课程回顾 ----Internet
Internet发展概述 ( 60,80,90)
TCP/IP协议 (四层)
IP地址 (类别、构成)
域名 (定义、分类)
Internet接入 ( 4种方式比较)
Inernet应用 ( WWW,URL、浏览器,OE协议、
BBS,Telnet,FTP)
第四章 电子商务安全
4.1 计算机网络安全
4.2 商务交易安全
4.3 电子商务安全管理制度
4.1 电子商务网络安全
4.1.1 计算机网络面临的安全威胁
n 黑客攻击
n 缺省帐户、截取口令、系统漏洞、偷取特权、清理磁盘
n 病毒攻击
n Internet,E-mail,Lan、交换磁盘
n 拒绝服务攻击
n 资源耗尽( SYN,ICMP,UDP flood)
n 连接耗尽
n 网络协议本身缺陷
n 网络内部安全威胁
n 内部网用户
n 内部网系统管理人员
n 内部人员
4.1.2 计算机网络安全技术
n 防火墙
n 定义:一种硬件和软件的结合,内网和外网之间的访问控制机制。
n 作用:
n 限制内、外部访问
n 监视网络安全、保护网络主机
n 类型:
n 包过滤型
n 代理型
n 局限:
n 限制了有用的服务
n 不能防范不经由防火墙的攻击
n 不能防范来自网络内部及数据驱动式的攻击
n 不能防范新的网络安全问题一个典型的防火墙构成
Server
In te r n e t
内部网
“
无人区
”
防火墙
n IDS(入侵检测系统)
n 定义,通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
n 功能:
n 检测并分析用户和系统的活动
n 核查系统培植和漏洞
n 评估系统关键资源和数据文件的完整性
n 识别已知攻击行为
n 统计分析异常行为
n 使用操作系统日志,识别违反安全策略的用户活动
n 分类:
n 主机型(系统日志、应用程序日志为数据源)
n 网络型(数据包为数据源)
n 局限:
n 检测速度不能适应网络通信发展的要求
n 漏报和误报率较高
n 系统互动性有待提高
n 物理隔离:
n 定义,不直接与间接的连接互联网。
n 2000/1/1实施,计算机信息系统国际联网保密管理规定,--涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络连接,必须实行物理隔离。
n 要求:
n 物理传导上使内外网络隔断
n 物理辐射上隔断内网和外网
n 物理存储上隔断两个网络环境
n VPN(虚拟专用网)
n 定义,利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全功能,从而实现对重要信息的安全传输。
n 分类:
n Access VPN
n Intranet VPN
n Extranet VPN
n 特点:
n 安全、经济、易扩展、灵活、简化网络设计远程移动办公安全方案远程移动办公安全方案内联网 VPN方案
4.1.3 计算机病毒防治
n 计算机病毒
n 定义:隐藏在计算机系统中的程序。
n 特点,传染性、破坏性、隐藏性、潜伏性、可触发性、
针对性
n 类型:
n 引导区病毒
n 可执行文件病毒(宏病毒、邮件病毒、网页病毒)
n 综合性病毒
n 工作原理和传播途径:
n 引导模块、传染模块、破坏模块
n 热和可以携带计算机文件的媒介(软盘、邮件、网络,.)
