1、電 子 商 務 安 全 技 術 章第7電 子 商 務 安 全 技 術章第71.電子交易的安全需求和安全威脅2.電子商務的安全體系角色構成3.網(wǎng)絡安全技術：病毒防范技術、防火墻技術、VPN技術、安全檢測技術4.信息安全技術：密碼學的相關知識，加密技術5.安全認證技術：認證機構（CA），數(shù)字證書、網(wǎng)絡安全通信6.安全電子交易技術：SSL協(xié)議、SET協(xié)議、公鑰基礎設施（PKI）7.1 電子交易的安全需求7.1.1電子商務的安全威脅7.1.1 電子交易的安全威脅電子商務系統(tǒng)面臨的網(wǎng)絡安全威脅具體表現(xiàn)形式如下：7.1.2 電子商務的安全要求1.機密性2.鑒別性3.完整性4.有效性5.不可抵賴性7.1.3

2、 電子商務安全體系的角色構成7.1.4 電子商務的安全體系結構電子商務的安全體系結構包括所涉及的各個層面，大致為以下五個方面：網(wǎng)絡服務層次的網(wǎng)絡安全技術通信服務層次的信息安全技術安全認證層次的安全認證技術商務交易層次的安全電子交易技術電子商務應用系統(tǒng)層次的管理安全技術7.2 網(wǎng)絡安全技術7.2.1 操作系統(tǒng)安全7.2.2 防火墻技術圖7-1包過濾路由器防火墻示意圖圖7-2代理服務用于雙重宿主主機的原理示意圖包過濾路由器包過濾防火墻安全區(qū)域InienetInienet防火墻代理服務器即雙重宿主主機InienetInienet1.實現(xiàn)防火墻的主要技術7.2.2 防火墻技術2、防火墻的主要類型圖7-

3、3 雙重宿主主機體系結構示意圖圖7-4 屏蔽主機防火墻體系結構示意圖圖7-5 屏蔽子網(wǎng)防火墻體系結構圖雙重宿主主機即防火墻InienetInienetInienetInienet外部路由器PMZ內部路由器InienetInienet堡壘主機（代理服務器）受保護的內部網(wǎng)包過濾路由器1. VPN的概念7.2.3 VPN技術2.實現(xiàn)VPN的安全協(xié)議7.2.3 VPN技術7.2.3 VPN技術圖7-6 兩個因特網(wǎng)站點之間建立的VPN示意圖InienetInienetInienet路由器路由器VPN通道(1)各站點必須在網(wǎng)絡設備上建立一臺具有VPN功能的設備，可以是一臺路由器、防火墻或專門用于VPN工作

4、的設備；(2)各站點必須知道對方站點使用的IP地址；(3)兩站點必須對使用的授權檢查和根據(jù)需要采用的數(shù)字證書方式達成一致；(4)兩站點必須對需要使用的加密方法和交換密鑰的方法達成一致。 （1）通過Internet實現(xiàn)安全遠程用戶訪問（2）通過Internet實現(xiàn)網(wǎng)絡互聯(lián)（3）連接企業(yè)內部網(wǎng)絡計算機7.2.3 VPN技術選擇VPN連接設備的種類時，有幾個方面可供選擇。這些選擇可以分為如下三類5. VPN產品選項7.2.3 VPN技術1. 病毒的概念計算機病毒是一種有很強破壞和感染力的計算機程序。這種程序和其他程序不同，當把它輸入正常工作的計算機以后，會搞亂或者破壞已有的信息。它具有再生的能力，會

5、自動進入有關的程序進行自我復制，沖亂正在運行的程序，破壞程序的正常運行。它像微生物一樣，可以繁殖，因此被稱為“計算機病毒”。7.2.4 計算機病毒防范技術引導區(qū)病毒文件型病毒 入侵型病毒外殼型病毒7.2.4 計算機病毒防范技術（3）按病毒特性分類（2）按傳播媒介分類（1）按工作機理分類2. 病毒的類型單機病毒網(wǎng)絡病毒系統(tǒng)病毒蠕蟲病毒木馬病毒、黑客病毒腳本病毒宏病毒后門病毒7.2.4 計算機病毒防范技術3. 病毒的特性計算機病毒的防治要從三個方面進行：7.2.4 計算機病毒防范技術3. 病毒的預防7.2.5 安全檢測與評估技術1.入侵檢測技術入侵檢測技術是防火墻技術的有力補充，它們可以和防火墻和

