《《精编》电子商务安全技术(双语版)》由会员分享,可在线阅读,更多相关《《精编》电子商务安全技术(双语版)(38页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全技术 双语版 Case Biblifind公司 Bibliofind公司成立于1996年 是第一家专门销售绝版书的网站 网站上有非常专业的绝版书检索引擎 这个检索引擎的数据库是公司对全球供应商网络日调查结果 注册客户可按照书名 价格和版次进行检索 访问者也可以登记书单 到货后会发电子邮件通知 该公司有庞大的客户群 良好的口碑以及绝版书供应网 这些优势是其他网上书店难以比拟的 2001年 公司的网站被黑了 骇客侵入了公司的服务器 更换了主页 公司不得不把网站关闭了几天 全面检查网站的安全性 在技术人员审查服务器日志时 发现破坏主页只是冰山一角 记录显示黑客已侵入计算机系统四个多月 更
2、糟糕的是 有些黑客能通过WWW服务器进入存储客户信息 包括客户姓名 地址和信用卡号 的计算机 这些客户信息是以文本格式存储在公司的交易服务器上 该公司立即报告州和联邦执法机构调查这次黑客事件 并且向9 8万名客户发出了电子邮件 提醒客户信息可能已被黑客获取了 官方的调查既没有逮捕责任人 也没有发现嫌犯 许多客户知道后都非常愤怒 在攻击事件一个月后 Bibliofind被关闭了 一家成功的企业因不能保存客户信息而毁于一旦 Case Biblifind公司 本章重点 电子商务的安全是一个非常重要的问题 只有网上交易做到了安全可靠 客户才能接受和使用这种交易方式 电子商务才能顺利开展下去 电子商务的
3、安全性不是一个孤立的概念 它是由计算机安全性 尤其是计算机网络安全性发展而来的 本章重点 电子商务安全需求电子商务的安全隐患及安全电子商务结构对称密钥加密体制及公开密钥加密体制认证技术与数字证书数字时间戳网络通信中的加密方式防火墙技术 电子商务安全概述 电子商务安全需求TheBasicRequirementsforECSecurity信息保密性的需求Secrecy信息完整性的需求Integrity不可否认性的需求Necessity交易实体身份真实性的需求Authentication系统可靠性的需求Reliability 电子商务的安全隐患TheProblemsforECSecurity互联网本
4、身的问题计算机操作系统的安全问题计算机应用软件的安全问题通信传输协议的安全问题网络安全管理的问题 电子商务安全概述 电子商务安全概述 电子商务安全措施TheMeasuresforECSecurity 防火墙的概念TheconceptionofthefirewallIncomputerfield firewallisalogicaldesign hardwareorsoftware withinanetworkenvironmentwhichpreventscommunicationsforbiddenbythesecuritypolicyofanorganizationfromhappenin
5、g 防火墙图示 防火墙技术 防火墙的功能Thebasictaskofthefirewall防火墙的基本任务是提供一种访问控制 通过这种访问控制来实现网络路由的安全性包括两个方面 限制外部网对内部网的访问 从而保护内部网特定资源免受非法侵犯 限制内部网对外部网的访问 主要是针对一些不健康信息及敏感信息的访问 防火墙技术 防火墙的分类Thetypeofthefirewall 防火墙技术 通信发生在主机与网络还是网络之间 通信在网络层或应用层进行分析 是否保留有状态信息 个人防火墙网络防火墙 网络层防火墙应用层防火墙网络防火墙 有状态防火墙无状态防火墙 防火墙的工作原理 分组过滤 PacketFil
6、ter 分组过滤是利用路由器里安装防火墙软件方式来保护网络内部系统 这种包过滤实际上是在网络层中对数据包实施有选择的通过 依据系统内事先设定的过滤逻辑规则 检查数据流中每个数据包 根据数据包的源 目的地址 所用的IP端口等因素来确定是否允许该数据包通过 防火墙技术 分组过滤防火墙实现原理图 内部受保护的网络 外层网络 防火墙技术 应用网关 ApplicationGateways 应用网关是在网络应用层上建立协议过滤和转发功能 它针对特定的网络应用协议 使用指定的数据过滤逻辑 并在过滤的同时 对数据包进行必须的分析 登记和统计 形成报告 实际中的应用网关通常安装在专用工作站系统上 防火墙技术 应
7、用网关防火墙实现原理示意 外层网络 内部受保护的网络 防火墙技术 3 代理服务 ProxyService 代理服务使用一个客户程序与特定的中间结点 代理服务器 即防火墙 建立连接 然后中间结点与服务器进行实际连接 代理服务在应用层上进行 代理服务器防火墙数据控制及传输示意 防火墙技术 防火墙的基本策略BasicPolicyofFirewall 没有被列为允许访问的服务都是被禁止的这种控制模型需要确定所有可以被提供的服务以及它们的安全特性 然后 开放这些服务 并将所有其它未被列入的服务排除在外 禁止访问 没有被列为禁止访问的服务都是被允许的这种防火墙模型与上种模型正好相反 它需要确定那些被认为是
8、不安全的服务 禁止其访问 而其它服务则被认为是安全的 允许访问 防火墙技术 防火墙技术 防火墙实现站点安全的安全策略ConcreteofFirewall 服务控制策略这种策略主要明确规定外部网和内部网用户之间进行访问的服务类型 方向控制策略启动特定的服务请求并允许它通过防火墙 这些操作都具有方向性 用户控制策略这种策略主要针对访问请求的用户类型来确定是否提供服务 行为控制策略用来控制用户如何使用某种特定的服务 数据加密技术 数据加密Dataencryption加密就是用基于数学算法的程序和保密的密钥对信息进行编码 生成难以理解的字符串 源信息用加密算法E和加密密钥Ke进行加密运算 得到密文 然
