电子商务安全技术(2)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.防火墙的安全策略 访问策略设置:没有被允许访问的视为禁 止和没有禁止访问的视为允许
2. 防火墙的局限性 • 不能阻止内部破坏 • 不能保护绕过它的连接 • 无法防止新的威胁 • 不能防止病毒
电子商务安全技术(2)
8.3 数据加密技术
8.3.1 数据加密、解密基本过程 8.3.2对称式密钥加密技术 8.3.3公开密钥加密技术 8.3.4 对称密钥和公开密钥的结合
电子商务安全技术(2)
2020/11/27
电子商务安全技术(2)
学习目标
• 了解电子商务面临的主要安全威胁 • 了解电子商务对安全的基本要求 • 熟悉电子商务常用的安全技术 • 掌握防火墙的功能和工作原理 • 了解电子商务常用的加密技术 • 了解电子商务的认证体系 • 掌握SSL和SET的流程和工作原理
电子商务安全技术(2)
8.4 认证技术
3.CP(Certificate Perform)
CP即证书发放的执行部门,它是CA认证体系的另外一 个组成部分,负责为已授权的申请者制作、发放和管理证 书,并承担因操作运营错误所产生的一切后果,包括失密 和为没有获得授权者发放证书等,它可以由审核授权部门 自己担任,也可委托给第三方机构担任。
认证中心(CA)就是承担网上安全电子交易认证服务、 能签发数字证书、并能确认用户身份的服务机构。认证中 心通常是企业性的服务机构,主要任务是受理数字凭证的 申请、签发及对数字凭证的管理。认证中心依据认证操作 规定(CPS:Certification Practice Statement)来实施服 务操作。
电子商务安全技术(2)
防火墙是被配置在内部网 (如企业内部的 Intranet)和外部网 (如Internet)之间的系统(或 一组系统 ),通过控制内外网络间信息的流动来 达到增强内部网络安全性的目的。防火墙决定了 内部的哪些服务可以被外部用户访问以及哪些外 部服务可以被内部用户访问。
电子商务安全技术(2)
消 订单 线
费
商
者 确认 店
认
认
证
证
审核 确认
支付网关
审核 确认
收单银行
审核
批准
认
证
发卡银行
认证中心
电子商务安全技术(2)
开篇案例:广东发展银行网络安全架构
从1998年开始,广东发展银行最初的网络安全 体系就依据思科SAFE蓝图部署。SAFE主张,网络 安全建设不能一蹴而就,而应该是一个动态的过 程。所以在最初的部署中,思科主要协助广东发 展银行解决了最突出的网络安全问题——网络对 外连接出口的安全问题。
电子商务安全技术(2)
8.5 安全技术协议
8.5.1安全套层协议(SSL) SSL(Secure Socktes Layer)是Netscape公司率
先采用的一种网络安全协议,它能把在网页和服务器之间 传输的数据加密。这种加密措施能够防止资料在传输过程 中被窃取。因此采用SSL协议传输密码和信用卡号等敏感 信息以及身份认证信息是一种比较理想的选择。
电子商务安全技术(2)
8.3.1 数据加密、解密基本过程
加密
明文
密钥
暗文
解密
加密解密过程
电子商务安全技术(2)
8.3.2对称式密钥加密技术
加密和解密均采用一把密钥,通信双方都须获得 这把密钥才进行通信。
优缺点: • 密钥是保密通信的安全关键。 • 多人通信时密钥的组合数量会出现爆炸式膨胀,
分发复杂,保存繁琐。 • 通信双方必须统一的密钥。 • 加密速度快,保密度高
电子商务安全技术(2)
通过分析广东发展银行的具体业务流程和 网络结构,思科在SAFE蓝图指导下,针对广东发 展银行的不同网段,分别实施了可以统一管理的 不同安全措施,具体措施如下 横向 分网段防御(防火墙技术与各个公共信息网络 接口) 纵向:分层防御(路由器+防火墙技术隔离内子网)
电子商务安全技术(2)
电子商务安全技术(2)
8.1 电子商务安全概述
8.1.1 电子商务对安全的基本要求
1.授权合法性 2.不可抵赖性 3.保密性 4.身份的真实性 5.信息的完整性 6.存储信息的安全性
电子商务安全技术(2)
8.1.2电子商务安全措施
1.确定通信中的贸易伙伴身份的真实性 2.保证电子单证的保密性 3.确定电子单证内容的完整性 4.确定电子单证的真实性 5.不可抵赖性 6.存储信息的安全性
3rew
演讲完毕,谢谢听讲!
