电子商务安全技术三

电子商务安全技术E-CommerceSecurityTechnology电子商务的安全概述IntroductiontosecurityinEC

加密技术Dataencryptiontechnology

认证技术Authenticationtechnology

防火墙技术Firewall

technology安全技术协议ProtocolforsecurityCase:Biblifind公司

该公司立即报告州和联邦执法机构调查这次黑客事件，并且向9.8万名客户发出了电子邮件，提醒客户信息可能已被黑客获取了。官方的调查既没有逮捕责任人，也没有发现嫌犯。许多客户知道后都非常愤怒。

在攻击事件一个月后，Bibliofind被关闭了。一家成功的企业因不能保存客户信息而毁于一旦。

Case:Biblifind公司

本章重点

电子商务的安全是一个非常重要的问题。只有网上交易做到了安全可靠，客户才能接受和使用这种交易方式，电子商务才能顺利开展下去。电子商务的安全性不是一个孤立的概念，它是由计算机安全性，尤其是计算机网络安全性发展而来的。本章重点：电子商务安全需求电子商务的安全隐患及安全电子商务结构对称密钥加密体制及公开密钥加密体制认证技术与数字证书数字时间戳网络通信中的加密方式防火墙技术电子商务安全概述

电子商务安全需求

TheBasicRequirementsforECSecurity

信息保密性的需求Secrecy信息完整性的需求Integrity不可否认性的需求Necessity交易实体身份真实性的需求Authentication系统可靠性的需求Reliability

电子商务的安全隐患

TheProblemsforECSecurity

互联网本身的问题计算机操作系统的安全问题计算机应用软件的安全问题通信传输协议的安全问题网络安全管理的问题电子商务安全概述电子商务安全概述

电子商务安全措施

TheMeasuresforECSecurity安全要素可能损失防范措施信息的保密性数据被泄露或篡改信息加密信息的完整性信息丢失和变更数字摘要信息的验证性冒名发送接受数据数字证书信息的认可性发送数据后抵赖数字时间戳与签名信息的授权性未经授权擅自侵入防火墙、口令

防火墙的概念Theconceptionofthefirewall

Incomputerfield,firewallisalogicaldesign(hardwareorsoftware)withinanetworkenvironmentwhichpreventscommunicationsforbiddenbythesecuritypolicyofanorganizationfromhappening.

防火墙图示

防火墙技术

防火墙的功能Thebasictaskofthefirewall

防火墙的基本任务是提供一种访问控制，通过这种访问控制来实现网络路由的安全性包括两个方面：⑴限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯⑵限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问