Packet-
Switched LeasedLine
Workgroup
广域网
INTERNET
Hub
局域网
PC杀毒软件
SERVER杀毒软件杀毒防火墙
PC杀毒软件远程工作站网络防毒手段
病毒防范原则
– 管理面
– 技术面
常见病毒
– CIH,ILOVEYOU,Melissa,Codered2,Nimda、
W32。 Sircam…
防病毒软件
– 国产( KILL,KV3000、瑞星)
– 国外( Norton,Mcafee,PC-cillin)
4.2 商务交易安全
电子商务的安全要求
–信息的保密性 (加密技术)
–信息的完整性 (数字摘要)
–通信的不可抵赖、不可否认 (数字签名)
–交易各方身份的认证 (数字签名、数字证书)
–信息的有效性 (交易环境)
电子商务安全体系 ( P111 图 4-1)
基本加密算法 — 安全认证手段 — 安全协议 — 支付系统 — 电子商务作业系统
1.加密技术的主要分类对称密匙
在对数据加密的过程中,使用同样的密匙进行加密和解密。
常见密匙算法,
DES,IDEA
公开密匙 /私有密匙
与对称密匙不同,公开密匙 /私有密匙使用相互关联的一对算法 对数据进行加密和解密。
常见密匙算法,RSA
对称密钥加密体制
– 对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加
/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
– 说明:
1) 在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥 。
2)当通信对象增多时,需要相应数量的密钥。
3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
对称密匙(保密密匙)加密明文消息密匙 A加密加密消息明文消息密匙 A解密例 1,Cae sar (恺撒)密码,见表 1 。
表 1 Cae sar (恺撒)密码表明文字母 a b c d e f g h i j k l m
密文字母 D E F G H I J K L M N O P
明文字母 n o p q r s t u v w x y z
密文字母 Q R S T U V W X Y Z A B C
例:明文(记做 m)为,important”,Key=3,
则密文(记做 C)则为,LPSRUWDQW”。
非对称密钥加密体制非对称密钥加密系统,又称公钥密钥加密,
它需要使用一对密钥来分别完成加密和解密操作,
一个公开发布,称为公开密钥( Public-Key);
另一个由用户自己秘密保存,称为私有密钥
( Private-Key)。
信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
公开密匙 /私有密匙加密老张小李的公开 密匙小李老张密文小李小李的私有 密匙老张的私有 密匙 老张的公开 密匙密文鉴别保密用 RSA鉴别,只有老张能发出该信息用 RSA保密,只有小李能解开该信息对称与非对称加密体制对比特 性 对 称 非 对 称密钥的数目 单一密钥 密钥是成对的密钥种类 密钥是秘密的 一个私有、一个公开密钥管理 简单不好管理 需要数字证书及可靠第三者相对速度 非常快 慢用途 用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用数字摘要
H as h 算法原文摘要 摘要对比?
原文摘要
I n t e rn e t
H as h 算法发送方 接收方图 信息摘要过程数字签名
H a s h
算法原文摘要 摘要对比?
原文摘要
I n t e r n e t
发送方 接收方
H a s h 算法数字签名发送者私钥加密数字签名发送者公钥解密数字签名过程 (用接受方公钥加密会话密钥)
2.数字证书与 CA认证数字证书 ( Digital Certificate 或 Digital ID)
– 数字证书采用公-私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。
– 数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、
网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。
数字证书的内容
证书拥有者的姓名;
证书拥有者的公钥;
公钥的有限期;
颁发数字证书的单位;
颁发数字证书单位的数字签名;
数字证书的序列号等 。
3.认证中心
CA:承担网上安全电子交易认证服务,
发放数字证书并能确认用户身份的服务机构 。
( 1) 认证中心的功能:核发证书,管理证书,搜索证书,验证证书
( 2) CA的树形验证结构 (如图所示 )
P117图 4-5
根 CA
南方电子商务中心(广东 CA )
So u t h e rn E l ec t ro n i c Bu s i n e s s Cen t e r C l as s B CA
(湖北) H BE C A
证书 2 证书 3 证书 4
(海南) H N C A
证书 1
图 CA的树形结构国内外 CA中心简介
国外 CA,VeriSign,GTE Cyber Trust等 。
国内 CA:
– 中国商务在线
– 中国数字认证网 ( www.ca365.com)
数字认证,数字签名,CA认证,CA证书,数字证书,安全电子商务。
– 北京数字证书认证中心为网上电子政务和电子商务活动提供数字证书服务 。
4.电子商务安全交易标准
1.安全套接层协议 SSL
( Secure Sockets Layer)
2.安全电子交易协议 SET
( Secure Electronic Transaction)
3.其他安全协议
( HTTPS,S-HTTP,S/MIME..)
