8章电子商务安全技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,第四章 电子商务安全技术,学习内,容,容,4.1,电,电子,商,商务面,临,临的安,全,全问题,4.2,防,防火,墙,墙技术,4.3,加,加密,算,算法,4.4,数,数字,证,证书认,证,证技术,4.1,电,电子,商,商务面,临,临的安,全,全问题,4.1,.,.1,电,电子,商,商务的,基,基本安,全,全要素,4.1,.,.2,电,电子,商,商务中,的,的安全,问,问题,4.1,.,.1,电,电子商,务,务的基,本,本安全,要,要素,有效性,机密性,完整性,可靠性,不可,抵,抵赖性,可鉴,别,别性,审查能,力,力,4.1,.,.2,电,电子商,务,务中的,安,安全问,题,题,信息泄,漏,漏,窜改,身份识,别,别问题,病毒问,题,题,黑客问,题,题,4.2,防,防火,墙,墙技术,4.2,.,.1,防,防火墙,的,的基本,概,概念,4.2,.,.2,防,防火墙,的,的构成,4.2,.,.3,防,防火墙,的,的优点,4.2,.,.4,防,防火墙,的,的类型,4.2,.,.1,防,防火墙,的,的基本,概,概念,防火墙,的,的概念,是,是从建,筑,筑学上,引,引过来,的,的。在,建,建筑学,中,中的防,火,火墙是,用,用来防,止,止大火,从,从建筑,物,物的一,部,部分蔓,延,延到另,一,一部分,而,而设置,的,的阻挡,机,机构。,计算机,网,网络的,防,防火墙,是,是用来,防,防止互,联,联网的,损,损坏，,如,如黑客,攻,攻击、,病,病毒破,坏,坏、资,源,源被盗,用,用或文,件,件被篡,改,改等波,及,及到内,部,部网的,危,危害。,它是一,个,个由软,件,件和硬,件,件设备,组,组合而,成,成的、,在,在内部,网,网(可,信,信赖的,安,安全网,路,路)和,外,外部网,(,(不可,靠,靠的网,路,路环境,),)之间,的,的界面,上,上构造,的,的保护,屏,屏障。,防火墙,系,系统示,意,意图,4.2,.,.1,防,防火墙,的,的基本,概,概念,防火墙,是,是一种,安,安全有,效,效的防,范,范技术,，,，是访,问,问控制,机,机制、,安,安全策,略,略和防,入,入侵的,措,措施。,从,从狭义,上,上讲，,防,防火墙,是,是指安,装,装了防,火,火墙软,件,件的主,机,机或路,由,由器系,统,统；从,广,广义上,讲,讲，防,火,火墙还,包,包括了,整,整个网,络,络的安,全,全策略,和,和安全,行,行为。,防火墙,的,的安全,策,策略有,两,两种：,凡是没,有,有被列,为,为允许,访,访问的,服,服务都,是,是被禁,止,止的。,凡是没,有,有被列,为,为禁止,访,访问的,服,服务都,是,是被允,许,许的。,4.2,.,.2,防,防火墙,的,的构成,防火墙,主,主要包,括,括安全,操,操作系,统,统、过,滤,滤器、,网,网关、,域,域名服,务,务和E,-,-mail处,理,理等五,部,部分。,有,有的防,火,火墙可,能,能在网,关,关两侧,设,设置两,个,个内、,外,外过滤,器,器，外,过,过滤器,保,保护网,关,关不受,攻,攻击，,网,网关提,供,供中继,服,服务，,辅,辅助过,滤,滤器控,制,制业务,流,流，而,内,内过滤,器,器在网,关,关被攻,破,破后提,供,供对内,部,部网络,的,的保护,。,。,防火墙,的,的主要,目,目的是,控,控制数,据,据组，,只,只允许,合,合法流,通,通过。,它,它要对,内,内域网,和,和Internet,之,之间传,递,递的每,一,一数据,组,组进行,干,干预。,过,过滤器,则,则执行,由,由防火,墙,墙管理,机,机构制,定,定的一,组,组规则,，,，检验,各,各数据,组,组决定,是,是否允,许,许放行,。,。这些,规,规则按IP地,址,址、端,口,口号码,和,和各类,应,应用等,参,参数确,定,定。单,纯,纯靠IP地址,的,的过滤,规,规则是,不,不安全,的,的，因,为,为一个,主,主机可,以,以用改,变,变IP,源,源地址,来,来蒙混,过,过关。,防火墙,的,的构成,4.2,.,.3,防,防火墙,的,的优点,集中化,的,的安全,管,管理,对于一,个,个企业,而,而言，,使,使用防,火,火墙比,不,不使用,防,防火墙,可,可能更,加,加经济,一,一些，,这,这是因,为,为如果,使,使用了,防,防火墙,，,，就可,以,以将所,有,有修改,过,过的软,件,件和附,加,加的安,全,全软件,都,都放在,防,防火墙,上,上集中,管,管理；,而,而不使,用,用防火,墙,墙，就,必,必须将,所,所有软,件,件分散,到,到各个,主,主机上,。