您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 电子商务 > 第8章电子商务安全技术
第8章电子商务安全技术8.1电子商务中安全要素及面临的安全问题8.2病毒及黑客防范技术8.3防火墙技术8.4加密算法8.5基于公开密钥体系的数字证书认证技术8.6安全套接层(SSL)协议8.7安全电子交易SET分析8.8Windows系统中证书的应用8.9信息安全管理8.1电子商务中安全要素及面临的安全问题8.1.1电子商务的基本安全要素有效性机密性完整性可靠性/不可抵赖性/可鉴别性审查能力8.1.2电子商务中的安全问题信息泄漏篡改身份识别问题病毒问题黑客问题8.2病毒及黑客防范技术8.2.1.单机病毒种类:DOS病毒、Windows病毒和宏病毒防范:定期用杀毒软件检查硬盘。8.2.2网络病毒及其防范种类:特洛伊木马和邮件病毒防范:不要泄露IP地址、下载来历不明软件,用检查工具查杀,不要下载不明的邮件。8.2.3网上炸弹及其防范种类:IP炸弹、邮件炸弹、ICQ/QICQ炸弹。防范:5条(见P204)、P2058.3防火墙技术8.3.1防火墙的基本概念8.3.2防火墙的构成8.3.3防火墙的优点8.3.4防火墙的类型8.3.5入侵检测8.3.1防火墙的基本概念防火墙的概念是从建筑学上引过来的。在建筑学中的防火墙是用来防止大火从建筑物的一部分蔓延到另一部分而设置的阻挡机构。计算机网络的防火墙是用来防止互联网的损坏,如黑客攻击、病毒破坏、资源被盗用或文件被篡改等波及到内部网的危害。它是一个由软件和硬件设备组合而成的、在内部网(可信赖的安全网路)和外部网(不可靠的网路环境)之间的界面上构造的保护屏障。防火墙系统示意图8.3.1防火墙的基本概念•防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵的措施。从狭义上讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上讲,防火墙还包括了整个网络的安全策略和安全行为。•防火墙的安全策略有两种:–凡是没有被列为允许访问的服务都是被禁止的。–凡是没有被列为禁止访问的服务都是被允许的。8.3.2防火墙的构成•防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理等五部分。有的防火墙可能在网关两侧设置两个内、外过滤器,外过滤器保护网关不受攻击,网关提供中继服务,辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护。•防火墙的主要目的是控制数据组,只允许合法流通过。它要对内域网和Internet之间传递的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则,检验各数据组决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。单纯靠IP地址的过滤规则是不安全的,因为一个主机可以用改变IP源地址来蒙混过关。防火墙的构成8.3.3防火墙的优点•保护那些易受攻击的服务防火墙能过滤那些不安全的服务。具有预先被允许的服务才能通过防火墙,这样就降低了受到非法攻击的风险性,大大地提高了企业内部网的安全性。•控制对特殊站点的访问防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有E-mail服务器、FTP服务器和服务器能被外部网访问,而其他访问则被防火墙禁止。•集中化的安全管理对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些,这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。•对网络访问进行记录和统计如果所有对Internet的访问都经过防火墙,那么,防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑操作时,防火墙能够报警并提供网络是否受到监测和攻击的详细信息。8.3.3防火墙的优点8.3.4防火墙的类型–包过滤型可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口号等信息,与预先保存的清单进行对照,按预定的安全策略决定哪些报文可以通过防火墙,哪些报文不可以通过防火墙。防火墙主要可分为包过滤型、应用网关型和代理服务等。包过滤型防火墙的工作原理应用网关型防火墙的工作原理•代理服务器技术是防火墙技术中的一种安全技术措施•优点:在于可以将被保护的网络内部结构屏蔽起来,增强网络的安全性能,同时可用于实施较强的数据流监控、过滤、记录和报告等功能。•缺点:在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务器具有相当的工作量,需专门的工作站来承担。代理服务器对出入数据进行两次处理,所以会降低性能,这是应用网关的主要缺陷。8.3.4防火墙的类型8.3.5入侵检测入侵检测(IntrusionDetection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。•它通过执行以下任务来实现:·监视、分析用户及系统活动;·系统构造和弱点的审计;·识别反映已知进攻的活动模式并向相关人士报;·异常行为模式的统计分析;·评估重要系统和数据文件的完整性;·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。8.4加密技术8.4.1加密技术的基本概念8.4.2对称密钥密码体系8.4.3非对称密钥密码体系8.4.4散列函数8.4.5一种组合的加密协议8.4.1加密技术的基本概念所谓加密技术,就是指采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(密文)。在加密和解密过程中,都要涉及信息(明文/密文)、密钥(加密密钥/解密密钥)和算法(加密算法/解密算法)这三项内容。如果收发双方密钥是否相同,分为对称加密技术和非对称加密技术。8.4.2对称密钥密码体系对称加密方法中,信息的加密和解密都使用相同的密钥。