– 客户机产生会话密钥,用服务器公钥加密会话密钥,发往服务器,服务器使用会话密钥加密要传输的数据
SET协议持卡人密文商家 银行发卡机构CA
密文协商定单确认审核确认审核批准认证 认证 认证提供身份认证、数据保密,数据完整性等服务
SET协议规范所涉及的对象,
① 消费者
② 在线商店
③ 收单银行
④ 电子货币
⑤ 认证中心 ( CA)
4.3 电子商务系统安全管理制度
人员管理制度
保密制度
跟踪审计制度
网络系统日常维护制度
用户管理
病毒防范制度
应急措施
Internet发展概述 ( 60,80,90)
TCP/IP协议 (四层)
IP地址 (类别、构成)
域名 (定义、分类)
Internet接入 ( 4种方式比较)
Inernet应用 ( WWW,URL、浏览器,OE协议、
BBS,Telnet,FTP)
第四章 电子商务安全
4.1 计算机网络安全
4.2 商务交易安全
4.3 电子商务安全管理制度
4.1 电子商务网络安全
4.1.1 计算机网络面临的安全威胁
n 黑客攻击
n 缺省帐户、截取口令、系统漏洞、偷取特权、清理磁盘
n 病毒攻击
n Internet,E-mail,Lan、交换磁盘
n 拒绝服务攻击
n 资源耗尽( SYN,ICMP,UDP flood)
n 连接耗尽
n 网络协议本身缺陷
n 网络内部安全威胁
n 内部网用户
n 内部网系统管理人员
n 内部人员
4.1.2 计算机网络安全技术
n 防火墙
n 定义:一种硬件和软件的结合,内网和外网之间的访问控制机制。
n 作用:
n 限制内、外部访问
n 监视网络安全、保护网络主机
n 类型:
n 包过滤型
n 代理型
n 局限:
n 限制了有用的服务
n 不能防范不经由防火墙的攻击
n 不能防范来自网络内部及数据驱动式的攻击
n 不能防范新的网络安全问题一个典型的防火墙构成
Server
In te r n e t
内部网
“
无人区
”
防火墙
n IDS(入侵检测系统)
n 定义,通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
n 功能:
n 检测并分析用户和系统的活动
n 核查系统培植和漏洞
n 评估系统关键资源和数据文件的完整性
n 识别已知攻击行为
n 统计分析异常行为
n 使用操作系统日志,识别违反安全策略的用户活动
n 分类:
n 主机型(系统日志、应用程序日志为数据源)
n 网络型(数据包为数据源)
n 局限:
n 检测速度不能适应网络通信发展的要求
n 漏报和误报率较高
n 系统互动性有待提高
n 物理隔离:
n 定义,不直接与间接的连接互联网。
n 2000/1/1实施,计算机信息系统国际联网保密管理规定,--涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络连接,必须实行物理隔离。
n 要求:
n 物理传导上使内外网络隔断
n 物理辐射上隔断内网和外网
n 物理存储上隔断两个网络环境
n VPN(虚拟专用网)
n 定义,利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全功能,从而实现对重要信息的安全传输。
n 分类:
n Access VPN
n Intranet VPN
n Extranet VPN
n 特点:
n 安全、经济、易扩展、灵活、简化网络设计远程移动办公安全方案远程移动办公安全方案内联网 VPN方案
4.1.3 计算机病毒防治
n 计算机病毒
n 定义:隐藏在计算机系统中的程序。
n 特点,传染性、破坏性、隐藏性、潜伏性、可触发性、
针对性
n 类型:
n 引导区病毒
n 可执行文件病毒(宏病毒、邮件病毒、网页病毒)
n 综合性病毒
n 工作原理和传播途径:
n 引导模块、传染模块、破坏模块
n 热和可以携带计算机文件的媒介(软盘、邮件、网络,.)
