电子商务的安全问题.ppt
《电子商务的安全问题.ppt》由会员分享,可在线阅读,更多相关《电子商务的安全问题.ppt(66页珍藏版)》请在装配图网上搜索。
2009年互联网十大安全事件 1百度被 黑 2微软再爆IE极光0DAY漏洞35 19全国断网事件4工信部推行绿坝软件引发争议5央视3 15晚会曝光网银诈骗6山寨版杀毒软件横行 7刑法修正案出台将有力震慑网游盗号团伙8猫癣病毒带来的灰色产业链二次分工9国内首个网购安全平台推出10国内首款 云查杀 安全产品问世 电子商务的安全控制要求概述 网络安全问题 电子商务的安全性问题 电子商务对安全控制的要求 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 网络安全问题 计算机病毒 破坏功能或毁坏数据的计算机指令或程序代码 拒绝服务 用数百条消息填塞某人的E mail信箱的一种在线袭扰的方法 黑客攻击 口令攻击 服务攻击 IP欺骗 在网络的传输过程中信息被截获 篡改传输的文件 假冒他人身份 不承认或抵赖已经做过的交易 电子商务的安全控制要求概述 网络安全问题 电子商务的安全性问题 电子商务对安全控制的要求 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 内部网的严密性 完整性 保密性 不可修改性 交易者身份的确定性 交易的无争议性和不可抵赖性 有效性 授权合法性 电子商务的安全控制要求概述 网络安全问题 电子商务的安全性问题 电子商务对安全控制的要求 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 防火墙的定义 它是一种由计算机硬件和软件组成的一个或一组系统 用于增强内部网络和Internet之间的访问控制 防火墙具有如下属性 所有从内到外的通信流量 都必须通过它 仅仅被本地安全策略定义的且被授权的通信量允许通过 系统对外部攻击具有高抵抗力 防火墙的工作原理 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 防火墙的基本原理 防火墙的安全控制基本准则 一切未被允许的都是禁止的 一切未被禁止的都是允许的 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 网络安全的控制 保护易受攻击的服务 屏蔽内部信息 控制对特殊站点的访问 集中化的安全管理 提供日志和审计功能 提供报警服务 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 包过滤型防火墙 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 代理服务器型防火墙 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 监测型防火墙 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 防火墙的局限性 防火墙不能保护绕过它的连接 防火墙无法完全防止新出现的网络威胁 防火墙不能阻止来止内部的破坏 防火墙不能防止病毒 电子商务的安全控制要求概述 防火墙的概念 防火墙的体系结构与功能 防火墙的分类 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 防火墙的局限性 这样的数字毫无意义么 1 W 2 I 3 T 4 C 5 0 6 H 7 E 8 I 9 B 源信息 明文 密钥加密 加密后的信息 密文 解密后的信息 明文 加密后的信息 密文 因特网 密钥解密 数据加密过程 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 对称式密钥加密技术 所谓对称加密 是指使用同一把密钥对信息加密 而对信息解密 同样采用该密钥即可 基于私有密钥体制的信息认证基于私有密钥体制采用了对称加密算法 即信息交换双方共同约定一个口令或一组密码 建立一个通讯双方共享的密钥 通信的甲方将要发送信息用私钥加密后传给乙方 乙方用相同的私钥解密后获得甲方传递的信息 图12 1对称加密示意图 例题 明文 student算法 大小写转化密钥 3 右移3个字母比如a d对称加密后密文是多少呢 VWXGHQW 对称加密算法 IDEA 是一个分组大小为64位 密钥为128位 迭代轮数为8轮的迭代型密码体制 DES 一种数据分组加密方法 使用密钥长度为64位 其中有效的密钥长度为56位 8位为奇偶校验 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 