非對(duì)稱密鑰加密系統(tǒng)課件

本章主要內(nèi)容：電子商務(wù)安全要求與安全內(nèi)容防火墻等網(wǎng)絡(luò)安全技術(shù)加密技術(shù)和認(rèn)證技術(shù)SSL與SET第3章電子商務(wù)安全技術(shù)1

本章主要內(nèi)容：第3章電子商務(wù)安全技術(shù)13.1

電子商務(wù)安全要求3.1.1電子商務(wù)所面臨的安全問題電子商務(wù)中的安全隱患可分為如下幾類：

1.信息的截獲和竊取2.信息的篡改3.信息假冒4.交易抵賴23.1電子商務(wù)安全要求3.1.1電子商務(wù)所面臨的安全計(jì)算機(jī)安全分類實(shí)體安全機(jī)房、線路及主機(jī)等的物理安全網(wǎng)絡(luò)與信息安全包括網(wǎng)絡(luò)的暢通、準(zhǔn)確，網(wǎng)上系統(tǒng)、程序和數(shù)據(jù)安全，電子商務(wù)安全。應(yīng)用安全包括程序開發(fā)運(yùn)行、輸入輸出、數(shù)據(jù)庫等安全。3計(jì)算機(jī)安全分類實(shí)體安全機(jī)房、線路及主機(jī)等的物理安全3為什么網(wǎng)絡(luò)安全如此重要WebServerTheInternetEncryption線路安全客戶安全連接安全TheIntranetWebServerWeakness:Externalaccessnowgranted.Areapplicationsandnetworksecure?信息資本EnterpriseNetwork沒有邊界沒有中央管理是開放的、標(biāo)準(zhǔn)的沒有審計(jì)記錄INTERNET4為什么網(wǎng)絡(luò)安全如此重要WebServerTheInter網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵非授權(quán)訪問、冒充合法用戶等。拒絕服務(wù)部分或徹底地阻止計(jì)算機(jī)或網(wǎng)絡(luò)正常工作。盜竊信息指無須利用你的計(jì)算機(jī)就可獲取數(shù)據(jù)信息。5網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵非授權(quán)訪問、冒充合法用網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者?！坝涗洝弊非笳?。低級(jí)失誤和偶然事件。6網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。6網(wǎng)絡(luò)安全不單是技術(shù)問題機(jī)構(gòu)與管理法律與法規(guī)經(jīng)濟(jì)實(shí)力技術(shù)與人才7網(wǎng)絡(luò)安全不單是技術(shù)問題機(jī)構(gòu)與管理7安全性需要代價(jià)安全性與方便性安全性與性能安全性與成本8安全性需要代價(jià)安全性與方便性8減少安全威脅的主要策略修補(bǔ)系統(tǒng)漏洞系統(tǒng)病毒檢查系統(tǒng)直接安全

管理空閑機(jī)器安全管理廢品處理安全管理口令安全管理加密系統(tǒng)認(rèn)證、授權(quán)系統(tǒng)Internet防火墻系統(tǒng)捕捉闖入者系統(tǒng)政策、法律、守則、管理Internet防火墻授權(quán)、認(rèn)證加密審計(jì)、監(jiān)控9減少安全威脅的主要策略修補(bǔ)系統(tǒng)漏洞系統(tǒng)政策3.1.2電子商務(wù)安全需求機(jī)密性完整性認(rèn)證性不可抵賴性有效性103.1.2電子商務(wù)安全需求機(jī)密性10主要包括以下幾個(gè)方面：信息的保密性：電子商務(wù)系統(tǒng)應(yīng)該對(duì)主要信息進(jìn)行保護(hù)，阻止非法用戶獲取和理解原始數(shù)據(jù)。2.

數(shù)據(jù)完整性：電子商務(wù)系統(tǒng)應(yīng)該提供對(duì)數(shù)據(jù)進(jìn)行完整性認(rèn)證的手段，確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求11主要包括以下幾個(gè)方面：電子商務(wù)系統(tǒng)對(duì)信息安全的要求11用戶身份驗(yàn)證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)行身份鑒別的機(jī)制。一般可以通過數(shù)字簽名和數(shù)字證書相結(jié)合的方式實(shí)現(xiàn)用戶身份的驗(yàn)證，證實(shí)他就是他所聲稱的那個(gè)人。數(shù)字證書應(yīng)該由可靠的證書認(rèn)證機(jī)構(gòu)簽發(fā)，用戶申請(qǐng)數(shù)字證書時(shí)應(yīng)提供足夠的身份信息，證書認(rèn)證機(jī)構(gòu)在簽發(fā)證書時(shí)應(yīng)對(duì)用戶提供的身份信息進(jìn)行真實(shí)性認(rèn)證。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求12用戶身份驗(yàn)證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)行身份鑒別的機(jī)制4.授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作。5.數(shù)據(jù)原發(fā)者鑒別：電子商務(wù)系統(tǒng)應(yīng)能提供對(duì)數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實(shí)來自原發(fā)者。這個(gè)要求可以通過數(shù)據(jù)完整性及數(shù)字簽名相結(jié)合的方法來實(shí)現(xiàn)。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求134.授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信6.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)據(jù)原發(fā)者不能抵賴自己曾做出的行為，也不能否認(rèn)曾經(jīng)接到對(duì)方的信息，這在交易系統(tǒng)中十分重要。7.合法用戶的安全性：合法用戶的安全性是指合法用戶的安全性不受到危害和侵犯，電子商務(wù)系統(tǒng)和電子商務(wù)的安全管理體系應(yīng)該實(shí)現(xiàn)系統(tǒng)對(duì)用戶身份的有效確認(rèn)、對(duì)私有密匙和口令的有效保護(hù)、對(duì)非法攻擊的有效防范等，

