第9 章电子商务的安全技术.ppt
18:28:20电子商务教研室电子商务教研室学习目标:1.电子商务面临的主要安全威胁.2.电子商务对安全的基本要求.3.电子商务常用的数据加密技术.4.电子商务的认证体系.5.SSL和SET的流程和工作原理.第9章电子商务的安全技术电子商务教研室电子商务教研室•9.1.1电子商务面临的安全问题•9.1.2电子商务对安全的基本要求•9.1.3电子商务安全对策电子商务教研室电子商务教研室9.1.1电子商务面临的安全问题•1、计算机安全问题•安全专家通常把计算机安全分成三类:保密、完整和即需。•2、网络安全问题•网络安全所遭受到的攻击可以分为四类:•(1)中断•(2)介入•(3)篡改•(4)假造电子商务教研室电子商务教研室9.1.1电子商务面临的安全问题•网络安全的隐患主要表现在以下四个方面:•(1)开放性•(2)传输协议•(3)操作系统•(4)信息电子化电子商务教研室电子商务教研室9.1.2电子商务对安全的基本要求•首先,电子商务的安全是一个复杂的管理问题。•其次,电子商务安全是一个技术安全问题。•再次,电子商务安全是一个法律问题。电子商务教研室电子商务教研室9.1.2电子商务对安全的基本要求电子商务安全的基本要求体现在以下几个方面:1、有效性、真实性2、机密性3、数据的完整性4、可靠性、不可抵赖性和可控性电子商务教研室电子商务教研室9.1.3电子商务安全对策1、完善各项管理制度(1)人员管理制度(2)保密制度(3)跟踪审计制度(4)系统维护制度(5)病毒防范制度(6)应急措施电子商务教研室电子商务教研室9.1.3电子商务安全对策2、技术对策(1)网络安全检测设备(2)开发各种具有较高安全性的访问设备(3)通过认证中心进行证书的认证和发放;(4)保护传输线路安全(5)要有较强的防入侵措施(6)加强数据加密的工作(7)进行严格的访问控制(8)建立合理的鉴别机制(9)进行通信流的控制(10)数据完整性的控制电子商务教研室电子商务教研室•9.2.1防火墙的基本概念•9.2.2防火墙的技术•9.2.3防火墙的局限性电子商务教研室电子商务教研室9.2.1防火墙的基本概念防火墙的概念是借用了建筑学上的一个术语。
计算机网络的防火墙是用来防止互联网的损坏1688批发网,如黑客攻击、病毒破坏、资源被盗用或文件被篡改等波及到内部网络的危害,它是指一个由软件和硬件设备组合而成的,在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障。电子商务教研室电子商务教研室采用防火墙的系统的优点是显而易见的,主要有以下几点:1、防止易受攻击的服务2、控制访问网点系统3、集中安全性4、增强保密性、强化私有权5、有关网络使用、滥用的记录和统计电子商务教研室电子商务教研室防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵措施。从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括了整个网络的安全策略和安全行为。电子商务教研室电子商务教研室采用防火墙系统的优点:1、防止易受攻击的服务2、控制访问网点系统3、集中安全性4、增强保密性、强化私有权5、有关网络使用、滥用的记录和统计电子商务教研室电子商务教研室9.2.2防火墙的技术1、网络级防火墙(包过滤型防火墙)2、应用级网关(代理服务器)3、电路级网关4、规则检查防火墙电子商务教研室电子商务教研室9.2.3防火墙的局限性1、防火墙不能防范不经过防火墙的攻击2、防火墙不能解决来自内部网络的攻击和安全问题3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁4、防火墙不能防止可接触的人为或自然的破坏5、防火墙无法解决TCP/IP等协议的漏洞6、防火墙对服务器合法开放的端口的攻击大多无法阻止7、防火墙不能防止受病毒感染的文件的传输8、防火墙不能防止数据驱动式的攻击9、防火墙不能防止内部的泄密行为10、防火墙不能防止本身安全漏洞的威胁电子商务教研室电子商务教研室9.3.1数据加密技术的基本概念9.3.2对称密钥加密技术9.3.3非对称密钥加密技术9.3.4数字签名9.3.5数字时间戳9.3.6数字信封电子商务教研室电子商务教研室9.3.1数据加密技术的基本概念1.数据加密技术发展的历程2.数据加密技术简介电子商务教研室电子商务教研室明文P明文P不安全信道P=Dkd(C)C=Eke(P)加密算法E//解密算法D加密密钥Ke窃听、入侵解密密钥Kd密文C电子商务教研室电子商务教研室9.3.2对称密钥加密技术•对称密钥加密技术利用一个密钥对数据进行加密,对方接收到数据后,需要用同一密钥来进行解密。
对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES算法,该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准。•DES综合运用了置换、代替、代数等多种密码技术,把消息分成64位大小的块,使用56位密钥,加密算法的迭代轮数为l6轮.电子商务教研室电子商务教研室9.3.2对称密钥加密技术对称加密算法在电子商务交易过程中存在几个问题:1.要求提供一条安全的渠道使通讯信双方在首次通信时协商一个共同的密钥2.密钥的数目难于管理3.对称加密算法一般不能提供信息完整性的鉴别4.对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程电子商务教研室电子商务教研室9.3.3非对称密钥加密技术•这种算法需要两个密钥:公开密钥()和私有密钥()。因为加密和解密使用的是两个不同的密钥,所以这种算法也叫做非对称加密算法。•这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密码)加以保存。公开密钥用于对机密性的加密;专用密钥则用于对加密信息的解密。电子商务教研室电子商务教研室9.3.3非对称密钥加密技术交易双方利用该方案实现机密信息交换的基本过程如下:1.交易方甲生成一对密钥,将其中的一把作为公开密钥向其他交易方公开。
