第十章电子商务安全技术

第十章电子商务安全技术10.1网络安全及防火墙技术10.2加密技术10.3认证技术案例：“互联网”事件1988年11月2日，美国康奈尔大学学生罗伯特.莫瑞斯将自己编写的蠕虫程序送进互联网，蠕虫病毒程序具有很强的自我复制功能，快速向整个互联网蔓延。莫瑞斯开始以为无害的程序，以惊人的速度袭击了庞大的互联网，当发现情况不妙是，他本人对此已无法控制。蠕虫病毒程序造成大量数据被破坏，整个经济损失估计达9600万美元。这次“互联网”事件极大震惊了网络安全人员和其它专业人员，为网络安全敲响警钟，使网络安全成为最迫切的研究课题。电子商务安全技术--安全体系交易安全技术安全应用协议SET、SSL安全认证技术数字签名CA体系基本加密算法安全管理体系网络安全技术网络设备病毒防范身份识别技术防火墙安全法律法规10.1网络安全及防火墙技术影响电子商务广泛应用的首要问题：安全问题电子商务安全与网络安全网络安全漏洞多网页篡改、网页仿冒总之:不是一堵防火墙或一个电子签名能解决网络安全分类物理安全问题网络安全问题网络病毒的威胁黑客攻击系统的漏洞电子商务涉及的安全问题商家可能面临的安全问题①系统破坏——遭受攻击或自然破坏②恶意订单——竞争对手或客户③资料泄露——客户资料泄露客户可能面临的安全问题①虚假订单②收不到货③机密性丧失——个人信息可能被泄露④拒绝服务——合法用户得不到服务银行可能面临的安全问题①中断——攻击系统的可能性②窃听——攻击系统的机密性③篡改——攻击系统的完整性④伪造——攻击系统的真实性信息的安全问题冒名窃听篡改数据信息丢失信息传递出问题信用的安全问题来自买方的安全问题来自卖方的安全问题买卖双方都存在抵赖的情况安全的管理问题中介管理问题人员管理安全管理员安全管理规范安全的法律保障问题技术先进超前法律滞后防火墙技术防火墙的构成防火墙的分类根据使用对象和构成的不同，防火墙可以分为以下四类：①个人防火墙②软件防火墙③一般硬件防火墙④纯硬件防火墙包过滤防火墙包过滤防火墙的特性代理服务器的作用有四个：①提高访问。因为客户要求的数据存于代理服务器的硬盘中，因此下次这个客户或其它客户再要求相同目的站点的数据时，就会直接从代理服务器的硬盘中读取，代理服务器起到了缓存的作用，对热门站点有很多客户访问时，代理服务器的优势更为明显。②代理可以起到防火墙的作用。因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点，因此在代理服务器上就可以设置相应的限制，以过滤或屏蔽掉某些信息。这是局域网网管对局域网用户访问范围限制最常用的办法，也是局域网用户为什么不能浏览某些网站的原因。拨号用户如果使用代理服务器，同样必须服从代理服务器的访问限制，除非你不使用这个代理服务器。③通过代理服务器访问一些不能直接访问的网站。互联网上有许多开放的代理服务器，客户在访问权限受到限制时，而这些代理服务器的访问权限是不受限制的，刚好代理服务器在客户的访问范围之内，那么客户通过代理服务器访问目标网站就成为可能。国内的高校多使用教育网，不能出国，但通过代理服务器，就能实现访问因特网，这就是高校内代理服务器热的原因所在。④安全性得到提高。无论是上聊天室还是浏览网站，目的网站只能知道你来自于代理服务器，而你的真实IP就无法测知，这就使得使用者的安全性得以提高。包过滤与代理服务的比较10.2加密技术1.密码学的含义密码学是研究加密和解密变换的一门科学。它包含两个分支，一是密码编码学；另一个是密码分析学。密码编码学是对信息进行编码，实现隐蔽信息的一门学科。密码分析学是研究分析破译密码的学科。即在未知密钥的情况下，从密文推出明文或密钥的技术。密码学正是在这种破译和反破译的过程中发展起来的，这两门学问合起来就称为密码学。2.密码系统中的几个概念①明文:人们将可懂的文本称为明文。②密文:将明文变换成的不可懂的文本称为密文。③加密:把明文变换成密文的过程叫加密。④解密:把密文变换成明文的过程叫解密。⑤密码体制:完成加密和解密的算法称为密码体制。在计算机上实现的数据加密算法，其加密或解密变换是由一个密钥来控制的。⑥密钥:是由使用密码体制的用户随机选取的，密钥成为唯一能控制明文与密文之间变换的关键，它通常是一随机字符串。1.对称密钥密码体制数据加密标准DESDES（DataEncryptStandard）是对称加密算法中最具代表性的。DES算法原是IBM公司为保护产品的机密研制成功的，后被美国国家标准局和国家安全局选为数据加密标准，并于1977年颁布使用。对称密钥算法提供了一种保护信息机密性的途径。对称密钥数据加/解密过程示意图对称加密技术（DES）的优缺点对称加密技术（DES）的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。对称加密技术要求通信双方事先交换密钥，当系统用户多时，例如在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对称密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题。2.非对称密钥密码体制非对称密钥密码体制最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥――公开密钥和秘密密钥。1.RSA算法1977年，Rivest、Shamir和Adleman三人实现了公开密钥密码体制，并以三个人名字的首字母命名，简称RSA公开密钥体制。RSA算法非对称密钥数据加/解密过程示意图公开密钥技术（RSA）的优缺点公开密钥技术解决了密钥的发布和管理问题，商户可以公开其公开密钥，而保留私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给该商户，然后由商户用自己的私有密钥进行解密。虽然公钥体制消除了秘密密钥共享的问题，但并没有一个完整的解决方案，仍然有很多的缺点。相对于对称密钥算法来说，公钥算法计算速度非常慢。另外，公钥算法也要求一种使公钥能广为发布的方法和体制，所以把公钥算法和对称算法结合起来不失为一种最佳的选择。对称与非对称加密体制对比特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用10.3认证技术数字证书（Digitalcertificate，DigitalID），就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITUX.509国际标准。它是由权威机构——CA机构，又称为证书授权（CertificateAuthority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书采用非对称密钥体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书的功能①生成公钥/私钥②证书的申请③证书的签发④证书的验证⑤证书的查询⑥证书的撤销数字证书的分类1）个人数字证书：仅仅为某一个用户提供数字证书2）企业数字证书：标识证书持有企业的身份3）服务器证书：标识证书持有服务器的身份4）企业代码签名证书：对开发的软件进行数字签名或对软件开发者的身份进行认证5）安全电子邮件证书：对普通电子邮件作加密和数字签名处理数字证书的组成一个标准的X.509数字证书内容①证书的版本信息；②证书的序列号，每个证书都有一个唯一的证书序列号；③证书所使用的签名算法；④证书的发行机构名称，命名规则一般采用X.500格式；⑤证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；⑥证书所有人的名称，命名规则一般采用X.500格式；⑦证书所有人的公开密钥；⑧证书发行者对证书的数字签名。数字证书颁发过程数字证书的工作过程身份认证功能：可信性完整性不可抵赖性访问控制身份识别方法：①口令认证②基于智能卡的用户身份认证③生物特征法④访问控制