9、后通过一定的传输路径传输给接收端 接收端接收到密文后 利用解密算法D和解密密钥Kd对密文进行解密运算 从而获得信息明文 数据加密技术 对称密钥加密体制Symmetricencryptiontechnology对称密钥加密原理对称密钥体制 就是加密密钥和解密密钥相同 即 Ke Kd K 对称密钥加密体制常用算法1 替换加密法2 转换加密法3 数据加密标准 DES 算法 替换加密法例1 Caesar 恺撒 密码 最原始的密码技术 数据加密技术 例2 单表置换密码 数据加密技术 数据加密技术 非对称密钥加密体制Asymmetricencryptiontechnology非对称密钥加密原理非对称密码体
10、制也称双钥密码 或公钥密钥 体制 就是加密和解密使用不同的密钥 非对称密码体系的主要特点公钥密码体系的主要特点就是加密和解密使用不同的密钥 每个用户都有一对选定的密钥 所以又称双钥 即 公钥KP publickey 是可以公开的 它可以像电话号码一样注册公布私钥KS selfkey 是秘密的 私用的 由KP不能计算出KS 加密和解密分开 数据加密技术 Kex X的加密密钥 Key Y的加密密钥 其他密钥依次类推 公开密钥密码体制 认证技术 认证技术为了确保信息的真实性和防伪性 就必须使发送的消息具有被验证性 使接收者或第三者能够识别消息的真伪 实现这类功能的密码技术称作数字认证技术 信息的认证
11、与保密是有区别的 加密保护只能防止被动攻击 而认证保护可以防止主动攻击 保密性是使截获者在不知密钥条件下不能解读密文的内容 认证性是使任何不知密钥的人不能构造一个密报 使意定的接收者脱密成一个可理解的消息 认证技术 数字摘要MessagedigestMessagedigestisatechniqueofmakinguseofdigitalfingerprintforintegrityverification Thedigitalfingerprintofthefileistransmittedalongwiththefiletotherecipientintransit Afterreceiv
12、ingthefile therecipientcalculatesthehashvalueofthereceivedfileinthesamewayandiftheresultisidenticalwiththedigestcodereceived itisconcludedthatthefilehasnotbeenaltered 数字摘要是利用数据字指纹来保证信息完整性的一种手段 数据摘要技术 1 杂凑函数杂凑函数 hashingfunction 是将任意长的数字串M映射 压缩 成一个较短的定长输出数字串H的函数 H h M 即H为M的杂凑值 杂凑码 h x 为杂凑函数 2 基于杂凑函数的信
13、息摘要 认证技术 认证技术 数字签名digitalsignatures在以计算机文件为基础的事务处理中采用电子形式的签名 即数字签名 数字签名解决的问题functionsTherecipientcanverifytherealidentityofthesenderThesendercannotrepudiatethemessagessentTherecipientorcrackerscannotalterandfakethemessagereceived 老李A 小王B 老李和小王使用不同的密钥 老李使用小王的公钥对签名进行核实 小王使用私钥对消息进行签名 KSB 核实 签名 对消息签名 我们
14、亟需定购100套Windows2000 我们亟需定购100套Windows2000 Internet M M M1 KPB 基于公钥认证体制的数字签名 认证技术 利用杂凑函数进行数字签名 数字签名 Hash算法 私人密钥加密 认证技术 数字证书与CA认证Digitalcertificates CAsecurityauthentication 数字证书 DigitalCertificate 也叫数字标识 DigitalID 数字凭证 公开密钥证书 是用电子手段来证实一个用户的身份和对网络资源的访问权限 认证技术 数字证书的类型 个人数字证书 企业数字证书 服务器数字证书 代码签名数字证书 安全电
15、子邮件数字证书 认证中心 CA CertificationAuthority CertificateAuthority CA isthecoreorganizationofe commercesecurityauthenticationsystem Functions ThecorefunctionofCAistoissueandmanageDigitalCertificate 另外 认证中心还对电子商务中的数据加密 数字签字 防抵赖 数据完整性以及身份鉴别所需的密钥和认证实施统一管理 以保证网上交易安全进行 认证技术 一个典型的CA认证系统一般包括安全服务器 注册机构RA CA服务器 LDA
16、P目录服务器和数据库服务器等 认证技术 treeauthenticationstructure 认证技术 CA证书信任分级体系 数字时间戳DigitalTimeStampAdigitaltimestampisaproofofthereceivingandsendingtimeofinformation whichisadocumentformedafterbeingencrypted 数字时间戳是用来证明信息的收发时间的 它是一个经过加密后形成的凭证文档 数字时间戳应当保证 1 信息文件加上去的时间戳与存储信息的物理媒介无关 2 对已加上数字时间戳的信息文件不能作任何改动和伪造 3 要想在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的 认证技术 数字时间戳产生过程TheDigitalTimeStampProcess 认证技术 公钥基础设施PKIPublicKeyInfrastructure PKI就是利用公钥理论和技术建立的提供安全服务的基础设施 PKI的基础技术 加密 数字签名 数据完整性机制 数字信封 双重数字签名等 认证技术 安全套接层协议SecureSocketLay