2.得到了该公开密钥的交易方乙使用该密钥对机密信息进行加密后再发送给交易方甲。3.交易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。4.交易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。电子商务教研室 电子商务教研室9.3.3 非对称密钥加密技术非对称加密算法主要有RSA,DSA,Diffie-Hellman,PKCS,PGP等RSA算法是由Rivest,Shanir和于1978年在麻省理工学院研(制)究出来的第9 章电子商务的安全技术.ppt,是建立在数论中大数分解和素数检测的理论基础上的。两个大素数相乘在计算上是容易实现的电子商务安全基础知识,但将该乘积分解为两个大素数因子的计算量却相当巨大,大到甚至在计算机上也不可能实现电子商务教研室 电子商务教研室9.3.4 数字签名对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其他的手段,这一手段就是数字签名。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。
电子商务教研室 电子商务教研室9.3.4 数字签名数字签名主要方式是:报文的发送方用自己的私钥SKA对这个散列值M进行加密来形成发送方的数字签名DSKA(M),然后,这个数字签名将作为报文M的附件和报文一起发送给报文的接收方B。报文的接收方B用发送方的公钥PKA来对报文附加的数字签名进行解密,M'=Epka(Dska(M))。如果M=M'电子商务安全基础知识,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。假若A要抵赖曾发报文给B,B可将M及Dska(M)出示给第三者,第三者很容易用PKA去证实A确实发消息给B。反之,如果是B将M伪造成M',B就不能在第三者面前出示Dska(M')。电子商务教研室 电子商务教研室9.3.5 数字时间戳数字时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest)、收到文件的日期和时间、数字签名。时间戳产生的过程为:用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
电子商务教研室 电子商务教研室9.3.6 数字信封数字信封是数据加密技术的又一类应用,信息发送端用接收端的公开密钥,将一个通信密钥加密后传送到接收端,只有指定的接收端才能打开信封,取得私有密钥(Sk)用它来解开传送来的信息。电子商务教研室 电子商务教研室9.3.6 数字信封具体过程如下:1.要传输的信息经杂凑(Hash)函数运算得到一个信息摘要MD,MD=Hash(信息);2.MD经发送者A的私钥SKA加密后得到一个数字签名;3.发送者A将信息明文、数字签名及数字证书上的公钥三项信息通过对称加密算法,以DES加密密钥SK进行加密得加密信息E;4.A在传送信息之前,必须先得到B的证书公开密钥PKB,用PKB加密秘密密钥SK,形成一个数字信封DE;5.E和DE就是A所传送的内容;电子商务教研室 电子商务教研室9.3.6 数字信封6.接收者B以自己的私人密钥SKB解开所收到的数字信封DE,从中解出A所用过的SK;7.B用SK将E还原成信息明文、数字签名和A的证书公开密钥;8.将数字签名用A证书中的公开密钥PKA解密,将数字签名还原成信息摘要MD;9.B再以收到的信息明文,用Hash函数运算,得到一个新的信息摘要MD';10.比较收到已还原的MD和新产生的MD'是否相等,相等无误即可确认,否则不接收。
电子商务教研室 电子商务教研室9.4.1什么是数字证书9.4.2数字证书的三种类型9.4.3认证中心简介电子商务教研室 电子商务教研室9.4.1 什么是数字证书数字证书是一个(经)由证书认证中心(CA)发行的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509V3标准。电子商务教研室 电子商务教研室9.4.1 什么是数字证书• 数字证书主要由以下两部分组成:• 1.证书数据• 2.发行证书的CA签名。• 该签名是由证书发行机构所签,具有法律效力。电子商务教研室 电子商务教研室9.4.1 什么是数字证书证书数据包括:版本信息,用来与X.509的将来版本兼容;·证书序列号,每一个由CA发行的证书必须有一个唯一的序列号;·CA所使用的签名算法;·发行证书CA的名称;·证书的有效期限,现在通用的证书一般采用UTC时间格式,它的计时范围为1950~2049;·证书主题名称;·被证明的公钥信息,包括公钥算法、公钥的位字符串表示;·包含额外信息的特别扩展。电子商务教研室 电子商务教研室9.4.2 数字证书的三种类型• 1、个人证书( Digital ID)• 2、企业(服务器)凭证• 3、软件(开发者)证书( ID)电子商务教研室 电子商务教研室9.4.3 认证中心简介CA( )是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。
CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。认证中心是检验管理密钥是否具有真实性的第三方,它是一个权威机构,专门验证交易双方的身份。电子商务教研室 电子商务教研室9.4.3 认证中心简介用户申请业务受理注册机构RA CA服务器数据库服务器LADP服务器 数据库服务器LADP服务器证书用户证书下载或查询安全服务器安全服务器电子商务教研室 电子商务教研室
【本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】