第十章电子商务安全技术

第十章电子商务安全技术,10.1网络安全及防火墙技术10.2加密技术10.3认证技术,案例：“互联网”事件,1988年11月2日，美国康奈尔大学学生罗伯特.莫瑞斯将自己编写的蠕虫程序送进互联网，蠕虫病毒程序具有很强的自我复制功能，快速向整个互联网蔓延。莫瑞斯开始以为无害的程序，以惊人的速度袭击了庞大的互联网，当发现情况不妙是，他本人对此已无法控制。蠕虫病毒程序造成大量数据被破坏，整个经济损失估计达9600万美元。这次“互联网”事件极大震惊了网络安全人员和其它专业人员，为网络安全敲响警钟，使网络安全成为最迫切的研究课题。,电子商务安全技术-安全体系,10.1网络安全及防火墙技术,影响电子商务广泛应用的首要问题：安全问题电子商务安全与网络安全网络安全漏洞多网页篡改、网页仿冒总之:不是一堵防火墙或一个电子签名能解决,网络安全分类,物理安全问题网络安全问题网络病毒的威胁黑客攻击系统的漏洞,电子商务涉及的安全问题,商家可能面临的安全问题系统破坏遭受攻击或自然破坏恶意订单竞争对手或客户资料泄露客户资料泄露,客户可能面临的安全问题虚假订单收不到货机密性丧失个人信息可能被泄露拒绝服务合法用户得不到服务,银行可能面临的安全问题中断攻击系统的可能性窃听攻击系统的机密性篡改攻击系统的完整性伪造攻击系统的真实性,信息的安全问题,冒名窃听篡改数据信息丢失信息传递出问题,信用的安全问题,来自买方的安全问题来自卖方的安全问题买卖双方都存在抵赖的情况,安全的管理问题,中介管理问题人员管理安全管理员安全管理规范,安全的法律保障问题,技术先进超前法律滞后,防火墙技术,防火墙的构成,防火墙的分类,根据使用对象和构成的不同，防火墙可以分为以下四类：个人防火墙软件防火墙一般硬件防火墙纯硬件防火墙,包过滤防火墙,包过滤防火墙的特性,代理服务器的作用有四个：,提高访问。因为客户要求的数据存于代理服务器的硬盘中，因此下次这个客户或其它客户再要求相同目的站点的数据时，就会直接从代理服务器的硬盘中读取，代理服务器起到了缓存的作用，对热门站点有很多客户访问时，代理服务器的优势更为明显。代理可以起到防火墙的作用。因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点，因此在代理服务器上就可以设置相应的限制，以过滤或屏蔽掉某些信息。这是局域网网管对局域网用户访问范围限制最常用的办法，也是局域网用户为什么不能浏览某些网站的原因。拨号用户如果使用代理服务器，同样必须服从代理服务器的访问限制，除非你不使用这个代理服务器。,通过代理服务器访问一些不能直接访问的网站。互联网上有许多开放的代理服务器，客户在访问权限受到限制时，而这些代理服务器的访问权限是不受限制的，刚好代理服务器在客户的访问范围之内，那么客户通过代理服务器访问目标网站就成为可能。国内的高校多使用教育网，不能出国，但通过代理服务器，就能实现访问因特网，这就是高校内代理服务器热的原因所在。安全性得到提高。无论是上聊天室还是浏览网站，目的网站只能知道你来自于代理服务器，而你的真实IP就无法测知，这就使得使用者的安全性得以提高。,包过滤与代理服务的比较,10.2加密技术,1.密码学的含义密码学是研究加密和解密变换的一门科学。它包含两个分支，一是密码编码学；另一个是密码分析学。密码编码学是对信息进行编码，实现隐蔽信息的一门学科。密码分析学是研究分析破译密码的学科。即在未知密钥的情况下，从密文推出明文或密钥的技术。密码学正是在这种破译和反破译的过程中发展起来的，这两门学问合起来就称为密码学。,2.密码系统中的几个概念明文:人们将可懂的文本称为明文。密文:将明文变换成的不可懂的文本称为密文。加密:把明文变换成密文的过程叫加密。解密:把密文变换成明文的过程叫解密。密码体制:完成加密和解密的算法称为密码体制。在计算机上实现的数据加密算法，其加密或解密变换是由一个密钥来控制的。密钥:是由使用密码体制的用户随机选取的，密钥成为唯一能控制明文与密文之间变换的关键，它通常是一随机字符串。,1.对称密钥密码体制,数据加密标准DESDES（DataEncryptStandard）是对称加密算法中最具代表性的。DES算法原是IBM公司为保护产品的机密研制成功的，后被美国国家标准局和国家安全局选为数据加密标准，并于1977年颁布使用。对称密钥算法提供了一种保护信息机密性的途径。,对称密钥数据加/解密过程示意图,对称加密技术（DES）的优缺点,对称加密技术（DES）的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。对称加密技术要求通信双方事先交换密钥，当系统用户多时，例如在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对称密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题。,2.非对称密钥密码体制,非对称密钥密码体制最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥公开密钥和秘密密钥。1.RSA算法1977年，Rivest、Shamir和Adleman三人实现了公开密钥密码体制，并以三个人名字的首字母命名，简称RSA公开密钥体制。,RSA算法,非对称密钥数据加/解密过程示意图,公开密钥技术（RSA）的优缺点,公开密钥技术解决了密钥的发布和管理问题，商户可以公开其公开密钥，而保留私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给该商户，然后由商户用自己的私有密钥进行解密。虽然公钥体制消除了秘密密钥共享的问题，但并没有一个完整的解决方案，仍然有很多的缺点。相对于对称密钥算法来说，公钥算法计算速度非常慢。另外，公钥算法也要求一种使公钥能广为发布的方法和体制，所以把公钥算法和对称算法结合起来不失为一种最佳的选择。,对称与非对称加密体制对比,10.3认证技术,数字证书（Digitalcertificate，DigitalID），就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITUX.509国际标准。它是由权威机构CA机构，又称为证书授权（CertificateAuthority）中心发行的，人们可以在网上用它来识别对方的身份。,数字证书采用非对称密钥体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。,数字证书的功能,生成公钥/私钥证书的申请证书的签发证书的验证证书的查询证书的撤销,数字证书的分类,1）个人数字证书：仅仅为某一个用户提供数字证书2）企业数字证书：标识证书持有企业的身份3）服务器证书：标识证书持有服务器的身份4）企业代码签名证书：对开发的软件进行数字签名或对软件开发者的身份进行认证5）安全电子邮件证书：对普通电子邮件作加密和数字签名处理,数字证书的组成,一个标准的X.509数字证书内容,证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；,证书的有效期，现在通用的证