CH08电子商务安全全解.ppt

（2）处理速度： SET协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需花费1.5至2分钟； 而SSL协议则简单得多，处理速度比SET协议快。 * （3）认证要求： 早期的SSL协议并没有提供身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证，但仍不能实现多方认证，而且SSL中只有商家服务器的认证是必须的，客户端认证则是可选的。 相比之下，SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题 * （4）安全性： 安全性是网上交易中最关键的问题。 SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可认证性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。 SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。 因此，SET的安全性远比SSL高。 * （5）协议层次和功能： SSL属于传输层的安全技术规范，它不具备电子商务的商务性、协调性和集成性功能。 而SET协议位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。 * 由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。 但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。 * * 8.6 安全电子商务网络 确保组织网络边界安全的理念： 多层防护，如下图所示。 访问控制 角色安全 监控 给系统打补丁 响应团队 * 多层防护 * 防火墙 是由软件和硬件组成的隔离私有网络和公共网络的网络节点。 包过滤路由器：以基于发送请求或接受请求的计算机的网络地址来过滤从公共互联网进入私有网络的数据和指令方式工作的防火墙。 * 包：互联网上，计算机发给其他计算机的数据和请求被分割成小段，称之为包。 包过滤： 是基于收到的包的源地址、目标地址和其他确认信息来接受或拒绝该包的规则。 * 非军事化区 (DMZ) 设在组织内部网络和外部网络(互联网)之间的网络区域， 在两个网络之间提供由防火墙实施的规则控制的物理隔离 。大多数情况下，内部网络之前会有第二道防火墙来确保 攻击性的请求不会传入私有网络，如下图所示。 * 非军事化区 (DMZ) * 个人防火墙 被设计为通过监视经过计算机网卡的所有流量来保护桌面系统。 两种工作方式： 用户创建过滤规则，防火墙使用这些规则来允许包通过或删除包； 防火墙通过询问用户问题来学习如何处理具体类型数据。 * VPN 虚拟专用网(VPN),利用公共的互联网传输信息，但却用加密组件保护通信过程私密性，用认证确保信息没有被篡改并确保消息来自合法的来源，用访问控制核实网络使用者的身份。 创建VPN的三种技术： 许多防火墙套装，包括硬件和软件，提供VPN功能； 路由器不仅有防火墙的功能，还能像VPN服务器一样运行； 用来运行VPN连接的软件解决方案也可以使用。 * 入侵检测系统 (IDSs) 一种可以监视网络或主机上的活动、关注可疑活动并基于它所观察到的情况自动采取行动的特殊软件。 * 蜜网和蜜罐 蜜网，是设计来像蜂蜜吸引蜜蜂一样来吸引黑客的蜜罐网络。 蜜罐，是诸如防火墙、路由器、Web服务器、数据库服务器、文件之类的信息系统资源。 蜜罐与真实系统的区别：在蜜罐上进行的是来自入侵者尝试攻破系统的活动。这样，研究者通过观察蜜罐就可以收集到关于黑客为什么攻击、何时攻击、怎样攻击，在攻破系统后又做了些什么等信息。 * END!!! * 公共密钥(非对称)加密 * 公共密钥(非对称)加密 公钥加密使用一对匹配的密钥——可以公开提供给任何人的公钥和只有拥有者才知道的私钥。 公钥是公开的，任何想给私钥持有人发送信息的人都可以知道它，并用来给信息加密；但只有私钥才能给信息解密。这样就可以在事先没有就密钥达成一致的情况下发送信息了。 例如，如果一个人希望向一家公司发出订单又要求订单内容保密，那么他可以用该公司的公钥加密信息。收到订单时，这家公司就可以利用相关的私钥进行解密。详细过程如下图所示。 * 公钥加密 * 数字签名 数字签名， 用来鉴定消息或文件发送者本身，还被用来确保电子消息或文件的原始