《安全认证技术》PPT课件

1、.,1,3.4 安全认证技术,.,2,一、电子商务系统安全的概念,电子商务系统安全性的重要特征是利用信息技术来传送和处理商业交易信息，其安全主要分为两大部分：计算机网络本身的安全和商务交易信息的安全。,.,3,1、计算机网络本身的安全： 包括计算机硬件安全、软件安全、运行安全、计算机网络设备的安全、计算机网络系统的安全和数据库安全。,.,4,硬件安全是指保护计算机系统硬件(包括外部设备)的安全，保证其自身的可靠性和为系统提供基本安全机制。,.,5,软件安全是指保护软件和数据不被窜改、破坏和非法复制。 运行安全是指保护系统能连续和正常地运行。,.,6,2、商务交易信息的安全 指信息传输的保密性、

2、信息的完整性、信息的不可否认性、交易者身份的真实性等。,.,7,信息传输的保密性 是指信息在传输过程或存储中不被他人窃取。 信息的完整性 信息的完整性包括信息存储和信息传输两个方面。,.,8,信息的不可否认性 是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。 交易者身份的真实性 是指交易双方确实是存在的，不是假冒的。,.,9,二、数据加密技术,1、基本概念 明文：原始的信息 密文：加密后的信息 密钥：在加密（或解密）过程中使用的可变参数,.,10,加密： 指将数据进行编码，使它成为一种不可理解的形式。 解密 是加密的逆过程，即将密文还原成原来可理解的形式。,.,11,使用相同

3、的密钥加密和解密的算法称为对称加密算法， 使用不同的密钥加密和解密的算法称为非对称加密算法。,.,12,对称加密,发送方A,接受方B,.,13,非对称加密,发送方A,接受方B,.,14,2、数据加密常用的算法,常规密钥加密算法 是指对数据加密和解密时使用的密钥是相同的，即是对称密钥加密算法。,.,15,（1）替代加密法 单字符加密：明文中每一个字符被替代成密文中的一个相应字符（如新闻密报）。,.,16,恺撒加密算法：是将明文的每一个字母右移3位并以26个字母为模的替代。即A由D替代，B由E替代，.，W由Z替代，X由A替代，Y由B替代，Z由C替代。如英文单词：cryptography是明文，使用

4、恺撒加密算法，加密过程如图所示。,.,17, 多名替代加密算法： 单个字符的明文映射为密文中的几个字符（如B可以映射为10、15或30等）,.,18,多元替代加密算法： 成块的字符加密为一组其他字符。如ABA相应于RTQ等。,.,19,多字母替代加密算法： 由多次简单加密形成。该算法有多个单字母密钥，每个密钥加密一个明文字母，密钥循环使用。,.,20,（2）换位加密法 换位密码有列换位法和矩阵换位法两种。 列换位法 例：明文：WHERE ARE YOU FROM 进行排列： W H E R E A R E Y O U F R O M A 则密文为：WEYRHAOOERUMREFA 密钥为4,.

5、,21,矩阵换位法 把明文中的字母按给定的顺序安排在一矩阵中，然后用另一种顺序选出矩阵的字母来产生密文.,.,22,例：明文ENGINEERING按行排在34矩阵中，最后一行不全用ABC填充。 1 2 3 4 1 2 3 4 E N G I 置换f=(1234)(2413)） N I E G N E E R E R N E I N G A N A I G 得到密文：NIEGERNENAIG 密钥为：mn=34，以及f=(1234)(2413) 即：k=(mn,f),.,23,3、非对称密钥加密技术,非对称密钥体制，又称公钥密码体制。指对信息加密和解密时，所使用的密钥不相同，即两个密钥，一个公开

