《7电子商务安全技术.ppt》由会员分享,可在线阅读,更多相关《7电子商务安全技术.ppt(46页珍藏版)》请在第壹文秘上搜索。
1、电子商务安全技术E-commerce Security Technology 本章主要内容:本章主要内容:电子商务安全概述电子商务安全概述网络安全技术技术网络安全技术技术交易安全技术交易安全技术7.1 电子商务安全概述一、一、 电子商务所面临的安全问题电子商务所面临的安全问题 1.1.信息的截获和窃取信息的截获和窃取2.2.信息的篡改信息的篡改3.3.信息假冒信息假冒4.4.交易抵赖交易抵赖7.1 电子商务安全概述二、电子商务安全需求二、电子商务安全需求机密性(机密性(confidentialityconfidentiality)完整性完整性(integrity)(integrity)认证性认
2、证性(authenticity)(authenticity)不可抵赖性不可抵赖性(accountability)(accountability)有效性有效性(validity)(validity)电子商务安全构架7.1 电子商务安全概述7.2 计算机网络安全技术 计算机网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。 目前,常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术 一病毒防范技术为了防范病毒,可以采用以下的措施:(1)安装防病毒软件,加强内部网的整体防病毒措施;(2)加强数据备份和恢复措施;(3)对敏感的设备
3、和数据要建立必要的物理或逻辑隔离措施等。网络病毒防治必须考虑安装病毒防治软件。安装的病毒防治软件应具备四个特性:(1)集成性。(2)单点管理。(3)自动化。(4)多层分布 二身份识别技术口令口令标记方法标记方法生物特征法生物特征法安全级别安全级别校园一卡通校园一卡通三防火墙技术v 1.1.基本概念基本概念防火墙是一种将内部网和公众网如防火墙是一种将内部网和公众网如Internet分开的方法。它能限分开的方法。它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间息存取、传递操
4、作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。络和信息安全的基础设施。 防火墙示意图防火墙示意图2.设计防火墙的准则一切未被允许的就是禁止的一切未被允许的就是禁止的 防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境,但用户使用的方便性、服务这种方法可以创造十分安全的
5、环境,但用户使用的方便性、服务范围受到限制。范围受到限制。一切未被禁止的就是允许的一切未被禁止的就是允许的 防火墙转发所有信息流,然后逐项屏蔽有害的服务。这种方防火墙转发所有信息流,然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境,可为用户提供更多的服务。但在法构成了更为灵活的应用环境,可为用户提供更多的服务。但在日益增多的网络服务面前,网管人员的疲于奔命可能很难提供可日益增多的网络服务面前,网管人员的疲于奔命可能很难提供可靠的安全防护。靠的安全防护。v3.3.防火墙的功能防火墙的功能保护数据的完整性。可依靠设定用户的权限和文件保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户
6、访问敏感性信息,可以限制一个特保护来控制用户访问敏感性信息,可以限制一个特定用户能够访问信息的数量和种类;定用户能够访问信息的数量和种类;保护网络的有效性。有效性是指一个合法用户如何保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源;快速、简便地访问网络的资源;保护数据的机密性。加密敏感数据。保护数据的机密性。加密敏感数据。三、防火墙技术三、防火墙技术4. 防火墙的实现技术 防火墙系统的实现技术主要分为:分组过滤(Packet Filter)代理服务(Proxy Service) 目前,比较完善的防火墙系统通常结合使用两种技术。代理服务可以大大降低分组过滤规则的复杂度,是分
7、组过滤技术的重要补充。分组过滤分组过滤 分组过滤技术是一种简单、有效的安全控制技术,它通过在网络间分组过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包进出内部网络。代理服务代理服务 代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合
8、安全规则的连接,当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言,间的通信将通过代理程序将相应连接映射来实现。对于用户而言,似乎是直接与外部网络相连的。似乎是直接与外部网络相连的。四虚拟专用网技术(Virtual Private Network,VPN) 虚拟专用网是用于虚拟专用网是用于Intern
