1、第4章 電子商務(wù)平安技術(shù)本章主要內(nèi)容：電子商務(wù)平安要求與平安內(nèi)容防火墻等網(wǎng)絡(luò)平安技術(shù)加密技術(shù)和認(rèn)證技術(shù)SSL與SET14.1 電子商務(wù)平安要求4.1.1 電子商務(wù)所面臨的平安問題電子商務(wù)中的平安隱患可分為如下幾類： 1.信息的截獲和竊取 2.信息的篡改 3.信息冒充 4.買賣抵賴2計算機平安分類實體平安 機房、線路及主機等的物理平安網(wǎng)絡(luò)與信息平安 包括網(wǎng)絡(luò)的暢通、準(zhǔn)確，網(wǎng)上系統(tǒng)、程序和數(shù)據(jù)平安，電子商務(wù)平安。運用平安 包括程序開發(fā)運轉(zhuǎn)、輸入輸出、數(shù)據(jù)庫等平安。3為什么網(wǎng)絡(luò)平安如此重要Web ServerThe InternetEncryption線路平安客戶平安銜接平安 The Intrane

2、tWeb ServerWeakness: External access now granted. Are applications and network secure?信息資本Enterprise Network沒有邊境沒有中央管理是開放的、規(guī)范的沒有審計記錄INTERNET4網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵 非授權(quán)訪問、冒充合法用戶等。回絕效力 部分或徹底地阻止計算機或網(wǎng)絡(luò)正常任務(wù)。盜竊信息 指無須利用他的計算機就可獲取數(shù)據(jù)信息。5網(wǎng)絡(luò)侵襲者的主要種類間諜商業(yè)間諜及其他間諜。盜竊犯。破壞者。尋求刺激者?！坝涗涀非笳?。低級失誤和偶爾事件。6網(wǎng)絡(luò)平安不單是技術(shù)問題機構(gòu)與管理法律與法規(guī)經(jīng)濟(jì)實力

3、技術(shù)與人才7平安性需求代價平安性與方便性平安性與性能平安性與本錢8減少平安要挾的主要戰(zhàn)略 修補系統(tǒng)破綻 系統(tǒng) 病毒檢查 系統(tǒng) 直接平安 管理 空閑機器平安 管理 廢品處置平安 管理 口令平安 管理 加密 系統(tǒng) 認(rèn)證、授權(quán) 系統(tǒng) Internet防火墻 系統(tǒng) 捕捉闖入者 系統(tǒng)政策、法律、守那么、管理Internet 防火墻 授權(quán)、認(rèn)證 加密 審計、監(jiān)控 94.1.2 電子商務(wù)平安需求性完好性認(rèn)證性不可抵賴性有效性10 電子商務(wù)系統(tǒng)對信息平安的要求主要包括以下幾個方面：信息的嚴(yán)密性：電子商務(wù)系統(tǒng)應(yīng)該對主要信息進(jìn)展維護(hù)，阻止非法用戶獲取和了解原始數(shù)據(jù)。2.數(shù)據(jù)完好性：電子商務(wù)系統(tǒng)應(yīng)該提供對數(shù)據(jù)進(jìn)展完

4、好性認(rèn)證的手段，確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。 11用戶身份驗證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)展身份鑒別的機制。 普通可以經(jīng)過數(shù)字簽名和數(shù)字證書相結(jié)合的方式實現(xiàn)用戶身份的驗證，證明他就是他所聲稱的那個人。數(shù)字證書應(yīng)該由可靠的證書認(rèn)證機構(gòu)簽發(fā)，用戶懇求數(shù)字證書時應(yīng)提供足夠的身份信息，證書認(rèn)證機構(gòu)在簽發(fā)證書時應(yīng)對用戶提供的身份信息進(jìn)展真實性認(rèn)證。 124.授權(quán)：電子商務(wù)系統(tǒng)需求控制不同的用戶誰可以訪問網(wǎng)絡(luò)上的信息并且可以進(jìn)展何種操作。5.數(shù)據(jù)原發(fā)者鑒別：電子商務(wù)系統(tǒng)應(yīng)能提供對數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實來自原發(fā)者。這個要求可以經(jīng)過數(shù)據(jù)完好性及數(shù)字簽名相結(jié)合的方法來實現(xiàn)。136