電子商務(wù)系統(tǒng)對(duì)信息安全的要求146.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)8.網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全，保護(hù)硬件資源不被非法占有，軟件資源免受病毒的侵害。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求158.網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全3.1.3電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全,兩者相輔相成，缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。163.1.3電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體

商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。3.1.3電子商務(wù)安全內(nèi)容17商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的電子商務(wù)安全構(gòu)架交易安全技術(shù)安全應(yīng)用協(xié)議SET、SSL安全認(rèn)證手段數(shù)字簽名、CA體系基本加密算法對(duì)稱和非對(duì)稱密算法安全管理體系網(wǎng)絡(luò)安全技術(shù)病毒防范身份識(shí)別技術(shù)防火墻技術(shù)分組過濾和代理服務(wù)等法律、法規(guī)、政策18電子商務(wù)安全構(gòu)架安全管理體系法律、法規(guī)、政策183.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)4.2.1計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)面臨的風(fēng)險(xiǎn)Internet本身的不安全性對(duì)企業(yè)內(nèi)部信息系統(tǒng)帶來的潛在風(fēng)險(xiǎn)從純技術(shù)角度上來看，存在著薄弱性。193.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)4.2.1計(jì)算機(jī)網(wǎng)絡(luò)的潛在安

3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí)要考慮以下幾點(diǎn)：

加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；

用各種系統(tǒng)漏洞檢測軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；

從路由器到用戶各級(jí)建立完善的訪問控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證；203.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系在實(shí)施網(wǎng)絡(luò)安全防范利用數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；

對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；

對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行數(shù)據(jù)加密；

安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；

建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系213.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系214.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識(shí)別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）224.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)22病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅

一是來自文件下載；二是網(wǎng)絡(luò)化趨勢。措施安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等23病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅23布署和管理防病毒軟件布署一種防病毒的實(shí)際操作一般包括以下步驟：1．制定計(jì)劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。2．調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。3．測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系24布署和管理防病毒軟件3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體4．維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)行升級(jí)，徹底理解這種防病毒系統(tǒng)的重要方面。5．系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個(gè)網(wǎng)絡(luò)范圍內(nèi)。4.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)254．維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用Packet-Switched

Leased

LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠(yuǎn)程工作站網(wǎng)絡(luò)防毒手段26Packet-SwitchedLeased

LineW

口令標(biāo)記方法生物特征法身份識(shí)別技術(shù)27

口令身份識(shí)別技術(shù)27認(rèn)證的主要手段對(duì)用戶擁有的東西進(jìn)行鑒別，如IC卡等對(duì)用戶的生物特征進(jìn)行鑒別，如指紋、視網(wǎng)膜血管分布等對(duì)用戶所知道的進(jìn)行鑒別，如口令等28認(rèn)證的主要手段對(duì)用戶擁有的東西進(jìn)行鑒別，如IC卡等283．防火墻技術(shù)1.基本概念防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。293．防火墻技術(shù)1.基本概念29設(shè)計(jì)防火墻的準(zhǔn)則一切未被允許的就是禁止的防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務(wù)范圍受到限制。一切未被禁止的就是允許的防火墻轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。這種方法構(gòu)成了更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。但在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)管人員的疲于奔命可能很難提供可靠的安全防護(hù)。30設(shè)計(jì)防火墻的準(zhǔn)則一切未被允許的就是禁止的30什么是防火墻？防火墻：在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者和其它網(wǎng)絡(luò)之間限制訪問的軟件和硬件的組合。防火墻31什么是防火墻？防火墻：在被保護(hù)網(wǎng)絡(luò)和Internet之間，防防火墻的主要功能能做什么？安全把關(guān)網(wǎng)絡(luò)活動(dòng)統(tǒng)計(jì)內(nèi)部隔離不能做什么？不能防范內(nèi)部入侵不能防范新的威脅控制粒度粗32防火墻的主要功能32保護(hù)數(shù)據(jù)的完整性?？梢揽吭O(shè)定用戶的權(quán)限和文件保護(hù)來控制用戶訪問敏感性信息，可以限制一個(gè)特定用戶能夠訪問信息的數(shù)量和種類；保護(hù)網(wǎng)絡(luò)的有效性。有效性是指一個(gè)合法用戶如何快速、簡便地訪問網(wǎng)絡(luò)的資源；保護(hù)數(shù)據(jù)的機(jī)密性。加密敏感數(shù)據(jù)。防火墻的功能33防火墻的功能33防火墻的基本原理數(shù)據(jù)過濾：一個(gè)設(shè)備采取的有選擇地控制來往于網(wǎng)絡(luò)的數(shù)據(jù)流的行動(dòng)。數(shù)據(jù)包過濾可以發(fā)生在路由器或網(wǎng)橋上。屏蔽路由器34防火墻的基本原理數(shù)據(jù)過濾：一個(gè)設(shè)備采取的有選擇地控制來往于網(wǎng)防火墻的基本原理（續(xù)）代理服務(wù)：代理服務(wù)是運(yùn)行在防火墻主機(jī)上的應(yīng)用程序或服務(wù)器程序。它在幕后處理所有Int-ernet用戶和內(nèi)部網(wǎng)之間的通訊以代替直接交談。代理服務(wù)35防火墻的基本原理（續(xù)）代理服務(wù)：代理服務(wù)是運(yùn)行在防火墻主機(jī)上一個(gè)典型的防火墻構(gòu)成“無人區(qū)”防火墻36一個(gè)典型的防火墻構(gòu)成“無人區(qū)”防火墻36構(gòu)筑防火墻需考慮的主要因素你的公司要控制什么或要保護(hù)什么你的公司要控制或要保護(hù)到什么程度財(cái)政預(yù)算技術(shù)問題：屏蔽路由器還是代理服務(wù)器...37構(gòu)筑防火墻需考慮的主要因素你的公司要控制什么或要保護(hù)什么37虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的通道，非常適合于電子數(shù)據(jù)交換（EDI）。38虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwor

在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，這樣就可以提高電子商務(wù)的安全性。

VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù)，其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化，但也存在安全性低，容易受到攻擊等問題。虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）39在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通

加密數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱密鑰和公開密鑰，采用何處加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強(qiáng)度來作出判斷。

3.3交易安全技術(shù)

40加密3.3交易安全技3.3.1加密技術(shù)加密：加密是指對(duì)數(shù)據(jù)進(jìn)行編碼使其看起來毫無意義，同時(shí)仍保持可恢復(fù)的形式。413.3.1加密技術(shù)加密：加密是指對(duì)數(shù)據(jù)進(jìn)行編碼使其看起來加密技術(shù)的主要分類

對(duì)稱密匙 在對(duì)數(shù)據(jù)加密的過程中，使用同樣的密匙進(jìn)行加密和解密。 常見密匙算法：DES、IDEA公開密匙/私有密匙 與對(duì)稱密匙不同，公開密匙/私有密匙使用相互關(guān)聯(lián)的一對(duì)算法對(duì)數(shù)據(jù)進(jìn)行加密和解密。 常見密匙算法： RSA42加密技術(shù)的主要分類421．對(duì)稱密鑰加密體制對(duì)稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。對(duì)稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。加密技術(shù)的主要分類431．對(duì)稱密鑰加密體制加密技術(shù)的主要分類43對(duì)稱加密技術(shù)1）在首次通信前，雙方必須通過除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。2）當(dāng)通信對(duì)象增多時(shí)，需要相應(yīng)數(shù)量的密鑰。

3）對(duì)稱加密是建立在共同保守秘密的基礎(chǔ)之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會(huì)造成密鑰的失效，存在著潛在的危險(xiǎn)和復(fù)雜的管理難度。加密技術(shù)的主要分類44對(duì)稱加密技術(shù)加密技術(shù)的主要分類44對(duì)稱密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密匙A解密45對(duì)稱密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密非對(duì)稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密，它需要使用一對(duì)密鑰來分別完成加密和解密操作，一個(gè)公開發(fā)布，稱為公開密鑰（Public-Key）；另一個(gè)由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私有密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢得多。

非對(duì)稱密鑰加密體制46非對(duì)稱密鑰加密體制46公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息47公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李對(duì)稱與非對(duì)稱加密體制對(duì)比特

性對(duì)

稱非

對(duì)

稱密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對(duì)速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用48對(duì)稱與非對(duì)稱加密體制對(duì)比特性對(duì)稱非對(duì)稱密4.3.2信息摘要

圖信息摘要過程494.3.2信息摘要 圖信息摘要過程493.3.3數(shù)字簽名

圖數(shù)字簽名過程503.3.3數(shù)字簽名 圖數(shù)字簽名過程503.3.3數(shù)字簽名

發(fā)送方私鑰513.3.3數(shù)字簽名 發(fā)送方私鑰514.3.4數(shù)字證書與CA認(rèn)證

1．?dāng)?shù)字證書（DigitalCertificate或DigitalID）數(shù)字證書采用公－私鑰密碼體制，每個(gè)用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時(shí)擁有一把公鑰，并可以對(duì)外公開，用于信息加密和簽名驗(yàn)證。數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動(dòng)。

524.3.4數(shù)字證書與CA認(rèn)證 1．?dāng)?shù)字證書（Digita2．?dāng)?shù)字證書包括以下內(nèi)容如圖所示：

