《电子商务安全与支付》课件.ppt

1、Copyright 2000-2010 毛志斌1Copyright 2000-2010 毛志斌2 本课程是电子商务专业的核心专业课。本课程是电子商务专业的核心专业课。通过本课程的学习，学生掌握电子支付与交易的通过本课程的学习，学生掌握电子支付与交易的相关知识，包括电子支付工具、电子支付流程、相关知识，包括电子支付工具、电子支付流程、网络金融工具、网络清算系统等，以及第三方支网络金融工具、网络清算系统等，以及第三方支付、手机支付等新兴的支付应用；付、手机支付等新兴的支付应用；从电子商务系统的安全角度出发，掌握网络安全从电子商务系统的安全角度出发，掌握网络安全的技术实现：加密、数字签名、时间戳、安

2、全认的技术实现：加密、数字签名、时间戳、安全认证及安全协议等相关内容；证及安全协议等相关内容；对电子商务支付的法律保障有所了解。对电子商务支付的法律保障有所了解。前导课程：计算机网络、电子商务概论前导课程：计算机网络、电子商务概论课程简介Copyright 2000-2010 毛志斌3INDEX安全与支付概述安全与支付概述安全需求安全需求安全措施安全措施支付系统支付系统电子商务的认证电子商务的认证安全电子交易协议安全电子交易协议安全套接层协议安全套接层协议安全解决方案安全解决方案 Copyright 2000-2010 毛志斌4第一章 电子商务系统 安全与支付概述Copyright 2000-

3、2010 毛志斌5 1.1 电子商务及其发展 1.2 网络信息安全 1.3 电子商务安全规范 1.4 电子商务和支付系统重点难点：网络信息安全的目标、网络信息安全的目标、电子商务系统安全层次、电子商务系统安全层次、电子商务安全规范电子商务安全规范 Copyright 2000-2010 毛志斌6 什么是电子商务：企业利用网络信息技企业利用网络信息技术和电子技术来从事的术和电子技术来从事的外部经营和营销外部经营和营销活动活动以及与这些活动相关的以及与这些活动相关的外部环境外部环境。外部在线商务活动主要包括：外部在线商务活动主要包括：采购、销售、商贸磋商、价格比较、采购、销售、商贸磋商、价格比较、

4、经营决策、营销策略、推销促销、经营决策、营销策略、推销促销、公关宣传、售前公关宣传、售前/售后服务、售后服务、客户关系、咨询服务等客户关系、咨询服务等外部环境：外部环境：安全认证、清算结算、物流配送、安全认证、清算结算、物流配送、信用体系、技术标准、支付体系等信用体系、技术标准、支付体系等 Copyright 2000-2010 毛志斌7传统EDI存在的问题 美国只有美国只有5%5%企业使用企业使用EDIEDI，主要集中在大企业，主要集中在大企业 环境问题环境问题 基于良好的贸易伙伴信任关系而不是权力依赖基于良好的贸易伙伴信任关系而不是权力依赖 能自动接受订单，友好处理错误问题能自动接受订单，

5、友好处理错误问题 费用问题费用问题 系统集成费、入网费、信息传输费系统集成费、入网费、信息传输费 （GEGE系统系统 100100万美元）万美元）安全问题安全问题 保密性、完整性、可用性保密性、完整性、可用性 Copyright 2000-2010 毛志斌8 Internet的产生 ARPA(Advanced Research Project Agency)50年代年代 美国高级研究计划署成立美国高级研究计划署成立 ARPANET 60年代年代 NSFNET的诞生的诞生 80年代年代 用于教育和科研用于教育和科研 National Science Foundation 成立计算机科成立计算机科

6、学网学网 1990年开始年开始,NSFNET 取代取代ARPANET Copyright 2000-2010 毛志斌9中国电子商务市场的复苏 Copyright 2000-2010 毛志斌10中国网民人数增长情况数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）2010年7月 Copyright 2000-2010 毛志斌11用户对当前互联网在如下几方面表现的满意程度及总体满意度：数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）2010年7月非常满意比较满意一般不太满意很不满意网络速度4.3%37.3%37.6%15.3%5.5

