第章電子商務(wù)安全技術(shù)3

第四章電子商務(wù)安全技術(shù)學(xué)習(xí)內(nèi)容4.1電子商務(wù)面臨的安全問(wèn)題4.2防火墻技術(shù)4.3加密算法4.4數(shù)字證書認(rèn)證技術(shù)4.1電子商務(wù)面臨的安全問(wèn)題

4.1.1電子商務(wù)的基本安全要素4.1.2電子商務(wù)中的安全問(wèn)題4.1.1電子商務(wù)的基本安全要素有效性機(jī)密性完整性可靠性／不可抵賴性／可鑒別性審查能力4.1.2電子商務(wù)中的安全問(wèn)題信息泄漏竄改身份識(shí)別問(wèn)題病毒問(wèn)題黑客問(wèn)題4.2防火墻技術(shù)

4.2.1防火墻的基本概念4.2.2防火墻的構(gòu)成4.2.3防火墻的優(yōu)點(diǎn)4.2.4防火墻的類型4.2.1防火墻的基本概念

防火墻的概念是從建筑學(xué)上引過(guò)來(lái)的。在建筑學(xué)中的防火墻是用來(lái)防止大火從建筑物的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)的防火墻是用來(lái)防止互聯(lián)網(wǎng)的損壞，如黑客攻擊、病毒破壞、資源被盜用或文件被篡改等波及到內(nèi)部網(wǎng)的危害。它是一個(gè)由軟件和硬件設(shè)備組合而成的、在內(nèi)部網(wǎng)(可信賴的安全網(wǎng)路)和外部網(wǎng)(不可靠的網(wǎng)路環(huán)境)之間的界面上構(gòu)造的保護(hù)屏障。防火墻系統(tǒng)示意圖

4.2.1防火墻的基本概念

防火墻是一種安全有效的防范技術(shù)，是訪問(wèn)控制機(jī)制、安全策略和防入侵的措施。從狹義上講，防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)；從廣義上講，防火墻還包括了整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻的安全策略有兩種：凡是沒(méi)有被列為允許訪問(wèn)的服務(wù)都是被禁止的。凡是沒(méi)有被列為禁止訪問(wèn)的服務(wù)都是被允許的。4.2.2防火墻的構(gòu)成