再见wenku.baidu.comsee you again
2020/11/27
电子商务安全技术(2)
电子商务安全技术(2)
8.4 认证技术
4.RS(Releasee)
RS即证书的受理者,它是CA认证体系的又一个组成部 分,接收用户的证书申请请求,转发给CP和RA进行相应的 处理。
电子商务安全技术(2)
8.4 认证技术
5.CRL(Certificate Repeal List)
CRL是“证书作废表”的缩写。CRL中记录尚未过期 但已声明作废的用户证书的序列号,供证书使用者在认证
电子商务安全技术(2)
8.4 .2 基本认证技术
电子商务的安全通过以下安全技术来保证: 1. 采用数字信封技术保证数据的传输安全 2. 采用数字签名技术进行身份认证并同时保证数据
的完整性,完成交易的不可抵赖性 3. 采用口令字技术或公开密钥技术进行身份认证
电子商务安全技术(2)
基本认证技术如下: 1.数字信封 2.数字签名 3.身份认证技术 4.数字时间戳 5.数字凭证(digital certificate,digital ID)
电子商务安全技术(2)
电子商务安全技术
8.1 电子商务的安全问题 8.2 防火墙技术 8.3 数据加密技术 8.4 认证技术 8.5 安全技术协议
电子商务安全技术(2)
8.1电子商务的安全性问题
1.在网络的传输过程中信息被截获 2.传输的文件可能被篡改 3.伪造电子邮件 4.假冒他人身份 5.不承认或抵赖已经做过的交易
电子商务安全技术(2)
8.2 防火墙的含义及其分类
1. 防火墙的含义 人们经常在建筑物之间修建一些墙壁,以便
在火灾发生时,火势不至于从一幢建筑蔓延到别 一幢建筑,这些墙被称为“防火墙”。
在网络世界中, Internet是一个开放的世界, 它在拥有丰富信息量的同时也存在着许多不安全 因素。当内部网连上Internet,使它的用户能访 问Internet上的服务时,非内部网用户也能通过 Internet访问内部网用户,实现一些非法操作如: 盗取重要资料、破坏文件等。这对于没有受到任 何保护的内部网用户来说无疑是一种灾难。也需 要类似防火墙的东西,我们可以在内部网和 Internet之间设置一堵“防火墙”以保护内部网 免受外部的非法入侵。
电子商务安全技术(2)
8.3.3公开密钥加密技术
通信的每个用户都有一对选定的密钥,一个可 以公开,即公共密钥,用于加密,一个由用户安 全拥有,即秘密钥匙,用于解密。 优缺点: • 密钥少便于管理 • 密钥分配简单 • 不需要秘密的通信来传输密钥 • 可以实现数字签名和数字鉴别 • 加密解密的速度慢
8.2.防火墙的分类
• 路由器 使用包过滤规则对IP报文中的源地址,目标地址,
封装协议等端口进行筛选是否屏蔽。
优点:简单,廉价
• 代理服务器 在应用层设计一个网关,由它来连接内网用户和 Internet,隔离内部主机和外部主机的直接通信。
缺点:建立和设置负责
电子商务安全技术(2)
8.2 防火墙的功能
(1)未经授权的内部访问 (2)危害证明 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪
电子商务安全技术(2)
8.2 防火墙技术
1. 防火墙系统设计 2. 包过滤路由器 3. 应用层网关防火墙 4. 电路层防火墙
电子商务安全技术(2)
8.2 防火墙的安全策略及局限性
SSL可以被理解成一条受密码保护的通道。通道的安 全性取决于协议中采用的加密算法。目前SSL协议标准已 经成为网络上保密通信的一种工业标准,在C/S和B/S的构 架下都有广泛的应用。
电子商务安全技术(2)
8.5 安全电子交易协议(SET)
为了在线交易时保证支付卡的安全而设立的一个 事实上的工业标准,已有多家大公司的支持:
电子商务安全技术(2)
8.4 认证技术基本概念
8.4.1基本概念:
1.证书
