大连海事大学电子商务概论课件 第三章.pptVIP

2000年9月9日 CNNIC调查结果（2004年1月） 学习目标 了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工作原理 1. 客户信息的安全威胁 活动页面 早期的WWW只能浏览静态的页面.随着JAVA语言在WWW上的应用,页面中可以嵌套程序,构成活动页面.活动页面多姿多彩,生动直观,但是嵌套在HTML中的程序,也构成信息安全的威胁.远程客户可以通过嵌套的恶意程序,读取页面的信息,甚至是保留在Cookie程序中的信用卡用户及密码信息. 浏览器的插件 用户在浏览网站时,经常会碰到是否安装某些浏览器的插件.经过认证中心认证,持有效数字证书的插件,可以保证客户机的安全,一些无数字认证书或者一些不健康网站的插件,可能会有病毒,会有恶意攻击程序,会改写用户的注册表,给用户安全带来威胁. 2. 传输链路的安全威胁 窃听 破坏系统的机密性 中断 破坏系统的有效性 篡改 破坏系统的完整性 伪造 破坏系统的真实性 3. 电子商务服务器的安全威胁 系统安全 网络操作系统的安全 外部的安全威胁 内部用户的安全威胁 通信协议软件本身缺乏安全性 应用服务器的安全 数据库系统的安全 企业内部 外部访问 3.1.2 电子安全交易的基本要求 信息系统安全层次模型 一、二、三层：信息、软件、网络安全 对自然灾害防范：防火、防水、防地震。如：建立备份中心 防范计算机设备被盗：固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等 尽量减少对硬件的损害：不间断电源、消除静电、系统接地等 恺撒密码 恺撒密码属于替代密码，即利用另一个字母表（与正常的字母表符号或顺序不同）中的字母替代明文中的字母。恺撒密码是一种单表替代密码，也就是说，它使用的密码字母表与普通字母表相同，加密时把明文中的所有字母都用其右边第K个字母替代，并认为Z后面是A。表示为如下函数： F（a）=（a+k） mod n 其中a是明文的字母，n 是字母表里的字母个数，k就是密钥。 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。 包过滤路由器型防火墙的优点： 处理包的速度要比代理服务器快； 包过滤路由器型防火墙的缺点：防火墙的维护比较困难等 双宿网关防火墙 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 屏蔽子网防火墙 五、虚拟专网（VPN）技术 VPN是使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信的网络技术。 使用加密、信息和身份认证、访问控制等技术。 VPN产品种类：带VPN功能的路由器、软件VPN系统、专用硬件VPN设备等 内部网虚拟专用网、远程访问虚拟专用网、外部网虚拟专用网 五、数字证书 数字证书（digital certificate）也叫数字凭证、数字标识。 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 证书的格式遵循ITU X.509国际标准。 一个标准的X.509数字证书内容 ? 证书的版本信息； ? 证书的序列号，每个证书都有一个唯一的证书序列号； ? 证书所使用的签名算法； ? 证书的发行机构名称，命名规则一般采用X.500格式； ? 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； ? 证书所有人的名称，命名规则一般采用X.500格式； ? 证书所有人的公开密钥； ? 证书发行者对证书的数字签名。 数字证书的三种类型 ?个人证书 它仅仅为某一个用户提供数字证书。 ?企业（服务器）数字证书 它通常为网上的某个Web服务器提供数字证书。 ?软件（开发者）数字证书 它通常为因特网中被下载的软件提供数字证书。 数字证书原理 数字证书利用一对互相匹配的密钥进行