第四章 电子商务安全与技术-3.ppt

SSL的会话过程 （1）接通阶段：客户机通过网络向服务器打招呼，服务器回应； （2）密码交换阶段：客户机与服务器之间交换双方认可的公钥，一般选用RSA密码算法；（3）会话密码阶段：客户机器与服务器间产生彼此会话专用秘钥；（4）检验阶段：客户机检验服务器取得的密钥；服务器验证客户机的可信度；（5）会话阶段：双方使用专用秘钥进行会话；（6）结束阶段：客户机与服务器之间相互交换结束的信息。  目标： 保障付款安全 确保应用通用性 全球接受性 措施： 非对称方式加密所有报文 增加公钥、私钥的长度 联机动态授权和认证 运作过程与方式 SET协议简介 机密性 数据完整性 身份验证 不可否认性 1、购买请求 2、支付认定 3、收款 三个阶段 SET（安全电子交易协议） Internet Internet 支付网络 证书权威机构 支付网关 支付者 发卡者 持卡人 商家 安全电子商务模型 SET运作方式 持卡人 密文 商家 银行 发卡机构 CA 密文 协商定单 确认 审核 确认 审核 批准 认证 认证 认证 提供身份认证、数据保密、数据完整性等服务 持卡人（消费者） 特约商店 收单银行 1、确认商店的合法性 2、提交商店的证书 3、数字签名、订单和电子证书 6、订单确认、完成交易 4、请求交易授权 5、交易授权回复 7、请款要求 8、请款回复 SET的简易流程 防火墙技术 什么是防火墙？ 在不同网络（如内部网和外部网）或网络安全域之间，由软件、硬件设备组合而成一系列部件。 Internet 防火墙 内部网 防火墙的主要功能 局限性： 防外不防内、不能防止人为破坏、对染毒文件和程序防范力有限。 四防 避免木马 防攻击 监控审计 未授权的访问 电子欺骗 隐蔽性渗透 过载（崩溃） 访问日志记录 监测攻击报警 防火墙的安全策略 未被列为允许访问的服务都是禁止的 未被列为禁止访问的服务都是允许的 先封锁后审查 安全性强 访问率低 应用范围小 先转发后删除 安全性差 访问率高 灵活性大 1、所有外部网之间的数据都须通过防火墙 2、只有被授权（防火墙系统中安全策略允许）的合法数据，可以通过防火墙 3、防火墙本身不受攻击 4、有可扩展性，能使用目前新的信息技术 5、界面良好，配置方便，易管理 好防火墙的特点 检查TCP/IP报文头中的：报文类型、源IP地址、目的IP地址、源端口号等域。 防火墙的类型与原理（包过滤型、代理服务型、复合型） （1）包过滤防火墙 ——（作用在网络层和传输层） 外部网 内部网 缺点：①过滤器不能在用户层次上进行过滤（即在同一台机器上，过滤器分辨不出哪个用户有报文）②随着过滤规则的复杂化和通过路由器进行处理的数据包数目的增加，路由器的吞吐量会下降。 优 点 不改动应用程序 单一个即可 对用户透明 速度快、效率高 屏蔽路由器 报文包 报文包 （2）代理服务型防火墙 ——作用在应用层 请求 请求 结果 结果 外部网 内部网 缺点：应用程序升级就不再适用了，局限性很大，且常会使网络性能明显下降，不能处理高负载的网络通信。 代理服务器 优点：代理易配置；可生成记录；进出流量、内容易控制；能过滤数据内容；提供透明的加密机制；易于和其他安全手段进行集成。 （3）复合型 防火墙 防病毒技术 计算机病毒： 编制或在计算机程序中插入的破坏计算机功能或会讯数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。 计算机病毒的特点： 隐蔽性 欺骗性 执行性 感染性 传播性 可触发性 破坏性 特洛伊木马 是一个程序，它驻留在目标计算机里，在目标计算机系统启动的时候，特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上进行一些操作。比如窃取口令，拷贝或删除文件，或重新启动计算机。 特点：隐蔽性、顽固性、潜伏性。一旦进入，会与操作系统和为一体当暴露的 木马被删除后，备用的木马能启动继续打开端口，让黑客进入，并且，木马的生存能力将提高许多倍。 这类病毒是根据古希腊神话中的木马来命名的一些木马程序会通过覆盖系统中已经存在的文件存在于系统之中，有些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。 灰鸽子是一种极度危险的木马程序。 该木马主要通过网页、即