5、.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)據(jù)原發(fā)者不能抵賴本人曾做出的行為，也不能否認(rèn)曾經(jīng)接到對方的信息，這在買賣系統(tǒng)中非常重要。7.合法用戶的平安性：合法用戶的平安性是指合法用戶的平安性不遭到危害和進(jìn)犯，電子商務(wù)系統(tǒng)和電子商務(wù)的平安管理體系應(yīng)該實現(xiàn)系統(tǒng)對用戶身份的有效確認(rèn)、對私有密匙和口令的有效維護(hù)、對非法攻擊的有效防備等，148.網(wǎng)絡(luò)和數(shù)據(jù)的平安性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的平安，維護(hù)硬件資源不被非法占有，軟件資源免受病毒的損害。 154.1.3 電子商務(wù)平安內(nèi)容 電子商務(wù)平安從整體上可分為兩大部分：計算機網(wǎng)絡(luò)平安和商務(wù)買賣平安,兩者相輔相成，缺一不可。 計算機網(wǎng)絡(luò)平

6、安的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備平安、計算機網(wǎng)絡(luò)系統(tǒng)平安、數(shù)據(jù)庫平安等。其特征是針對計算機網(wǎng)絡(luò)本身能夠存在的平安問題，實施網(wǎng)絡(luò)平安加強方案，以保證計算機網(wǎng)絡(luò)本身的平安性為目的。16 商務(wù)買賣平安緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上運用時產(chǎn)生的各種平安問題，在計算機網(wǎng)絡(luò)平安的根底上，如何保證電子商務(wù)過程的順利進(jìn)展。即實現(xiàn)電子商務(wù)的嚴(yán)密性、完好性、可鑒別性、不可偽造性和不可抵賴性。17電子商務(wù)平安構(gòu)架買賣平安技術(shù)平安運用協(xié)議SET、SSL平安認(rèn)證手段數(shù)字簽名、CA體系根本加密算法對稱和非對稱密算法平安管理體系網(wǎng)絡(luò)平安技術(shù)病毒防備身份識別技術(shù)防火墻技術(shù)分組過濾和代理效力等法律、法規(guī)、政策184.2 計算機網(wǎng)絡(luò)平

7、安技術(shù)4.2.1 計算機網(wǎng)絡(luò)的潛在平安隱患企業(yè)內(nèi)部計算機系統(tǒng)面臨的風(fēng)險Internet本身的不平安性對企業(yè)內(nèi)部信息系統(tǒng)帶來的潛在風(fēng)險從純技術(shù)角度上來看，存在著薄弱性。19 4.2.2 計算機網(wǎng)絡(luò)平安體系在實施網(wǎng)絡(luò)平安防備措施時要思索以下幾點： 加強主機本身的平安，做好平安配置，及時安裝平安補丁程序，減少破綻； 用各種系統(tǒng)破綻檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)展掃描分析，找出能夠存在的平安隱患，并及時加以修補； 從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權(quán)管理和認(rèn)證；20 利用數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施； 對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施； 對在公共網(wǎng)絡(luò)上傳輸?shù)拿?/p>

8、感信息要進(jìn)展數(shù)據(jù)加密； 安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施； 建立詳細(xì)的平安審計日志，以便檢測并跟蹤入侵攻擊等214.2.3 常用的計算機網(wǎng)絡(luò)平安技術(shù)病毒防備技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬公用網(wǎng)技術(shù)Virtual Private Network，VPN221病毒防備技術(shù)網(wǎng)絡(luò)病毒的要挾 一是來自文件下載 ；二是網(wǎng)絡(luò)化趨勢。措施安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；加強數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等23布署和管理防病毒軟件布署一種防病毒的實踐操作普通包括以下步驟：1制定方案：了解在他所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。2調(diào)查：選擇一種能

9、滿足他的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。3測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其任務(wù)正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和運用軟件相兼容。244維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揚估計的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)展管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)展晉級，徹底了解這種防病毒系統(tǒng)的重要方面。5系統(tǒng)安裝：在測試得到稱心結(jié)果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡(luò)范圍內(nèi)。25Packet- Switched Leased LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠(yuǎn)程任務(wù)站網(wǎng)絡(luò)防毒手段26