7、%费用及收费规则2.8%15.2%47.1%26.5%8.4%安全性2.3%15.0%49.5%25.1%8.1%中文信息的丰富性9.4%43.8%38.9%6.2%1.7%内容的真实性3.0%28.4%45.8%18.0%4.8%内容的健康性2.8%27.3%46.2%18.1%5.6%对个人隐私的保护3.0%18.2%50.1%22.0%6.7%操作简便10.3%50.6%32.8%5.0%1.3%总体满意度2.9%42.2%47.6%6.4%0.9%Copyright 2000-2010 毛志斌12用户不进行网上交易的原因是：交易安全性得不到保障 61.5%产品质量、售后服务得不到保障

8、45.7%担心隐私受侵犯 28.2%条件不允许 23.3%付款不方便 21.7%送货不及时 10.7%价格不够诱人 10.2%商品数量和种类不够丰富 8.3%其他 4.0%数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）2010年7月Copyright 2000-2010 毛志斌13用户一般选择什么送货方式：其它快递：50.8%普通邮寄：39.0%EMS：28.2%航空、铁路发运：2.4%其它：5.4%数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）2010年7月Copyright 2000-2010 毛志斌14用户一般采取哪

9、种付款方式：网上支付：73.8%货到付款（现金结算）：28.1%银行汇款：15.2%邮局汇款：12.4%手机支付：2.4%其它：2.0%数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）2010年7月Copyright 2000-2010 毛志斌15电子商务活动由四大中心组成 认证中心 交易中心 支付中心 配送中心 Copyright 2000-2010 毛志斌16电子商务中的安全问题 Internet给电子商务带来如下的安全问题给电子商务带来如下的安全问题 （1 1）信息泄露）信息泄露 （2 2）信息篡改）信息篡改 （3 3）信息破坏）信息破坏 （4 4）抵赖

10、行为）抵赖行为 电子商务系统安全控制要求：电子商务系统安全控制要求：（1 1）信息的保密性）信息的保密性 （2 2）信息的完整性）信息的完整性 （3 3）身份认证）身份认证 （4 4）不可抵赖性）不可抵赖性 Copyright 2000-2010 毛志斌17电子商务支付系统ConsumerOnline BankCA Copyright 2000-2010 毛志斌18实验一：安全支付现状调查【实验目的实验目的】了解电子商务安全与支付的现实环境了解电子商务安全与支付的现实环境【实验要求实验要求】1 1查找查找CNNICCNNIC第第2626次中国互联网络发展状次中国互联网络发展状况统计报告况统计报

11、告及及第第2525次中国互联网络发展状次中国互联网络发展状况统计报告况统计报告并下载保存并下载保存 2 2阅读、比较其中关于安全支付的数据及阅读、比较其中关于安全支付的数据及分析，了解中国电子商务安全及支付发展的现分析，了解中国电子商务安全及支付发展的现状状,并写出并写出500500字的报告一份。字的报告一份。上机内容 Copyright 2000-2010 毛志斌19第二章 电子商务系统的 安全需求Copyright 2000-2010 毛志斌20本章目录 2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求重点难点：客户机的安全性

12、、通信信道的安全性、客户机的安全性、通信信道的安全性、服务器的安全性、支付系统的安全需求服务器的安全性、支付系统的安全需求 Copyright 2000-2010 毛志斌21安全问题的产生本章重点:识别安全威胁并保护资产免受 这些安全威胁的方法图2.1:风险管理模型IIIIIIIV控制预防不用理会保险或备份计划影响大(成本)影响小(成本)概率低概率高 Copyright 2000-2010 毛志斌22安全策略主要内容n认证：谁想访问电子商务网站谁想访问电子商务网站n访问控制：允许谁访问电子商务网站允许谁访问电子商务网站n保密：谁有权利查看特定的信息谁有权利查看特定的信息n数据完整性：允许谁修改

13、数据允许谁修改数据n审计：在何时由何人导致了何事在何时由何人导致了何事 Copyright 2000-2010 毛志斌23EC系统的安全需求交易交易环境环境交易交易对象对象交易交易过程过程支付支付安全需求安全需求电子商务系统安全需求分为四个方面 Copyright 2000-2010 毛志斌24交易环境的安全交易环境的安全客户机安全性通信信道安全性服务器安全性保护在因特网上的信息传输保护客户机保护电子商务服务器交易环境的安全交易环境的安全 Copyright 2000-2010 毛志斌251.活动内容活动内容2.Java、Java小应用程序和小应用程序和 JavaScript3.ActiveX

