电子商务概述课程教学设计项目6电子商务安全技术.docx
《电子商务概述课程教学设计项目6电子商务安全技术.docx》由会员分享,可在线阅读,更多相关《电子商务概述课程教学设计项目6电子商务安全技术.docx(17页珍藏版)》请在冰点文库上搜索。
电子商务概述课程教学设计项目6电子商务安全技术
项目6电子商务安全技术
一、教学目标
1.了解电子商务安全的内容。
2.了解网络安全保障技术。
3.熟悉网络认证系统。
4.了解防火墙的原理、基本类型等。
二、课时分配
本项目共4个任务,安排8课时。
三、教学重点
随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络自身的脆弱性等各方面的严峻挑战。
因此如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户十分关心的重大问题。
四、教学难点
熟悉网络认证系统。
五、教学内容
任务1电子商务安全的内容
活动1电子商务安全概述
1.电子商务安全威胁的类别
(1)信息的截获和窃取:
由于没采用加密措施,数据信息在网络上以明文的形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
(2)信息的篡改:
入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络中传送的信息数据在中途修改,然后再发向目的地。
信息的篡改有如下三种方式:
篡改:
改变信息流的次序,更改信息的内容。
删除:
除去某个消息或消息的某些部分。
插入:
在信息中插入一些信息,让接收方读不懂或接收到错误的信息。
(3)假冒信息:
掌握了数据的格式后,可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者获取信息,远端用户通常很难分辨。
(4)交易抵赖:
由于电子商务在无纸化条件下进行,信息的发送方在发送信息后或接收方在接收信息后否认已有的操作。
2.电子商务对安全的基本要求
电子商务安全的基本要求主要体现在以下几个方面。
(1)保密性:
保证个人的、专用的高度敏感信息的机密。
(2)认证性:
确认通信双方的身份合法。
(3)完整性:
保证所有存储和管理的信息不被篡改。
(4)可访问性:
保证系统数据和服务能由合法人员访问。
(5)防御性:
能阻挡不希望的信息或黑客的访问。
(6)不可否认性:
防止通信或交易双方对已进行业务的否认。
(7)合法性:
保证各方的业务符合法律、法规。
活动2电子商务安全的分类
1.计算机网络安全
计算机网络安全是指计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
2.商务交易安全
商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
活动3电子商务的安全结构层次
一个安全的电子商务体系结构如下图所示。
安全电子商务体系结构
任务2网络安全保障技术
活动1加密技术
1.数据加密技术的基本概念
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密解密过程
2.对称加密技术
对称加密技术从传统的简单换位代替密码发展而来,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。
对称加密技术最具代表性的算法是IBM公司提出的DES算法,该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准。
DES算法的一般过程
(1)初始置换(Permutation):
是按照固定的矩阵进行(换位),此部分与密钥无关。
(2)子密钥生成:
外部输入的56位密钥(64位中去掉8个校验位)通过置换和移位操作生成加密和解密需要的16个48位的子密钥。
(3)末置换:
与初始置换类似,与密钥无关的矩阵转换。
(4)乘积变换:
该过程与密钥有关,且较复杂,是加密/解密过程的关键。
该过程包括线性变换和非线性变换。
3.非对称加密技术
1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出了一种新的密钥交换协议,允许在不安全的媒体上通讯双方交换信息,且达成一致的密钥,这就是“公开密钥系统”。
相对于“对称加密算法”这种方法也叫做“非对称加密算法”。
RSA算法具有如下特点:
密钥管理简单、便于数字签名、可靠性较高、算法复杂,加密/解密速度慢,难于实现。
活动2数字签名(DigitalSignature)
对文件加密只解决了传送信息的保密问题,要防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其他手段,该手段就是数字签名。
数字签名的功能如下:
(1)接收方能够确认发送方的签名,但不能伪造。
(2)发送方发出签过名的信息后,不能再否认。
(3)接收方对接收到的签名信息也不能否认。
(4)一旦接收方出现争执,仲裁者可有充足的证据进行评判。
数字签名的实现过程如下:
(1)信息发送者使用单向散列函数(Hash函数)对信息生成信息摘要。
(2)信息发送者使用自己的私钥签名信息摘要。
(3)信息发送者把信息本身和已签名的信息摘要一起发送出去。
(4)信息接收者通过使用与信息发送者使用的同一个单向散列函数(Hash函数)对接收的信息本身生成新的信息摘要,再使用信息发送者的公钥对信息摘要进行验证,以确认信息发送者的身份和信息是否被修改过。