證書擁有者的姓名；

證書擁有者的公鑰；

公鑰的有限期；

頒發(fā)數(shù)字證書的單位；

頒發(fā)數(shù)字證書單位的數(shù)字簽名；

數(shù)字證書的序列號(hào)等。數(shù)字證書的內(nèi)容532．?dāng)?shù)字證書包括以下內(nèi)容如圖所示：數(shù)字證書的內(nèi)容53圖查看證書內(nèi)容（1）數(shù)字證書的內(nèi)容54圖查看證書內(nèi)容（1）數(shù)字證書的內(nèi)容54圖查看證書內(nèi)容（2）數(shù)字證書的內(nèi)容55圖查看證書內(nèi)容（2）數(shù)字證書的內(nèi)容55圖查看證書內(nèi)容（3）數(shù)字證書的內(nèi)容56圖查看證書內(nèi)容（3）數(shù)字證書的內(nèi)容563．?dāng)?shù)字證書的申請(qǐng)（1）下載并安裝根證書（如圖34~38所示）（2）申請(qǐng)證書（如圖39~41所示）（3）將個(gè)人身份信息連同證書序列號(hào)一并郵寄到中國數(shù)字認(rèn)證網(wǎng)數(shù)字證書的內(nèi)容573．?dāng)?shù)字證書的申請(qǐng)數(shù)字證書的內(nèi)容57圖34下載根證書（1）數(shù)字證書的內(nèi)容58圖34下載根證書（1）數(shù)字證書的內(nèi)容58圖35下載根證書（2）數(shù)字證書的內(nèi)容59圖35下載根證書（2）數(shù)字證書的內(nèi)容59圖36安裝根證書（1）數(shù)字證書的內(nèi)容60圖36安裝根證書（1）數(shù)字證書的內(nèi)容60圖37安裝根證書（2）數(shù)字證書的內(nèi)容61圖37安裝根證書（2）數(shù)字證書的內(nèi)容61圖38查看根證書數(shù)字證書的內(nèi)容62圖38查看根證書數(shù)字證書的內(nèi)容62圖39申請(qǐng)個(gè)人免費(fèi)證書數(shù)字證書的內(nèi)容63圖39申請(qǐng)個(gè)人免費(fèi)證書數(shù)字證書的內(nèi)容63圖40下載個(gè)人證書數(shù)字證書的內(nèi)容64圖40下載個(gè)人證書數(shù)字證書的內(nèi)容64圖41查看個(gè)人證書數(shù)字證書的內(nèi)容65圖41查看個(gè)人證書數(shù)字證書的內(nèi)容65數(shù)字證書應(yīng)用操作實(shí)例（個(gè)人證書在安全電子郵件中的應(yīng)用）（1）在OutlookExpress5發(fā)送簽名郵件(如圖42~46所示)：

1）在OutlookExpress5中設(shè)置證書 2）發(fā)送簽名郵件。（2）用OutlookExpress5發(fā)送加密電子郵件（如圖47~50所示）：

1）獲取收件人數(shù)字證書

2）發(fā)送加密郵件數(shù)字證書的內(nèi)容66數(shù)字證書應(yīng)用操作實(shí)例（個(gè)人證書在安全電子郵件中的應(yīng)用）數(shù)字證圖42在OutlookExpress中設(shè)置證書（1）數(shù)字證書的內(nèi)容67圖42在OutlookExpress中設(shè)置證書（1）圖43在OutlookExpress中設(shè)置證書（2）數(shù)字證書的內(nèi)容68圖43在OutlookExpress中設(shè)置證書（2圖44在OutlookExpress中設(shè)置證書（3）數(shù)字證書的內(nèi)容69圖44在OutlookExpress中設(shè)置證書（3圖45發(fā)送簽名郵件數(shù)字證書的內(nèi)容70圖45發(fā)送簽名郵件數(shù)字證書的內(nèi)容70圖46收到簽名郵件的提示信息數(shù)字證書的內(nèi)容71圖46收到簽名郵件的提示信息數(shù)字證書的內(nèi)容71數(shù)字證書應(yīng)用操作實(shí)例（個(gè)人證書在安全電子郵件中的應(yīng)用）（2）用OutlookExpress5發(fā)送加密電子郵件（如圖47~50所示）：

1）獲取收件人數(shù)字證書

2）發(fā)送加密郵件數(shù)字證書的內(nèi)容72數(shù)字證書應(yīng)用操作實(shí)例（個(gè)人證書在安全電子郵件中的應(yīng)用）數(shù)字證圖47將收件人證書添加到通信簿數(shù)字證書的內(nèi)容73圖47將收件人證書添加到通信簿數(shù)字證書的內(nèi)容73圖48查詢和下載收件人數(shù)字證書數(shù)字證書的內(nèi)容74圖48查詢和下載收件人數(shù)字證書數(shù)字證書的內(nèi)容74圖49發(fā)送加密郵件數(shù)字證書的內(nèi)容75圖49發(fā)送加密郵件數(shù)字證書的內(nèi)容75圖50收到加密郵件的提示信息數(shù)字證書的內(nèi)容76圖50收到加密郵件的提示信息數(shù)字證書的內(nèi)容76認(rèn)證中心CA（CertificationAuthority）（1）認(rèn)證中心的功能：核發(fā)證書、管理證書、搜索證書、驗(yàn)證證書（2）CA的樹形驗(yàn)證結(jié)構(gòu)(如圖所示）數(shù)字證書的內(nèi)容77認(rèn)證中心CA（CertificationAuthori圖CA的樹形結(jié)構(gòu)數(shù)字證書的內(nèi)容78圖CA的樹形結(jié)構(gòu)數(shù)字證書的內(nèi)容78國內(nèi)外CA中心簡介國外常見的CA有VeriSign、GTECyberTrust、Thawte等。國內(nèi)常見的CA有

