电子商务概论第六章电子商务安全管理.ppt

第六章 电子商务的安全管理,6.1 电子商务的安全问题 6.2 电子商务的安全技术,案例一：工行网银受害者集体维权联盟,案例二：震撼世界的“蠕虫”病毒案,罗伯特莫瑞斯（Robert TMorris,Jr.）是美国康奈尔大学（Cornell University）的学生，年仅23岁。1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫（Worm）程序送进互联网。然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。于是，小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，袭击了庞大的互联网，“互联网事件”的确是一场灾难，但决不是象某些报刊所说的是“计算机系统的末日”。事实上，清除病毒的工作开展得相当迅速。11月2日星期三发现病毒，到周末，病毒已经被控制住了。随后，美国国防部在Carnegie-Mellon大学的软件工程学院建立了一个由100名计算机专家组成的应急小组，专门研究国防部门计算机系统对计算机病毒攻击的防卫问题，并及时了解互联网的安全情况。可以说，“互联网事件”为计算机安全专家敲响了警钟，使之成为研究部门最迫切的研究课题。,三、红客联盟,6.1 电子商务的安全问题,6.1.1 电子商务的安全风险类型 从整个电子商务系统着手分析，可以将电子商务的安全问题归类为下面四类风险：1.信息传输风险 2.信用风险 3.管理风险 4.法律方面风险,信息传输风险,6.1.2 电子商务的安全管理要求与思路 一、电子商务的安全要求：1.系统的有效性 2.授权的合法性 3.信息的保密性 4.信息的完整性 5.真实性和不可抵赖性,二、电子商务的安全管理思路 建立一个完整的网络交易安全体系，至少从三个方面考虑，并且三者缺一不可。1.完善各项管理制度 2.技术对策 3.社会的法律政策与法律保障,6.2 电子商务的安全技术,6.2.1 防火墙技术 一、什么是防火墙 防火墙是指设置在可信任的企业内部网和不可信任的公共网或网络安全区域与风险区域之间的一系列部件的组合，它是一类防范措施的总称，是一种非常有效的网络安全模型。,二、防火墙的技术类型 按照防火墙对内外来往数据的处理方法的不同，大致可以将防火墙分为两大体系：1.包过滤防火墙 2.代理服务,6.2.2 数据加密技术 所谓数据加密就是将被传输的数据转换成表面上杂乱无章的数据，只有合法的接收者才能恢复数据的本来面目，而对于非法窃取者来说，转换后的数据是读不懂的毫无意义的数据。,几个重要的概念明文：没有加密的原始数据 密文：加密以后的数据 加密算法：用于加密和解密的数字函数，一般是公开的密钥：密钥就是一串参与加密的字符串，算法在密钥的控制下进行操作，对应不同的密钥，相同的算法和相同的明文可以产生不同的密文。密钥一般是一串数字,简单加密示范,加密算法为：明文密钥密钥为：17,例如，将英文“secret”加密信息：s e c r e t明文：19 05 03 18 05 20 密文：36 22 20 35 22 37,在密码学中根据密钥使用方式的不同一般分为两种不同的密码体系：对称密钥加密技术非对称密钥加密技术,一、对称密钥加密技术概念：对称密钥加密技术利用一个密钥对数据进行加密，对方接收到数据后要用同一密钥来进行解密。,（一）对称密钥密码体系的安全性 这种加密方式的安全性主要依赖于以下两个因素：第一，加密算法必须是足够强的，即仅仅基于密文本身去解密在实践上是不可能做到的；第二，加密的安全性依赖于密钥的秘密性，而不是算法的秘密性。（二）对称加密方式的速度 算法的实现速度极快，比较适合于加密数据量大的文件内容。,（三）对称加密方式中密钥的分发与管理,问：假设网络内有6个用户，如果它们任意两个用户之间可以进行秘密对话，需要多少把密钥呢？,6个用户的网络其对称密钥的分发情况,想一想：假设网络内有1000个用户，如果它们任意两个 用户之间可以进行秘密对话，需要多少把密钥 呢？如果网络内有n 个用户呢？