8.4.2对称密钥密码体系优点:加密、解密速度很快(高效)缺点:在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。当通信对象增多时,需要相应数量的密钥。例如,当某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥。代表性算法:IBM公司于1977年提出的DES算法,该算法被美国国家标准局NBS颁布为商用数据加密标准。非对称加密又称为公开密钥加密或双钥加密,1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发明了RSA公开密钥密码系统,它是最常用的一种不对称加密算法。RSA公开密钥密码系统使用一对不同的密钥,给别人用的就叫公钥,给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密,用公钥加密后的密文,只有私钥能解。8.4.3非对称密钥密码体系8.4.3非对称密钥密码体系优点:密钥宜于管理缺点:运算速度较慢,较对称密码算法慢几个数量级。代表性算法:1979年由三位美国科学家Rivest、Shamir、Adleman研制的RSA算法。理论基础:两个大素数相乘在计算上是容易实现的,但将该乘数分解为两个大素数因子的计算量很大,大到甚至在计算机上也不可能实现。8.4.3非对称密钥密码体系RSA的算法如下:选取两个足够大的质数P和Q;计算P和Q相乘所产生的乘积n=P×Q;找出一个小于n的数e,使其符合与(P-1)×(Q-1)互为质数;另找一个数d,使其满足(e×d)MOD[(P-1)×(Q-l)]=1其中MOD(模)为相除取余;(n,e)即为公钥;(n,d)为私钥。加密和解密的运算方式为:明文M=Cd(MODn);密文C=Me(MODn)。这两个质数无论哪一个先与明文密码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是非常困难的,因此将这一对质数称为密钥对。8.4.3非对称密钥密码体系举例来说,假定P=3,Q=11,则n=P×Q=33,选择e=3,因为3和20没有公共因子。(3×d)MOD(20)=1,得出d=7。从而得到(33,3)为公钥;(33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为将密文C的7次方模33得到明文。表5-3显示了非对称加密和解密的过程。8.4.3非对称密钥密码体系明文M密文C解密字母序号M3M3(MOD33)C7C7(MOD33)字母A01101101AE0512526803181017605EN142744057812514NS196859281349292851219SZ26175762012800000026Z8.4.3非对称密钥密码体系采用单向Hash函数对文件进行变换运算得到摘要码,并把摘要码和文件一同送给接收方,接收方接到文件后,用相同的方法对文件进行变换计算,用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改。8.4.4散列函数8.4.4散列函数8.4.5一种组合的加密协议加密过程:8.4.5一种组合的加密协议解密过程:8.5基于公开密钥体系体系的数字证书认证技术8.5.1公开密钥体系的定义公开密钥体系(PublicKeyInfrastructure:PKI),是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系。典型的PKI系统由证书申请书、注册机构、认证中心、证书库和证书信任方组成。8.5.2CA认证中心及数字证书CA(CertificationAuthority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人,它的职责是核实交易各方的身份,负责电子证书的发放和管理。数字证书又称为数字凭证或数字标识(DigitalCertificate,DigitalID),也被称作CA证书,实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在计算机硬盘或IC卡中。数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名及证书有效期等内容。一个标准的X.509数字证书包含以下一些内容:证书的版本信息。证书的序列号,每个证书都有一个唯一的证书序列号。证书所使用的签名算法。证书的发行机构名称(命名规则一般采用X.500格式)及其用私钥的签名。证书的有效期。证书使用者的名称及其公钥的信息。8.5.3.数字证书类型个人身份证书企业身份证书服务器身份证书企业代码签名证书安全电子邮件证书8.6安全套接层(SSL)协议8.6.1概述SSL(SecureSocketsLayer)安全套接层协议:提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了安全传输SSL协议分为两层:SSL握手协议和SSL记录协议8.6.2SSL协议安全连接特点:(1)连接是保密的(2)连接是可靠的(3)对端实体的鉴别采用非对称密码体制进行认证。SSL握手协议8.6.3SSL记录协议•内容类型•协议版本号•长度•数据有效载荷•信息验证码由于SSL处在互联网协议集中TCP/IP层的上面,实现SSL的协议是HTTP的安全版,名为HTTPS。8.7安全电子交易SET分析8.7.1安全电子商务模型Visa与MasterCard两家信用卡组织共同推出,并且与众多IT公司,如Microsoft、Netscape、RSA等共同发展而成的安全电子交易协议(SecureElectronicTransaction,SET)应运而生。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,由于设计合理,SET协议得到了IBM、Microsoft等许多大公司的支持,已成为事实上的工业标准。SET是一种以信用卡为基础的、在互联网上交易的付款协议书,是授权业务信息传输安全的标准,它采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标
本文标题:第8章电子商务安全技术
链接地址:https://www.777doc.com/doc-3815236 .html