防火墙技术

防火墙的分类Thetypeofthefirewall

防火墙技术通信发生在主机与网络还是网络之间

通信在网络层或应用层进行分析是否保留有状态信息个人防火墙网络防火墙网络层防火墙应用层防火墙网络防火墙有状态防火墙无状态防火墙防火墙的工作作原理⑴分组过过滤（PacketFilter）分组过滤是利利用路由器里里安装防火墙墙软件方式来来保护网络内内部系统。这这种包过滤实实际上是在网网络层中对数数据包实施有有选择的通过过，依据系统统内事先设定定的过滤逻辑辑规则，检查查数据流中每每个数据包，，根据数据包包的源、目的的地址、所用用的IP端口等因素来来确定是否允允许该数据包包通过。防火墙技术应用层表示层会话层传输层网络层数据链路层物理层分组过滤防火火墙实现原理理图内部受保护的的网络外层网络防火墙技术⑵应用网关（ApplicationGateways）应用网关是在在网络应用层层上建立协议议过滤和转发发功能。它针针对特定的网网络应用协议议，使用指定定的数据过滤滤逻辑，并在在过滤的同时时，对数据包包进行必须的的分析、登记记和统计，形形成报告。实实际中的应用用网关通常安安装在专用工工作站系统上上。防火墙技术应用网关防火火墙实现原理理示意应用层表示层会话层传输层网络层数据链路层物理层外层网络内部受保护的的网络防火墙技术(3)代理服务（ProxyService）代理服务使用用一个客户程程序与特定的的中间结点（（代理服务器器，即防火墙墙）建立连接接，然后中间间结点与服务务器进行实际际连接。代理理服务在应用用层上进行。。防火墙代理访问控制客户代理服务器代理服务器客户请求应答请求转发转发应答代理服务器防防火墙数据控控制及传输示示意防火墙技术防火墙墙的基基本策策略BasicPolicyofFirewall⑴没有被被列为为允许许访问问的服服务都都是被被禁止止的这种控控制模模型需需要确确定所所有可可以被被提供供的服服务以以及它它们的的安全全特性性，然然后，，开放放这些些服务务，并并将所所有其其它未未被列列入的的服务务排除除在外外，禁禁止访访问。。⑵没没有被被列为为禁止止访问问的服服务都都是被被允许许的这种防防火墙墙模型型与上上种模模型正正好相相反，，它需需要确确定那那些被被认为为是不不安全全的服服务，，禁止止其访访问；；而其其它服服务则则被认认为是是安全全的，，允许许访问问。防火墙墙技术术防火墙墙技术术防火墙墙实现现站点点安全全的安安全策策略ConcreteofFirewall⑴服务控控制策策略这种策策略主主要明明确规规定外外部网网和内内部网网用户户之间间进行行访问问的服服务类类型。。⑵方方向控控制策策略启动特特定的的服务务请求求并允允许它它通过过防火火墙，，这些些操作都都具有有方向向性。。⑶用户户控制制策略略这种策策略主主要针针对访访问请请求的的用户户类型型来确确定是是否提供服服务。。⑷行为为控制制策略略用来控控制用用户如如何使使用某某种特特定的的服务务。数据加加密技技术数据加加密Dataencryption加密就就是用用基于于数学学算法法的程程序和和保密密的密密钥对对信息息进行行编码码，生生成难难以理理解的的字符符串。。源信息加密算法E源信息解密算法D密文加密密钥Ke解密密钥Kd源信息息用加加密算算法E和加密密密钥钥Ke进行加加密运运算，，得到到密文文，然然后通通过一一定的的传输输路径径传输输给接接收端端，接接收端端接收收到密密文后后，利利用解解密算算法D和解密密密钥钥Kd对密文文进行行解密密运算算，从从而获获得信信息明明文。。数据加密密技术对称密钥钥加密体体制Symmetricencryptiontechnology对称密钥钥加密原原理对称密钥钥体制，，就是加加密密钥钥和解密密密钥相相同，即：Ke=Kd=K对称密钥钥加密体体制常用用算法1．替换加加密法2．转换加加密法3．数据加加密标准准（DES）算法替换加密密法例1：Caesar（恺撒））密码——最原始的的密码技技术数据加密密技术明文：CRYPTOGRAPHY密文：FUBSWRJUDSKBkey：n=4例2：单表置置换密码码数据加密密技术数据加密密技术非对称密密钥加密密体制Asymmetricencryptiontechnology非对称密密钥加密密原理非对称密密码体制制也也称双钥钥密码（（或公钥钥密钥））体制，，就是加加密和解解密使用用不同的的密钥。。非对称密密码体系系的主要要特点公钥密码码体系的的主要特特点就是是加密和和解密使使用不同同的密钥钥，每个个用户都都有一对对选定的的密钥（（所以又又称双钥钥），即即：公钥KP（publickey）是是可以公公开的，，它可以以像电话话号码一一样注册册公布私钥KS（selfkey）是是秘密的的，私用用的。由KP不能计算算出KS。加密和解解密分开开。数据加密密技术Kex:X的加密密密钥，Key:Y的加密密密钥，其其他密钥钥依次类类推…….公开密钥钥密码体体制认证技术术认证技术术为了确保保信息的的真实性性和防伪伪性，就就必须使使发送的的消息具具有被验验证性，，使接收收者或第第三者能能够识别别消息的的真伪，，实现这这类功能能的密码码技术称称作数字字认证技技术。信息的认认证与保保密是有有区别的的，加密密保护只只能防止止被动攻攻击，而而认证保保护可以以防止主主动攻击击。