第6章电子商务安全技术2.ppt_第1页
第6章电子商务安全技术2.ppt_第2页
第6章电子商务安全技术2.ppt_第3页
第6章电子商务安全技术2.ppt_第4页
第6章电子商务安全技术2.ppt_第5页
已阅读5页,还剩58页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第6章 电子商务的安全技术,6.1 电子商务的安全问题及解决方案 6.2 数据加密技术 6.3 电子商务的认证技术 6.4 防火墙技术,6.1安全问题及其解决方案,2000年2月,互联网最为严重的黑客事件 “电子珍珠港”事件,2月7日,美国雅虎网站(Yahoo)遭到攻击,大部分网络服务陷于瘫痪; 2月8日,电子商务网站遭到攻击:当天股市的网络销售公司购买网站死机,随后世界最著名的网络拍卖行网站(eBay)、著名电子商务网站亚马逊(Amazon)也被迫关闭多个小时。 2月9日,电子商务网站再度遭殃,电子交易网站遭到攻击,科技新闻网站ZDNet中断2个小时。,6.2数据加密技术,6.2.1加密技术

2、概述 加密就是将数据进行编码,使它成为一种不可理解的形式,这种不可理解的内容叫做密文。加密算法用基于数学计算方法与一串数字(密钥)对普通的文本(信息)进行编码,产生不可理解的密文的一系列步骤。密钥用于加密和解密的可变参数。发送方将消息在发送到公共网络或互联网之前进行加密,接收方收到消息后对其解码或称为解密,所用的程序称为解密程序,这是加密的逆过程。,2)加密和解密的示范 以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为17,数学算法为将明文加上密钥17,就得到一个密码表 表9.3.1 一个简单的密码表,源信息(明文),密钥加密,加密后的

3、信息(密文),因特网,加密后的信息(密文),密钥解密,源信息(明文),6.2.2加密的分类 按密钥和相关加密程序类型可把加密分为:数字摘要、对称加密和非对称加密。,(1)对称加密 对称加密又称私钥加密,它用且只用一个密钥对信息进行加密和解密,加密解密过程,加密算法: DES(Data Encryption Standard) 加密算法优点:加密解密速度快 加密算法缺点: 如何才能把密钥安全地送到收信方,是对称密 钥加密技术的突出问题。 多人通信时密钥的组合数量会出现爆炸性的膨胀,使密钥分发更加复杂化。 如果发信者与收信人素不相识,就无法向对方发送秘密信息了。 对称密钥体系难以解决电子商务系统中

4、的数字签名认证问题。,数据加密标准DES,DES(Data Encryption Standard)是最通用的计算机加密算法。,DES的产生,美国国家标准局(NBS)1972年开始征集满足下列条件的标准加密算法:,密码的规定明确而严谨。 能通过破译密钥所需时间与计算量来表示它的安全性。 安全性只依赖于密钥的安全性,不依赖于算法的安全性。,DES的产生(续),1974年8月27日,NBS开始第二次征集,IBM提交了算法LUCIFER,该算法由IBM的工程师在19711972年研制 1975年3月17日,NBS公开了全部细节 1976年,NBS指派了两个小组进行评价 1976年11月23日,采纳为

5、联邦标准,批准用于非军事场合的各种政府机构 1977年1月15日,正式确定为美国的统一数据加密标准DES。,DES加密的数据流程,明文分组:64位 密钥长度:64位,其中8位为奇偶校验位。,DES综合运用了置换、迭代相结合的密码技术,把明文分成64位大小的块,使用56位密钥,迭代轮数为l6轮的加密算法。DES密码算法输入的是64比特的明文,通过初始置换IP变成T0=IP(T),再对T0经过16层的加密变换,最后通过逆初始置换得到64比特的密文。反之输入64比特的密文,输出64比特的明文。,关于DES的评价,DES的保密性 除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。 影响最

6、大,应用最广 密钥长度的争论 关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击,因为密钥量只有 个。,关于DES的评价,1997年1月28日,美国的RSA数据安全公司在RSA安全年会上公布了一项“秘密密钥挑战”竞赛,其中包括悬赏1万美元破译密钥长度为56比特的DES。美国克罗拉多洲的程序员Verser从1997年2月18日起,用了96天时间,在Internet上数万名志愿者的协同工作下,成功地找到了DES的密钥。 1998年7月电子前沿基金会(EFF)使用一台25万美圆的电脑在56小时内破译了56比特密钥的DES。,21世纪高级加密标准,1997年4月15