14、控件控件4.图形文件、插件和电子邮件图形文件、插件和电子邮件的附件的附件客户机的安全性 Copyright 2000-2010 毛志斌26China SETIhome Group 服务网站服务网站 客户机的安全性 Copyright 2000-2010 毛志斌27Sun公司的公司的Java小应用程序页面小应用程序页面客户机的安全性 Copyright 2000-2010 毛志斌28IE检测到一个检测到一个ActiveX控件时控件时发出的警告信息发出的警告信息客户机的安全性 Copyright 2000-2010 毛志斌29 网景公司的插件页面网景公司的插件页面客户机的安全性 Copyright

15、 2000-2010 毛志斌30通信信道的安全性1.对保密性的安全威胁2.对完整性的安全威胁3.对即需性的安全威胁 Copyright 2000-2010 毛志斌31Anonymizer 主页主页你想匿名访问的网站的URL通信信道的安全性 Copyright 2000-2010 毛志斌32服务器的安全性1.WWW服务器的安全性2.公用网关接口的安全性3.其他程序的安全性 Copyright 2000-2010 毛志斌33服务器的安全性用浏览器显示文件夹名 Copyright 2000-2010 毛志斌34数据库数据库的安全的安全性性:Oracle安全特安全特性网页性网页服务器的安全性 Copy

16、right 2000-2010 毛志斌35其他程序的安全性进程地址空间保留区缓存局部数据返回地址攻击程序Jump内存高端0数据读入缓存并进入到保留区里保存返回地址的区域中缓存溢出攻击 Copyright 2000-2010 毛志斌36 网络安全与黑客 网络攻击常用技术：口令破解口令破解 计算机病毒计算机病毒 拒绝服务攻击拒绝服务攻击 网络监听网络监听 特洛伊木马特洛伊木马 缓冲区溢出缓冲区溢出 Copyright 2000-2010 毛志斌37 Preaking（飞客）对电话交换机的欺骗对电话交换机的欺骗，Boxing Hacker（黑客）热衷于计算机程序的设计者热衷于计算机程序的设计者 Cr

17、acker（克客）攻击者和入侵者攻击者和入侵者“真正的黑客，在于进入而不破坏。”Copyright 2000-2010 毛志斌381.1.不恶意破坏任何的系统不恶意破坏任何的系统,这样作只会给你带来麻烦。恶意破这样作只会给你带来麻烦。恶意破坏它人的软件将导致法律责任坏它人的软件将导致法律责任,如果你只是使用电脑如果你只是使用电脑,那仅为非那仅为非法使用。法使用。注意注意:千万不要破坏别人的文件或数据。千万不要破坏别人的文件或数据。2.2.不修改任何系统文件不修改任何系统文件,如果你是为了要进入系统而修改它如果你是为了要进入系统而修改它,请在达到目的后将它还原。请在达到目的后将它还原。3.3.不

18、要轻易的将你要不要轻易的将你要HackHack的站点告诉你不信任的朋友。的站点告诉你不信任的朋友。4.4.不要在不要在bbs/bbs/论坛上谈论关于你论坛上谈论关于你HackHack的任何事情。的任何事情。5.5.在在PostPost文章的时候不要使用真名。文章的时候不要使用真名。6.6.入侵期间入侵期间,不要随意离开你的电脑。不要随意离开你的电脑。7.7.不要入侵或攻击电信不要入侵或攻击电信/政府机关的主机。政府机关的主机。8.8.不在电话中谈论关于你不在电话中谈论关于你HackHack的任何事情。的任何事情。9.9.将你的笔记放在安全的地方。将你的笔记放在安全的地方。10.10.读遍所有有

19、关系统安全或系统漏洞的文件读遍所有有关系统安全或系统漏洞的文件 (英文快点学好英文快点学好)!)!11.11.已侵入电脑中的帐号不得删除或修改。已侵入电脑中的帐号不得删除或修改。12.12.不得修改系统文件不得修改系统文件,如果为了隐藏自己的侵入而作的修改则如果为了隐藏自己的侵入而作的修改则不在此限不在此限,但仍须维持原来系统的安全性但仍须维持原来系统的安全性,不得因得到系统的控不得因得到系统的控制权而破坏原有的安全性。制权而破坏原有的安全性。13.13.不将你已破解的帐号分享与你的朋友。不将你已破解的帐号分享与你的朋友。Copyright 2000-2010 毛志斌39 1.这世上充满着等着

