第2章电子商务安全技术研究报告.ppt

21世纪中国电子商务网校 案例：和讯网的安全保障 （1）商家订单信息的网络传输安全保障：订单信息经商家数字签名，始终处于使用PKI技术进行加密状态，并经过和讯支付网关和银行支付网关双重确认。 （2）商家账务信息的安全保障：信息以多表单分开存放；设置多层级权限管理；账务后台所有密码信息均以密文记录，账务信息随时备份。 （3）商家资金零风险保障：不是通过网上银行而是通过银行转账的方式与商家进行结算。 （4）个人支付信息和资金安全：用户支付信息是在银行网上支付页面填写并经银行系统加密。而且采用128位RSA算法的加密网上传输。 设计防火墙的准则 一切未被允许的就是禁止的 防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。 一切未被禁止的就是允许的 防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。 防火墙的主要功能 能做什么？ 安全把关 网络活动统计 内部隔离 防火墙的功能 保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类； 保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源； 保护数据的机密性。加密敏感数据。 防火墙的基本原理 数据过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。 4．虚拟专用网技术（Virtual Private Network，VPN） 虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。 对称与非对称加密体制对比 认证中心 作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。 作用：确保信息在网络上流通的安全性，让浏览器和服务器能够安全地进行沟通。（ＳＳＬ安全级别：４０位和８０位，指每个加密交易所生成的私有会话密钥的长度） 缺点：不能自动更新证书，认证机构编码困难，用户的密钥信息在服务器上是以明文方式存储的。 是一种以信用卡为基础的，在互联网上交易的付款协议书，是授权业务信息传输安全的标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES加密算法对信息进行加密传输。 SET参于对象：持卡人（消费者）、网上商家、收单银行、支会网关、发卡银行、认证中心。 SET软件构成：电子钱包、商店服务器、支付网关、认证中心（它们分别存储并安装在持卡人、网上商店、银行、认证中心的计算机中，相互运作来完成整个SET交易服务）。 SET协议分析 1.证书 2.CA 3.证书的树形验证体系结构 作业一 1.名词解释：电子商务、防火墙、加密、信息摘要、数字签名、CA证书 2.电子商务如何分类？ 3. 电子商务的安全需求是什么？ 4.电子商务安全的内容都包括哪些？ 4.4 电子商务安全交易标准 1．SSL协议（Secure Sockets Layer） 主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 购物网中常使用的一种安全协议。 2. SET(Secure Electronic Transaction) 持卡人 密文 商家 银行 发卡机构 CA 密文 协商 定单 确认 审核 确认 审核 批准 认证 认证 认证 提供身份认证、数据保密、数据完整性等服务 不能做什么？ 不能防范内部入侵 不能防范新的威胁 控制粒度粗 屏蔽路由器 防火墙的基本原理（续） 代理服务：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Int-ernet用户和内部网之间的通讯以代替直接交谈。 代理服务 一个典型的防火墙构成 “无人区” 防火墙 构筑防火墙需考虑的主要因素 你的公司要控制什么或要保护什么 你的公司要控制或要保护到什么程度 财政预算 技术问题：屏蔽路由器还是代理服 务器... 在虚拟专用网中交易双方比较熟悉，而且彼此之间的数据通信