6、，另一个私有，这两个组成一个密钥对。,.,24,（1）非对称密钥加密技术的特点 加密密钥与解密密钥不相同，只有解密密钥是保密的，称为私钥(private key)，而加密密钥完全公开，称为公钥(public key)。该系统也称为“公开密钥(非对称)密码体制”。,.,25,（2）RSA算法 RSA算法思想是基于大数因子分解的难度基础之上，用两个很大的质数相乘所产生的积来加密。,.,26,RSA的算法的简单表述： (1) 选取两个足够大的质数P和Q； (2)求出P和Q相乘所得的乘积，nPQ； (3) 随机选取一个数e，使其与(P-1)(Q-1)互为质数； (4) 用欧几里德算法计算解密密钥d，使

7、其满足edl mod (P-1)(Q-1) ； (5)(n,e)为公开密钥，(n,d)为私有密钥； (6)销毁P和Q。,.,27,三、鉴别技术,在电子商务中，主要的鉴别技术 1）数字摘要 2）数字签名 3）数字信封 4）数字证书,.,28,1、数字摘要,数字摘要技术是采用安全Hash编码法对明文中若干重要元素进行某种交换运算得到一串128位二进制位的密文，这串密文称为数字摘要。,.,29,2、数字签名,数字签名是一种狭义的电子签名。所谓数字签名就是加密后的数字摘要。数字签名是一种应用非对称密码系统对信息运作产生的转换体。,.,30,数字签名保证做到以下3点： （1）接收者能够核实发送者对报文的

8、签名； （2）发送者事后不能抵赖对报文的签名； （3）接收者不能伪造对报文的签名。,.,31,数字签名原理： 发送方利用hash算法从报文中产生一个数字摘要； 发送方用自己的私有密钥对数字摘要进行加密，形成数字签名； 数字签名连同报文一起发送给接收方； 接收方从原始报文中用hash算法计算出一个 数字摘要1，同时对数字签名解密，形成一个数字摘要2； 数字摘要1如果与数字摘要2相同，则确认数字摘要是发送方的。,.,32,.,33,3、数字信封,数字信封是采用双重加密技术保证只有规定的接受者才能阅读到信中内容一种加密技术。 数字信封中采用了对称密码体制和非对称密码体制。,.,34,数字信封的产生过

9、程,（1）发送方利用随机产生的对称密钥加密信息内容； （2）然后再用接收方的公有密钥加密该对称密钥（这部分称为数字信封）； （3）最后把加密后的对称密钥（数字信封）连同加密信息一起发送给接收方。,.,35,数字信封的产生,.,36,数字信封的解除过程,（1）接收方显用自己的私有密钥打开数字信封（即解密），得到对称密钥； （2）使用对称密钥解密所得到的信息。,.,37,数字信封的解除,.,38,4、数字证书,数字证书是在网络交易过程中，用来标识参与各方身份信息的一系列数据。,.,39,数字证书采用非对称密钥体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，

10、并可以对外公开，用于信息加密和签名验证。,.,40,数字证书包括以下内容： 证书拥有者的姓名； 证书拥有者的公钥； 公钥的有限期； 颁发数字证书的单位； 颁发数字证书单位的数字签名； 数字证书的序列号。,.,41,数字证书的作用： 证明在电子商务或信息交换中参与者的身份； 授权进入保密的信息资源库； 提供网上发送信息的不可否认性的依据； 验证网上交换信息的完整性。,.,42,数字证书的类型： 客户证书 服务器证书 安全邮件证书 CA机构证书,.,43,查看证书内容（1）,.,44,查看证书内容（2）,.,45,查看证书内容（3）,.,46,四、认证中心（CA，Certification Aut

11、hority）,认证中心是承担网上安全电子交易认证服务、签发数字证书、并能确认用户身份的服务机构。,.,47,认证中心通常是具有权威性和公正性的第三方服务机构，主要任务是受理数字证书的申请、签发数字证书、以及管理数字证书。,.,48,认证中心的作用,证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档,.,49,国内主要的认证中心,中国数字认证网（） 北京数字证书认证中心（） 广东电子商务认证中心（） 上海市数字证书认证中心有限公司 (),.,50,.,51,.,52,.,53,.,54,五、防火墙技术,（一）防火墙的概念 1、防火墙的由来 修筑一道墙 隔离引擎和乘客 两个网络之间的屏障

