《电子商务的安全技术课件》由会员分享,可在线阅读,更多相关《电子商务的安全技术课件(99页珍藏版)》请在金锄头文库上搜索。
1、电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-1,第8章 电子商务安全技术,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-2,学习目标,了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工作原理,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-3,开篇案例:广东发展银行网络安全架构,从1998年开始,广东发展银行最初的网络安全体系就依据思科SAFE蓝图部署。SAFE主张,网络安全建
2、设不能一蹴而就,而应该是一个动态的过程。所以在最初的部署中,思科主要协助广东发展银行解决了最突出的网络安全问题网络对外连接出口的安全问题。 随着广东发展银行业务的迅速发展,尤其是近年来,用户纷纷把业务转移到网上进行,广东发展银行的网上业务呈几何数字增长。在这种情况下,广东发展银行提出,为了更好地抵御网上的非法访问,作好关键用户的网上认证,确保能够给用户提供不间断的高质量金融服务,必须要在原有的基础上,进一步加强银行在网络安全方面的部署。 通过分析广东发展银行的具体业务流程和网络结构,思科在SAFE蓝图指导下,针对广东发展银行的不同网段,分别实施了可以统一管理的不同安全措施,具体措施如下。,电子
3、商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-4,目 录,8.1电子商务的安全问题 8.2防火墙技术 8.3数据加密技术 8.4认证技术 8.5安全技术协议,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-5,8.1电子商务的安全问题,在网络的传输过程中信息被截获 传输的文件可能被篡改 伪造电子邮件 假冒他人身份 不承认或抵赖已经做过的交易,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-6,8.1电子商务的安全问题(续),电子商务对安全的基本要求 授权合法性 不可抵赖性 保密性 身份的真实性 信息的完整性 存储信息的安全性,电子
4、商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-7,8.1电子商务的安全问题(续),电子商务安全措施 确定通信中的贸易伙伴身份的真实性 保证电子单证的保密性 确定电子单证内容的完整性 确定电子单证的真实性 不可抵赖性 存储信息的安全性,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-8,目 录,8.1电子商务的安全问题 8.2防火墙技术 8.3数据加密技术 8.4认证技术 8.5安全技术协议,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-9,8.2防火墙技术,1. 防火墙的含义 Internet是一个开放的世界,它在拥有丰富信息量
5、的同时也存在着许多不安全因素。当内部网连上Internet,使它的用户能访问Internet上的服务时,非内部网用户也能通过Internet访问内部网用户,实现一些非法操作如:盗取重要资料、破坏文件等。我们可以在内部网和Internet之间设置一堵“防火墙”以保护内部网免受外部的非法入侵。 在网络世界中,防火墙是被配置在内部网 (如企业内部的Intranet)和外部网 (如Internet)之间的系统(或一组系统 ),通过控制内外网络间信息的流动来达到增强内部网络安全性的目的。 防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。,电子商务概论(第2版) 邵兵家 主
6、编 高等教育出版社 2006版,8-10,8.2防火墙技术(续),防火墙的功能 (1)未经授权的内部访问 (2)危害证明 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-11,8.2防火墙技术(续),2防火墙的分类 路由器,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-12,8.2防火墙技术(续),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-13,8.2防火墙技术(续),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-
7、14,8.2防火墙技术(续),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-15,8.2防火墙技术(续),代理服务器 因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,域名过滤等限制内部网对外部的访问权限,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-16,8.2防火墙技术(续),防火墙技术 1. 防火墙系统设计 2. 包过滤路由器 包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACC
8、EPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 3. 应用层网关防火墙,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-17,目 录,8.1电子商务的安全问题 8.2防火墙技术 8.3数据加密技术 8.4认证技术 8.5安全技术协议,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-18,8.3数据加密技术,8.3.1 数据加密、解密基本过程 加密: 指将数据(明文plain text)进行编码,使其成为一种不可理解的形式,即密文(cipher text) 解密: 加密的逆过程,即将密文还原成明文 算法: 是加密或解密的一步一步的过程 密