对称加密系统存在的最大问题是密钥的分发和管理非常复杂、代价高昂。,二、非对称密钥加密技术 非对称密钥加密（公开密钥加密）技术，非对称加密使用两个密钥：一个公共密钥PK和一个私有密钥SK。这两个密钥在数学上是相关的，并且不能由公钥计算出对应的私钥，同样也不能由私钥计算出对应的公钥。,（一）非对称密钥密码体系的安全性第一，非对称加密方式的算法一般都是基于尖端的数学难题，计算非常复杂，它的安全性比对称加密方式的安全性更高。第二，这种加密方式的安全性主要依赖于私钥的秘密性，公钥本来就是公开的，任何人都可以通过公开途径得到别人的公钥。（二）非对称加密方式的速度 非对称加密方式由于算法实现的复杂性导致了其加解密的速度远低于对称加密方式。通常被用来加密关键性的、核心的机密数据。,（三）非对称加密方式中密钥的分发与管理,问：假设机构又6个部门，如果它们任意两个部门之间可以进行秘密对话，需要多少把密钥呢？,非对称加密方式下的密钥分发,想一想：假设网络内有1000个用户，如果它们任意两个 用户之间可以进行秘密对话，需要多少把密钥呢？如果网络内有n 个用户呢？由于用于加密的公钥是公开的，密钥的分发和管理就很简单。,6.2.3 认证技术 一、信息认证的目的 1.可信性 2.完整性 3.不可抵赖性 4.访问控制,由A到B发送信息的加密和认证过程,二、数字签名技术 数字签名与书面文件签名有相同之处，也能确认一下两点：1.信息是由签名者发送的；2.信息自签名后到收到为止未曾做过任何修改。,数字签名(或称电子加密)是公开密钥加密技术的一种应用。其加密过程是：1.被发送文件用散列算法机密产生128bit的数字摘要；2.发送方用自己的私钥对摘要再加密，这就形成了数字签名；3.将原文和加密的摘要同时传给对方；4.对方用发送方的公钥对摘要解密，同时对收到的文件用散列算法加密产生又一摘要；5.将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过，否则不然。,三、数字时间戳 数字时间戳服务(DTS：digital time-stamp service)能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。,时间戳产生的过程是：用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS；DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。注意：书面签署文件的时间是由签署人自己写上的，数字时间则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。,数字时间戳示意图,数字信封是数据加密技术的应用，信息发送端先用对称加密方法对明文加密，然后用接收端的公钥，将加密用的对称密钥加密以后形成数字信封传送到接收端，接收端用其私钥打开信封，取得该对称密钥，然后用它来解开传送来的信息。数字信封技术，就是对称密钥和公开密钥的结合的技术，从而既有公开密钥技术的灵活性，又有对称密钥技术的高效性。,四、数字信封技术,五、数字证书和CA认证（一）数字证书 1.什么是数字证书 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。,2.数字证书的内容 数字证书的内容格式是CCTTTX.509国际标准规定的，通常包括以下内容：版本信息，用来与X.509的版本兼容；数字证书的序列号；CA所使用的签名算法；发行证书CA的名称；证书的有效期限；证书的主题名称；被证明的公钥信息，包括公钥算法、公钥的位字符串表示；包含额外信息的特别扩展。,3.数字证书的类型：个人证书 企业证书 软件证书,（二）认证中心 认证中心（CA）是承担网上安全电子交易认证服务的服务机构，它能签发数字证书，并能确认用户身份的服务机构。认证中心的职能：1.证书的颁发 2.证书的更新 3.证书的查询 4.证书的作废 5.证书的归档 6.提供密钥托管和密钥恢复服务,本 章 结 束SEE YOU LATER,