12、,.,55,2、什么是防火墙 防火墙是一种隔离控制技术，通过在内部网络和外部网络之间设置电子屏障来保护内部网络的安全。,.,56,防火墙示意图,.,57,3、防火墙的功能 1)防止外部入侵，控制、监督外部用户对企业内部网的访问； 2) 控制、监督和管理企业内部对外部Internet的访问； 3)执行安全管制措施，记录所有可疑事件。,.,58,4、防火墙的设置的两条原则 (1)凡是未被准许的就是禁止的 (2)凡是未被禁止的就是允许的,.,59,（二）防火墙技术,1、包过滤(packet filter)技术 包过滤技术是在网络层对通过的数据包进行过滤的一种技术。,.,60,举例：包过滤规则的设置,

13、设在某一公司的网络中，有一个B类地址为168.169.0.0，该地址不希望Internet上的其他站点对它访问。但该公司网中有一个子网168.169.8.0正在和某大学合作开发项目，而该大学有一B类网址为168.160.0.0，该公司只允许大学中指定地址为168.160.3.0、 168.160.12.0的两个子网可以访问公司中的子网168.169.8.0，而不希望该大学两个子网访问公司网中的其他子网，则公司的防火墙可以设置过滤规则集如下：,.,61,.,62,不同来源的数据包被过滤的情况,.,63,包过滤技术的主要优点 方便有效 简单易行 包过滤技术的主要缺点 仅在网络层和传输层实现 缺乏可

14、审核性 不能防止来自内部的侵害,.,64,2、代理服务(proxy server)技术,代理服务技术利用一个应用层网关作为代理服务器,.,65,代理服务技术的主要优点 屏蔽被保护的内部网 对数据流的监控 代理服务技术的主要缺点 实施难度较大 需要特定的硬件支持,.,66,（三）防火墙的种类,1、包过滤型防火墙 包过滤型防火墙是采用数据包过滤技术的防火墙，通常安装在网络的路由器上。路由器逐一审查每份数据包，以判定它是否与其他包过滤规则相匹配。,.,67,过滤规则 如果找到一个匹配的包，且规则允许接受这个包，则这一包即可根据路由表中的信息前行。如果找到一个匹配的包，但规则却拒绝这个包，则这一包被舍

15、弃。如果无匹配的过滤规则，一个用户配置的缺省参数可以决定此包是前行还是被舍弃。,.,68,基于路由器的防火墙 在一般情况下，包过滤型防火墙都安装在网络之间的各个路由器上，根据路由器自己备有的访问表对通过路由器的各种数据进行检查和过滤，凡是符合要求的就都放行，凡是不符合要求的就都被拒绝。,.,69,包过滤型防火墙的优点 (1) 应用广泛 (2) 安全管理好 (3) 使用方便 (4) 隐蔽性好 (5) 网络性能好,.,70,包过滤型防火墙的缺点 (1)安全性较低 (2)抗非法攻击和入侵的能力较差,.,71,2、代理服务型防火墙 它的核心设备是代理服务器(Sockets Server)也称为Sock

16、s服务器，提供从防火墙到不安全网络或外部网络中服务器应用程序的“单向” 连接。,.,72,代理服务型防火墙的组成 代理服务型防火墙通常由两部分构成：服务器端程序和客户端程序。客户端程序与中间节点(具有代理服务器的代理服务型防火墙)连接，中间节点再与要访问的外部服务器实际连接。,.,73,双穴主机 (Dual Homed Host) 代理服务型防火墙使用一个客户程序与特定的中间节点(代理服务型防火墙)连接，然后中间节点与服务器进行实际连接。通常把这个中间节点称之为双穴主机。,.,74,代理服务型防火墙优、缺点 (1) 安全性较好； (2) 简单实用； (3) 使网络性能明显下降。,.,75,3、复合型防火墙 复合型防火墙把数据包过滤型防火墙技术和