。能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳是一個經(jīng)加密后形成的憑證文檔，它包括三個部分： ★ 需加時間戳的文件的摘要； ★ DTS收到文件的日期和時間 ★ DTS的數(shù)字

7、簽名。,三、安全協(xié)議,（一）傳輸層安全協(xié)議——SSL1. 秘密性： 使用對稱密鑰實現(xiàn)數(shù)據(jù)加密，確保連接安全。 2. 完整性： 使用安全的哈希函數(shù)如MD5、SHA等計算校驗碼，確保了信息的完整性和可靠性連接。3. 認證性： 通過非對稱加密技術實現(xiàn)身份驗證。,,BANK,,,顧客,商家,銀行,,商品選擇，訂單的完成 數(shù)字簽名,(3) 向消費者所在銀行請求支付認可。(4) 商店發(fā)貨或提供服務，請求支

8、付。,（二） 應用層安全協(xié)議——SET,交易流程示意圖,SET協(xié)議的目標,SET協(xié)議保證了在電子交易過程中： (1)機密性--保證信息的安全傳輸。 (2)數(shù)據(jù)完整性--保證電子商務參與者信息的相互隔離。 (3)身份的合法性--解決多方認證問題。 (4)不可否認性--保證網(wǎng)上交易的實時性。 (5)兼容性和互操作功能。,SSL協(xié)議和SET協(xié)議的對比,四、防火墻技術,,,防火墻是一種隔離技術，是指一種將內(nèi)部網(wǎng)和公

9、眾訪問網(wǎng)（如Internet）分開的方法。防火墻可以通過過濾不安全的服務而降低風險，可以強化網(wǎng)絡安全策略，對網(wǎng)絡存取和訪問進行監(jiān)控審計，防止內(nèi)部信息的外泄； 防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN（虛擬專用網(wǎng)）； 在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時， 經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄才能訪問互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng)。,一、機構制度管理二、風險制度管理三、法

10、律制度管理,,第三節(jié) 電子商務的安全管理,一、機構制度管理,（一）認證機構 在電子交易中，無論是時間戳服務還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而是需要一個具有權威性和公正性的第三方機構來完成。 認證機構CA(Certification Authority)就是承擔網(wǎng)上安全電子交易認證服務、簽發(fā)數(shù)字證書并能確認用戶身份的服務機構。（二） 數(shù)字證書 數(shù)字證書又稱為數(shù)字憑證、數(shù)字標識。是由C

11、A證書授權中心 發(fā)行的，能提供在Internet上進行身份驗證的一種權威性電子文檔，人們可以用它來證明自己在互聯(lián)網(wǎng)中的身份或識別對方的身份。,,二、風險制度管理,,,電子商務風險管理就是跟蹤、評估、監(jiān)測和管理商務整個過程中所形成的電子商務風險，盡力避免電子商務風險給企業(yè)造成的經(jīng)濟損失、商業(yè)干擾以及商業(yè)信譽喪失等，以確保企業(yè)電子商務的順利進行。,三、法律制度管理,2004年8月28日全國人大常委會第十一次會議通過了《中華人民共和國電子

12、簽名法》。簽名法是我國推進電子商務發(fā)展，掃除電子商務發(fā)展障礙的重要步驟。該法被認為是中國首部真正電子商務法意義上的立法。2005年1月28日中華人民共和國信息產(chǎn)業(yè)部第十二次部務會議審議通過《電子認證服務管理辦法》，自2005年4月1日起施行。2005年11月10日中國銀行業(yè)監(jiān)督管理委員會第40次主席會議通過《電子銀行業(yè)務管理辦法》自2006年3月1日起施行。,,一、選擇題,1. 用戶識別方法不包括：( )A. 根據(jù)用戶知道什

13、么來判斷          B. 根據(jù)用戶擁有什么來判C. 根據(jù)用戶地址來判斷     D. 根據(jù)用戶是什么來判斷2. 以下身份認證技術中，屬于生物特征識別技術的有包括：( )A. 數(shù)字簽名識別法 B. 指紋識別法C. 語音識別法

14、 D. 頭蓋骨的輪廓識別法 3. 觸發(fā)電子商務安全問題的原因有：( )A. 黑客的攻擊 B. 管理的欠缺C. 網(wǎng)絡的缺陷 D. 軟件的漏洞4. 病毒防范制度包括的內(nèi)容有：( )A. 給自己的電腦安裝防病毒軟件 B. 不打開陌生地址的電子郵件C. 認真執(zhí)行病毒定期清理制度 D. 高度警惕網(wǎng)絡陷阱5. 下面屬于不安全口令

15、的有：( )使用用戶名作為口令 B. 使用自己或者親友的生日作為口令C. 用學號或是身份證號碼等作口令 D. 使用常用的英文單詞做口令,,習題,二、復習思考題,請簡述認證中心的提供的服務有哪些?防火墻是什么? 防火墻能否保證內(nèi)部網(wǎng)絡的絕對安全?SSL、SET、SHTTP各是什么協(xié)議，它們的區(qū)別是什么？SET支付系統(tǒng)中的交易成員有哪些？,,三、技能實訓題,利用所學數(shù)字證書和相關知識，登陸中國數(shù)字認證網(wǎng)或其他CA認