10、2身份識別技術(shù)口令標(biāo)志方法生物特征法27認(rèn)證的主要手段 對用戶擁有的東西進(jìn)展鑒別，如IC卡等 對用戶的生物特征進(jìn)展鑒別，如指紋、視網(wǎng)膜血管分布等 對用戶所知道的進(jìn)展鑒別，如口令等283防火墻技術(shù)1.根本概念 防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被維護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)展的信息存取、傳送操作。 防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的出入口，能根據(jù)企業(yè)的平安戰(zhàn)略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊才干。29設(shè)計防火墻的準(zhǔn)那么一切未被允許的就是制止的 防火墻應(yīng)封鎖一切信息流，然后對希望提供的效力逐項開放。這種方法可以發(fā)明非常平安的環(huán)

11、境，但用戶運用的方便性、效力范圍遭到限制。一切未被制止的就是允許的 防火墻轉(zhuǎn)發(fā)一切信息流，然后逐項屏蔽有害的效力。這種方法構(gòu)成了更為靈敏的運用環(huán)境，可為用戶提供更多的效力。但在日益增多的網(wǎng)絡(luò)效力面前，網(wǎng)管人員的疲于奔命能夠很難提供可靠的平安防護(hù)。30什么是防火墻？防火墻：在被維護(hù)網(wǎng)絡(luò)和Internet之間， 或者和其它網(wǎng)絡(luò)之間限制訪問的 軟件和硬件的組合。防火墻31防火墻的主要功能 能做什么？平安把關(guān)網(wǎng)絡(luò)活動統(tǒng)計內(nèi)部隔離不能做什么？不能防備內(nèi)部入侵不能防備新的要挾控制粒度粗32防火墻的功能維護(hù)數(shù)據(jù)的完好性。可依托設(shè)定用戶的權(quán)限和文件維護(hù)來控制用戶訪問敏感性信息，可以限制一個特定用戶可以訪問信息

12、的數(shù)量和種類；維護(hù)網(wǎng)絡(luò)的有效性。有效性是指一個合法用戶如何快速、簡便地訪問網(wǎng)絡(luò)的資源；維護(hù)數(shù)據(jù)的性。加密敏感數(shù)據(jù)。33防火墻的根本原理數(shù)據(jù)過濾：一個設(shè)備采取的有選擇地控制來往于網(wǎng)絡(luò)的數(shù)據(jù)流的行動。數(shù)據(jù)包過濾可以發(fā)生在路由器或網(wǎng)橋上。屏蔽路由器34防火墻的根本原理續(xù)代理效力：代理效力是運轉(zhuǎn)在防火墻主機上的運用程序或效力器程序。它在幕后處置一切Int-ernet用戶和內(nèi)部網(wǎng)之間的通訊以替代直接交談。代理效力35一個典型的防火墻構(gòu)成“無人區(qū)防火墻36構(gòu)筑防火墻需思索的主要要素他的公司要控制什么或要維護(hù)什么他的公司要控制或要維護(hù)到什么程度 財政預(yù)算 技術(shù)問題：屏蔽路由器還是代理服 務(wù)器.374虛擬公用

13、網(wǎng)技術(shù)Virtual Private Network，VPN 虛擬公用網(wǎng)是用于Internet電子買賣的一種公用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立平安的通道，非常適宜于電子數(shù)據(jù)交換EDI。38 在虛擬公用網(wǎng)中買賣雙方比較熟習(xí)，而且彼此之間的數(shù)據(jù)通訊量很大。只需買賣雙方獲得一致，在虛擬公用網(wǎng)中就可以運用比較復(fù)雜的公用加密和認(rèn)證技術(shù)，這樣就可以提高電子商務(wù)的平安性。 VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù)，其優(yōu)點是經(jīng)濟(jì)、便于管理、方便快捷地順應(yīng)變化，但也存在平安性低，容易遭到攻擊等問題。39 加密 數(shù)據(jù)加密技術(shù)從技術(shù)上的實現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完