防火墻主要包括安全操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理等五部分。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設(shè)置兩個(gè)內(nèi)、外過(guò)濾器，外過(guò)濾器保護(hù)網(wǎng)關(guān)不受攻擊，網(wǎng)關(guān)提供中繼服務(wù)，輔助過(guò)濾器控制業(yè)務(wù)流，而內(nèi)過(guò)濾器在網(wǎng)關(guān)被攻破后提供對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。防火墻的主要目的是控制數(shù)據(jù)組，只允許合法流通過(guò)。它要對(duì)內(nèi)域網(wǎng)和Internet之間傳遞的每一數(shù)據(jù)組進(jìn)行干預(yù)。過(guò)濾器則執(zhí)行由防火墻管理機(jī)構(gòu)制定的一組規(guī)則，檢驗(yàn)各數(shù)據(jù)組決定是否允許放行。這些規(guī)則按IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。單純靠IP地址的過(guò)濾規(guī)則是不安全的，因?yàn)橐粋€(gè)主機(jī)可以用改變IP源地址來(lái)蒙混過(guò)關(guān)。防火墻墻的構(gòu)構(gòu)成防防火墻墻的優(yōu)優(yōu)點(diǎn)集中化化的安安全管管理對(duì)于一一個(gè)企企業(yè)而而言，，使用用防火火墻比比不使使用防防火墻墻可能能更加加經(jīng)濟(jì)濟(jì)一些些，這這是因因?yàn)槿缛绻故褂昧肆朔阑鸹饓?，，就可可以將將所有有修改改過(guò)的的軟件件和附附加的的安全全軟件件都放放在防防火墻墻上集集中管管理；；而不不使用用防火火墻，，就必必須將將所有有軟件件分散散到各各個(gè)主主機(jī)上上。對(duì)網(wǎng)絡(luò)絡(luò)訪問(wèn)問(wèn)進(jìn)行行記錄錄和統(tǒng)統(tǒng)計(jì)如果所所有對(duì)對(duì)Internet的訪訪問(wèn)都都經(jīng)過(guò)過(guò)防火火墻，，那么么，防防火墻墻就能能記錄錄下這這些訪訪問(wèn)，，并能能提供供網(wǎng)絡(luò)絡(luò)使用用情況況的統(tǒng)統(tǒng)計(jì)數(shù)數(shù)據(jù)。。當(dāng)發(fā)發(fā)生可可疑操操作時(shí)時(shí)，防防火墻墻能夠夠報(bào)警警并提提供網(wǎng)網(wǎng)絡(luò)是是否受受到監(jiān)監(jiān)測(cè)和和攻擊擊的詳詳細(xì)信信息。。防防火墻墻的優(yōu)優(yōu)點(diǎn)防防火墻墻的類類型包過(guò)濾濾型可可以動(dòng)動(dòng)態(tài)檢檢查通通過(guò)防防火墻墻的TCP/IP報(bào)報(bào)文頭頭中的的報(bào)文文類型型、源源IP地址址、目目標(biāo)IP地地址、、源端端口號(hào)號(hào)等信信息，，與預(yù)預(yù)先保保存的的清單單進(jìn)行行對(duì)照照，按按預(yù)定定的安安全策策略決決定哪哪些報(bào)報(bào)文可可以通通過(guò)防防火墻墻，哪哪些報(bào)報(bào)文不不可以以通過(guò)過(guò)防火火墻。。防火墻墻主要要可分分為包包過(guò)濾濾型和和應(yīng)用用網(wǎng)關(guān)關(guān)型兩兩種。。包過(guò)濾濾型防防火墻墻的工工作原原理應(yīng)用網(wǎng)關(guān)型型防火墻的的工作原理理代理服務(wù)器器技術(shù)是防防火墻技術(shù)術(shù)中的一種種安全技術(shù)術(shù)措施優(yōu)點(diǎn)：在于于可以將被被保護(hù)的網(wǎng)網(wǎng)絡(luò)內(nèi)部結(jié)結(jié)構(gòu)屏蔽起起來(lái)，增強(qiáng)強(qiáng)網(wǎng)絡(luò)的安安全性能，，同時(shí)可用用于實(shí)施較較強(qiáng)的數(shù)據(jù)據(jù)流監(jiān)控、、過(guò)濾、記記錄和報(bào)告告等功能。。缺點(diǎn)：在于于需要為每每個(gè)網(wǎng)絡(luò)服服務(wù)專門設(shè)設(shè)計(jì)、開發(fā)發(fā)代理服務(wù)務(wù)軟件及相相應(yīng)的監(jiān)控控過(guò)濾功能能，并且由由于代理服服務(wù)器具有有相當(dāng)?shù)墓すぷ髁?，需需專門的工工作站來(lái)承承擔(dān)。代理理服務(wù)器對(duì)對(duì)出入數(shù)據(jù)據(jù)進(jìn)行兩次次處理，所所以會(huì)降低低性能，這這是應(yīng)用網(wǎng)網(wǎng)關(guān)的主要要缺陷。4.2.4防火墻墻的類型4.3加加密技術(shù)4.3.1加密技技術(shù)的基本本概念4.3.2對(duì)稱密密鑰密碼體體系4.3.3非對(duì)稱稱密鑰密碼碼體系4.3.1加密技技術(shù)的基本本概念所謂加密技技術(shù)，就是是指采用數(shù)數(shù)學(xué)方法對(duì)對(duì)原始信息息（明文文）進(jìn)行再再組織，使使得加密后后在網(wǎng)絡(luò)上上公開傳輸輸?shù)膬?nèi)容對(duì)對(duì)于非法接接收者來(lái)說(shuō)說(shuō)成為無(wú)意意義的文字字（密文文）。