中國商務(wù)在線中國數(shù)字認(rèn)證網(wǎng)（），數(shù)字認(rèn)證，數(shù)字簽名，CA認(rèn)證，CA證書，數(shù)字證書，安全電子商務(wù)。北京數(shù)字證書認(rèn)證中心

（），為網(wǎng)上電子政務(wù)和電子商務(wù)活動(dòng)提供數(shù)字證書服務(wù)。數(shù)字證書的內(nèi)容79國內(nèi)外CA中心簡介數(shù)字證書的內(nèi)容793.4電子商務(wù)安全交易標(biāo)準(zhǔn)1．安全套接層協(xié)議SSL（SecureSocketsLayer）803.4電子商務(wù)安全交易標(biāo)準(zhǔn)1．安全套接層協(xié)議SSL80SET(SecureElectronicTransaction)持卡人密文商家銀行發(fā)卡機(jī)構(gòu)CA密文協(xié)商定單確認(rèn)審核確認(rèn)審核批準(zhǔn)認(rèn)證認(rèn)證認(rèn)證提供身份認(rèn)證、數(shù)據(jù)保密、數(shù)據(jù)完整性等服務(wù)81SET(SecureElectronicTransacSET協(xié)議規(guī)范所涉及的對(duì)象:①

消費(fèi)者②

在線商店③

收單銀行④

電子貨幣⑤

認(rèn)證中心（CA）SET(SecureElectronicTransaction)82SET協(xié)議規(guī)范所涉及的對(duì)象:SET(SecureElecSET協(xié)議分析1.證書2.CA3.證書的樹形驗(yàn)證體系結(jié)構(gòu)SET(SecureElectronicTransaction)83SET協(xié)議分析SET(SecureElectronic

本章主要內(nèi)容：電子商務(wù)安全要求與安全內(nèi)容防火墻等網(wǎng)絡(luò)安全技術(shù)加密技術(shù)和認(rèn)證技術(shù)SSL與SET第3章電子商務(wù)安全技術(shù)84

本章主要內(nèi)容：第3章電子商務(wù)安全技術(shù)13.1

電子商務(wù)安全要求3.1.1電子商務(wù)所面臨的安全問題電子商務(wù)中的安全隱患可分為如下幾類：

1.信息的截獲和竊取2.信息的篡改3.信息假冒4.交易抵賴853.1電子商務(wù)安全要求3.1.1電子商務(wù)所面臨的安全計(jì)算機(jī)安全分類實(shí)體安全機(jī)房、線路及主機(jī)等的物理安全網(wǎng)絡(luò)與信息安全包括網(wǎng)絡(luò)的暢通、準(zhǔn)確，網(wǎng)上系統(tǒng)、程序和數(shù)據(jù)安全，電子商務(wù)安全。應(yīng)用安全包括程序開發(fā)運(yùn)行、輸入輸出、數(shù)據(jù)庫等安全。86計(jì)算機(jī)安全分類實(shí)體安全機(jī)房、線路及主機(jī)等的物理安全3為什么網(wǎng)絡(luò)安全如此重要WebServerTheInternetEncryption線路安全客戶安全連接安全TheIntranetWebServerWeakness:Externalaccessnowgranted.Areapplicationsandnetworksecure?信息資本EnterpriseNetwork沒有邊界沒有中央管理是開放的、標(biāo)準(zhǔn)的沒有審計(jì)記錄INTERNET87為什么網(wǎng)絡(luò)安全如此重要WebServerTheInter網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵非授權(quán)訪問、冒充合法用戶等。拒絕服務(wù)部分或徹底地阻止計(jì)算機(jī)或網(wǎng)絡(luò)正常工作。盜竊信息指無須利用你的計(jì)算機(jī)就可獲取數(shù)據(jù)信息。88網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵非授權(quán)訪問、冒充合法用網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者?！坝涗洝弊非笳?。低級(jí)失誤和偶然事件。89網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。6網(wǎng)絡(luò)安全不單是技術(shù)問題機(jī)構(gòu)與管理法律與法規(guī)經(jīng)濟(jì)實(shí)力技術(shù)與人才90網(wǎng)絡(luò)安全不單是技術(shù)問題機(jī)構(gòu)與管理7安全性需要代價(jià)安全性與方便性安全性與性能安全性與成本91安全性需要代價(jià)安全性與方便性8減少安全威脅的主要策略修補(bǔ)系統(tǒng)漏洞系統(tǒng)病毒檢查系統(tǒng)直接安全