7、日,NIST(美国国家标准和技术研究所 )征集AES(Advanced Encryption Standard,高级加密标准)以代替DES算法。,NIST制定的AES标准提纲为: 1 AES是公开的; 2 AES是分组密码单钥体制,分组长度为128比特; 3AES的密钥长度可变,可以为128,192或256比特并可根据需要增加; 4 AES可以用软件和硬件实现; 5 AES可以自由使用; 满足以上条件的AES,依据以下特性判断优劣:安全性、计算机效率、内存要求、使用简便性和灵活性。,(2)非对称加密 (公钥加密) 1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发

8、明了 RSA公开密钥密码系统。在此系统中有一对密码,给别人用的就叫公钥,给自己用的就叫私钥。用公钥加密后的密文,只有私钥能解。,RSA算法的理论基础: 大数分解:两个大素数相乘在计算上是容易实现的,但将该乘积分解为两个大素数因子的计算量却相当巨大。 素数检测:素数检测就是判定一个给定的正整数是否为素数。,RSA的算法如下: 选取两个足够大的质数P和Q ; 计算P和Q相乘所产生的乘积n PQ; 找出一个小于n的数e ,使其符合与 (P1)(Q 1)互为质数; 另找一个数d,使其满足(ed)MOD(P1)(Ql)1其中MOD(模)为相除取余;(n,e)即为公钥;(n,d)为私钥。 加密和解密的运算

9、方式为:明文MCd(MOD n);密文CM e(MOD n ),假定P 3,Q 11,则n = PQ 33,选择 e =3,因为3和20没有公共因子。(3d)MOD(20)1,得出d7。从而得到(33,3)为公钥;(33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为将密文C 的7次方模33得到明文。下表显示了非对称加密和解密的过程。,加密算法: RSA(RivestShamirAdelman) 加密算法缺点:加密解密速度慢 加密算法优点 公钥没有特殊的发布要求,可以在网上公开 可实现数字签名 安全性强,整数n的十进制位数 因子分解的运算次数 所需计算时间(每微秒一次) 5

10、01.4x10103.9小时 759.0 x1012104天 1002.3x101574年 2001.2x10233.8x109年 3001.5x10294.0 x1015年 5001.3x10394.2x1025年,RSA的安全性,1977年,科学美国人悬赏征求分解一个129位十进数(426比特),直至1994年4月,才由包括5大洲43个国家600多人参加,用1600台机器同时产生820条指令数据,通过Internet网,耗时8个月,利用二次筛选法分解出64位和65位的两个因子,原来估计要用4亿亿年。这是有史以来最大规模的数学运算。,1999.8.22,荷兰H.Riele领导的一群来自6个国

11、家的数学家和计算机科学家耗时7个月并动用292台计算机,破解了RSA155( 512-bit )加密系统的数字密码。,512-bit RSA在电子商务中所占的比例为95%,个人需要用384或512比特位的N, 公司需要用1024比特位的N 极其重要的场合应该用2048比特位的N,RSA的缺陷,产生密钥麻烦,速度慢,RSA和DES的优缺点正好互补。 RSA的密钥很长,加密速度慢,而采用DES,正好弥补了RSA的缺点。即DES用于明文加密,RSA用于DES密钥的加密。RSA又解决了DES密钥分配的问题。 PEM,其他的公钥加密体制: 背包加密体制、EIGamal加密体制、椭圆曲线加密等,(3)数字

12、摘要 即Hash编码法,即从原文中通过Hash算法而得到的一个固定长度的散列值(一般是160位或者128位)。,性质,对同一数据使用同一hash函数,其运算结果是一样的。 Hash函数具有运算结果不可预见性。 Hash 函数具有不可逆性。,6.3电子商务的认证技术,6.3.1数字签名(电子签名) 1)数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。,2)过程,用户B真的在文件上签了名(身份认证) 用户B真的发送了信息(非否认性)。 如果信息有了任何改动,摘要就会不匹配(数据完整性)。,6.3.2