20、被解决的迷人问题。这世上充满着等着被解决的迷人问题。2.没有任何人必须一再的解决同一个问题。没有任何人必须一再的解决同一个问题。3.无聊而单调的工作是有害的。无聊而单调的工作是有害的。4.自由才好。自由才好。5.态度并非不等效于能力态度并非不等效于能力 6.写免费的软件。写免费的软件。7.帮忙帮忙test和和debug免费的软件。免费的软件。8.公布有用的资讯。公布有用的资讯。9.帮忙维持一些简单的工作。帮忙维持一些简单的工作。10.为为hacker文化而努力。文化而努力。Copyright 2000-2010 毛志斌40口令破解的方法口令破解的方法 利用漏洞、穷举法（蛮力猜测）、利用漏洞、穷

21、举法（蛮力猜测）、直接猜测、字典法破译、直接猜测、字典法破译、网络监听、缺省的登录界面攻击、网络监听、缺省的登录界面攻击、人为失误、获取密码存放文件人为失误、获取密码存放文件 Copyright 2000-2010 毛志斌41保证口令的安全保证口令的安全 注意口令的组合注意口令的组合 防止口令被监听防止口令被监听 防止穷举法和字典式攻击防止穷举法和字典式攻击 加强管理加强管理 Copyright 2000-2010 毛志斌42计算机病毒发展简史 20世纪世纪60年代初，年代初，“磁芯大战磁芯大战”游戏游戏 1977年，年，Thomas.J.Ryan的科幻小说的科幻小说 The Adolesce

22、nce of P-1 1983年年11月月3日，日，Fred Cohen 20世纪世纪80年代末，年代末，“巴基斯坦智囊巴基斯坦智囊”病病毒毒 1988年底，我国发现小球病毒年底，我国发现小球病毒 Copyright 2000-2010 毛志斌43 Copyright 2000-2010 毛志斌44计算机病毒的分类 按计算机病毒存在的媒体分按计算机病毒存在的媒体分 单机病毒、网络病毒、文件病毒、引导型病毒单机病毒、网络病毒、文件病毒、引导型病毒 按攻击对象分按攻击对象分 源码型病毒、嵌入型病毒、源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒外壳型病毒、操作系统型病毒 按计算机病毒的破坏情况

23、分按计算机病毒的破坏情况分 良性计算机病毒、恶性计算机病毒良性计算机病毒、恶性计算机病毒 按病毒特有的算法分按病毒特有的算法分 伴随型病毒、蠕虫型病毒、寄生型病毒伴随型病毒、蠕虫型病毒、寄生型病毒Copyright 2000-2010 毛志斌45网络时代计算机病毒的特点 网络和邮件系统为主要传播途径 传播速度快 危害性大 变种多 难于控制 难于根治、容易引起多次疫情 具有病毒、蠕虫和后门程序的功能 压缩文件成为新的载体 病毒技术发展Java，邮件炸弹阶段 Copyright 2000-2010 毛志斌46DoS攻击原理攻击原理 Copyright 2000-2010 毛志斌47DDoS攻击原理

24、攻击原理 Copyright 2000-2010 毛志斌48DDoS的攻击方法 Hogging 绕过普通操作系统的控制，在主机上运行一个程序，消耗系统资源直到OS失败。如Robert Morris的Internet蠕虫 Copyright 2000-2010 毛志斌49DDoS的攻击方法 Mail bombs 邮件炸弹软件通过伪造大量传输，使邮件服务器处理超过其超负荷能力的信息。Copyright 2000-2010 毛志斌50DDoS的攻击方法 Ping of Death SYN Flooding Zombies Smurf 放大器 Slashdot effect Copyright 200

25、0-2010 毛志斌51DDoS的防范 与网络服务提供商协作 优化路由及网络结构 优化对外提供服务的主机 响应小组 必要的培训 外部安全审核 保证外围主机和服务器的安全 定期使用漏洞扫描软件检查内网 Copyright 2000-2010 毛志斌52网络监听的概念 捕获在网络中传输的数据信息就称为sniffing(窃听)Sniffer通常是软硬件的结合 Copyright 2000-2010 毛志斌53网络监听的检测 注意网速 主机搜索 软件监测：Ifstatus,SSH 分段技术 加密 Copyright 2000-2010 毛志斌54 troyCopyright 2000-2010 毛志斌

