对称密钥和公开密钥

信息管理学院SchoolofInformationManagement2020/3/151电子商务安全技术本章主要内容：电子商务安全要求与安全内容防火墙等网络安全技术加密技术和认证技术SSL与SETPKI信息管理学院SchoolofInformationManagement2020/3/15210.1电子商务安全要求10.1.1电子商务所面临的安全问题电子商务中的安全隐患可分为如下几类：1.信息的截获和窃取2.信息的篡改3.信息假冒4.交易抵赖信息管理学院SchoolofInformationManagement2020/3/15310.1.2电子商务安全需求机密性完整性认证性不可抵赖性有效性信息管理学院SchoolofInformationManagement2020/3/154电子商务系统对信息安全的要求主要包括以下几个方面：1.信息的保密性：电子商务系统应该对主要信息进行保护，阻止非法用户获取和理解原始数据。2.数据完整性：电子商务系统应该提供对数据进行完整性认证的手段，确保网络上的数据在传输过程中没有被篡改。信息管理学院SchoolofInformationManagement2020/3/1553.用户身份验证：电子商务系统应该提供通讯双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证，证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构签发，用户申请数字证书时应提供足够的身份信息，证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。信息管理学院SchoolofInformationManagement2020/3/1564.授权：电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。5.数据原发者鉴别：电子商务系统应能提供对数据原发者的鉴别，确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。信息管理学院SchoolofInformationManagement2020/3/15710.数据原发者的不可抵赖和不可否认性：电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。7.合法用户的安全性：合法用户的安全性是指合法用户的安全性不受到危害和侵犯，电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密匙和口令的有效保护、对非法攻击的有效防范等，信息管理学院SchoolofInformationManagement2020/3/1588.网络和数据的安全性：电子商务系统应能提供网络和数据的安全，保护硬件资源不被非法占有，软件资源免受病毒的侵害。信息管理学院SchoolofInformationManagement2020/3/15910.1.3电子商务安全内容电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。信息管理学院SchoolofInformationManagement2020/3/1510商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。信息管理学院SchoolofInformationManagement2020/3/1511电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律、法规、政策信息管理学院SchoolofInformationManagement2020/3/151210.2计算机网络安全技术信息管理学院SchoolofInformationManagement2020/3/151310.2.2计算机网络安全体系在实施网络安全防范措施时要考虑以下几点：加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；信息管理学院SchoolofInformationManagement2020/3/1514利用RAID5等数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等信息管理学院SchoolofInformationManagement2020/3/151510.2.3常用的计算机网络安全技术病毒防范技术身份识别技术防火墙技术虚拟专用网技术（VirtualPrivateNetwork，VPN）信息管理学院SchoolofInformationManagement2020/3/15161．病毒防范技术网络病毒的威胁一是来自文件下载；二是网络化趋势。措施安装防病毒软件，加强内部网的整体防病毒措施；加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施等信息管理学院SchoolofInformationManagement2020/3/1517布署和管理防病毒软件布署一种防病毒的实际操作一般包括以下步骤：1．制定计划：了解在你所管理的网络上存放的是什么类型的数据和信息。2．调查：选择一种能满足你的要求并且具备尽量多的前面所提到的各种功能的防病毒软件。3．测试：在小范围内安装和测试所选择的防病毒软件，确保其工作正常并且与现有的网络系统和应用软件相兼容。信息管理学院SchoolofInformationManagement2020/3/15184．维护：管理和更新系统确保其能发挥预计的功能，并且可以利用现有的设备和人员进行管理；下载病毒特征码数据库更新文件，在测试范围内进行升级，彻底理解这种防病毒系统的重要方面。5．系统安装：在测试得到满意结果后，就可以将此种防病毒软件安装在整个网络范围内。信息管理学院SchoolofInformationManagement2020/3/15192．身份识别技术口令标记方法生物特征法信息管理学院SchoolofInformationManagement2020/3/15203．防火墙技术基本概念防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。信息管理学院SchoolofInformationManagement2020/3/1521设计防火墙的准则一切未被允许的就是禁止的防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。一切未被禁止的就是允许的防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。信息管理学院SchoolofInformationManagement2020/3/1522防火墙示意图信息管理学院SchoolofInformationManagement2020/3/1523防火墙的功能保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类；保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源；保护数据的机密性。加密敏感数据。信息管理学院SchoolofInformationManagement2020/3/1524防火墙的实现技术分组过滤（PacketFilter）分组过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。信息管理学院SchoolofInformationManagement2020/3/1525代理服务代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言，似乎是直接与外部网络相连的。信息管理学院SchoolofInformationManagement2020/3/15264．虚拟专用网技术（VirtualPrivateNetwork，VPN）虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。信息管理学院SchoolofInformationManagement2020/3/1527在虚拟专用网中交易双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务，其优点是经济、便于管理、方便快捷地适应变化，但也存在安全性低，容易受到攻击等问题。信息管理学院SchoolofInformationManagement2020/3/1528加密数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何处加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。4.3交易安全技术4.3.1加密技术信息管理学院SchoolofInformationManagement2020/3/15291．对称密钥加密体制对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。2．非对称密钥加密体制非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。信息管理学院SchoolofInformationManagement2020/3/1530在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法，加密强度很高。具体作法是将数字签名和数据加密结合起来。下面介绍几种最常见的加密体制的技术实现：1．常规密钥密码体制2．数据加密标准DES3．公开密钥密码体制信息管理学院SchoolofInformationManagement2020/3/15311．常规密钥密码体制密码技术是保证网络、信息安全的核心技术。加密方法有：替换加密和转换加密一替换加密法：1.单字母加密法2.多字母加密法例一：Caesar(恺撒