電子商務安全技術2

第四章電子商務平安技術學習內容4.1電子商務面臨的平安問題4.2防火墻技術4.3加密算法4.4數字證書認證技術4.1電子商務面臨的平安問題

4.1.1電子商務的根本平安要素4.1.2電子商務中的平安問題4.1.1電子商務的根本平安要素有效性機密性完整性可靠性／不可抵賴性／可鑒別性審查能力4.1.2電子商務中的平安問題信息泄漏竄改身份識別問題病毒問題黑客問題4.2防火墻技術

4.2.1防火墻的根本概念4.2.2防火墻的構成4.2.3防火墻的優(yōu)點4.2.4防火墻的類型4.2.1防火墻的根本概念

防火墻的概念是從建筑學上引過來的。在建筑學中的防火墻是用來防止大火從建筑物的一局部蔓延到另一局部而設置的阻擋機構。計算機網絡的防火墻是用來防止互聯網的損壞，如黑客攻擊、病毒破壞、資源被盜用或文件被篡改等涉及到內部網的危害。它是一個由軟件和硬件設備組合而成的、在內部網(可信賴的平安網路)和外部網(不可靠的網路環(huán)境)之間的界面上構造的保護屏障。防火墻系統(tǒng)示意圖

4.2.1防火墻的根本概念

防火墻是一種平安有效的防范技術，是訪問控制機制、平安策略和防入侵的措施。從狹義上講，防火墻是指安裝了防火墻軟件的主機或路由器系統(tǒng)；從廣義上講，防火墻還包括了整個網絡的平安策略和平安行為。防火墻的平安策略有兩種：但凡沒有被列為允許訪問的效勞都是被禁止的。但凡沒有被列為禁止訪問的效勞都是被允許的。4.2.2防火墻的構成

防火墻主要包括平安操作系統(tǒng)、過濾器、網關、域名效勞和E-mail處理等五局部。有的防火墻可能在網關兩側設置兩個內、外過濾器，外過濾器保護網關不受攻擊，網關提供中繼效勞，輔助過濾器控制業(yè)務流，而內過濾器在網關被攻破后提供對內部網絡的保護。防火墻的主要目的是控制數據組，只允許合法流通過。它要對內域網和Internet之間傳遞的每一數據組進行干預。過濾器那么執(zhí)行由防火墻管理機構制定的一組規(guī)那么，檢驗各數據組決定是否允許放行。這些規(guī)那么按IP地址、端口號碼和各類應用等參數確定。單純靠IP地址的過濾規(guī)那么是不平安的，因為一個主機可以用改變IP源地址來蒙混過關。防火墻的構成

4.2.3防火墻的優(yōu)點

集中化的平安管理

對于一個企業(yè)而言，使用防火墻比不使用防火墻可能更加經濟一些，這是因為如果使用了防火墻，就可以將所有修改正的軟件和附加的平安軟件都放在防火墻上集中管理；而不使用防火墻，就必須將所有軟件分散到各個主機上。對網絡訪問進行記錄和統(tǒng)計

如果所有對Internet的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問，并能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑操作時，防火墻能夠報警并提供網絡是否受到監(jiān)測和攻擊的詳細信息。4.2.3防火墻的優(yōu)點

4.2.4防火墻的類型包過濾型可以動態(tài)檢查通過防火墻的TCP/IP報文頭中的報文類型、源IP地址、目標IP地址、源端口號等信息，與預先保存的清單進行對照，按預定的平安策略決定哪些報文可以通過防火墻，哪些報文不可以通過防火墻。防火墻主要可分為包過濾型和應用網關型兩種。包過濾型防火墻的工作原理