在加密和解解密過(guò)程中中，都要涉涉及信息（（明文/密密文）、密密鑰（加密密密鑰/解解密密鑰））和算法（（加密算法法/解密算算法）這三三項(xiàng)內(nèi)容。。如果收發(fā)雙雙方密鑰是是否相同，，分為對(duì)稱稱加密技術(shù)術(shù)和非對(duì)稱稱加密技術(shù)術(shù)。4.3.2對(duì)稱密密鑰密碼體體系對(duì)稱加密方方法中，信信息的加密密和解密都都使用相同同的密鑰。。4.3.2對(duì)稱密密鑰密碼體體系優(yōu)點(diǎn)：加密、解密密速度很快快（高效））缺點(diǎn)：在首次通信信前，雙方方必須通過(guò)過(guò)除網(wǎng)絡(luò)以以外的另外外途徑傳遞遞統(tǒng)一的密密鑰。當(dāng)通信對(duì)象象增多時(shí)，，需要相應(yīng)應(yīng)數(shù)量的密密鑰。例如如，當(dāng)某一一貿(mào)易方有有“n”個(gè)個(gè)貿(mào)易關(guān)系系，那么他他就要維護(hù)護(hù)“n”個(gè)個(gè)專用密鑰鑰。代表性算法法：IBM公司于1977年年提出的DES算法法，該算法法被美國(guó)國(guó)國(guó)家標(biāo)準(zhǔn)局局NBS頒頒布為商用用數(shù)據(jù)加密密標(biāo)準(zhǔn)。4.3.3非對(duì)稱稱密鑰密碼碼體系非對(duì)稱加密密體系中，，密鑰被分分解為一對(duì)對(duì)，即一把把公開密鑰鑰（公鑰））和一把專專用密鑰（（私鑰）。。非對(duì)稱加密密體系中，，一把用于于加密，一一把用于解解密。非對(duì)稱密鑰鑰系統(tǒng)的應(yīng)應(yīng)用：加密/解密密：發(fā)送方方用接收方方的公鑰加加密報(bào)文；；鑒別：發(fā)送送方用自己己的私鑰加加密報(bào)文；；密鑰交換：：兩方合作作以便交換換會(huì)話密鑰鑰。優(yōu)點(diǎn)：密鑰鑰宜于管理理缺點(diǎn)：運(yùn)算算速度較慢慢，較對(duì)稱稱密碼算法法慢幾個(gè)數(shù)數(shù)量級(jí)。代表性算法法：1979年由三三位美國(guó)科科學(xué)家Rivest、Shamir、Adleman研制的RSA算法法。理論基礎(chǔ)：：兩個(gè)大素素?cái)?shù)相乘在在計(jì)算上是是容易實(shí)現(xiàn)現(xiàn)的，但將將該乘數(shù)分分解為兩個(gè)個(gè)大素?cái)?shù)因因子的計(jì)算算量很大，，大到甚至至在計(jì)算機(jī)機(jī)上也不可可能實(shí)現(xiàn)。。4.3.3非對(duì)稱稱密鑰密碼碼體系4.4數(shù)數(shù)字證書認(rèn)認(rèn)證技術(shù)4.4.1公開密密鑰體系4.4.2認(rèn)證中中心及數(shù)字字證書4.4.1公開密密鑰體系公開密鑰體體系（publickeyinfrastructure，，PKI）），是一種種遵循標(biāo)準(zhǔn)準(zhǔn)的利用公公鑰加密技技術(shù)為電子子商務(wù)的開開展提供一一套安全基基礎(chǔ)平臺(tái)的的技術(shù)和規(guī)規(guī)范。用戶戶可利用PKI平臺(tái)臺(tái)提供的服服務(wù)進(jìn)行安安全通信。。PKI必須須具有權(quán)威威認(rèn)證機(jī)構(gòu)構(gòu)CA在公公鑰加密技技術(shù)基礎(chǔ)上上對(duì)證書的的產(chǎn)生、管管理、存檔檔、發(fā)放放以及作作廢進(jìn)行管管理的功能能，包括實(shí)實(shí)現(xiàn)這些功功能的全部部硬件、軟軟件、人力力資源、相相關(guān)政策和和操作程序序，以及為為PKI體體系中的各各成員提供供全部的安安全服務(wù)。。PKI由公公開密鑰技技術(shù)、數(shù)字字證書、認(rèn)認(rèn)證機(jī)構(gòu)（（CA）和和有關(guān)公開開密鑰的安安全策略等等基本部分分組成。PKI提供供的服務(wù)4.4.2數(shù)字證證書及認(rèn)證證中心數(shù)字證書是是一個(gè)經(jīng)證證書授權(quán)中中心數(shù)字簽簽名的包含含公開密鑰鑰擁有者信信息以及公公開密鑰的的文件。數(shù)字證書采采用公鑰體體制，即利利用一對(duì)互互相匹配的的密鑰進(jìn)行行加密、解解密。每個(gè)個(gè)用戶自己己設(shè)定一把把特定的僅僅為本人所所知的私鑰鑰，用它進(jìn)進(jìn)行解密和和簽名；同同時(shí)設(shè)定一一把公鑰并并由本人公公開，為一一組用戶所所共享，用用于加密和和驗(yàn)證簽名名。數(shù)字簽名的的流程數(shù)字證書是是由一個(gè)由由權(quán)威機(jī)構(gòu)構(gòu)——CA(CertificateAuthority)，又稱為為證書認(rèn)證證中心發(fā)行行。CA（（CertificateAuthority），，即證書書認(rèn)證中中心，作作為電子子商務(wù)交交易中受受信任和和具有權(quán)權(quán)威性的的第三方方，承擔(dān)擔(dān)公鑰體體系中公公鑰的合合法性檢檢驗(yàn)的責(zé)責(zé)任。CA認(rèn)證證所簽發(fā)發(fā)的數(shù)字字證書包包括個(gè)人人數(shù)字證證書，企企業(yè)數(shù)字字證書服服務(wù)務(wù)器身份份證書等等．廣泛的被被應(yīng)用于于電子商商務(wù)、網(wǎng)網(wǎng)上銀行行、電信信、電子子政務(wù)、、網(wǎng)上身身份證、、數(shù)字簽簽名、電電子公證證、安全全電郵、、保險(xiǎn)等等領(lǐng)域。。數(shù)數(shù)字證書書及認(rèn)證證中心數(shù)字證書的內(nèi)內(nèi)容證書的版本信信息證書的序