管理空閑機(jī)器安全管理廢品處理安全管理口令安全管理加密系統(tǒng)認(rèn)證、授權(quán)系統(tǒng)Internet防火墻系統(tǒng)捕捉闖入者系統(tǒng)政策、法律、守則、管理Internet防火墻授權(quán)、認(rèn)證加密審計(jì)、監(jiān)控92減少安全威脅的主要策略修補(bǔ)系統(tǒng)漏洞系統(tǒng)政策3.1.2電子商務(wù)安全需求機(jī)密性完整性認(rèn)證性不可抵賴性有效性933.1.2電子商務(wù)安全需求機(jī)密性10主要包括以下幾個(gè)方面：信息的保密性：電子商務(wù)系統(tǒng)應(yīng)該對(duì)主要信息進(jìn)行保護(hù)，阻止非法用戶獲取和理解原始數(shù)據(jù)。2.

數(shù)據(jù)完整性：電子商務(wù)系統(tǒng)應(yīng)該提供對(duì)數(shù)據(jù)進(jìn)行完整性認(rèn)證的手段，確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求94主要包括以下幾個(gè)方面：電子商務(wù)系統(tǒng)對(duì)信息安全的要求11用戶身份驗(yàn)證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)行身份鑒別的機(jī)制。一般可以通過數(shù)字簽名和數(shù)字證書相結(jié)合的方式實(shí)現(xiàn)用戶身份的驗(yàn)證，證實(shí)他就是他所聲稱的那個(gè)人。數(shù)字證書應(yīng)該由可靠的證書認(rèn)證機(jī)構(gòu)簽發(fā)，用戶申請(qǐng)數(shù)字證書時(shí)應(yīng)提供足夠的身份信息，證書認(rèn)證機(jī)構(gòu)在簽發(fā)證書時(shí)應(yīng)對(duì)用戶提供的身份信息進(jìn)行真實(shí)性認(rèn)證。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求95用戶身份驗(yàn)證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進(jìn)行身份鑒別的機(jī)制4.授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作。5.數(shù)據(jù)原發(fā)者鑒別：電子商務(wù)系統(tǒng)應(yīng)能提供對(duì)數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實(shí)來自原發(fā)者。這個(gè)要求可以通過數(shù)據(jù)完整性及數(shù)字簽名相結(jié)合的方法來實(shí)現(xiàn)。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求964.授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信6.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)據(jù)原發(fā)者不能抵賴自己曾做出的行為，也不能否認(rèn)曾經(jīng)接到對(duì)方的信息，這在交易系統(tǒng)中十分重要。7.合法用戶的安全性：合法用戶的安全性是指合法用戶的安全性不受到危害和侵犯，電子商務(wù)系統(tǒng)和電子商務(wù)的安全管理體系應(yīng)該實(shí)現(xiàn)系統(tǒng)對(duì)用戶身份的有效確認(rèn)、對(duì)私有密匙和口令的有效保護(hù)、對(duì)非法攻擊的有效防范等，

電子商務(wù)系統(tǒng)對(duì)信息安全的要求976.數(shù)據(jù)原發(fā)者的不可抵賴和不可否認(rèn)性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)8.網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全，保護(hù)硬件資源不被非法占有，軟件資源免受病毒的侵害。

電子商務(wù)系統(tǒng)對(duì)信息安全的要求988.網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全3.1.3電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全,兩者相輔相成，缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。993.1.3電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體

商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。3.1.3電子商務(wù)安全內(nèi)容100商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的電子商務(wù)安全構(gòu)架交易安全技術(shù)安全應(yīng)用協(xié)議SET、SSL安全認(rèn)證手段數(shù)字簽名、CA體系基本加密算法對(duì)稱和非對(duì)稱密算法安全管理體系網(wǎng)絡(luò)安全技術(shù)病毒防范身份識(shí)別技術(shù)防火墻技術(shù)分組過濾和代理服務(wù)等法律、法規(guī)、政策101電子商務(wù)安全構(gòu)架安全管理體系法律、法規(guī)、政策183.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)4.2.1計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)面臨的風(fēng)險(xiǎn)Internet本身的不安全性對(duì)企業(yè)內(nèi)部信息系統(tǒng)帶來的潛在風(fēng)險(xiǎn)從純技術(shù)角度上來看，存在著薄弱性。1023.2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)4.2.1計(jì)算機(jī)網(wǎng)絡(luò)的潛在安

3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí)要考慮以下幾點(diǎn)：

加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；

用各種系統(tǒng)漏洞檢測軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；

從路由器到用戶各級(jí)建立完善的訪問控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證；1033.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系在實(shí)施網(wǎng)絡(luò)安全防范利用數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；

對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；

對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行數(shù)據(jù)加密；

安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；

建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系1043.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系214.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識(shí)別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）1054.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)22病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅

一是來自文件下載；二是網(wǎng)絡(luò)化趨勢。措施安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等106病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅23布署和管理防病毒軟件布署一種防病毒的實(shí)際操作一般包括以下步驟：1．制定計(jì)劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。2．調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。3．測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體系107布署和管理防病毒軟件3.2.2計(jì)算機(jī)網(wǎng)絡(luò)安全體4．維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)行升級(jí)，徹底理解這種防病毒系統(tǒng)的重要方面。5．系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個(gè)網(wǎng)絡(luò)范圍內(nèi)。4.2.3常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)1084．維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用Packet-Switched

Leased

LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠(yuǎn)程工作站網(wǎng)絡(luò)防毒手段109Packet-SwitchedLeased

LineW

口令標(biāo)記方法生物特征法身份識(shí)別技術(shù)110

口令身份識(shí)別技術(shù)27認(rèn)證的主要手段對(duì)用戶擁有的東西進(jìn)行鑒別，如IC卡等對(duì)用戶的生物特征進(jìn)行鑒別，如指紋、視網(wǎng)膜血管分布等對(duì)用戶所知道的進(jìn)行鑒別，如口令等111認(rèn)證的主要手段對(duì)用戶擁有的東西進(jìn)行鑒別，如IC卡等283．防火墻技術(shù)1.基本概念防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。1123．防火墻技術(shù)1.基本概念29設(shè)計(jì)防火墻的準(zhǔn)則一切未被允許的就是禁止的防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務(wù)范圍受到限制。一切未被禁止的就是允許的防火墻轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。這種方法構(gòu)成了更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。但在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)管人員的疲于奔命可能很難提供可靠的安全防護(hù)。113設(shè)計(jì)防火墻的準(zhǔn)則一切未被允許的就是禁止的30什么是防火墻？防火墻：在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者和其它網(wǎng)絡(luò)之間限制訪問的軟件和硬件的組合。防火墻114什么是防火墻？防火墻：在被保護(hù)網(wǎng)絡(luò)和Internet之間，防防火墻的主要功能能做什么？安全把關(guān)網(wǎng)絡(luò)活動(dòng)統(tǒng)計(jì)內(nèi)部隔離不能做什么？不能防范內(nèi)部入侵不能防范新的威脅控制粒度粗115防火墻的主要功能32保護(hù)數(shù)據(jù)的完整性?？梢揽吭O(shè)定用戶的權(quán)限和文件保護(hù)來控制用戶訪問敏感性信息，可以限制一個(gè)特定用戶能夠訪問信息的數(shù)量和種類；保護(hù)網(wǎng)絡(luò)的有效性。有效性是指一個(gè)合法用戶如何快速、簡便地訪問網(wǎng)絡(luò)的資源；保護(hù)數(shù)據(jù)的機(jī)密性。加密敏感數(shù)據(jù)。防火墻的功能116防火墻的功能33防火墻的基本原理數(shù)據(jù)過濾：一個(gè)設(shè)備采取的有選擇地控制來往于網(wǎng)絡(luò)的數(shù)據(jù)流的行動(dòng)。數(shù)據(jù)包過濾可以發(fā)生在路由器或網(wǎng)橋上。屏蔽路由器117防火墻的基本原理數(shù)據(jù)過濾：一個(gè)設(shè)備采取的有選擇地控制來往于網(wǎng)防火墻的基本原理（續(xù)）代理服務(wù)：代理服務(wù)是運(yùn)行在防火墻主機(jī)上的應(yīng)用程序或服務(wù)器程序。它在幕后處理所有Int-ernet用戶和內(nèi)部網(wǎng)之間的通訊以代替直接交談。代理服務(wù)118防火墻的基本原理（續(xù)）代理服務(wù)：代理服務(wù)是運(yùn)行在防火墻主機(jī)上一個(gè)典型的防火墻構(gòu)成“無人區(qū)”防火墻119一個(gè)典型的防火墻構(gòu)成“無人區(qū)”防火墻36構(gòu)筑防火墻需考慮的主要因素你的公司要控制什么或要保護(hù)什么你的公司要控制或要保護(hù)到什么程度財(cái)政預(yù)算技術(shù)問題：屏蔽路由器還是代理服務(wù)器...120構(gòu)筑防火墻需考慮的主要因素你的公司要控制什么或要保護(hù)什么37虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）虛擬專用網(wǎng)是用于Internet電子交易的一種專用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的通道，非常適合于電子數(shù)據(jù)交換（EDI）。121虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwor

在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通信量很大。只要交易雙方取得一致，在虛擬專用網(wǎng)中就可以使用比較復(fù)雜的專用加密和認(rèn)證技術(shù)，這樣就可以提高電子商務(wù)的安全性。

VPN可以支持?jǐn)?shù)據(jù)、語音及圖像業(yè)務(wù)，其優(yōu)點(diǎn)是經(jīng)濟(jì)、便于管理、方便快捷地適應(yīng)變化，但也存在安全性低，容易受到攻擊等問題。虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）122在虛擬專用網(wǎng)中交易雙方比較熟悉，而且彼此之間的數(shù)據(jù)通

加密數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱密鑰和公開密鑰，采用何處加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強(qiáng)度來作出判斷。

3.3交易安全技術(shù)