應用網關型防火墻的工作原理

代理效勞器技術是防火墻技術中的一種平安技術措施優(yōu)點：在于可以將被保護的網絡內部結構屏蔽起來，增強網絡的平安性能，同時可用于實施較強的數據流監(jiān)控、過濾、記錄和報告等功能。缺點：在于需要為每個網絡效勞專門設計、開發(fā)代理效勞軟件及相應的監(jiān)控過濾功能，并且由于代理效勞器具有相當的工作量，需專門的工作站來承擔。代理效勞器對出入數據進行兩次處理，所以會降低性能，這是應用網關的主要缺陷。4.2.4防火墻的類型4.3加密技術

4.3.1加密技術的根本概念

4.3.2對稱密鑰密碼體系4.3.3非對稱密鑰密碼體系4.3.1加密技術的根本概念所謂加密技術，就是指采用數學方法對原始信息〔明文〕進行再組織，使得加密后在網絡上公開傳輸的內容對于非法接收者來說成為無意義的文字〔密文〕。在加密和解密過程中，都要涉及信息〔明文/密文〕、密鑰〔加密密鑰/解密密鑰〕和算法〔加密算法/解密算法〕這三項內容。如果收發(fā)雙方密鑰是否相同，分為對稱加密技術和非對稱加密技術。4.3.2對稱密鑰密碼體系對稱加密方法中，信息的加密和解密都使用相同的密鑰。4.3.2對稱密鑰密碼體系優(yōu)點：加密、解密速度很快〔高效〕缺點：在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統(tǒng)一的密鑰。當通信對象增多時，需要相應數量的密鑰。例如，當某一貿易方有“n〞個貿易關系，那么他就要維護“n〞個專用密鑰。代表性算法：IBM公司于1977年提出的DES算法，該算法被國家標準局NBS公布為商用數據加密標準。4.3.3非對稱密鑰密碼體系非對稱加密體系中，密鑰被分解為一對，即一把公開密鑰〔公鑰〕和一把專用密鑰〔私鑰〕。非對稱加密體系中，一把用于加密，一把用于解密。非對稱密鑰系統(tǒng)的應用：加密/解密：發(fā)送方用接收方的公鑰加密報文；鑒別：發(fā)送方用自己的私鑰加密報文；密鑰交換：兩方合作以便交換會話密鑰。優(yōu)點：密鑰宜于管理缺點：運算速度較慢，較對稱密碼算法慢幾個數量級。代表性算法：1979年由三位科學家Rivest、Shamir、Adleman研制的RSA算法。理論根底：兩個大素數相乘在計算上是容易實現的，但將該乘數分解為兩個大素數因子的計算量很大，大到甚至在計算機上也不可能實現。

4.3.3非對稱密鑰密碼體系4.4數字證書認證技術

4.4.1公開密鑰體系4.4.2認證中心及數字證書4.4.1公開密鑰體系公開密鑰體系〔publickeyinfrastructure，PKI〕，是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套平安根底平臺的技術和標準。用戶可利用PKI平臺提供的效勞進行平安通信。PKI必須具有權威認證機構CA在公鑰加密技術根底上對證書的產生、管理、存檔、發(fā)放以及作廢進行管理的功能，包括實現這些功能的全部硬件、軟件、人力資源、相關政策和操作程序，以及為PKI體系中的各成員提供全部的平安效勞。

PKI由公開密鑰技術、數字證書、認證機構〔CA〕和有關公開密鑰的平安策略等根本局部組成。PKI提供的效勞

4.4.2數字證書及認證中心數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私鑰，用它進行解密和簽名；同時設定一把公鑰并由本人公開，為一組用戶所共享，用于加密和驗證簽名。數字簽名的流程數字證書是由一個由權威機構——CA(CertificateAuthority)，又稱為證書認證中心發(fā)行。CA〔CertificateAuthority〕，即證書認證中心，作為電子商務交易中受信任和具有權威性的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA認證所簽發(fā)的數字證書包括個人數字證書，企業(yè)數字證書

效勞器身份證書等．廣泛的被應用于電子商務、網上銀行、電信、電子政務、網上身份證、數字簽名、電子公證、平安電郵、保險等領域。4.4.2數字證書及認證中心數字證書的內容證書的版本信息證書的序列號證書所使用的簽