9、et电子交易的一电子交易的一种专用网络,它可以在两个系统之间建立安全的种专用网络,它可以在两个系统之间建立安全的通道,非常适合于电子数据交换(通道,非常适合于电子数据交换(EDI)。)。 在虚拟专用网中交易双方比较熟悉,而在虚拟专用网中交易双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全性。大大提高电子商务的安全性。VPN可以支持可以支持数据、语音及图像业务,其优点是经济、便数据
10、、语音及图像业务,其优点是经济、便于管理、方便快捷地适应变化,但也存在安于管理、方便快捷地适应变化,但也存在安全性低,容易受到攻击等问题。全性低,容易受到攻击等问题。一、一、 加密技术加密技术 数据加密技术从技术上的实现分为在软件和硬件数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。技术这四种。 在网络应用中一般采取两种加密形式:对称密钥在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何处加密算法则要结合
11、具体应用和公开密钥,采用何处加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出环境和系统,而不能简单地根据其加密强度来作出判断。判断。 7.3 交易安全技术交易安全技术1对称密钥加密体制对称密钥加密体制 对称密钥加密,又称私钥加密,即信息的发送方和对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加最大优势是加/解密速度快,适合于对大数据量进行加解密速度快,适合于对大数据量进行加密,但密钥管理困难。密,但密钥管理困难。2非对称密钥加密体制非对称密钥加密体制 非对称密钥加密系统,
12、又称公钥密钥加密,它需要非对称密钥加密系统,又称公钥密钥加密,它需要使用一对密钥来分别完成加密和解密操作,一个公开发使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(布,称为公开密钥(Public-Key);另一个由用户自己);另一个由用户自己秘密保存,称为私有密钥(秘密保存,称为私有密钥(Private-Key)。信息发送)。信息发送者用公开密钥去加密,而信息接收者则用私有密钥去解者用公开密钥去加密,而信息接收者则用私有密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。密慢得多。 例 3 : 单 表 置 换 密
13、码 , 见 表 3 。 假 设 密 钥 K ey 是 B E IJIN G T S IN G H U A( 北 京 清 华 ) ,由 此 密 码 构 造 的 字 符 置 换 表 如 下 : 表 3 单 表 置 换 密 码 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 B E I J N G T S H U A C D 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 F K L M O P Q R V W X Y Z 例:如果明文m为“important”,则密文C则 为“HDLKOQBFQ”。对称与非对称加密体制对比特特
14、 性性对对 称称非非 对对 称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单不好管理简单不好管理需要数字证书及可靠第三者需要数字证书及可靠第三者相对速度相对速度非常快非常快慢慢用途用途用来做大量资料的加密用来做大量资料的加密用来做加密小文件或对信息签字等不太严格用来做加密小文件或对信息签字等不太严格保密的应用保密的应用二、 认证技术v 信息认证的目的信息认证的目的(1)确认信息的发送者的身份;)确认信息的发送者的身份;(2)验证信息的完整性,即确认信息在传送或存储过程)验证信息的完整
15、性,即确认信息在传送或存储过程中未被篡改过。中未被篡改过。v 常用的安全认证技术常用的安全认证技术v 1.1.数字摘要数字摘要 数字摘要是采用单向数字摘要是采用单向Hash函数对文件中若干重要元素进行函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹某种变换运算得到固定长度的摘要码(数字指纹Finger Print),并在传输信息时将之加入文件一同送给接收方,),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,的结果与发送来的摘要码
16、相同,则可断定文件未被篡改,反之亦然。反之亦然。2.数字信封数字信封 数字信封是用加密技术来保证只有数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用开数字信封,得到对称密钥,然后使用对称密钥解开信息。对称密钥解开信息。3.3.数字签名数字签名v数字签名就是信息发送者先给自己将要发送的数字签名就是信息发送者先给自己将要发送的正文内容做一个消息摘要,然后用自己的私钥正文内容做一个消息摘要,然后用自己的私钥给这个数字摘要加密,这个加密以后的数字摘给这个数字摘要加密,这个加密以后的数字摘要就是数字签名。要就是数字签名。 v接收者收到传递的正文以后,再计算一次数字接收者收到传递的