92电子商务安全技术

第十章电子商务安全技术10.1网络安全及防火墙技术10.2加密技术10.3认证技术11:51:47110.1网络安全及防火墙技术一、网络安全概述二、电子商务安全问题三、防火墙技术11:51:472一、网络安全概述据统计，目前全球平均每20秒就会发生一起Internet主机被入侵的事件，美国75%~85%的网站抵挡不住黑客攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。目前全球已发现病毒5万余种，并仍以每天10余种的速度增长。有资料显示，病毒所造成的损失占网络经济损失的76%。网络安全？11:51:473613225240677313342340241225732134373498592175652658820940100002000030000400005000060000700008000090000198819891990199119921993199419951996199719981999200020012002CERT公布的1988-2002年攻击事件增长图11:51:474计算机网络安全主要体现在如下几个方面：1.物理安全问题2.网络安全问题3.网络病毒的威胁4.黑客攻击5.系统的漏洞网络安全分类11:51:475二、电子商务安全问题分析电子商务的安全问题，主要依据对电子商务整个运作过程的考察。电子商务的参与者主要是商家、客户和银行商家可能面临的安全问题客户可能面临的安全问题银行可能面临的安全问题电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题以及安全的法律法规保障问题。11:51:476信息的安全问题冒名偷窃：源IP地址欺骗攻击。冒名他人，窃取信息。篡改数据：攻击者未经授权进入电子商务系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益或干扰对方的正确决策，造成电子商务交易中的信息风险。信息丢失：因线路问题造成信息丢失；因安全措施不当而丢失信息；不同操作平台上转换而丢失信息。信息传递出问题：存在网络攻击或物理性干扰等情况影响数据的真实性和完整性。从安全的角度来说，没有绝对安全的通信线路。11:51:477信用的安全问题买方的信用安全问题对消费者来说，可能存在在网络上使用信用卡支付是恶意透支，或使用伪造的信用卡骗取卖方货物的行为；对于集团购买者来说，存在拖延货款的可能。卖方的信用安全问题卖方不能按质、按量、按时送寄消费者购买的货物，或者不能完全履行与集团购买者签订的合同。买卖方双方的信用安全问题买卖方双方都有可能抵赖曾经发生过的交易。11:51:478安全的管理问题从加强安全管理的角度出发，电子商务安全首先是个管理问题，然后才是技术问题。现有的信息系统绝大多数缺少安全管理员。网络由各种服务器、工作站、终端等集群而成，所以整个网络天然地继承了他们各自的安全隐患。11:51:479安全的法律保障问题网上交易法律体系的建立。网络犯罪的认定。11:51:4710三、防火墙技术1.防火墙的定义网络安全技术中所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。可以认为它是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。11:51:4711在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。网络防火墙结构如图10.1所示。三、防火墙技术11:51:4712图10.1网络防火墙结构示意图11:51:47132.防火墙的功能1）防火墙是网络安全的屏障，过滤不安全的服务；2）控制对特殊站点的访问；3）提供了监视局域网安全和预警的方便端点，对网络存取和访问进行监控审计；4）阻断特定的网络攻击。11:51:47143.防火墙的不足（1）只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。（2）不能解决来自内部网络的攻击和安全问题。（3）不能防止受病毒感染的文件的传输；因为现存的各类病毒种类太多，防火墙无法逐个扫描每个文件来查找病毒。（4）不能防止策略配置不当或错误配置引起的安全威胁。（5）防火墙不能防止数据驱动式攻击，当有些表面看来无害的数据如电子邮件、FTP等，被邮寄或复制到内部主机上并被执行时，就会发生数据驱动式攻击。11:51:47154.防火墙的分类个人防火墙软件防火墙一般硬件防火墙纯硬件防火墙11:51:47165.防火墙的基本类型1）包过滤型（PacketFiltering）：包过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被丢弃。11:51:47172）应用代理型（ApplicationProxy）也叫应用网关，它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。3）代理服务器型防火墙(proxyservice)也叫应用层网关防火墙。这种防火墙通过一种代理(proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。11:51:4718包过滤路由器双穴防范网关过滤主机网关过滤子网防火墙:471910.2加密技术一、加密技术概述二、对称加密技术三、非对称加密技术11:51:4720一、加密技术概述密码从军事走向生活自动取款机银行取款信用卡购物电话卡：IP卡、201卡等电子邮件网络游戏11:51:4721一、加密技术概述密码学（Cryptology)：是研究信息系统安全保密的科学。密码编码学(Cryptography)：主要研究对信息的编码，实现对信息的隐藏。