第3章 电子商务安全

第3章电子商务安全大连东软信息学院信息技术与商务管理系核心要点病毒与黑客防火墙技术及实现方式加密技术信息摘要数字签名数字证书安全协议主要内容3.1引言3.2病毒与黑客3.3防火墙3.4加密技术3.5信息摘要3.6数字签名3.7数字证书3.8安全协议3.1引言数字世界中的安全问题案例：Lauren如何才能确保备忘录的安全？保密性数据完整性非否认性可鉴别性3.2病毒与黑客3.2.1病毒历史1949年，冯·诺伊曼，《复杂自动机组织论》1983年11月3日，计算机病毒1986年，Pakistan病毒，即Brain1988年3月2日，一种苹果机的病毒发作，1988年11月2日，蠕虫病毒1991年4月，米开朗基罗病毒1996年，Word宏（Macro）病毒1998年，CIH1999年3月，美丽杀手的邮件计算机病毒2000年，古兹曼(Guzman)，“我爱你(LoveBug)”病毒3.2病毒与黑客图3-1W32.Cervivec.A@mm病毒

3.2病毒与黑客3.2.2黑客历史本世纪60年代初：MIT的人工智能实验室70年代初：“phreaks”，即电话线路盗用者“蓝盒子”80年代初：“电脑空间”、两个黑客团体（美国的“末日军团”和德国的“混沌电脑俱乐部”）80年代末："FryGuy"90年代早期：“KnightLightning”、“黑色但丁”90年代末：“男孩时代”、“逻辑炸弹”1998年："spamming"1999年11月：“拒绝服务式”攻击手段2000年6月：木马程序

3.3防火墙

两方面的安全策略：1.没有被允许访问的，都是被禁止的；2.没有被列为禁止访问的，都是被允许的。三个方面的基本特性：

内部网络和外部网络之间的所有网络数据流都必须经过防火墙

只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力图3-2典型的防火墙体系网络结构

3.3.1防火墙技术

1.包过滤型

2.应用级网关(代理服务器)

图3-3防火墙方案网络拓扑简化图

图3-4应用级网关的工作原理

3.3.2几种典型的防火墙的实现方式

1.包过滤模式

图3-5包过滤技术防火墙方案拓扑结构

3.3.2几种典型的防火墙的实现方式2.双宿主机模式

图3-6双宿主机网络拓扑结构

3.3.2几种典型的防火墙的实现方式3.屏蔽主机模式

图3-7屏蔽主机防火墙模式网络拓扑结构

图3-8多宿主机防火墙网络拓扑结构3.3.2几种典型的防火墙的实现方式4.非军事区结构模式

图3-9DMZ网络结构

3.4加密技术

图3-10加密解密的过程

3.4.1对称密码算法

1.密钥

DES的基本思想是：加解密双方在加解密过程中要使用完全相同的一个密钥，密钥就经过安全的密钥信道由发方传给收方。图3-11DES密码系统3.4.1对称密码算法2.具体算法实现

图3-12DES16轮替代和置换图

3.4.2非对称加密算法

图3-19非对称密码

3.4.3数字信封

图3-20数字信封（加密）

3.4.3数字信封图3-21数字信封（解密）

3.5信息摘要

图3-22信息摘要过程

3.6数字签名

图3-23数字签名

3.7数字证书

3.7.1数字证书概述

数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。1.应用数字证书的必要性

身份验证信息传输安全信息保密性（存储与交易）信息完整性交易的不可否认性3.7数字证书2.数字证书内容及格式

（1）申请者的信息（2）发放证书CA的信息3.7数字证书3.7.2验证证书

单向验证双向验证单向和双向验证都使用了时间标记。3.7.3数字证书使用3.7数字证书3.7.4证书存放方式数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。总结：在数字信息传输前，首先传输双方互相交换证书，验证彼此的身份；然后，发送方利用证书中的加密密钥和签名密钥对要传输的数字信息进行加密和签名，这就保证了只有合法的用户才能接收该信息，同时保证了传输信息的机密性、真实性、完整性和不可否认性。从而保证网上信息的安全传输。

3.8安全协议

3.8.1安全套接协议SSL

Netscape公司开发的一种数据安全协议SSL由两个共同工作的协议组成：“SSL记录协议”（SSLRecordProtocol）和“SSL握手协议”（SSLHandshakeProtocol）。

3.8.2安全电子交换协议SET

1996年6月，由IBM，MasterCardInternational，VisaInternational，Microsoft，Netscape，GTE，ViriSign，SAIC，Terisa共同制定的标准SET（SecureElectronicTransaction）正式公告，涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整即数字认证、数字签名等。3.8安全协议3.8.3IPSec技术

IPSec主要包括两个安全协议AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）及密钥管理协议IKE（InternetKeyExchange）3.8.4S/MIME协议

S/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议

3.8安全协议3.8.5公钥基础设施PKI

PKI(PubicKeyInfrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名,数字证书等。典型的PKI系统由五个