对称式密钥加密技术的优缺点 缺点 密钥传递存在安全隐患 密钥分发复杂 不认识的人之间无法使用 无法解决数字签名验证的问题 优点 加密速度快 保密度高 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 公开密钥密码体制 信息保密原理 公钥与私钥 这两个密钥是互补的 即用公钥加密的密文可以用私钥解密 而用私钥加密的密文可以用公钥解密 签名认证原理 发送方使用自己的私钥加密 可以确认发送人身份 RSA算法 既能用于数据加密 也能用于数字签名的算法 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 基于公开密钥体制的信息认证公开密钥加密体系采用的是非对称加密算法 使用公开密钥算法需要两个密钥 公开密钥和私有密钥 公开密钥体制常用的加密算法是RSA算法 图12 2使用公钥加密和对应的私钥解密的示意图 在该体制中 加密密钥 又称公开密钥 PK是对外公开的 解密密钥 私有密钥 SK是保密的 加密算法E和解密算法D也是公开的 但解密密钥 又称秘密密钥 SK是保密的 虽然SK是由PK决定的 但却不能根据PK计算出SK 公开密钥算法具有以下特点用加密密钥PK对明文X加密后 再用解密密钥SK解密即得明文 即DSK EPK X X 加密密钥不能用来解密 即DPK EPK X X 在计算机上可以容易地产生成对的PK和SK 但从已知的PK不可能推导出SK RSA算法的安全性 RSA算法有被破译过吗 1999年8月 荷兰国家数学与计算机科学研究所家们的一组科学家成功分解了512bit的整数 大约300台高速工作站与PC机并行运行 整个工作花了7个月 可见难度极大 现有的RSA密码体制支持的密钥长度有512bit 1024bit 2048bit 4096bit等 1 数字摘要数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码 数字指纹FingerPrint 并在传输信息时将之加入文件一同送给接收方 接收方收到文件后 用相同的方法进行变换运算 若得到的结果与发送来的摘要码相同 则可断定文件未被篡改 反之亦然 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 数字摘要过程 Hash函数应该满足的3个条件 对同一数据使用同一Hash函数 其运算结果应该是一样的 Hash函数应具有运算结果不可预见性 即从源文件的变化不能推导出缩影结果的变化 Hash函数具有不可逆性 即不能通过文件缩影反算出源文件的内容 电子商务的安全控制要求概述 对称式密钥加密技术 公开密钥密码体制 数字摘要 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 2 数字签名把HASH函数和公钥算法结合起来 可以在提供数据完整性的同时 也可以保证数据的真实性 完整性保证传输的数据没有被修改 而真实性则保证是由确定的合法者产生的HASH 而不是由其他人假冒 而把这两种机制结合起来就可以产生所谓的数字签名 DigitalSignature 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 数字签名 数字签名过程示意图 3 数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容 在数字信封中 信息发送方采用对称密钥来加密信息 然后将此对称密钥用接收方的公开密钥来加密 这部分称为数字信封 之后 将它和信息一起发送给接收方 接收方先用相应的私有密钥打开数字信封 得到对称密钥 然后使用对称密钥解开信息 这种技术的安全性相当高 数字信封 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 数字信封工作过程 4 数字时间戳交易文件中 时间是十分重要的信息 在书面合同中 文件签署的日期和签名一样均是十分重要的 是防止文件被伪造和篡改的关键性内容 而在电子交易中 同样需对交易文件的日期和时间信息采取安全措施 而数字时间戳服务 DTS DigitalTime stampService 就能提供电子文件发表时间的安全保护 数字时间戳服务 DTS 是网络安全服务项目 由专门的机构提供 数字时间戳 包括 需要加时间戳的文件的摘要 收到文件的日期和时间 的数字签名 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 数字证书 证书拥有者的姓名 证书拥有者的公共密钥 公共密钥的有效期 颁发数字证书的单位 