13、数字信封,数字信封是用密码技术的手段保证只有规定的收信人才能阅读信息的内容。,发 送 方,原文,密钥,加密,数字信封,接收方公钥,密文,原文,密钥,解密,接 收 方,接收方私钥,6.3.3数字时间戳,1)数字时间戳的概念 数字时间戳服务(Digital TimeStamp Service DTSS)是用来证明消息的收发时间的。用户首先将需要加时间戳的文件经加密后形成文档,然后将摘要发送到专门提供数字时间戳服务的权威机构,该机构对原摘要加上时间后,进行数字签名,用私钥加密,并发送给原用户。 需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。作为可信赖的第三方,应请求为服务器端和客户端应用颁发时

14、间戳。打上时间戳就是将一个可信赖的日期和时间与数据绑定在一起的过程。,2)时间戳产生的过程 用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTSS认证单位。DTSS认证单位在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。 书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由DTSS认证单位来加的,并以收到文件的时间为依据。,3)数字时间戳的作用 (1)对已加盖时间戳的文件不可能做丝毫改动。 (2)要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。,6.3.3数字证书 (1)数字证书的概念 数字证书是一个担保个人、

15、计算机系统或者组织的身份和密钥所有权的电子文档。 (2)数字证书的类型 客户证书证实客户身份和公钥所有权。 服务器证书证实服务器的身份和公钥。 安全邮件证书证实电子邮件用户的身份和公钥。 CA机构证书证实认证中心身份和认证中心的签名密钥。,(3)数字证书的内容 l证书拥有者的姓名; l证书拥有者的公钥; l公钥的有限期; l颁发数字证书的单位; l 颁发数字证书单位的数字签名; l数字证书的序列号等。,查看证书内容(1),查看证书内容(2),查看证书内容(3),(4)认证中心(CA) 电子商务认证授权机构也称为电子商务认证中心(Certificate Authority,CA)。CA就是承担网

16、上安全电子交易的认证服务,它能签发数字证书,并能确认用户身份的服务机构。CA通常是一个服务性机构,主要任务是受理数字证书的申请,签发及管理数字证书。,2)认证中心的职能 认证中心具有下列4大职能: (1)证书发放 可以有多种方法向申请者发放证书,可以发放给最终用户签名的或加密的证书。 (2)证书更新 持卡人证书、商户和支付网关证书应定期更新,更新过程与证书发放过程是一样的。 (3)证书撤消 证书的撤消可以有许多理由,如私钥被泄密,身份信息的更新或终止使用等。 (4)证书验证 认证证书是通过信任分级体系来验证的,每一种证书与签发它的单位相联系,沿着该信任树直接到一个认可信赖的组织,就可以确定证书

17、的有效性。,3)认证体系的结构 认证体系呈树型结构,根据功能的不同,认证中心划分成不同的等级,不同等级的认证中心负责发放不同的证书。 CA体系示意图,(5)世界著名的认证中心Verisign 世界上较早的数字证书认证中心是美国的Verisign公司()。 认证中心VeriSign的主页,(6)中国知名的认证中心 中国数字认证网( ) 中国金融认证中心( ) 中国电子邮政安全证书管理中心( ) 北京数字证书认证中心() 广东省电子商务认证中心() 上海市电子商务安全证书管理中心有限公司() 海南省电子商务认证中心() 天津CA认证中心( 山东省CA认证中心(),(7)数字证书的申请第一步:下载并

18、安装根证书,下载根证书(1),下载根证书(2),安装根证书(1),安装根证书(2),查看根证书,申请个人免费证书,第二步:申请证书,下载个人证书,查看个人证书,第三步: 将个人身份信息连同证书序列号一并邮寄到中国 数字认证网,个人数字证书,(8)数字证书应用操作实例(个人证书在安全电子邮件中的应用) 1 .在Outlook Express 5 发送签名邮件: 1)在Outlook Express 5中设置证书 2)发送签名邮件。,在Outlook Express中设置证书(1),在Outlook Express中设置证书(2),在Outlook Express中设置证书(3),发送签名邮件,收到签名邮件的提示信息,6.4防火墙技术,6.4.1防火墙的概念 1)防火墙的定义 防火墙是在内部网和互联网之间构筑的一道屏障,是在内外有别及在需要区分处设置有条件的隔离设备,用以保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯。,.2)防火墙系统的功能和不足之处 1)防火墙的主要功能 保护易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 提高报警服务 对网络访问进行日志记录和统计,2)防火墙系统的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论