14、好性的鑒別以及密鑰管理技術(shù)這四種。 在網(wǎng)絡(luò)運用中普通采取兩種加密方式：對稱密鑰和公開密鑰，采用何處加密算法那么要結(jié)合詳細(xì)運用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強度來作出判別。 4.3 買賣平安技術(shù)4.3.1 加密技術(shù)40什么是加密？加密：加密是指對數(shù)據(jù)進(jìn)展編碼使其看起來毫無意義，同時仍堅持可恢復(fù)的方式。41加密技術(shù)的主要分類 對稱密匙在對數(shù)據(jù)加密的過程中，運用同樣的密匙進(jìn)展加密和解密。常見密匙算法：DES、IDEA公開密匙/私有密匙與對稱密匙不同，公開密匙/私有密匙運用相互關(guān)聯(lián)的一對算法對數(shù)據(jù)進(jìn)展加密和解密。常見密匙算法：RSA421對稱密鑰加密體制 對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方

15、和接納方用一個密鑰去加密和解密數(shù)據(jù)。對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適宜于對大數(shù)據(jù)量進(jìn)展加密，但密鑰管理困難。43對稱加密技術(shù)1在初次通訊前，雙方必需經(jīng)過除網(wǎng)絡(luò)以外的另外途徑傳送一致的密鑰。2當(dāng)通訊對象增多時，需求相應(yīng)數(shù)量的密鑰。 3對稱加密是建立在共同保守的根底之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會呵斥密鑰的失效，存在著潛在的危險和復(fù)雜的管理難度。44對稱密匙嚴(yán)密密匙加密明文音訊密匙A加密加密音訊明文音訊密匙A解密45單字母加密方法例：明文記做m為“important，Key=3，那么密文記做C那么為“LPSRUWDQW。46例：假設(shè)明文m為“important，那么密文

16、C那么為“RNKLIGZMZ。472非對稱密鑰加密體制 非對稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密，它需求運用一對密鑰來分別完成加密和解密操作，一個公開發(fā)布，稱為公開密鑰Public-Key；另一個由用戶本人保管，稱為私有密鑰Private-Key。 信息發(fā)送者用公開密鑰去加密，而信息接納者那么用私有密鑰去解密。公鑰機制靈敏，但加密和解密速度卻比對稱密鑰加密慢得多。 48公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別嚴(yán)密用RSA鑒別,只需老張能發(fā)出該信息用RSA嚴(yán)密,只需小李能解開該信息49對稱與非對稱加密體制對比特 性對 稱非 對 稱密鑰

17、的數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用504.3.2 信息摘要圖 信息摘要過程514.3.3 數(shù)字簽名圖 數(shù)字簽名過程 52?534.3.3 數(shù)字簽名發(fā)送方私鑰544.3.4 數(shù)字證書與CA認(rèn)證1數(shù)字證書Digital Certificate 或Digital ID 數(shù)字證書采用公私鑰密碼體制，每個用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)展信息解密和數(shù)字簽名；同時擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗證。 數(shù)字證書可用于：發(fā)送

18、平安電子郵件、訪問平安站點、網(wǎng)上證券買賣、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等平安電子事務(wù)處置和平安電子買賣活動。 552數(shù)字證書的內(nèi)容數(shù)字證書包括以下內(nèi)容如下圖 ：l 證書擁有者的姓名；l 證書擁有者的公鑰；l 公鑰的有限期；l 頒發(fā)數(shù)字證書的單位；l 頒發(fā)數(shù)字證書單位的數(shù)字簽名；l 數(shù)字證書的序列號等。56圖 查看證書內(nèi)容1 57圖 查看證書內(nèi)容2 58圖 查看證書內(nèi)容3593數(shù)字證書的懇求1下載并安裝根證書如圖3438所示2懇求證書如圖3941所示3將個人身份信息連同證書序列號一并郵寄到中國數(shù)字認(rèn)證網(wǎng)60圖 34 下載根證書161圖 35 下載根證書262圖

19、36 安裝根證書163圖 37 安裝根證書264圖 38 查看根證書 65圖 39 懇求個人免費證書66圖 40 下載個人證書67圖 41 查看個人證書68數(shù)字證書運用操作實例個人證書在平安電子郵件中的運用1在Outlook Express 5 發(fā)送簽名郵件(如圖4246所示) ：1在Outlook Express 5中設(shè)置證書2發(fā)送簽名郵件。2用Outlook Express 5發(fā)送加密電子郵件如圖4750所示 ：1獲取收件人數(shù)字證書2發(fā)送加密郵件69圖 42 在Outlook Express中設(shè)置證書1 70圖 43 在Outlook Express中設(shè)置證書271圖 44 在Outlook Express中設(shè)置證書3 72圖 45 發(fā)送