数字证书的序列号 颁发数字证书单位的数字签名 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 图12 4数字证书的组成 数字证书的内容 1 申请者的信息第一部分申请者的信息 数字证书里的数据包括以下信息 版本信息 用来与X 509的将来版本兼容 证书序列号 每一个由CA发行的证书必须有一个唯一的序列号 CA所使用的签名算法 RSA发行证书CA的名称 证书的有效期限 一般为10年证书主题名称 被证明的公钥信息 包括公钥算法 公钥的位字符串表示 包含额外信息的特别扩展 2 发放证书CA的信息第二部分CA的信息 数字证书包含发行证书CA的签名和用来生成数字签名的签名算法 任何人收到证书后都能使用签名算法来验证证书是否是由CA的签名密钥签发的 电子商务的 认证体系 PKICA PKI PublicKeyInfrastructure 公钥基础设施 是提供公钥加密和数字签字服务的安全基础平台 目的是管理密钥和证书 用户自己认定的CA SETCA 所颁发的数字证书主要有持卡人证书 商户证书和支付网关证书 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 安全交易的过程 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 安全交易的过程图示 电子商务的安全控制要求概述 基本认证技术 认证中心与认证体系 安全交易的过程 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 电子商务的安全控制要求概述 SSL安全协议 SET安全交易协议 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 安全套接层协议 SSL协议可以分为两个子协议 SSL握手协议 Handshakeprotocol 和SSL纪录协议 Recordprotocol SSL协议基于TCP IP SSL连接可以看成在TCP IP连接的基础上建立一个安全通道 在这一通道中 所有点对点的信息都将加密 从而确保信息在Internet上传输时 不会被第三方窃取 SSL协议与SET协议的比较 A君决定丢掉曾经深爱的ApplePowerbook 因为它太重了 他想换之以只有三磅重的SonyNotebook 当然 A君必须购买许多Windows版本的软件产品 他迅速上网找到了几家在线商店 找到了需要的东西 他不想付额外的包装送货费用 而准备立即在网上下载所选中的软件 问题1 客户在和谁打交道 看一下这几个卖主 它们没什么名气 A君选中了一家名为SuperSoft的网上店铺 A君怎么知道这个店铺没有卖给他一个非法拷贝呢 任何用户都想确定得到一个合法的 完整的 正确的正版软件产品 它必须符合升级条件 并得到技术支持 为了理解SSL是怎样处理这件事的 让我们来看一看SSL在它的 握手 阶段在浏览器和Web服务器之间进行的一系列初始信息交换 在 握手 成功之后 浏览器知道已经建立起了一条保密连接 然后开始下载Web页面上的有关内容 首先 SSL要求服务器向浏览器出示它的证书 证书包括一个公钥 这个公钥是由一家可信证书授权机构签发的 在这个例子中此机构为VeriSign公司 客户的浏览器能够知道服务器证书的正确性 因为大部分浏览器产品内置了一些基础公共密钥 VeriSign在SuperSoft的公钥上的签名使我们知道SuperSoft是一家合法的公司 然后浏览器中的SSL软件发给服务器一个随机产生的传输密钥 此密钥由SuperSoft的已验证过的公钥加密 由于传输密钥只能由SuperSoft对应的私有密钥来解密 这证实了该服务器属于SuperSoft 虽然SSL保证客户访问的是SuperSoft的Web服务器 且真的有一家叫SuperSoft的公司 但除此以外它不能给我们任何东西 其中的关键在于 SSL并不能使客户确信SuperSoft接收信用卡支付是得到授权的 该公司是否值得信任 问题2 能保证私秘性吗 随机产生的传输密钥是核心机密 只有客户的浏览器和SuperSoft的Web服务器知道这个数字序列 这个两方共享的密钥的密文可以通过浏览器安全地抵达Web服务器 Internet上的其他人无法解开它 这就是公共密钥算法的魔力 在接下来的HTTP通信中SSL采用该密钥保证数据的保密性 通过加密 和完整性 通过hashing 这就是SSL提供的 安全连接 这时客户需要确认订购并输入信用卡号码 应该感谢SSL 它保证信用卡号码以及其他信息只会被SuperSoft所获取 客户还可以打印屏幕上显示的已经被授权的订单 