在一个电子商务系统中,所有参于活动的实体都必 须用证书来表明自己的身份。证书一方面可以用来向系统 中的其它实体证明自己的身份,另一方面由于每份证书都 携带着证书持有者的公钥(签名证书携带的是签名公匙, 加密证书携带的是加密公钥),所以,证书也可以向接收 者证实某人或某个机购对公开密匙的拥有,同时也起着公 钥分发的作用。
随着广东发展银行业务的迅速发展,尤其是近 年来,用户纷纷把业务转移到网上进行,广东发 展银行的网上业务呈几何数字增长。在这种情况 下,广东发展银行提出,为了更好地抵御网上的 非法访问,作好关键用户的网上认证,确保能够 给用户提供不间断的高质量金融服务,必须要在 原有的基础上,进一步加强银行在网络安全方面 的部署。
电子商务安全技术(2)
8.4 认证技术
2.RA(Release Auditing)
RA 即证书发放审核部门,它是CA认证体系的一个组成 部分。它负责对证书申请者进行资格审查,并决定是否同 意给该申请者发放证书,并承担因审核错误所引起的和为 不符合资格的证书申请者发放证书所引起的一切后果,因 此它应由能够承担这些责任的机构担任。
对方证书时查询使用。CRL通常也被称为黑名单。
电子商务安全技术(2)
6.认证中心(CA:Certification Authority) 在电子交易中,无论是数字时间戳服务(DTS)还是数
字凭证(Digital ID)的发放,都不是靠交易当事人自己能 完成的,而需要有一个具有权威性和公正性的第三方 (third party)来完成。
1. SET要达到的最主要的目标
① 信息在Internet上的安全传输 ② 订单信息与个人账号信息的隔离 ③ 消费者和商家的相互认证,以确定双方身份 ④ 要求软件遵循相同的协议和消息格式,使不同厂家开
发的软件具有兼容性和互操作性。
电子商务安全技术(2)
SET协议中的角色及SET协议的工作原理
协商
在
2. 防火墙的局限性 • 不能阻止内部破坏 • 不能保护绕过它的连接 • 无法防止新的威胁 • 不能防止病毒
电子商务安全技术(2)
8.3 数据加密技术
8.3.1 数据加密、解密基本过程 8.3.2对称式密钥加密技术 8.3.3公开密钥加密技术 8.3.4 对称密钥和公开密钥的结合
电子商务安全技术(2)
2020/11/27
电子商务安全技术(2)
学习目标
• 了解电子商务面临的主要安全威胁 • 了解电子商务对安全的基本要求 • 熟悉电子商务常用的安全技术 • 掌握防火墙的功能和工作原理 • 了解电子商务常用的加密技术 • 了解电子商务的认证体系 • 掌握SSL和SET的流程和工作原理
电子商务安全技术(2)
8.4 认证技术
3.CP(Certificate Perform)
CP即证书发放的执行部门,它是CA认证体系的另外一 个组成部分,负责为已授权的申请者制作、发放和管理证 书,并承担因操作运营错误所产生的一切后果,包括失密 和为没有获得授权者发放证书等,它可以由审核授权部门 自己担任,也可委托给第三方机构担任。
认证中心(CA)就是承担网上安全电子交易认证服务、 能签发数字证书、并能确认用户身份的服务机构。认证中 心通常是企业性的服务机构,主要任务是受理数字凭证的 申请、签发及对数字凭证的管理。认证中心依据认证操作 规定(CPS:Certification Practice Statement)来实施服 务操作。
电子商务安全技术(2)
防火墙是被配置在内部网 (如企业内部的 Intranet)和外部网 (如Internet)之间的系统(或 一组系统 ),通过控制内外网络间信息的流动来 达到增强内部网络安全性的目的。防火墙决定了 内部的哪些服务可以被外部用户访问以及哪些外 部服务可以被内部用户访问。
电子商务安全技术(2)
消 订单 线
费
商
者 确认 店
认
认
证
证
审核 确认
支付网关
审核 确认
收单银行
审核
批准
认
证
发卡银行
认证中心
电子商务安全技术(2)
开篇案例:广东发展银行网络安全架构
