電子商務(wù)常用安全技術(shù)

3.3電子商務(wù)常用平安技術(shù)

網(wǎng)絡(luò)的物理隔離1.在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷。2.在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)。3.在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境。3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)1.VPN(VirtualPrivateNetwork)運用特殊的平安技術(shù)在公用網(wǎng)絡(luò)上建立的如同自己專用網(wǎng)絡(luò)的平安數(shù)據(jù)網(wǎng)絡(luò)。因其并非真正建立在專線根底上，故稱VPN。3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)2.根本功能⑴加密數(shù)據(jù)保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄密；⑵數(shù)據(jù)驗證和身份認證保證信息的完整性，并能鑒別用戶的身份；⑶提供訪問控制不同的用戶有不同的訪問權(quán)限和平安等級。3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.3.2虛擬專用網(wǎng)(VPN)技術(shù)3.VPN根本結(jié)構(gòu)(1)外表上看像是專用連接，實際上是在共享網(wǎng)絡(luò)上實現(xiàn)的；(2)采用隧道技術(shù)，建立點到點的連接，提供數(shù)據(jù)分組通過公用網(wǎng)絡(luò)的專用隧道；(3)來自不同信息源不同網(wǎng)絡(luò)協(xié)議的分組經(jīng)由不同的隧道在同一體系結(jié)構(gòu)上傳輸；(4)隧道技術(shù)：將原始分組加密和協(xié)議封裝后放在另一種協(xié)議的數(shù)據(jù)包中在公用網(wǎng)絡(luò)中傳輸。防火墻技術(shù)(Firewall)1.防火墻的概念防火墻是指在需要保護的網(wǎng)絡(luò)與可能帶來平安威脅的互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間建立的一層保護，實際上是一種隔離技術(shù)，防火墻示意圖如圖3-1所示。圖3-1防火墻示意圖2.防火墻的屬性⑴雙向流通信息必須經(jīng)過它；⑵只有被預(yù)定的本地平安策略授權(quán)的信息流才被允許通過；⑶該系統(tǒng)本身具有很高的抗攻擊能力。防火墻相當(dāng)于一個過濾設(shè)備，它允許特定的信息流入或流出被保護的網(wǎng)絡(luò)。防火墻技術(shù)(Firewall)3.防火墻的功能⑴保護那些易受攻擊的效勞。⑵控制對特殊站點的訪問(控制訪問)。一些能被外部網(wǎng)絡(luò)訪問主機(Mail、FTP、WWW效勞器)要有權(quán)限控制，而有些(數(shù)據(jù)庫效勞器)要禁止訪問。⑶集中化的平安管理。⑷對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計(審計)。防火墻技術(shù)(Firewall)4.防火墻的兩種策略模型⑴未被列為允許訪問的效勞都將被禁止(平安系數(shù)高)；⑵未被列為禁止訪問的效勞都將被允許。防火墻技術(shù)(Firewall)5.防火墻的主要類型⑴包過濾型防火墻(PacketFilter)最簡單的防火墻，檢查的范圍涉及可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)(源、目標(biāo)地址、端口、傳輸協(xié)議等)，并設(shè)定規(guī)那么。防火墻技術(shù)(Firewall)⑵應(yīng)用級型防火墻(ProxyService)能夠檢查進出的數(shù)據(jù)包，透視應(yīng)用層協(xié)議，與既定的平安策略進行比較。有應(yīng)用網(wǎng)關(guān)型和代理效勞型兩種。①網(wǎng)關(guān)效勞器：根據(jù)所請求的應(yīng)用對訪問進行過濾的防火墻。如約束Telnet，ftp，。②代理效勞器：代表某個專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進行通訊的防火墻。代理請求、接收頁面，并進行緩存。防火墻技術(shù)(Firewall)6.防火墻的缺陷

一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。不能防范繞過防火墻的攻擊。防火墻技術(shù)(Firewall)數(shù)據(jù)加密技術(shù)1.數(shù)據(jù)加密技術(shù)概述