6、路由器配合工作。一般入侵檢測系統(tǒng)（IDS）處于防火墻之后對網(wǎng)絡活動進行實時檢測，掃描當前網(wǎng)絡的活動，監(jiān)視和記錄網(wǎng)絡的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。7.2.5 安全檢測與評估技術(2)入侵檢測系統(tǒng)的主要任務A集中式入侵檢測系統(tǒng)B分布式入侵檢測系統(tǒng)按數(shù)據(jù)源分類按系統(tǒng)結構分類按入侵的時間分類A基于主機的入侵檢測系統(tǒng)B基于網(wǎng)絡的入侵檢測系統(tǒng)A實時入侵檢測系統(tǒng)B事后入侵檢測系統(tǒng)7.2.5 安全檢測與評估技術.安全評估技術安全檢測和評估是一項復雜的系統(tǒng)工程，需要很多不同背景的人員，從各個不同的方面支認真研究分析。一種可行的有效的思路是：首先進行各個單項檢測與評估，然后

7、再進行綜合檢測與評估。7.3 信息安全技術7.3 信息安全技術7.3.1密碼學概述1.密碼學的含義密碼學是研究加密和解密變換的一門科學。它包含兩個分支，一是密碼編碼學；另一個是密碼分析學。2.密碼系統(tǒng)中的幾個概念（1）明文（2）密文（3）加密（4）解密（5）密鑰（6）密碼體制7.3.2 對稱密鑰密碼體質文明HELLO密文# %對稱密鑰算法如DES密鑰文明HELLO密文# %對稱密鑰算法如DES密鑰圖7-71.數(shù)據(jù)加密標準DESDES（Data Encrypt Standard）是對稱加密算法中最具代表性的算法。其加密過程和解密過程分別如圖7-7所示。 7.3.2 對稱密鑰密碼體質缺點優(yōu)點但密鑰

8、管理困難。加/解密速度快，適合于對大數(shù)據(jù)量進行加密。2對稱加密技術（DES）的優(yōu)缺點7.3.3 非對稱密鑰密碼體質文明HELLO密文# %公開密鑰算法如RSA公鑰文明HELLO密文# %公開密鑰算法如RSA公鑰圖7-81. RSA算法1977年，Rivest、Shamir和Adleman三人實現(xiàn)了公開密鑰密碼體制，并以三個人名字的首字母命名，簡稱RSA公開密鑰體制。其加密過程解密過程如圖7-8所示。7.3.3 非對稱密鑰密碼體質缺點優(yōu)點相對于對稱密鑰算法來說，公鑰算法計算速度非常慢公開密鑰技術解決了密鑰的發(fā)布和管理問題。2公開加密技術（ RSA ）的優(yōu)缺點7.3.4 PGP加密技術PGP利用隨

9、機產生的對稱密鑰（IDEA算法）對明文加密，然后用RSA算法再對該對稱密鑰加密。收件人收到郵件后先用RSA算法解密出這個隨機對稱密鑰，再用IDEA算法解密郵件本身。2.PGP工作過程（1）加密文件（2）密鑰生成 （3）密鑰管理（4）收發(fā)電子函件（5）數(shù)字簽名（6）認證密鑰1.PGP的功能認證主要分為以下兩個方面:7.4 電子商務的認證技術7.4.1認證技術認證（Authentication）是指核實真實身份的過程，是防止主動攻擊的重要技術。7.4.2 證書機構證書機構(Certification Authority，即CA) 是一個可信的第三方實體，其主要職責是保證用戶的真實性。證書機構的主要

10、功能有以下幾個：1.證書的頒發(fā)2.證書的更新3.證書的查詢4.證書的作廢5.證書的歸檔7.4.3 數(shù)字證書(1)除發(fā)送方和接收方外信息不被其他人竊??；(2)信息在傳輸過程中不被篡改；(3)接收方能夠通過數(shù)字證書來確認發(fā)送方的身份；(4)發(fā)送方對于自己發(fā)送的信息不能抵賴。7.4.3 數(shù)字證書2.數(shù)字證書格式（1）證書的版本號（2）數(shù)字證書的序列號（3）證書擁有者的姓名（4）證書擁有者的公開密鑰（5）公開密鑰的有效期（6）簽名算法（7）頒發(fā)數(shù)字證書的單位（8）頒發(fā)數(shù)字證書單位的數(shù)字簽名7.4.3 數(shù)字證書3.證書的類型（1）個人證書（2）單位數(shù)字證書（3）服務器證書（4）安全電子郵件證書7.4.3