9、钥: 加解密的关键, 加解密的可变参数 长度,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-19,8.3数据加密技术(续),以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为17,加密算法为将明文加上密钥17,就得到一个密码表一个简单的密码表,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-20,8.3数据加密技术(续),加密的分类 按密钥和相关加密程序类型可把加密分为散列编码、对称加密和非对称加密。 (1)散列编码 散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传
10、输时被改变非常方便。如果信息被改变,原散列值就会与由接收者所收消息计算出的散列值不匹配。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-21,8.3数据加密技术(续),(2)对称加密 对称加密又称私有密钥加密,它用且只用一个密钥对信息进行加密和解密。对称加密技术可参见图,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-22,8.3数据加密技术(续),对称加密技术: 1)在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。 2)当通信对象增多时,需要相应数量的密钥。 3)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何
11、一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。 常规加密方法有:替换加密和转换加密,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-23,8.3数据加密技术(续),替换加密 Caesar(恺撒)密码 将字母倒排序 单表置换密码,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-24,8.3数据加密技术(续),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-25,8.3数据加密技术(续),转换加密法 在替换加密法中,原文的顺序没被改变,而是通过各种字母映射关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将其重
12、新排列。如 it can allow students to get close up views 将其按顺序分为5个字符的字符串: 再将其按先列后行的顺序排列,就形成了密文: 密文C为“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS” 如果将每一组的字母倒排,也形成一种密文: NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV,itcan allow stude ntstogetcloseupviews,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-26,8.3数据加密技术(续),数据加密算法DES 数据加密算法(Data
13、Encryption Algorithm,DEA)的数据加密标准(Data Encryption Standard,DES)是规范的描述,它出自 IBM 的研究工作,并在 1997 年被美国政府正式采纳。它很可能是使用最广泛的秘钥系统,特别是在保护金融数据的安全中,最初开发的 DES 是嵌入硬件中的。 攻击 DES 的主要形式被称为蛮力的或彻底密钥搜索,即重复尝试各种密钥直到有一个符合为止。如果 DES 使用 56 位的密钥,则可能的密钥数量是 2 的 56 次方个。随着计算机系统能力的不断发展,DES 的安全性比它刚出现时会弱得多,然而从非关键性质的实际出发,仍可以认为它是足够的。,电子商务
14、概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-27,8.3数据加密技术(续),DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-28,8.3数据加密技术(续),(3)非对称加密 非对称密钥加密系统,又称公钥密钥加密,它需要使用一
15、对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-29,8.3数据加密技术(续),RSA的算法 1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发明了 RSA公开密钥密码系统。在此系统中有一对密码,给别人用的就叫公钥,给自己用的就叫私钥。用公钥加密后的密文,只有私钥能解。 RSA的算
16、法如下: 选取两个足够大的质数P和Q ; 计算P和Q相乘所产生的乘积n PQ; 找出一个小于n的数e ,使其符合与 (P1)(Q 1)互为质数; 另找一个数d,使其满足(ed)MOD(P1)(Ql)1 其中MOD(模)为相除取余;(n,e)即为公钥;(n,d)为私钥。 加密和解密的运算方式为:明文MCd(MOD n);密文CM e(MOD n ),电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-30,8.3数据加密技术(续),假定P 3,Q 11,则n = PQ 33,选择 e =3,因为3和20没有公共因子。(3d)MOD(20)1,得出d7。从而得到(33,3)为公钥;(33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为将密文C 的7次方模33得到明文。下表显示了非对称加密和解密的过程。,电子商务概论(第2版) 邵兵家 主编 高等教育出版社 2006版,8-31,8.3数据加密技术(续),非对称加密有若干优点:在多人之间进行保密信息传输所需的密钥组合数量很小;