由于對加密技術(shù)的研究進而產(chǎn)生了密碼學(xué)。

密碼學(xué)主要有兩個分支，一個是研究加密技術(shù)的，即密碼編碼學(xué)，另一個分支主要研究密碼破譯技術(shù)，即密碼分析學(xué)。重點難點數(shù)據(jù)加密技術(shù)加密技術(shù)指通過使用代碼或密碼來保障信息數(shù)據(jù)的平安性。加密包含兩個要素：加密算法和密鑰。加密過程可用公式描述：EK(M)=CE表示加密算法，K表示加密密鑰，M表示加密前的明文，C表示加密后密文。重點難點2.加密解密過程密鑰分加密密鑰和解密密鑰。為了保護數(shù)據(jù)在傳遞過程中不被別人竊取或修改，必須用加密密鑰對數(shù)據(jù)進行加密〔加密后的數(shù)據(jù)稱為密文〕，這樣，即使別人竊取了數(shù)據(jù)〔密文〕，由于沒有解密密鑰而無法將之復(fù)原成明文〔未經(jīng)加密的數(shù)據(jù)〕，從而保證了數(shù)據(jù)的平安性，接收方因有正確的解密密鑰，因此可以將密文復(fù)原成正確的明文。數(shù)據(jù)加密的方法有很多，常用的加密方法有對稱加密方法和公開密鑰方法兩大類。數(shù)據(jù)加密技術(shù)重點難點3.對稱式密鑰密碼體制所謂對稱加密，是指使用同一把密鑰對信息加密，而對信息解密，同樣采用該密鑰即可。如果一個加密系統(tǒng)的加密密鑰和解密密鑰的相同，或者雖不相同，但可以由其中一個推導(dǎo)出另一個，那么為對稱式密鑰密碼體制。數(shù)據(jù)加密技術(shù)重點難點加密算法說明DES一種數(shù)據(jù)分組加密方法，分組大小為64位。使用密鑰長度為64位，其中有效的密鑰長度為56位，8位為奇偶校驗，16輪迭代。IDEA是一個分組大小為64位，密鑰為128位，迭代輪數(shù)為8輪的迭代型密碼體制。數(shù)據(jù)加密技術(shù)重點難點4.公開密鑰密碼體制公開密鑰〔PublicKey〕密碼體制出現(xiàn)于1976年。它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰——公開密鑰和私有密鑰，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。數(shù)據(jù)加密技術(shù)重點難點4.公開密鑰密碼體制(1)RSA算法數(shù)據(jù)加密技術(shù)RSA公開密鑰算法的創(chuàng)造人,從左到右為羅納德·李維斯特〔RonRivest〕、阿迪·薩莫爾〔AdiShamir〕和倫納德·阿德曼〔LeonardAdleman〕。RSA是1977年由他們一起提出的。當(dāng)時他們?nèi)硕荚诼槭±砉W(xué)院工作。重點難點4.公開密鑰密碼體制(1)RSA算法RSA算法是一種非對稱的密碼系統(tǒng)。由兩個大素數(shù)的積經(jīng)過運算生成兩個數(shù)對，這兩個數(shù)對擁有非常可貴的性質(zhì)，它們相互之間無法在有效的時間內(nèi)導(dǎo)出對方，以其中的一個數(shù)對為密鑰對信息進行加密后，只能以另一個數(shù)對為密鑰對其解密。這樣，可以把其中的一個在網(wǎng)上公開，稱為公鑰；另一個由自己保存，稱為私鑰。每個人都有自己的公鑰和私鑰。數(shù)據(jù)加密技術(shù)重點難點(2)信息保密原理在發(fā)送保密信息時，使用接收者的公鑰進行加密，接收者使用自己的私鑰即能解密；別人不知道接收者的私鑰那么無法竊取信息。在對發(fā)送者進行確認時，由發(fā)送者用自己的私鑰對約定的可公開信息進行加密，接收者用發(fā)送者的公鑰進行解密；由于別人不知道發(fā)送者的私鑰，無法發(fā)出能用其公鑰解開的信息，因此發(fā)送者無法抵賴。數(shù)據(jù)加密技術(shù)重點難點電子商務(wù)認證技術(shù)1.數(shù)字摘要數(shù)字摘要也稱為平安Hash編碼法?！