26、55Trojan horse 一种恶意程序，在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。由两个部份组成：服务器程序 控制器程序 Copyright 2000-2010 毛志斌56最危险的恶意软件 特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力 如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器 Copyright 2000-2010 毛志斌57最流行的特洛伊木马：Back Orifice Copyright 2000-2010 毛志斌58最流行的特洛伊木马：SubSeven Copyright 2000-2010 毛志斌59木马的种类

27、 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马Copyright 2000-2010 毛志斌60木马的隐藏方式 在任务栏里隐藏 在任务管理器里隐藏 端口 隐藏通讯 隐藏隐加载方式 最新隐身技术 Copyright 2000-2010 毛志斌61特洛伊木马的特性 隐蔽性 自动运行性 包含具有未公开并且可能产生危险后果的功能的程序 自动恢复功能 能自动打开特别的端口 功能的特殊性 Copyright 2000-2010 毛志斌62中木马后出现的状况 浏览器突然自己打开，并且进入某个网站 警告框或者是询问框弹出来 系统配置老是自动莫

28、名其妙地被更改 硬盘老没缘由地读盘 Copyright 2000-2010 毛志斌63木马是如何启动的 1.在Win.ini中启动run=c:windows load=c:windows2.在System.ini中启动 boot字段的shell=Explorer.exe shell=Explorer.exe Copyright 2000-2010 毛志斌64木马是如何启动的 3.利用注册表加载运行 4.在Autoexec.bat和Config.sys中加载运行 5.在Winstart.bat中启动 6.启动组7.*.INI Copyright 2000-2010 毛志斌65木马是如何启动的 8

29、.修改文件关联 HKEY_CLASSES_ROOTtxtopen command下的键值，将“C:WINDOWSNOTEPAD.EXE改为 C:WINDOWSSYSTEMSYSEXPLR.EXE%l 9.捆绑文件 10.反弹端口型木马的主动连接方式 Copyright 2000-2010 毛志斌66被感染后的紧急措施 所有的账号和密码都要马上更改 删掉所有你硬盘上原来没有的东西 检查一次硬盘上是否有病毒存在 Copyright 2000-2010 毛志斌67交易对象过程和安全性电子交易的安全性要求：真实性要求有效性要求机密性要求完整性要求不可抵赖要求 Copyright 2000-2010 毛

30、志斌68网上支付的安全需求网上支付系统的安全需求：身份的合法性对业务的加密业务的完整性业务的不可否认性多边支付问题 Copyright 2000-2010 毛志斌69课堂作业假定你怀疑自己的电子商务网站会受到不怀好意人的攻击，描述一下你的电子商务服务器可能会受到哪几类安全威胁？以你所在大学的网站为例具体说明。就上述两个问题分别写两到三百字的报告Copyright 2000-2010 毛志斌70实验二:客户机的安全【实验目的实验目的】了解电子商务客户机存在的安全了解电子商务客户机存在的安全风险及对应的安全措施风险及对应的安全措施【实验要求实验要求】1防病毒软件的安装和使用防病毒软件的安装和使用

31、2IEIE对安全区的设置对安全区的设置 3检测活动内容检测活动内容 4处理处理cookiecookie 上机内容 Copyright 2000-2010 毛志斌71第三章 电子商务系统的 安全措施Copyright 2000-2010 毛志斌72本章目录 3.1 数据安全 3.2 网络安全性 3.3 应用系统安全重点难点：传统密码体制、公钥体系、传统密码体制、公钥体系、防火墙技术、计算机系统安全防火墙技术、计算机系统安全Copyright 2000-2010 毛志斌73引子:Worm.ExploreZip病毒袭击CSD附件名 z i p p e d _ f i l e s.e x e回复信息H

32、i（Recipient Name）!I received your email and I shall send you a reply ASAP.Till then，take a look at the attached zipped docs.Bye.Copyright 2000-2010 毛志斌74电子商务系统的安全措施 保护电子商务资产 保护知识产权 保护客户机 保护电子商务的通道 保护电子商务服务器 Copyright 2000-2010 毛志斌75一、保护电子商务资产 哪些资产要进行保护 用什么措施进行保护 分析各种安全威胁的可能性 保护这些资产所要执行的各种规定Copyright