这样就可以得到这次交易的书面证据 大多数在线商店在得到你的信用卡号码后出示收到的凭据 这是你已付款的有效证据 的工作过程 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 提供的安全服务 信息完整 利用机密共享和 ash组提供信息完整性服务 相互认证 这是客户机与服务器相互识别的过程 信息保密 通过使用公开密钥和对称密钥技术以达到数据加密 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 SSL的缺点 因为SSL除了传输过程外不能提供任何安全保证 我们已经听到过大量的黑客通过商家服务器窃取信用卡号的案例 SET协议可解决此类问题 A君通过Internet为他的手提电脑购买了一条内存 该内存价格还不到100美元 在线订购后 一个销售人员打电话给A君 要求将A君的信用卡复印件及其签名确认传真给他 如果使用SET 这些讨厌的过程将不再必要 因为SET提供了对交易中涉及各方的认证 虽然通过SSL用信用卡支付提供了对服务器的认证 但是并没有提供对浏览器用户的认证 但只要我们给所有用户都颁发证书 SSL协议就可以解决这个问题 一个基于SET的交易SET协议规定发给每一个持卡人一个数字证书 客户 持卡者 选中一个口令 用它对数字证书和私钥 信用卡号码以及其他信息加密存储 这些与符合SET协议的软件一起组成了一个SET电子 钱夹 当A君在网上商店SuperSoft选中商品并使用SET钱夹付钱时 商家服务器上的POS软件发报文给A君的浏览器要求SET钱夹付钱 SET钱夹则要A君输入口令然后与商家服务器交换 握手 消息 让A君确认SuperSoft被授权可以接收信用卡 同时SuperSoft也知道A君是一个合法的持卡人 这些消息被表示为支付初始化请求和支付初始化响应 然后A君的钱夹组织一个报文 这个报文中包括购买订单以及支付命令 支付命令中包括A君的信用卡号码 被加密保护以保证SuperSoft无法获取其中的信息 只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息 支付授权的消息流程 POS软件组织授权请求报文 AuthReq 其中包括A君发给它的支付命令 发给支付网关 支付网关是一个Internet服务器 是连接Internet与银行内部支付网络系统的桥梁 在SET这个多方报文协议中的每一方都持有数字证书 该数字证书来源于一个公有SET密钥 这使得每一方都有办法确信其他各方具有得到授权的合法身份 假如A君的信用卡没有透支的话 支付网关就发给SuperSoft授权响应报文 SuperSoft再组织一个购买响应报文 PRes 发给A君的钱夹 SET协议的工作原理 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 SET协议的工作原理 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 SET协议的核心技术 采用RSA算法的非对称密钥技术 采用电子数字签名 采用DES算法的对称密钥技术 采用电子信封 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 协议的安全动态认证 首先 在网上成立网络动态认证中心 所有希望参加电子商务并希望完成支付环节的公司 都必须向网络动态认证中心进行网络注册 注册完以后 网络会自动把个人私钥 加密算法 解密算法等内容通过网络发到用户的计算机上 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 SSL协议与SET协议的比较 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较 电子商务的安全控制要求概述 电子商务的认证技术 防火墙技术 数据加密技术 安全技术协议 1 电子商务有哪些安全控制要求 2 试述防火墙在网络安全中所起的作用 3 什么是数字证书 它包括什么内容 4 SET协议中包含了哪些参与方 他们是如何协同工作的 5 SET协议中应用了哪些加密技术 它们是如何工作的 6 试比较SSL协议与SET协议的工作原理 7 试说明一个完整的安全电子交易过程 8 请说明安全动态认证的工作过程 复习思考题 SSL安全协议 SET安全交易协议 SSL协议与SET协议的比较- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全问题
装配图网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文