罢暦Q為信息的“指紋〞。用以驗證消息是否是原文。數(shù)字摘要方法解決了信息的完整性問題。常見的數(shù)字摘要技術(shù)有Hash、MD2、MD5等，最常用的是Hash。重點難點數(shù)字摘要過程電子商務(wù)認證技術(shù)重點難點1.數(shù)字摘要Hash函數(shù)應(yīng)該滿足的幾個條件:(1)對同一數(shù)據(jù)使用同一Hash函數(shù)，其運算結(jié)果應(yīng)該是一樣的。(2)Hash函數(shù)應(yīng)具有運算結(jié)果不可預(yù)見性，即從源文件的變化不能推導(dǎo)出縮影結(jié)果的變化。(3)Hash函數(shù)具有不可逆性，即不能通過文件縮影反算出源文件的內(nèi)容。電子商務(wù)認證技術(shù)2.數(shù)字簽名在進行電子商務(wù)之前，必須首先確認兩件事情：確保支付手段和網(wǎng)上傳遞信息的真實可靠，以及使用支付手段的人是經(jīng)過授權(quán)的合法使用者。這要求建立一種平安機制，能夠核實買賣雙方、合同等各種信息的真實性，這種交易認證的核心技術(shù)就是數(shù)字簽名。電子商務(wù)認證技術(shù)重點難點2.數(shù)字簽名電子商務(wù)認證技術(shù)數(shù)字簽名過程重點難點3.數(shù)字信封數(shù)字信封是公鑰密碼體制在實際中的一個應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方自動生成對稱密鑰，用它加密原文，再利用RSA算法對該密鑰進行加密，那么被RSA算法加密的密鑰局部稱為數(shù)字信封。數(shù)字信封中采用了對稱密碼體制和公鑰密碼體制，保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾?。電子商?wù)認證技術(shù)重點難點數(shù)字信封的工作過程電子商務(wù)認證技術(shù)重點難點4.數(shù)字時間戳數(shù)字時間戳〔DTS〕技術(shù)就是數(shù)字簽名技術(shù)的一種變種。在電子商務(wù)交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時間戳效勞是網(wǎng)上電子商務(wù)平安效勞工程之一，能提供電子文件的日期和時間信息的平安保護。電子商務(wù)認證技術(shù)重點難點4.數(shù)字時間戳?xí)r間戳是一個經(jīng)加密后形成的憑證文檔，包括三個局部：⑴需加時間戳的文件的摘要；⑵DTS收到文件的日期和時間；⑶DTS的數(shù)字簽名。電子商務(wù)認證技術(shù)重點難點5.數(shù)字證書

數(shù)字證書也稱數(shù)字憑證、數(shù)字標(biāo)識，它含有證書持有者的有關(guān)信息，以標(biāo)識其身份。數(shù)字證書是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機構(gòu)，即CA認證中心簽發(fā)的證書。電子商務(wù)認證技術(shù)重點難點5.數(shù)字證書(1)數(shù)字證書的內(nèi)部格式內(nèi)部格式由CCITTX.509國際標(biāo)準(zhǔn)所規(guī)定，包括證書內(nèi)的數(shù)據(jù)和發(fā)布證書CA的簽名兩局部。電子商務(wù)認證技術(shù)重點難點證書內(nèi)的數(shù)據(jù)包括以下信息：①版本號；②憑證擁有者的姓名；③證書序列號；④CA使用的簽名算法；⑤發(fā)布證書CA的唯一名稱；⑥證書的有效期限；⑦認證目標(biāo)的唯一名稱；⑧憑證擁有者的公鑰的信息。電子商務(wù)認證技術(shù)重點難點5.數(shù)字證書(2)數(shù)字證書的類型①個人數(shù)字證書②企業(yè)(效勞器)證書③軟件(開