电子商务安全交易技术应用.ppt

* 第6章 电子商务安全交易技术 6.4 电子商务安全交易协议 3.SET工作流程 持卡人 商家 支 付 网 关 收单行 协商 订单 确认 审核 确认 请求 确认 认证中心 认证 认证 认证 发卡行 审核 批准 图6-12 SET协议的工作流程图 * 第6章 电子商务安全交易技术 6.4 电子商务安全交易协议 4.SET协议的缺陷 (1) SET多层次的安全保障增加了协议的复杂性，实施起来有一定难度。 (2) 协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。例如，如果在线商店提供的货物不符合质量标准，消费者提出异议，责任应由谁承担。 (3) 协议没有担保“非拒绝行为”，这意味在线商店无法证明订购是不是由签署证书的消费者发出的。 (4) SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这可能使这些数据尤其是账号信息以后受到潜在的攻击。 * 第6章 电子商务安全交易技术 6.5 防火墙技术 “防火墙”，是指一种在内部网和外部网(如Internet)之间实施安全防范的方法，它实际上是一种隔离技术，一种用来加强网络之间访问控制的特殊网络互联系统。 外部 网络 内 部 网 络 图6-13 防火墙示意图 * 第6章 电子商务安全交易技术 6.5 防火墙技术 6.5.1 防火墙的功能 保护脆弱的服务 控制对系统的访问 集中的安全管理 增强的保密性 记录和统计网络利用数据以及非法使用数据 策略执行 * 第6章 电子商务安全交易技术 6.5 防火墙技术 6.5.2 防火墙的分类 按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙。 1.包过滤防火墙 数据包过滤(Packet Filtering)技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。 * 第6章 电子商务安全交易技术 6.5 防火墙技术 在整个防火墙技术的发展过程中，出现了两种包过滤技术，分别为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙。 第二代动态包过滤类型防火墙。 解析包 上行 进 出 图6-14 包过滤处理 * 第6章 电子商务安全交易技术 6.5 防火墙技术 包过滤方式的优点：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。 但其弱点也是明显的： 过滤判别的依据只是网络层和传输层的有限信息； 在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；； 很容易受到“地址欺骗型”攻击； 对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。 因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 * 第6章 电子商务安全交易技术 6.5 防火墙技术 2.代理防火墙 所谓代理服务器，是指代表客户处理服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户 。 * 第6章 电子商务安全交易技术 6.5 防火墙技术 Internet 真实服务器 外部 响应 转发请求 代理服务器 代理客户 应用协 议分析 Intranet 应用层代理服务 转发响应 请求 真实的 客户端 图6-15 代理的工作方式 * 第6章 电子商务安全交易技术 6.5 防火墙技术 代理防火墙主要有两种类型。即第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙 第二代自适应代理(Adaptive proxy)型防火墙 * 第6章 电子商务安全交易技术 6.5 防火墙技术 代理类型