从1998年开始,广东发展银行最初的网络安全 体系就依据思科SAFE蓝图部署。SAFE主张,网络 安全建设不能一蹴而就,而应该是一个动态的过 程。所以在最初的部署中,思科主要协助广东发 展银行解决了最突出的网络安全问题——网络对 外连接出口的安全问题。
电子商务安全技术(2)
8.5 安全技术协议
8.5.1安全套层协议(SSL) SSL(Secure Socktes Layer)是Netscape公司率
先采用的一种网络安全协议,它能把在网页和服务器之间 传输的数据加密。这种加密措施能够防止资料在传输过程 中被窃取。因此采用SSL协议传输密码和信用卡号等敏感 信息以及身份认证信息是一种比较理想的选择。
电子商务安全技术(2)
8.3.1 数据加密、解密基本过程
加密
明文
密钥
暗文
解密
加密解密过程
电子商务安全技术(2)
8.3.2对称式密钥加密技术
加密和解密均采用一把密钥,通信双方都须获得 这把密钥才进行通信。
优缺点: • 密钥是保密通信的安全关键。 • 多人通信时密钥的组合数量会出现爆炸式膨胀,
分发复杂,保存繁琐。 • 通信双方必须统一的密钥。 • 加密速度快,保密度高
电子商务安全技术(2)
通过分析广东发展银行的具体业务流程和 网络结构,思科在SAFE蓝图指导下,针对广东发 展银行的不同网段,分别实施了可以统一管理的 不同安全措施,具体措施如下 横向 分网段防御(防火墙技术与各个公共信息网络 接口) 纵向:分层防御(路由器+防火墙技术隔离内子网)
电子商务安全技术(2)
电子商务安全技术(2)
8.1 电子商务安全概述
8.1.1 电子商务对安全的基本要求
1.授权合法性 2.不可抵赖性 3.保密性 4.身份的真实性 5.信息的完整性 6.存储信息的安全性
电子商务安全技术(2)
8.1.2电子商务安全措施
1.确定通信中的贸易伙伴身份的真实性 2.保证电子单证的保密性 3.确定电子单证内容的完整性 4.确定电子单证的真实性 5.不可抵赖性 6.存储信息的安全性
3rew
演讲完毕,谢谢听讲!
再见wenku.baidu.comsee you again
2020/11/27
电子商务安全技术(2)
电子商务安全技术(2)
8.4 认证技术
4.RS(Releasee)
RS即证书的受理者,它是CA认证体系的又一个组成部 分,接收用户的证书申请请求,转发给CP和RA进行相应的 处理。
电子商务安全技术(2)
8.4 认证技术
5.CRL(Certificate Repeal List)
CRL是“证书作废表”的缩写。CRL中记录尚未过期 但已声明作废的用户证书的序列号,供证书使用者在认证
电子商务安全技术(2)
8.4 .2 基本认证技术
电子商务的安全通过以下安全技术来保证: 1. 采用数字信封技术保证数据的传输安全 2. 采用数字签名技术进行身份认证并同时保证数据
的完整性,完成交易的不可抵赖性 3. 采用口令字技术或公开密钥技术进行身份认证
电子商务安全技术(2)
基本认证技术如下: 1.数字信封 2.数字签名 3.身份认证技术 4.数字时间戳 5.数字凭证(digital certificate,digital ID)
电子商务安全技术(2)
电子商务安全技术
8.1 电子商务的安全问题 8.2 防火墙技术 8.3 数据加密技术 8.4 认证技术 8.5 安全技术协议
电子商务安全技术(2)
8.1电子商务的安全性问题
1.在网络的传输过程中信息被截获 2.传输的文件可能被篡改 3.伪造电子邮件 4.假冒他人身份 5.不承认或抵赖已经做过的交易
电子商务安全技术(2)
8.2 防火墙的含义及其分类
1. 防火墙的含义 人们经常在建筑物之间修建一些墙壁,以便
在火灾发生时,火势不至于从一幢建筑蔓延到别 一幢建筑,这些墙被称为“防火墙”。