,。,对网络,访,访问进,行,行记录,和,和统计,如果所,有,有对Internet的访,问,问都经,过,过防火,墙,墙，那,么,么，防,火,火墙就,能,能记录,下,下这些,访,访问，,并,并能提,供,供网络,使,使用情,况,况的统,计,计数据,。,。当发,生,生可疑,操,操作时,，,，防火,墙,墙能够,报,报警并,提,提供网,络,络是否,受,受到监,测,测和攻,击,击的详,细,细信息,。,。,4.2,.,.3,防,防火墙,的,的优点,4.2,.,.4,防,防火墙,的,的类型,包过滤,型,型可以,动,动态检,查,查通过,防,防火墙,的,的TCP/IP报文,头,头中的,报,报文类,型,型、源IP地,址,址、目,标,标IP,地,地址、,源,源端口,号,号等信,息,息，与,预,预先保,存,存的清,单,单进行,对,对照，,按,按预定,的,的安全,策,策略决,定,定哪些,报,报文可,以,以通过,防,防火墙,，,，哪些,报,报文不,可,可以通,过,过防火,墙,墙。,防火墙,主,主要可,分,分为包,过,过滤型,和,和应用,网,网关型,两,两种。,包过滤,型,型防火,墙,墙的工,作,作原理,应用网,关,关型防,火,火墙的,工,工作原,理,理,代理服,务,务器技,术,术是防,火,火墙技,术,术中的,一,一种安,全,全技术,措,措施,优点：,在,在于可,以,以将被,保,保护的,网,网络内,部,部结构,屏,屏蔽起,来,来，增,强,强网络,的,的安全,性,性能，,同,同时可,用,用于实,施,施较强,的,的数据,流,流监控,、,、过滤,、,、记录,和,和报告,等,等功能,。,。,缺点：,在,在于需,要,要为每,个,个网络,服,服务专,门,门设计,、,、开发,代,代理服,务,务软件,及,及相应,的,的监控,过,过滤功,能,能，并,且,且由于,代,代理服,务,务器具,有,有相当,的,的工作,量,量，需,专,专门的,工,工作站,来,来承担,。,。代理,服,服务器,对,对出入,数,数据进,行,行两次,处,处理，,所,所以会,降,降低性,能,能，这,是,是应用,网,网关的,主,主要缺,陷,陷。,4.2,.,.4,防,防火墙,的,的类型,4.3,加,加密,技,技术,4.3,.,.1,加,加密技,术,术的基,本,本概念,4.3,.,.2,对,对称密,钥,钥密码,体,体系,4.3,.,.3,非,非对称,密,密钥密,码,码体系,4.3,.,.1,加,加密技,术,术的基,本,本概念,所谓加,密,密技术,，,，就是,指,指采用,数,数学方,法,法对原,始,始信息,（,（ 明,文,文）进,行,行再组,织,织，使,得,得加密,后,后在网,络,络上公,开,开传输,的,的内容,对,对于非,法,法接收,者,者来说,成,成为无,意,意义的,文,文字（,密,密文,）,）。,在加密,和,和解密,过,过程中,，,，都要,涉,涉及信,息,息（明,文,文/密,文,文）、,密,密钥（,加,加密密,钥,钥/解,密,密密钥,）,）和算,法,法（加,密,密算法,/,/解密,算,算法）,这,这三项,内,内容。,如果收,发,发双方,密,密钥是,否,否相同,，,，分为,对,对称加,密,密技术,和,和非对,称,称加密,技,技术。,4.3,.,.2,对,对称密,钥,钥密码,体,体系,对称加,密,密方法,中,中，信,息,息的加,密,密和解,密,密都使,用,用相同,的,的密钥,。,。,4.3,.,.2,对,对称密,钥,钥密码,体,体系,优点：,加密、,解,解密速,度,度很快,（,（高效,）,）,缺点：,在首次,通,通信前,，,，双方,必,必须通,过,过除网,络,络以外,的,的另外,途,途径传,递,递统一,的,的密钥,。,。,当通信,对,对象增,多,多时，,需,需要相,应,应数量,的,的密钥,。,。例如,，,，当某,一,一贸易,方,方有“n”个,贸,贸易关,系,系，那,么,么他就,要,要维护,“,“n”,个,个专用,密,密钥。,代表性,算,算法：IBM,公,公司于1977年提,出,出的DES算,法,法，该,算,算法被,美,美国国,家,家标准,局,局NBS颁布,为,为商用,数,数据加,密,密标准,。,。,4.3,.,.3,非,非对称,密,密钥密,码,码体系,非对称,加,加密体,系,系中，,密,密钥被,分,分解为,一,一对，,即,即一把,公,公开密,钥,钥（公,钥,钥）和,一,一把专,用,用密钥,（,（私钥,）,）。,非对称,加,加密体,系,系中，,一,一把用,于,于加密,，,，一把,用,用于解,密,密。