第3节-3电子商务安全下协议.pptVIP

第一节 电子商务安全问题概述 电子商务面临的安全问题 （一）计算机安全问题 保密：防止数据暴露，确保数据源安全 完整：防止数据别修改 即需：防止延迟或拒绝服务 电子商务面临的安全问题 （二）网络安全问题 1）中断 2）介入 3）篡改 4）假造 网络安全隐患 开放性：资源共享带来的问题 传输协议：TCP/IP是包交换协议，数据包透明传输。经由不同网络，不同路由。Telnet 和 FTP,甚至使用明文 操作系统：木马，伪造登陆，窃取账号，密码。 信息电子化：正确性，完整性难以保证 电子商务对安全的基本要求 （1）有效性：信息和实体的真实性和有效性 （2）机密性： （3）数据的完整性：信息的丢失与重复，信息传送顺序 （4）不可抵赖性：白纸黑字 （5）可控性:对贸易双方均有约束 电子商务安全对策 完善各项安全管理制度 技术对策 常用的计算机网络安全技术 病毒防范 身份识别 防火墙技术 专用网VPN 病毒种类 蠕虫、脚本、木马、即时通讯 安装防病毒软件 数据备份、恢复 敏感数据与设备，物理，逻辑隔离措施 身份识别技术 口令 不足： 输入 传输 存储 多级口令，安全级别低 单向认证 身份识别技术 标记法 标记是个人持有物，类似于钥匙 智能卡代替磁介质，与安全协议配套使用。 身份识别技术 生物特征法 指纹、眼睛等，未来发展趋势，研究热点 第二节 防火墙技术 计算机网络的防火墙用来防止来自互联网的损坏。 有软件与硬件设备组合而成。 在内网与外网，专用网与公网之间构造保护屏障。 防火墙的作用 能控制对网点系统的访问 集中安全性：将口令系统和身份认证软件放在防火墙系统中，而不是放在用户计算机上 增强保密性、强化私有权：防止finger探测，隐藏站点名和IP地址。 FINGER可以用在WIN2000里它是一个自带的小工具 finger 0@对方主机IP 的方法来获得对方主机当前的在线用户列表 二、防火墙技术 1）网络级防火墙（包过滤技术） 路由不能判断IP包来自何方，去往何处 防火墙可以判断这一点 同意或者拒绝IP包的通过 无用户使用记录 定义包过滤复杂 规则配置好，不容易验证 二、防火墙技术 2）应用级网关（代理服务器） 内外不能直接交换数据 外面只能看到代理服务器 禁止内部主机访问非法站点 二、防火墙技术 3）电路级网关 4）规则检查防火墙 具有网络级防火墙特点，在OSI网络层上检查IP和端口号。 像电路级网关一样，检查SYN和ACK标记 向应用级网关一样，在应用层检查数据包的内容。 三、防火墙的局限性 拨号上网 内部攻击 错误配置 人为或自然损坏 TCP/IP漏洞 对合法开放端口的攻击 本身的安全漏洞 第三节 安全交易技术 一、加密技术 对称密钥加密，又称私钥加密，指信息的发送方和接收方用一个密钥K去加密和解密数据。即只用一个密钥对信息进行加密和解密。见图 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。其原理如下： （1）发送方用一个单向散列函数对明文信息m进行运算，形成信息摘要MD（Message Digest），采用信息摘要能够加快数字签名的速度。 （2）发送方用自己的私人密钥S对信息摘要进行加密得到Es（MD）。 （3）将加密后的信息摘要和明文信息m一起发送出去。即：c=m+Es(MD)→B。 （4）接收方用同样的单向散列函数对明文信息m进行计算，形成另一信息摘要MD＇。 （5）接收方把接收到的信息摘要用发送方的公开密钥P解密，恢复出加密前信息摘要MD，并与步骤（4）形成的信息摘要MD＇进行比较，若两者完全一样，即MD＝MD＇，则证明信息是完整的，并且数字签名是有效的。 （1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。 （2）发送方选择一个对称密钥对文件加密，然后通过网络传输到接收方，最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。 （3）发送方用接收方的公钥给对称密钥加密，并通过网络把加密后的对称密钥传输到接收方。 （4）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥。 （5）接收方用对称密钥对文件进行解密，得到经过加密的数字签名。 （6）接收方用发送方的公钥对数字签名进行解密，得到数字签名的明文。 （7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。 数字证书也叫数字标识 (Digital Certificate，Digital ID)，是一种应用广泛的信息安全技术，它是由权威公正的第三方机构即CA中心（Certificate Autho