Packet-
Switched LeasedLine
Workgroup
广域网
INTERNET
Hub
局域网
PC杀毒软件
SERVER杀毒软件杀毒防火墙
PC杀毒软件远程工作站网络防毒手段
病毒防范原则
– 管理面
– 技术面
常见病毒
– CIH,ILOVEYOU,Melissa,Codered2,Nimda、
W32。 Sircam…
防病毒软件
– 国产( KILL,KV3000、瑞星)
– 国外( Norton,Mcafee,PC-cillin)
4.2 商务交易安全
电子商务的安全要求
–信息的保密性 (加密技术)
–信息的完整性 (数字摘要)
–通信的不可抵赖、不可否认 (数字签名)
–交易各方身份的认证 (数字签名、数字证书)
–信息的有效性 (交易环境)
电子商务安全体系 ( P111 图 4-1)
基本加密算法 — 安全认证手段 — 安全协议 — 支付系统 — 电子商务作业系统
1.加密技术的主要分类对称密匙
在对数据加密的过程中,使用同样的密匙进行加密和解密。
常见密匙算法,
DES,IDEA
公开密匙 /私有密匙
与对称密匙不同,公开密匙 /私有密匙使用相互关联的一对算法 对数据进行加密和解密。
常见密匙算法,RSA
对称密钥加密体制
– 对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加
/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
– 说明:
1) 在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥 。
2)当通信对象增多时,需要相应数量的密钥。
3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。
对称密匙(保密密匙)加密明文消息密匙 A加密加密消息明文消息密匙 A解密例 1,Cae sar (恺撒)密码,见表 1 。
表 1 Cae sar (恺撒)密码表明文字母 a b c d e f g h i j k l m
密文字母 D E F G H I J K L M N O P
明文字母 n o p q r s t u v w x y z
密文字母 Q R S T U V W X Y Z A B C
例:明文(记做 m)为,important”,Key=3,
则密文(记做 C)则为,LPSRUWDQW”。
非对称密钥加密体制非对称密钥加密系统,又称公钥密钥加密,
它需要使用一对密钥来分别完成加密和解密操作,
一个公开发布,称为公开密钥( Public-Key);
另一个由用户自己秘密保存,称为私有密钥
( Private-Key)。
信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
公开密匙 /私有密匙加密老张小李的公开 密匙小李老张密文小李小李的私有 密匙老张的私有 密匙 老张的公开 密匙密文鉴别保密用 RSA鉴别,只有老张能发出该信息用 RSA保密,只有小李能解开该信息对称与非对称加密体制对比特 性 对 称 非 对 称密钥的数目 单一密钥 密钥是成对的密钥种类 密钥是秘密的 一个私有、一个公开密钥管理 简单不好管理 需要数字证书及可靠第三者相对速度 非常快 慢用途 用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用数字摘要
H as h 算法原文摘要 摘要对比?
原文摘要
I n t e rn e t
H as h 算法发送方 接收方图 信息摘要过程数字签名
H a s h
算法原文摘要 摘要对比?
原文摘要
I n t e r n e t
发送方 接收方
H a s h 算法数字签名发送者私钥加密数字签名发送者公钥解密数字签名过程 (用接受方公钥加密会话密钥)
2.数字证书与 CA认证数字证书 ( Digital Certificate 或 Digital ID)
– 数字证书采用公-私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。
– 数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、
网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。
数字证书的内容
证书拥有者的姓名;
证书拥有者的公钥;
公钥的有限期;
颁发数字证书的单位;
颁发数字证书单位的数字签名;
数字证书的序列号等 。
3.认证中心
CA:承担网上安全电子交易认证服务,
发放数字证书并能确认用户身份的服务机构 。
( 1) 认证中心的功能:核发证书,管理证书,搜索证书,验证证书
( 2) CA的树形验证结构 (如图所示 )
P117图 4-5
根 CA
南方电子商务中心(广东 CA )
So u t h e rn E l ec t ro n i c Bu s i n e s s Cen t e r C l as s B CA
(湖北) H BE C A
证书 2 证书 3 证书 4
(海南) H N C A
证书 1
图 CA的树形结构国内外 CA中心简介
国外 CA,VeriSign,GTE Cyber Trust等 。
国内 CA:
– 中国商务在线
– 中国数字认证网 ( www.ca365.com)
数字认证,数字签名,CA认证,CA证书,数字证书,安全电子商务。
– 北京数字证书认证中心为网上电子政务和电子商务活动提供数字证书服务 。
4.电子商务安全交易标准
1.安全套接层协议 SSL
( Secure Sockets Layer)
2.安全电子交易协议 SET
( Secure Electronic Transaction)
3.其他安全协议
( HTTPS,S-HTTP,S/MIME..)
– 客户机产生会话密钥,用服务器公钥加密会话密钥,发往服务器,服务器使用会话密钥加密要传输的数据
SET协议持卡人密文商家 银行发卡机构CA
密文协商定单确认审核确认审核批准认证 认证 认证提供身份认证、数据保密,数据完整性等服务
SET协议规范所涉及的对象,
① 消费者
② 在线商店
③ 收单银行
④ 电子货币
⑤ 认证中心 ( CA)
4.3 电子商务系统安全管理制度
人员管理制度
保密制度
跟踪审计制度
网络系统日常维护制度
用户管理
病毒防范制度
应急措施