123加密3.3交易安全技3.3.1加密技術(shù)加密：加密是指對(duì)數(shù)據(jù)進(jìn)行編碼使其看起來毫無意義，同時(shí)仍保持可恢復(fù)的形式。1243.3.1加密技術(shù)加密：加密是指對(duì)數(shù)據(jù)進(jìn)行編碼使其看起來加密技術(shù)的主要分類

對(duì)稱密匙 在對(duì)數(shù)據(jù)加密的過程中，使用同樣的密匙進(jìn)行加密和解密。 常見密匙算法：DES、IDEA公開密匙/私有密匙 與對(duì)稱密匙不同，公開密匙/私有密匙使用相互關(guān)聯(lián)的一對(duì)算法對(duì)數(shù)據(jù)進(jìn)行加密和解密。 常見密匙算法： RSA125加密技術(shù)的主要分類421．對(duì)稱密鑰加密體制對(duì)稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。對(duì)稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。加密技術(shù)的主要分類1261．對(duì)稱密鑰加密體制加密技術(shù)的主要分類43對(duì)稱加密技術(shù)1）在首次通信前，雙方必須通過除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。2）當(dāng)通信對(duì)象增多時(shí)，需要相應(yīng)數(shù)量的密鑰。

3）對(duì)稱加密是建立在共同保守秘密的基礎(chǔ)之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會(huì)造成密鑰的失效，存在著潛在的危險(xiǎn)和復(fù)雜的管理難度。加密技術(shù)的主要分類127對(duì)稱加密技術(shù)加密技術(shù)的主要分類44對(duì)稱密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密匙A解密128對(duì)稱密匙（保密密匙）加密明文消息密匙A加密加密消息明文消息密非對(duì)稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密，它需要使用一對(duì)密鑰來分別完成加密和解密操作，一個(gè)公開發(fā)布，稱為公開密鑰（Public-Key）；另一個(gè)由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私有密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢得多。

非對(duì)稱密鑰加密體制129非對(duì)稱密鑰加密體制46公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息130公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李對(duì)稱與非對(duì)稱加密體制對(duì)比特

性對(duì)

稱非

對(duì)

稱密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對(duì)速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用131對(duì)稱與非對(duì)稱加密體制對(duì)比特性對(duì)稱非對(duì)稱密4.3.2信息摘要

圖信息摘要過程1324.3.2信息摘要 圖信息摘要過程493.3.3數(shù)字簽名

圖數(shù)字簽名過程1333.3.3數(shù)字簽名 圖數(shù)字簽名過程503.3.3數(shù)字簽名

發(fā)送方私鑰1343.3.3數(shù)字簽名 發(fā)送方私鑰514.3.4數(shù)字證書與CA認(rèn)證

1．?dāng)?shù)字證書（DigitalCertificate或DigitalID）數(shù)字證書采用公－私鑰密碼體制，每個(gè)用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時(shí)擁有一把公鑰，并可以對(duì)外公開，用于信息加密和簽名驗(yàn)證。數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動(dòng)。

1354.3.4數(shù)字證書與CA認(rèn)證 1．?dāng)?shù)字證書（Digita2．?dāng)?shù)字證書包括以下內(nèi)容如圖所示：

證書擁有者的姓名；

證書擁有者的公鑰；

公鑰的有限期；

頒發(fā)數(shù)字證書的單位；

頒發(fā)數(shù)字證書單位的數(shù)字簽名；

數(shù)字證書的序列號(hào)等。數(shù)字證書的內(nèi)容1362．?dāng)?shù)字證書包括以下內(nèi)容如圖所示：數(shù)字證書的內(nèi)容53圖查看證書內(nèi)容（1）數(shù)字證書的內(nèi)容137圖查看證書內(nèi)容（1）數(shù)字證書的內(nèi)容54圖查看證書內(nèi)容（2）數(shù)字證書的內(nèi)容138圖查看證書內(nèi)容（2）數(shù)字證書的內(nèi)容55圖查看證書內(nèi)容（3）數(shù)字證書的內(nèi)容139圖查看證書內(nèi)容（3）數(shù)字證書的內(nèi)容563．?dāng)?shù)字證書的申請(qǐng)（1）下載并安裝根證書（如圖34~38所示）（2）申請(qǐng)證書（如圖39~41所示）（3）將個(gè)人身份信息連同證書序列號(hào)一并郵寄到中國數(shù)字認(rèn)證網(wǎng)數(shù)字證書的內(nèi)容1403．?dāng)?shù)字證書的申請(qǐng)數(shù)字證書的內(nèi)容57圖34下載根證書（1）數(shù)字證書的內(nèi)容141圖34下載根證書（1）數(shù)字證書的內(nèi)容58圖35下載根證書（2）數(shù)字證書的內(nèi)容142圖35下載根證書（2）數(shù)字證書的內(nèi)容59圖36安裝根證書（1）數(shù)字證書的內(nèi)容143圖36安裝根證書（1）數(shù)字證書的內(nèi)容60圖37安裝根證書（2）數(shù)字證書的內(nèi)容144圖37安裝根證書（2）數(shù)字證書的內(nèi)容61