33、 2000-2010 毛志斌76二、保护知识产权 阻止某个违法网站的访问：IP阻塞、包过滤、代理服务器 保护数字化作品：软件测量、数字化水印、数字信封 Copyright 2000-2010 毛志斌77三、保护客户机（一）监测活动内容 数字证书数字证书 微软公司的微软公司的Internet Explorer*网景公司的网景公司的Navigator（二）处理cookie（三）使用防病毒软件（四）召集防止计算机犯罪专家 Copyright 2000-2010 毛志斌78四、保护电子商务的通道 交易的保密 加密：散列编码 对称加密 非对称加密 Copyright 2000-2010 毛志斌79恺撒编

34、码 传说恺撒曾用过保密的代码，今天称之为恺传说恺撒曾用过保密的代码，今天称之为恺撒密文。英语字母表就是撒密文。英语字母表就是2626个明文字母，最个明文字母，最简单的加密形式就是用简单的加密形式就是用B B替代替代A A、C C替代替代B B直到直到以以A A替代替代Z Z，这叫作一轮恺撒密文，因为它将，这叫作一轮恺撒密文，因为它将字母表轮转了一位。二轮密文是用字母表轮转了一位。二轮密文是用C C替代替代A A、D D替代替代B B，直到用，直到用B B替代替代Z Z、A A代替代替Y Y。下面所示为。下面所示为恺撒密文进行的加密。在下列密文中，字母恺撒密文进行的加密。在下列密文中，字母被更换

35、了，但空格和标点符号没有改变。大被更换了，但空格和标点符号没有改变。大写形式也未改变。看看你能否用写形式也未改变。看看你能否用n n轮密文来对轮密文来对下列信息解密。下列信息解密。Mjqqt Hfjxfw.Mtb nx dtzw hnvmjw?Xyfd fbfd kwtr ymj Xjsfyj ytifd.Copyright 2000-2010 毛志斌80密码技术密码技术+基于密钥的加密方法有两个元素：基于密钥的加密方法有两个元素：+算法算法与与密钥密钥+加密算法是将普通文本或信息与加密算法是将普通文本或信息与一串数字一串数字（密钥）相结合而产（密钥）相结合而产生密文的规则。是加密解密的一步一

36、步过程生密文的规则。是加密解密的一步一步过程+密钥密钥:这个规则需要一串数字这个规则需要一串数字,这个数字这个数字是密钥是密钥.+例如例如,将字母将字母 a、b、c、d.w、x、y、z 的自然顺序保持不的自然顺序保持不变变,使之与使之与 E、F、G、H.Z、A、B、C、D分别对应，分别对应，即相差即相差4个字母。这条规则就是个字母。这条规则就是加密算法加密算法，其中的，其中的4为为密钥密钥。+若原信息为若原信息为 How are you，按照这个加密算法和密钥，加密后的，按照这个加密算法和密钥，加密后的密文是密文是 LSAEVICSYCopyright 2000-2010 毛志斌81完整性验证

37、原理单向摘要函数单向摘要函数 信息原文的数字化摘要信息原文的数字化摘要 不能根据摘要推出原文不能根据摘要推出原文 计算速度很快计算速度很快 长度为长度为128-160Bits128-160Bits摘要验证摘要验证对接收到的信息重做摘对接收到的信息重做摘要要 -摘要摘要2 2比较摘要比较摘要2 2与摘要与摘要1 1Hashing摘要函数机摘要函数机摘要函数机摘要函数机摘要摘要1 1算法算法:MD2,MD4,MD5,SHA-1 低成低成本，任何大小的信息都可以处理本，任何大小的信息都可以处理信息信息比较比较摘要摘要1 1信息信息信息信息摘要摘要2摘要摘要2摘要摘要1 1 Copyright 200

38、0-2010 毛志斌82对称加密技术密钥密钥加密数据加密数据密钥密钥解密数据解密数据 Copyright 2000-2010 毛志斌83私钥私钥公钥公钥公开密钥加密技术加密数据加密数据解密数据解密数据 Copyright 2000-2010 毛志斌84 对称 公开密钥加解密速度数据量大时的适用性密钥分发容易性密钥管理方便性 对称与公开密钥技术比较对称与公开密钥技术比较 Copyright 2000-2010 毛志斌85两种加密技术应用于两种加密技术应用于EC安全建设安全建设 对称密钥 加密传递的信息 公开密钥 加密“对称密钥”或称数字信封数字信封 =数字信封技术公钥公钥密钥密钥 Copyrig

