电子商务安全技术2

第四章电子商务平安技术学习内容4.1电子商务面临的平安问题4.2防火墙技术4.3加密算法4.4数字证书认证技术4.1电子商务面临的平安问题

4.1.1电子商务的根本平安要素4.1.2电子商务中的平安问题4.1.1电子商务的根本平安要素有效性机密性完整性可靠性／不可抵赖性／可鉴别性审查能力4.1.2电子商务中的平安问题信息泄漏窜改身份识别问题病毒问题黑客问题4.2防火墙技术

4.2.1防火墙的根本概念4.2.2防火墙的构成4.2.3防火墙的优点4.2.4防火墙的类型4.2.1防火墙的根本概念

防火墙的概念是从建筑学上引过来的。在建筑学中的防火墙是用来防止大火从建筑物的一局部蔓延到另一局部而设置的阻挡机构。计算机网络的防火墙是用来防止互联网的损坏，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等涉及到内部网的危害。它是一个由软件和硬件设备组合而成的、在内部网(可信赖的平安网路)和外部网(不可靠的网路环境)之间的界面上构造的保护屏障。防火墙系统示意图

4.2.1防火墙的根本概念

防火墙是一种平安有效的防范技术，是访问控制机制、平安策略和防入侵的措施。从狭义上讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上讲，防火墙还包括了整个网络的平安策略和平安行为。防火墙的平安策略有两种：但凡没有被列为允许访问的效劳都是被禁止的。但凡没有被列为禁止访问的效劳都是被允许的。4.2.2防火墙的构成

防火墙主要包括平安操作系统、过滤器、网关、域名效劳和E-mail处理等五局部。有的防火墙可能在网关两侧设置两个内、外过滤器，外过滤器保护网关不受攻击，网关提供中继效劳，辅助过滤器控制业务流，而内过滤器在网关被攻破后提供对内部网络的保护。防火墙的主要目的是控制数据组，只允许合法流通过。它要对内域网和Internet之间传递的每一数据组进行干预。过滤器那么执行由防火墙管理机构制定的一组规那么，检验各数据组决定是否允许放行。这些规那么按IP地址、端口号码和各类应用等参数确定。单纯靠IP地址的过滤规那么是不平安的，因为一个主机可以用改变IP源地址来蒙混过关。防火墙的构成

4.2.3防火墙的优点

集中化的平安管理

对于一个企业而言，使用防火墙比不使用防火墙可能更加经济一些，这是因为如果使用了防火墙，就可以将所有修改正的软件和附加的平安软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。对网络访问进行记录和统计

如果所有对Internet的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。4.2.3防火墙的优点

4.2.4防火墙的类型包过滤型可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口号等信息，与预先保存的清单进行对照，按预定的平安策略决定哪些报文可以通过防火墙，哪些报文不可以通过防火墙。防火墙主要可分为包过滤型和应用网关型两种。包过滤型防火墙的工作原理

应用网关型防火墙的工作原理

代理效劳器技术是防火墙技术中的一种平安技术措施优点：在于可以将被保护的网络内部结构屏蔽起来，增强网络的平安性能，同时可用于实施较强的数据流监控、过滤、记录和报告等功能。缺点：在于需要为每个网络效劳专门设计、开发代理效劳软件及相应的监控过滤功能，并且由于代理效劳器具有相当的工作量，需专门的工作站来承担。代理效劳器对出入数据进行两次处理，所以会降低性能，这是应用网关的主要缺陷。4.2.4防火墙的类型4.3加密技术

4.3.1加密技术的根本概念

4.3.2对称密钥密码体系4.3.3非对称密钥密码体系4.3.1加密技术的根本概念所谓加密技术，就是指采用数学方法对原始信息〔明文〕进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字〔密文〕。在加密和解密过程中，都要涉及信息〔明文/密文〕、密钥〔加密密钥/解密密钥〕和算法〔加密算法/解密算法〕这三项内容。如果收发双方密钥是否相同，分为对称加密技术和非对称加密技术。4.3.2对称密钥密码体系对称加密方法中，信息的加密和解密都使用相同的密钥。4.3.2对称密钥密码体系优点：加密、解密速度很快〔高效〕缺点：在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。当通信对象增多时，需要相应数量的密钥。例如，当某一贸易方有“n〞个贸易关系，那么他就要维护“n〞个专用密钥。代表性算法：IBM公司于1977年提出的DES算法，该算法被国家标准局NBS公布为商用数据加密标准。4.3.3非对称密钥密码体系非对称加密体系中，密钥被分解为一对，即一把公开密钥〔公钥〕和一把专用密钥〔私钥〕。非对称加密体系中，一把用于加密，一把用于解密。非对称密钥系统的应用：加密/解密：发送方用接收方的公钥加密报文；鉴别：发送方用自己的私钥加密报文；密钥交换：两方合作以便交换会话密钥。优点：密钥宜于管理缺点：运算速度较慢，较对称密码算法慢几个数量级。代表性算法：1979年由三位科学家Rivest、Shamir、Adleman研制的RSA算法。理论根底：两个大素数相乘在计算上是容易实现的，但将该乘数分解为两个大素数因子的计算量很大，大到甚至在计算机上也不可能实现。

4.3.3非对称密钥密码体系4.4数字证书认证技术

4.4.1公开密钥体系4.4.2认证中心及数字证书4.4.1公开密钥体系公开密钥体系〔publickeyinfrastructure，PKI〕，是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套平安根底平台的技术和标准。用户可利用PKI平台提供的效劳进行平安通信。PKI必须具有权威认证机构CA在公钥加密技术根底上对证书的产生、管理、存档、发放以及作废进行管理的功能，包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的平安效劳。

PKI由公开密钥技术、数字证书、认证机构〔CA〕和有关公开密钥的平安策略等根本局部组成。PKI提供的效劳

4.4.2数字证书及认证中心数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私钥，用它进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证签名。数字签名的流程数字证书是由一个由权威机构——CA(CertificateAuthority)，又称为证书认证中心发行。CA〔CertificateAuthority〕，即证书认证中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。CA认证所签发的数字证书包括个人数字证书，企业数字证书

效劳器身份证书等．广泛的被应用于电子商务、网上银行、电信、电子政务、网上身份证、数字签名、电子公证、平安电邮、保险等领域。4.4.2数字证书及认证中心数字证书的内容证书的版本信息证书的序列号证书所使用的签