,非对称,密,密钥系,统,统的应,用,用：,加密/,解,解密：,发,发送方,用,用接收,方,方的公,钥,钥加密,报,报文；,鉴别：,发,发送方,用,用自己,的,的私钥,加,加密报,文,文；,密钥交,换,换：两,方,方合作,以,以便交,换,换会话,密,密钥。,优点：,密,密钥宜,于,于管理,缺点：,运,运算速,度,度较慢,，,，较对,称,称密码,算,算法慢,几,几个数,量,量级。,代表性,算,算法：1979年由,三,三位美,国,国科学,家,家Rivest 、Shamir,、,、Adleman研,制,制的RSA算,法,法。,理论基,础,础：两,个,个大素,数,数相乘,在,在计算,上,上是容,易,易实现,的,的，但,将,将该乘,数,数分解,为,为两个,大,大素数,因,因子的,计,计算量,很,很大，,大,大到甚,至,至在计,算,算机上,也,也不可,能,能实现,。,。,4.3,.,.3,非,非对称,密,密钥密,码,码体系,4.4,数,数字,证,证书认,证,证技术,4.4,.,.1,公,公开密,钥,钥体系,4.4,.,.2,认,认证中,心,心及数,字,字证书,4.4,.,.1,公,公开密,钥,钥体系,公开密,钥,钥体系,（,（public keyinfrastructure，PKI,）,），是,一,一种遵,循,循标准,的,的利用,公,公钥加,密,密技术,为,为电子,商,商务的,开,开展提,供,供一套,安,安全基,础,础平台,的,的技术,和,和规范,。,。用户,可,可利用PKI,平,平台提,供,供的服,务,务进行,安,安全通,信,信。,PKI,必,必须具,有,有权威,认,认证机,构,构CA,在,在公钥,加,加密技,术,术基础,上,上对证,书,书的产,生,生、管,理,理、存,档,档、发,放,放,以,以及作,废,废进行,管,管理的,功,功能，,包,包括实,现,现这些,功,功能的,全,全部硬,件,件、软,件,件、人,力,力资源,、,、相关,政,政策和,操,操作程,序,序，以,及,及为PKI体,系,系中的,各,各成员,提,提供全,部,部的安,全,全服务,。,。,PKI,由,由公开,密,密钥技,术,术、数,字,字证书,、,、认证,机,机构（CA）,和,和有关,公,公开密,钥,钥的安,全,全策略,等,等基本,部,部分组,成,成。,PKI,提,提供的,服,服务,4.4,.,.2,数,数字证,书,书及认,证,证中心,数字证,书,书是一,个,个经证,书,书授权,中,中心数,字,字签名,的,的包含,公,公开密,钥,钥拥有,者,者信息,以,以及公,开,开密钥,的,的文件,。,。,数字证,书,书采用,公,公钥体,制,制，即,利,利用一,对,对互相,匹,匹配的,密,密钥进,行,行加密,、,、解密,。,。每个,用,用户自,己,己设定,一,一把特,定,定的仅,为,为本人,所,所知的,私,私钥，,用,用它进,行,行解密,和,和签名,；,；同时,设,设定一,把,把公钥,并,并由本,人,人公开,，,，为一,组,组用户,所,所共享,，,，用于,加,加密和,验,验证签,名,名。,数字签,名,名的流,程,程,数字证,书,书是由,一,一个由,权,权威机,构,构CA,(,(CertificateAuthority)，,又,又称为,证,证书认,证,证中心,发,发行。,CA,（,（CertificateAuthority）,，,，即证,书,书认证,中,中心，,作,作为电,子,子商务,交,交易中,受,受信任,和,和具有,权,权威性,的,的第三,方,方，承,担,担公钥,体,体系中,公,公钥的,合,合法性,检,检验的,责,责任。,CA认,证,证所签,发,发的数,字,字证书,包,包括个,人,人数字,证,证书，,企,企业数,字,字证书,服,服,务,务器身,份,份证书,等,等,广泛的,被,被应用,于,于电子,商,商务、,网,网上银,行,行、电,信,信、电,子,子政务,、,、网上,身,身份证,、,、数字,签,签名、,电,电子公,证,证、安,全,全电邮,、,、保险,等,等领域,。,。,4.4,.,.2,数,数字证,书,书及认,证,证中心,数字证,书,书的内,容,容,证书的,版,版本信,息,息,证书的,序,序列号,证书所,使,使用的,签,签名算,法,法,证书的,发,发行机,构,构名称,证书的,有,有效期,证书所,有,有人的,名,名称,证书所,有,有人的,公,公开密,钥,钥,证书发,行,行者对,证,证书的,签,签名,获得数,字,字证书,的,的过程,国内CA认证,中,中心,SHECA-,上,上海市,数,数字证,书,书认证,中,中心有,限,限公司,：,： 1998,上,海,海市政,府,府批准,成,成立,CFCA-中,国,国金融,认,认证中,心,心：2000,中,国,国人民,银,银行和,国,国家信,息,息安全,管,管理机,构,构批准,成,成立,