39、ht 2000-2010 毛志斌86较著名的加密算法和标准 Copyright 2000-2010 毛志斌87五、保证交易的完整性发送和接受签名消息 Copyright 2000-2010 毛志斌88六、安全交易传输加密传输流程图 Alice的 签名私钥 Alice的 签名公钥发送者发送者Alice接收者接收者Bob消息摘要数字签名数字信封Bob的交换私钥数字签名Bob的密钥交换公钥 加密信息加密信息对称密钥加密信息数字信封信息摘要M1信息摘要M2比较数字信封加密加密加密解密解密解密Copyright 2000-2010 毛志斌89 访问控制和认证 操作系统控制 防火墙七、保护电子商务服务器通

40、常是用通常是用数字证书数字证书进行验证进行验证用户名用户名/口令的口令的保护机制保护机制 Copyright 2000-2010 毛志斌90防火墙 Copyright 2000-2010 毛志斌91防火墙是具有以下特征的计算机：防火墙是具有以下特征的计算机：由内到外和由外到内的所有访问由内到外和由外到内的所有访问都必须通过它都必须通过它 只有本地安全策略所定义的合法只有本地安全策略所定义的合法访问才被允许通过它访问才被允许通过它 防火墙本身无法被穿透防火墙本身无法被穿透防火墙 Copyright 2000-2010 毛志斌92从软、硬件形式上分为从软、硬件形式上分为软件防火墙、硬件防火墙、芯片

41、级防火墙软件防火墙、硬件防火墙、芯片级防火墙 从防火墙技术分为从防火墙技术分为“包过滤型包过滤型”和和“应用代理型应用代理型”从防火墙结构分为从防火墙结构分为 单一主机防火墙、路由器集成式防火墙、单一主机防火墙、路由器集成式防火墙、分布式防火墙分布式防火墙 按防火墙的应用部署位置分为按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙边界防火墙、个人防火墙和混合防火墙 按防火墙性能分为按防火墙性能分为 百兆级防火墙、千兆级防火墙百兆级防火墙、千兆级防火墙防火墙类型 Copyright 2000-2010 毛志斌93防火墙根据实现技术分类 数据包过滤 应用级网关 代理服务器 复合型防火

42、墙Copyright 2000-2010 毛志斌94包过滤型防火墙l包过滤型防火墙往往包过滤型防火墙往往可以用一台过滤路由可以用一台过滤路由器来实现，对所接收器来实现，对所接收的每个数据包做允许的每个数据包做允许或拒绝的决定。或拒绝的决定。处理包的速度要比代处理包的速度要比代理服务器快；但防火理服务器快；但防火墙的维护比较困难等墙的维护比较困难等过滤路由器Internet内部网络 Copyright 2000-2010 毛志斌95防火墙根据配置结构分类 屏蔽路由器 双重宿主主机 屏蔽子网 复合型Copyright 2000-2010 毛志斌96屏蔽主机防火墙过滤路由器过滤路由器堡垒主机堡垒主机

43、Internet内部网络这个防火墙系这个防火墙系统提供的安全统提供的安全等级比包过滤等级比包过滤防火墙系统要防火墙系统要高，因为它实高，因为它实现了网络层安现了网络层安全（包过滤）全（包过滤）和应用层安全和应用层安全（代理服务）（代理服务）Copyright 2000-2010 毛志斌97NIC代理代理服务器服务器NICInternet内部网络双宿网关防火墙 拥有两个连拥有两个连接到不同网络接到不同网络上的网络接口上的网络接口的防火墙。两的防火墙。两个网络之间的个网络之间的通信可通过应通信可通过应用层数据共享用层数据共享或应用层代理或应用层代理服务来完成。服务来完成。Copyright 200

44、0-2010 毛志斌98屏蔽子网防火墙外部外部过滤路由器过滤路由器堡垒主机堡垒主机Internet内部网络内部内部过滤路由器过滤路由器最安全的防火墙系最安全的防火墙系统，因为在定义了统，因为在定义了“非军事区非军事区”网络网络后，它支持网络层后，它支持网络层和应用层安全功能。和应用层安全功能。网络管理员将堡垒网络管理员将堡垒主机、信息服务器、主机、信息服务器、Modem组、以及组、以及其它公用服务器放其它公用服务器放在在“非军事区非军事区”网网络中。络中。Copyright 2000-2010 毛志斌99虚拟专网（VPN）技术 是是使分布在不同地方的专用网络在不可使分布在不同地方的专用网络在不