密码分析学(Cryptanalytics)：主要研究加密消息的破译或消息的伪造。加密：用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。11:51:4722一、加密技术概述明文（plaintext)：作为加密输入的原始信息密文（ciphertext):明文变换结果密钥（key):参与变换的参数密码算法：是用于加密和解密的数学函数加密算法：密码员对明文进行加密操作时所采用的一组规则解密算法：接收者对密文进行加解密所采用的一组规则11:51:4723一、加密技术概述加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称为加密密钥（EncryptionKey）和解密密钥（decryptionKey）。11:51:4724二、对称加密技术对称密钥加密技术是指加密和解密均采用同一把秘密钥匙，而且通信双方必须都要获得这把钥匙并保持钥匙的秘密。当给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密，也称单钥加密技术。11:51:4725二、对称加密技术密文明文发送方Internet密文密钥发送方(=密钥接收方)加密明文接收方密钥接收方解密11:51:4726二、对称加密技术对称加密算法对称加密算法有很多，常见的有以下几种:数据加密标准(DES)高级加密标准(AES)三重DESRivest密码11:51:4727二、对称加密技术优点加、解密速度快、保密度高缺点(1)要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。(2)密钥的数目难于管理。因为对于每一个合作者都需要使用不同的密钥，多人通信时密钥的组合的数量会出现爆炸性的膨胀；(3)对称加密算法一般不能提供信息完整性的鉴别。它对发送者和接受者的身份无法验证；(4)对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程11:51:4728三、非对称加密技术1976年，美国的密码学专家Diffie和Hellman发表了《密码学的新方向》的文章，提出了公开密钥体制。公开密钥加密（简称公钥加密），需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。通常人们也将这种密码体制称为双钥密码体制或非对称密码体制。公钥加密的基本思想：利用求解某些数学难题的困难性。单向函数：单项函数计算起来相对容易，但求逆却非常困难11:51:4729三、非对称加密技术加密模式过程发送方用接收方公开密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文11:51:4730三、非对称加密技术发送方明文密文密文公开密钥接收方明文接收方私有密钥接收方Internet11:51:4731三、非对称加密技术验证模式过程发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用发送方公开密钥对接收到的加密信息进行解密，得到信息明文11:51:4732三、非对称加密技术发送方明文密文密文私有密钥发送方明文接收方公开密钥放送方Internet11:51:4733三、非对称加密技术RSA加密体制背包加密体制EIGamal椭圆曲线加密（ECC)常见的公钥加密体制11:51:4734三、非对称加密技术1）密钥少便于管理。网络中的每一用户只需保存自己的解密密钥，则n个用户仅需产生n对密钥。2）密钥分配简单。加密密钥分发给用户，而解密密钥则由用户自己保管。3）不需要秘密的通道和复杂的协议来传送密钥。4）可以实现数字签名和数字鉴别。•优点•缺点1）要取得较好的加密效果和强度，必须使用较长的密钥。2）加、解密速度慢。:473510.3认证技术一、数字证书二、身份认证技术11:51:4736一、数字证书数字证书是一个由使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合。数字证书系统通过认证机构为公-私密钥对的持有者发放和管理数字证书。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。数字证书包含了公开密钥持有者信息以及公开密钥的文件，证书上还有认证机构的数字签名。11:51:4737一、数字证书数字证书的结构11:51:4738一、数字证书在InternetExplorer的菜单上，单击“工具”菜单中的“Internet选项”。选取“内容”选项卡，点击“证书”按钮来查看读者信任的当前证书的列表。11:51:4739（一）数字证书系统包括下述主要功能1.生成公钥／私钥2.证书的申请3.证书的签发4.证书的验证5.证书的查询6.证书的撤销11:51:4740（二）数字证书的分类按照数字证书的使用对象来分个人数字证书单位数字证书服务器证书安全邮件证书开发者证书11:51:4741（三）数字证书的格式在数字证书的格式方面，被人们普遍接受并使用的最为广泛的是ITU的X.509标准数字证书格式。ITUX.509标准也被称为ISO/IEC9594-8标准。ITUX.509数字证书格式有三个不同的版本。版本1格式，在1988年的第一版中定义版本2格式，在1993年的第二版中定义版本3格式，在1997年的第三版中定义，并在2000年改进11:51:4742（四）数字证书的申请在电子商务环境中，数字证书可以发放给各种不同类型的实体，包括个人、组织和设备。一般来讲，数字证书的申请注册从数字证书申请人提出请求发放数字证书的申请开始。在Internet环境中，数字证书的申请注册大多是通过在线注册的方式或全部在线的方