保密性是是使截获获者在不不知密钥钥条件下下不能解解读密文文的内容容。认证性是是使任何何不知密密钥的人人不能构构造一个个密报，，使意定定的接收收者脱密密成一个个可理解解的消息息。认证技术术数字摘要要MessagedigestMessagedigestisatechniqueofmakinguseofdigitalfingerprintforintegrityverification.Thedigitalfingerprintofthefileistransmittedalongwiththefiletotherecipientintransit.Afterreceivingthefile,therecipientcalculatesthehashvalueofthereceivedfileinthesamewayandiftheresultisidenticalwiththedigestcodereceived,itisconcludedthatthefilehasnotbeenaltered.数字摘要要是利用数数据字指指纹来保保证信息息完整性性的一种种手段。。数据摘要技术术1.杂凑函数杂凑函数（hashingfunction）是将任意长长的数字串M映射（压缩））成一个较短短的定长输出出数字串H的函数：H=h(M)即H为M的杂凑值（杂杂凑码），h(x)为杂凑函数。。2.基于杂凑函数数的信息摘要要MUXhDMXh比较MM’h(M’)发端A收端B判断输出h(M)M|h(m)认证技术认证技术数字签名digitalsignatures在以计算机文文件为基础的的事务处理中中采用电子形形式的签名,即数字签名名.数字签名解解决的问题题functionsTherecipientcanverifytherealidentityofthesenderThesendercannotrepudiatethemessagessentTherecipientorcrackerscannotalterandfakethemessagereceived.老李A小王B老李和小王王使用不同同的密钥老李使用小小王的公钥钥对签名进进行核实小王使用私私钥对消息息进行签名名KSB核实签名对消息签名名“我们亟需定购100套Windows2000”“dkso(Sc#Z02f+baur}”“我们亟需定定购100套Windows2000”“我们亟需定定购100套Windows2000”InternetMMM1KPB基于公钥认认证体制的的数字签名名认证技术利用杂凑函函数进行数数字签名数字签名=Hash算法+私人密钥加加密认证技术数字证书与与CA认证Digitalcertificates&CAsecurityauthentication数字证书（（DigitalCertificate）也叫数字标标识（DigitalID）、数字凭凭证、公开开密钥证书书，是用电电子手段来来证实一个个用户的身身份和对网网络资源的的访问权限限。认证技术数字证书的的类型:①个人数字证证书②企业数数字证书③服务器器数字证书书④代码签签名数字证证书⑤安全电电子邮件数数字证书认证中心（（CA，CertificationAuthority）CertificateAuthority(CA)isthecoreorganizationofe-commercesecurityauthenticationsystem.Functions:ThecorefunctionofCAistoissueandmanageDigitalCertificate.另外外，，认认证证中中心心还还对对电电子子商商务务中中的的数数据据加加密密、、数数字字签签字字、、防防抵抵赖赖、、数数据据完完整整性性以以及及身身份份鉴鉴别别所所需需的的密密钥钥和和认认证证实实施施统统一一管管理理，，以以保保证证网网上上交交易易安安全全进进行行。。认证证技技术术一个个典典型型的的CA认证证系系统统一一般般包包括括安安全全服服务务器器、、注注册册机机构构RA、CA服务务器器、、LDAP目录服务务器和数数据库服服务器等等.认证技术术treeauthenticationstructure认证技术术CA证书信任任分级体体系数字时间间戳DigitalTimeStampAdigitaltimestampisaproofofthereceivingandsendingtimeofinformation,whichisadocumentformedafterbeingencrypted.数字时间间戳是用用来证明明信息的的收发时时间的，，它是一一个经过过加密后后形成的的凭证文文档。数字时间间戳应当当保证：：（1）信息文文件加上上去的时时间戳与与存储信信息的物物理媒介介无关；；（2）对已加加上数字字时间戳戳的信息息文件不不能作任任何改动动和伪造造；（3）要想在在某个信信息文件件中加上上与当前前日期和和时间不不同的时时间戳是是不可能能的。认证技技术数字时时间戳戳产生生过程程TheDigitalTimeStampProcess用户文件数字签名&Hash权威时间源时间戳服务器时间戳请求经数字签名的时间戳反馈认