45、可信任的公共网络上实现安全通信的网络信任的公共网络上实现安全通信的网络技术。技术。使用加密信息、身份认证和访问控制等使用加密信息、身份认证和访问控制等技术。技术。VPNVPN产品种类：带产品种类：带VPNVPN功能的路由器、软功能的路由器、软件件VPNVPN系统、专用硬件系统、专用硬件VPNVPN设备等设备等 内部网虚拟专用网、远程访问虚拟专用内部网虚拟专用网、远程访问虚拟专用网、外部网虚拟专用网网、外部网虚拟专用网 Copyright 2000-2010 毛志斌100VPN设备设备路由器路由器VPN设备设备路由器路由器VPN设备设备路由器路由器VPN设备设备路由器路由器专网专网3专专网网2专

46、网专网1专专网网4隧 道隧 道隧 道隧 道隧 道隧 道隧 道隧 道VPN技术结构 Copyright 2000-2010 毛志斌101课后作业简要解释公开密钥加密和私有密钥加密的区别。列举各自的优缺点。列举各自的优缺点。每种算法对用户有什么限制？每种算法对用户有什么限制？请解释原因请解释原因 Copyright 2000-2010 毛志斌102实验三:电子商务服务器的安全【实验目的】【实验目的】了解电子商务服务器存在的安全风险了解电子商务服务器存在的安全风险及对应的安全措施及对应的安全措施【实验要求】【实验要求】1、服务器目录显示的缺省设置服务器目录显示的缺省设置 2、Win2000或或XP下

47、防火墙的设置和使用下防火墙的设置和使用上机内容 Copyright 2000-2010 毛志斌103第四章 电子商务的 支付系统Copyright 2000-2010 毛志斌104本章目录4.1 支付活动及其发展4.2 电子商务支付系统概述4.3 电子支付工具重点难点：电子商务支付系统的构成电子商务支付系统的构成 、电子现金、电子支票、电子现金、电子支票、电子信用卡电子钱包电子信用卡电子钱包Copyright 2000-2010 毛志斌105传统支付方式的局限 运算速度和处理效率比较低运算速度和处理效率比较低 安全问题较多安全问题较多 规范不相同导致应用并不方便规范不相同导致应用并不方便 涉及

48、较多业务部门涉及较多业务部门,运作成本高运作成本高 全天候、跨区域结算难度大全天候、跨区域结算难度大 企业资金回笼有一定滞后期企业资金回笼有一定滞后期Copyright 2000-2010 毛志斌106一、电子商务支付系统InternetCA信用体系信用体系商家：分台商家：分台服务器服务器客户：客户：支付工具支付工具支付网关支付网关支付网关支付网关客户开户行：客户开户行：提供支付工具提供支付工具商家开户行：商家开户行：处理帐单处理帐单银行网络银行网络支付协议支付协议 Copyright 2000-2010 毛志斌107电子现金1、电子现金表现形式 预付卡式预付卡式 纯电子形式纯电子形式 Cop

49、yright 2000-2010 毛志斌108电子现金2、电子现金的性质 独立性独立性 一次使用一次使用 匿名性匿名性 可传递性可传递性 可分解性可分解性 安全存储安全存储 Copyright 2000-2010 毛志斌1093、电子现金的持有 在线存储（联机电子现金系统）在线现金存储意味着是由一个在线现金存储意味着是由一个可信赖的第三方参与到所有的电子可信赖的第三方参与到所有的电子现金转账过程中，并持有消费者的现金转账过程中，并持有消费者的现金账号现金账号 离线存储（脱机电子现金系统）消费者自己的钱包里保存虚拟消费者自己的钱包里保存虚拟货币，不需要可信的第三方参与交货币，不需要可信的第三方参

50、与交易易 Copyright 2000-2010 毛志斌1104、电子现金的优缺点 现金转帐的成本低现金转帐的成本低 电子交易的距离不受限制电子交易的距离不受限制 不象信用卡交易所要求的特不象信用卡交易所要求的特殊认证殊认证 电子货币付税没有审计记录电子货币付税没有审计记录 电子现金可伪造电子现金可伪造 Copyright 2000-2010 毛志斌1115、为电子现金提供安全保证检查重复消费系统 Copyright 2000-2010 毛志斌1126、电子现金系统的密码技术 分割选择技术分割选择技术 零知识证明零知识证明 认证认证 盲数字签名盲数字签名 Copyright 2000-2010