活动3网络安全协议
1.SSL安全套接层协议(SecureSocketsLayer)
(1)SSL安全协议
SSL安全协议最初是由NetscapeCommunication公司设计开发的,主要用于提高应用程序之间数据的安全系数。
(2)SSL安全协议提供的服务
①用户和服务器的合法性认证
②加密数据以隐藏被传送的数据
③保护数据的完整性
(3)安全套接层协议实现过程
安全套接层协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护,其实现过程主要经过如下几个阶段:
①接通阶段:
客户机通过网络向服务器打招呼,服务器回应。
②密码交换阶段:
客户机与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法。
③会谈密码阶段:
客户机与服务器间产生彼此交谈的会谈密码。
④检验阶段:
客户机检验服务器取得的密码。
⑤客户认证阶段:
服务器验证客户机的可信度。
⑥结束阶段:
客户机与服务器之间相互交换结束的信息。
2.SET安全电子交易协议(SecureElectronicTransaction)
SET协议要达到的目标主要有如下五个:
(1)保证电子商务参与者信息的相互隔离,客户的资料加密或打包后经过商家到达银行,但是商家不能看到客户的账户和密码信息。
(2)保证信息在Internet上安全传输,防止数据被第三方窃取。
(3)解决多方认证问题,不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。
(4)保证了网上交易的实时性,使所有的支付过程都是在线的。
(5)规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET安全协议的工作原理主要包括以下几个步骤:
(1)消费者利用已有的计算机通过因特网选购物品,并发送电子订单。
(2)通过电子商务服务器与网上商场联系,网上商场做出应答,告诉消费者订单的相关情况。
(3)消费者选择付款方式、确认订单、签发付款指令(此时SET介入)。
(4)在SET中,消费者必须对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费者的账号信息。
(5)在线商店接受订单后,向消费者所在的银行请求支付认可,信息通过支付网关到收单银行,再到电子货币发行公司确认,批准交易后,返回确认信息给在线商店。
(6)在线商店发送订单确认信息给消费者,消费端软件可记录交易日志,以备将来查询。
(7)在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到在线商店的账号,或通知发卡银行请求支付。
任务3网络认证系统
活动1网络认证技术
1.网络认证的目的和基本功能
(1)网络认证的目的:
验证信息发送者的真实性,此为实体认证,包括信源、信宿等的认证和识别;验证信息的完整性,此为消息的认识、验证数据在传送或存储的过程中是否被篡改、重做或延迟等。
(2)网络认证的基本功能
①可信性:
信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者发出的。
②完整性:
要求信息在传输过程中保证其完整性,即信息接收者能够确认所获得信息在传输过程中没被修改、延迟和替换等。
③不可抵赖性:
要求信息发送方不能否认自己所发出的信息,同样,信息的接收方也不能否认收到的信息。
④访问控制:
拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源。
2.认证中心简介
认证中心主要有以下几种功能。
(1)证书的颁发
认证中心接收、验证用户的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书的申请。
(2)证书的更新
认证中心定期更新所有用户的证书,或者根据用户的请求来更新用户的证书。
(3)证书的查询
证书的查询可以分为两类:
其一是证书申请的查询,认证中心根据用户的查询请求返回当前用户证书申请的处理过程;其二是用户证书的查询,这类查询由目录服务器来完成,目录服务器根据用户的请求返回适当的证书。
(4)证书的作废
当用户的私钥由于泄密等原因造成用户的证书需要申请作废时,用户需要向认证中心提出证书作废的请求,认证中心根据用户的请求确定是否将该证书作废。
(5)证书的归档
证书具有有效期,证书过了有效期之后将作废,但是我们不能将作废的证书简单地丢弃,因为有时我们可能需要验证以前的某个交易过程中产生的数字签名,这时我们就需要查询作废的证书。
活动2数字证书
1.数字证书的含义
数字证书就是互联网通信中标志通信各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
它是由一个由权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发行的,可以在网上用它来识别对方的身份。
2.原理
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。
3.特点
(1)安全性。
①为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性地推出双证书解决方案:
支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。
②第二张证书不能备份,会员必须为每一台计算机重新申请一张
③支付盾是一个类似于U盘的实体安全工具,它内置的微型智能卡处理器能阻挡各种的风险,让您的账户始终处于安全的环境下。
(2)唯一性。
①支付宝数字证书根据用户身份给予相应的网络资源访问权限。
②申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有了类似“钥匙”一样的数字凭证,增强账户使用安全。
(3)方便性。
①即时申请、即时开通、即时使用。
②量身定制多种途径维护数字证书,例如通过短信,安全问题等。
③不需要使用者掌握任何数字证书相关知识,也能轻松掌握。
一个标准的X.509数字证书主要包含以下内容:
(1)证书的版本信息。
(2)证书的序列号,每个证书都有一个唯一的证书序列号。
(3)证书所使用的签名算法。
(4)证书的发行机构名称(命名规则一般采用X.500格式)及用私钥的签名。
(5)证书的有效期。
(6)证书使用者的名称及其公钥的信息。
2.数字证书的类型
数字证书有如下三种类型:
(1)个人证书(PersonalDigitalID):
也称浏览器证书,是指由CA认证中心颁发的、安装在客户浏览器端使用的个人或企业证书。
(2)企业(服务器)证书(ServerID):
该证书是CA认证中心颁发的、安装在服务器上用以证明服务器身份的证书。
(3)软件(开发者)凭证(DeveloperID):
它通常为因特网中被下载的软件提供数字证书。
任务4防火墙
活动1防火墙原理
防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵措施。
从狭义上讲,防火墙是指两个网络之间访问控制的一个或一组网络设备,是安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括整个网络的安全策略和安全行为,是一整套保障网络安全的手段。
防火墙的原理
活动2防火墙的基本类型
1.数据包过滤
(1)包过滤的优点
①一个过滤路由器能协助保护整个网络。
②数据包过滤对用户透明。
③过滤路由器速度快、效率高。
(2)包过滤的缺点
①不能彻底防止地址欺骗。
②一些应用协议不适合于数据包过滤。
③正常的数据包过滤路由器无法执行某些安全策略。
④数据包工具存在很多局限性。
2.应用级网关
应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
3.代理服务
代理服务(ProxyService)也称链路级网关(CircuitLevelGateways)或TCP通道(TCPTunnels),也有人将它归为应用级网关。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
代理服务
活动3防火墙对非法入侵的防范
系统采用防火墙可以防止非法入侵,其防范功能主要体现在以下几个方面:
1.防止易受攻击的服务
防火墙可以极大地提高网络的安全性,并通过过滤不安全的服务来降低子网上主系统所冒的风险。
2.控制访问网点系统
防火墙还有能力控制网点系统的访问。
3.集中安全性
如果一个子网大部分需要改动的软件及附加的安全软件集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中,便于管理。
4.增强保密性、强化私有权
对一些站点而言,私有性是很重要的。
5.很方便地监视网络的安全性并报警
防火墙对通过的访问可以进行记录,并提供有关网络使用率的有价值的统计数字。
6.采用NAT(NetworkAddressTranslation,网络地址变换)技术
利用NAT技术将有限的IP地址动态或静态地与内部的IP地址对应起来,对外屏蔽内部网络结构和IP地址,保护内部网络的安全。
7.政策执行
防火墙可提供实施和执行网络访问政策的工具,事实上,防火墙可向用户和服务提供访问控制。
其局限性主要体现在以下几个方面:
(1)防火墙无法阻止绕过防火墙的攻击。
(2)防火墙无法阻止来自于内部网络的攻击。
(3)防火墙无法阻止感染了病毒的软件或文件的传输。
(4)防火墙无法防止使用服务器系统漏洞进行的攻击。
(5)防火墙无法防止利用TCP/IP协议中的缺陷进行的攻击。
(6)防火墙无法防范新的网络安全问题。
(7)防火墙限制了某些有用的网络服务。
(8)防火墙无法防止数据驱动式的攻击。
上机实战
一、学习目的
1.掌握网上申请数字证书的方法。
2.掌握证书的下载、安装的环节。
3.掌握数字证书导入方法。
二、操作步骤
1.打开中国数字认证网(),如下图所示。
中国数字认证网首页
2.填写用户信息,注册新用户,如下图所示。
新用户注册
3.登录后,单击用表格申请证书,填写申请表,如下图所示。
用表格申请证书
4.单击保存,如下图所示。
安装证书界面
5.单击安装证书后,弹出提示框,如下图所示。
安装证书提示框
单击“确定”按钮后,进入下载证书界面,下载证书,如下图所示。
下载证书界面
6.证书下载完成后,单击“安装”按钮,进入证书导入向导,如下图所示。
证书导入向导
7.单击“下一步”按钮,选择证书存储的位置,如下图所示。
选择证书存储位置
8.单击“下一步”按钮,进入证书导入完成界面,单击“完成”按钮,提示导入成功如图所示。
证书导入完成界面
六、课后作业
完成每个项目的项目习题。
升级会员 