(精)第八章 电子商务安全.pptVIP

*/75 1、在认证要求方面， 早期的SSL并没有提供客户身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证； 相比之下，SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。 SET与SSL协议的比较 4个方面 */75 2、在安全性方面， SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。 而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。 */75 3、在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET主要位于应用层。 4、在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。 */75 8. 4 网络安全－防火墙技术 外部网络 内部网络 */75 防火墙概念 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一组部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。 */75 防火墙的分类 包过滤防火墙 安全设施部署在路由器上，检测IP包，对地址和端口进行筛选。 应用网关（代理服务器） 内部网络的所有对外访问都由它代理完成，它应用安全规则检测经过的信息。 …… */75 防火墙的功能—保护内部网络免受以下攻击： (1)未经授权的内部访问 (2)非法访问 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪 */75 防火墙的安全策略及局限性 防火墙的安全策略 没有被允许的服务都是被禁止的 没有被禁止的访问都是允许的 2.防火墙的局限性 防火墙不能阻止来自内部的破坏 防火墙不能保护绕过它的连接 防火墙无法完全防止新出现的网络威胁 防火墙不能防止病毒 */75 8.6 企业开展电子商务应注意的几个安全问题 确定通信中的贸易伙伴的真实性 保证电子单证的秘密性 防范电子单证的内容被第三方读取 */75 思考与练习 举例说明电子商务安全中遇到的安全问题（上网查找工行网上银行出现的问题） 2种密钥体系是什么？简述工作过程,举例 常见的认证技术有哪些？ 什么是数字签名，图示 理解加密和数字签名的区别 什么是数字信封，图示 两种安全协议是什么，说明工作原理（所在层次、工作流程） 分别适合哪些应用？区别是什么（4个方面）？ 什么是防火墙，简述包过滤和应用网关技术。 什么是数字证书， X.509内容、什么是CA？CA的任务有哪些？ */75 实习 深入理解CA和数字证书，CA的功能，数字证书的内容，上网查找如何申请数字证书. 查看X509内容。 */75 密钥在哪里产生？ CA生成一对密钥，将公钥加上数字证书发给客户，密钥通过其他途径传给客户 CA生成一对密钥，加上数字证书后全部传给客户 客户自己产生对称密钥或一对密钥 CA产生自己的一对密钥， 将公钥公开，密钥自己保留。 * * * * * * * * */75 什么是数字签名 数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。 美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释：利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。 */75 数字签名原理 散列 算法 信息 数字签名 私钥 加密 摘要 数字签名 信息 公钥 解密 摘要 散列 算法 摘要 比较 如 一致 信息确认 发送方 接收方 */75 数字签名的通俗解释 数字签名的通俗解释 数字签名不是把某人的姓名改为数字去签名。先看一个例子：假设吴晓明在西安，他的代理人樊育在香港替他办事，吴晓明让樊育去找张鸿。他通过E-mail给张鸿写了短信如下：  张鸿先生：请把我寄存在你处的皮箱交给樊育。又，请先支付给樊育港币七万元，我下个月去香港时当面还给你。