在网络世界中, Internet是一个开放的世界, 它在拥有丰富信息量的同时也存在着许多不安全 因素。当内部网连上Internet,使它的用户能访 问Internet上的服务时,非内部网用户也能通过 Internet访问内部网用户,实现一些非法操作如: 盗取重要资料、破坏文件等。这对于没有受到任 何保护的内部网用户来说无疑是一种灾难。也需 要类似防火墙的东西,我们可以在内部网和 Internet之间设置一堵“防火墙”以保护内部网 免受外部的非法入侵。
电子商务安全技术(2)
8.3.3公开密钥加密技术
通信的每个用户都有一对选定的密钥,一个可 以公开,即公共密钥,用于加密,一个由用户安 全拥有,即秘密钥匙,用于解密。 优缺点: • 密钥少便于管理 • 密钥分配简单 • 不需要秘密的通信来传输密钥 • 可以实现数字签名和数字鉴别 • 加密解密的速度慢
8.2.防火墙的分类
• 路由器 使用包过滤规则对IP报文中的源地址,目标地址,
封装协议等端口进行筛选是否屏蔽。
优点:简单,廉价
• 代理服务器 在应用层设计一个网关,由它来连接内网用户和 Internet,隔离内部主机和外部主机的直接通信。
缺点:建立和设置负责
电子商务安全技术(2)
8.2 防火墙的功能
(1)未经授权的内部访问 (2)危害证明 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪
电子商务安全技术(2)
8.2 防火墙技术
1. 防火墙系统设计 2. 包过滤路由器 3. 应用层网关防火墙 4. 电路层防火墙
电子商务安全技术(2)
8.2 防火墙的安全策略及局限性
SSL可以被理解成一条受密码保护的通道。通道的安 全性取决于协议中采用的加密算法。目前SSL协议标准已 经成为网络上保密通信的一种工业标准,在C/S和B/S的构 架下都有广泛的应用。
电子商务安全技术(2)
8.5 安全电子交易协议(SET)
为了在线交易时保证支付卡的安全而设立的一个 事实上的工业标准,已有多家大公司的支持:
电子商务安全技术(2)
8.4 认证技术基本概念
8.4.1基本概念:
1.证书
在一个电子商务系统中,所有参于活动的实体都必 须用证书来表明自己的身份。证书一方面可以用来向系统 中的其它实体证明自己的身份,另一方面由于每份证书都 携带着证书持有者的公钥(签名证书携带的是签名公匙, 加密证书携带的是加密公钥),所以,证书也可以向接收 者证实某人或某个机购对公开密匙的拥有,同时也起着公 钥分发的作用。
随着广东发展银行业务的迅速发展,尤其是近 年来,用户纷纷把业务转移到网上进行,广东发 展银行的网上业务呈几何数字增长。在这种情况 下,广东发展银行提出,为了更好地抵御网上的 非法访问,作好关键用户的网上认证,确保能够 给用户提供不间断的高质量金融服务,必须要在 原有的基础上,进一步加强银行在网络安全方面 的部署。
电子商务安全技术(2)
8.4 认证技术
2.RA(Release Auditing)
RA 即证书发放审核部门,它是CA认证体系的一个组成 部分。它负责对证书申请者进行资格审查,并决定是否同 意给该申请者发放证书,并承担因审核错误所引起的和为 不符合资格的证书申请者发放证书所引起的一切后果,因 此它应由能够承担这些责任的机构担任。
对方证书时查询使用。CRL通常也被称为黑名单。
电子商务安全技术(2)
6.认证中心(CA:Certification Authority) 在电子交易中,无论是数字时间戳服务(DTS)还是数
字凭证(Digital ID)的发放,都不是靠交易当事人自己能 完成的,而需要有一个具有权威性和公正性的第三方 (third party)来完成。
1. SET要达到的最主要的目标
① 信息在Internet上的安全传输 ② 订单信息与个人账号信息的隔离 ③ 消费者和商家的相互认证,以确定双方身份 ④ 要求软件遵循相同的协议和消息格式,使不同厂家开
发的软件具有兼容性和互操作性。
电子商务安全技术(2)
SET协议中的角色及SET协议的工作原理
协商
在