11、 數(shù)字證書4數(shù)字證書的應用(3)通過SET協(xié)議實現(xiàn)信用卡網(wǎng)上安全支付(2)通過SSL協(xié)議實現(xiàn)瀏覽器與Web服務器之間的安全通信(1)通過S/MIME協(xié)議實現(xiàn)安全的電子函件系統(tǒng)7.5 安全電子交易技術在電子交易過程中，為了保證交易的安全性，需要采用數(shù)據(jù)的加密和身份認證技術，以便使商家和客戶的機密信息都得到可靠的傳輸，并且雙方都能互相驗證身份，防止欺詐行為。針對這種情況，在1994年底由Netscape首先引入了安全套接層協(xié)議（Secure Sockets Layer，即SSL），并在1996年6月由Master Card 和Visa 等九大公司聯(lián)合制定的標準安全電子交易協(xié)議 (Secure El

12、ectronic Transaction，即SET)也正式公布。7.5.1 SSL協(xié)議7.5.1 SSL協(xié)議2.SSL協(xié)議的實現(xiàn)模型應用層協(xié)議（HTTP、TELNET、FTP、SMTP等）SLL握手協(xié)議（Handshake Protocol）SLL記錄協(xié)議（Record Protocol）TCO協(xié)議IP協(xié)議網(wǎng)絡接口層（各種局域網(wǎng)和廣域網(wǎng)）7.5.1 SSL協(xié)議7.5.2 SET協(xié)議圖7-12 數(shù)字拇印的形成過程示意圖圖7-13數(shù)字信封的形成過程示意圖圖7-14 數(shù)字簽名的實現(xiàn)過程示意圖明文Hash 算法數(shù)字拇印對稱密鑰數(shù)字信封接收方的公鑰明文Hash 算法，如MD5原始的Hash發(fā)送者私鑰簽名

13、算法，如RSA數(shù)字簽名 （6）數(shù)字時間戳（4）數(shù)字簽名（3）數(shù)字信封（2）數(shù)字拇印7.5.2 SET協(xié)議收單銀行發(fā)卡行支付網(wǎng)關商家2. SET協(xié)議中所涉及的主要對象持卡人認證機構7.5.2 SET協(xié)議(1)首先，消費者在銀行開立信用卡賬戶，獲得信用卡；(2)消費者在商家的WEB頁上瀏覽商品目錄并選擇所需的商品；(3)消費者選定好商品后，填寫訂單并通過網(wǎng)絡傳遞給商家，同時附上付款指令；(4)商家收到訂單，同時支付網(wǎng)關收到支付指令向收單銀行請示支付許可；(5)收單銀行再通過銀行內部網(wǎng)絡向發(fā)卡行請求確認后，批準交易，并向商家返回確認信息；(6)商家發(fā)送訂單確認信息給消費者，并發(fā)貨給消費者；(7)商家

14、請示銀行支付貨款，銀行將貨款由消費者的賬戶轉移到商家的賬戶。 3SET協(xié)議的支付模型7.5.2 SET協(xié)議圖7-15 SET協(xié)議的模型示意圖發(fā)卡行收單銀行通知與轉賬消費者（持卡人）業(yè)務服務器（商家）支付網(wǎng)關發(fā)訂單、支付指令SET開戶回執(zhí)認證機構（CA）7.5.3 公鑰基礎設施鑰基礎設施（Public Key Infrastructure，即PKI）是由加拿大的Entrust公司開發(fā)的，支持SET、SSL協(xié)議、電子證書和數(shù)字簽名等。1PKI的組成(1)認證機構(2)證書庫(3)密鑰管理系統(tǒng)(4)證書管理系統(tǒng)(5)PKI應用接口系統(tǒng)7.5.3 公鑰基礎設施2. 國外PKI應用現(xiàn)狀7.5.3 公鑰基礎設施3.國內PKI建設現(xiàn)狀7.5.3 公鑰基礎設施4. PKI應用前景 電子商務的應用系統(tǒng)安全管理首先應當保證系統(tǒng)的物理安全，提高系統(tǒng)本身的軟硬件系統(tǒng)的安全性，高可靠性；其次應當保證組織管理和人員錄用方面的可靠性。7.6 電子商務應用系統(tǒng)的安全管理7.6.1 網(wǎng)絡釣魚網(wǎng)絡釣魚有以下特點：1加大制作網(wǎng)站的難度2 加強用戶驗證手段，提高用戶安全意識3建立確認機制來證明Web站點的合法性4加強網(wǎng)絡監(jiān)視5及時處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關的違法行為7.6.1 網(wǎng)絡釣魚6加強企業(yè)安全管理7