電子商務(wù)安全技術(shù)2

第四章電子商務(wù)平安技術(shù)學(xué)習(xí)內(nèi)容4.1電子商務(wù)面臨的平安問(wèn)題4.2防火墻技術(shù)4.3加密算法4.4數(shù)字證書認(rèn)證技術(shù)4.1電子商務(wù)面臨的平安問(wèn)題

4.1.1電子商務(wù)的根本平安要素4.1.2電子商務(wù)中的平安問(wèn)題4.1.1電子商務(wù)的根本平安要素有效性機(jī)密性完整性可靠性／不可抵賴性／可鑒別性審查能力4.1.2電子商務(wù)中的平安問(wèn)題信息泄漏竄改身份識(shí)別問(wèn)題病毒問(wèn)題黑客問(wèn)題4.2防火墻技術(shù)

4.2.1防火墻的根本概念4.2.2防火墻的構(gòu)成4.2.3防火墻的優(yōu)點(diǎn)4.2.4防火墻的類型4.2.1防火墻的根本概念

防火墻的概念是從建筑學(xué)上引過(guò)來(lái)的。在建筑學(xué)中的防火墻是用來(lái)防止大火從建筑物的一局部蔓延到另一局部而設(shè)置的阻擋機(jī)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)的防火墻是用來(lái)防止互聯(lián)網(wǎng)的損壞，如黑客攻擊、病毒破壞、資源被盜用或文件被篡改等涉及到內(nèi)部網(wǎng)的危害。它是一個(gè)由軟件和硬件設(shè)備組合而成的、在內(nèi)部網(wǎng)(可信賴的平安網(wǎng)路)和外部網(wǎng)(不可靠的網(wǎng)路環(huán)境)之間的界面上構(gòu)造的保護(hù)屏障。防火墻系統(tǒng)示意圖

4.2.1防火墻的根本概念

防火墻是一種平安有效的防范技術(shù)，是訪問(wèn)控制機(jī)制、平安策略和防入侵的措施。從狹義上講，防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)；從廣義上講，防火墻還包括了整個(gè)網(wǎng)絡(luò)的平安策略和平安行為。防火墻的平安策略有兩種：但凡沒(méi)有被列為允許訪問(wèn)的效勞都是被禁止的。但凡沒(méi)有被列為禁止訪問(wèn)的效勞都是被允許的。4.2.2防火墻的構(gòu)成

防火墻主要包括平安操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名效勞和E-mail處理等五局部。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設(shè)置兩個(gè)內(nèi)、外過(guò)濾器，外過(guò)濾器保護(hù)網(wǎng)關(guān)不受攻擊，網(wǎng)關(guān)提供中繼效勞，輔助過(guò)濾器控制業(yè)務(wù)流，而內(nèi)過(guò)濾器在網(wǎng)關(guān)被攻破后提供對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。防火墻的主要目的是控制數(shù)據(jù)組，只允許合法流通過(guò)。它要對(duì)內(nèi)域網(wǎng)和Internet之間傳遞的每一數(shù)據(jù)組進(jìn)行干預(yù)。過(guò)濾器那么執(zhí)行由防火墻管理機(jī)構(gòu)制定的一組規(guī)那么，檢驗(yàn)各數(shù)據(jù)組決定是否允許放行。這些規(guī)那么按IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。單純靠IP地址的過(guò)濾規(guī)那么是不平安的，因?yàn)橐粋€(gè)主機(jī)可以用改變IP源地址來(lái)蒙混過(guò)關(guān)。防火墻的構(gòu)成

4.2.3防火墻的優(yōu)點(diǎn)

集中化的平安管理

對(duì)于一個(gè)企業(yè)而言，使用防火墻比不使用防火墻可能更加經(jīng)濟(jì)一些，這是因?yàn)槿绻褂昧朔阑饓?，就可以將所有修改正的軟件和附加的平安軟件都放在防火墻上集中管理；而不使用防火墻，就必須將所有軟件分散到各個(gè)主機(jī)上。對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)

如果所有對(duì)Internet的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑操作時(shí)，防火墻能夠報(bào)警并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。4.2.3防火墻的優(yōu)點(diǎn)

4.2.4防火墻的類型包過(guò)濾型可以動(dòng)態(tài)檢查通過(guò)防火墻的TCP/IP報(bào)文頭中的報(bào)文類型、源IP地址、目標(biāo)IP地址、源端口號(hào)等信息，與預(yù)先保存的清單進(jìn)行對(duì)照，按預(yù)定的平安策略決定哪些報(bào)文可以通過(guò)防火墻，哪些報(bào)文不可以通過(guò)防火墻。防火墻主要可分為包過(guò)濾型和應(yīng)用網(wǎng)關(guān)型兩種。包過(guò)濾型防火墻的工作原理

應(yīng)用網(wǎng)關(guān)型防火墻的工作原理

代理效勞器技術(shù)是防火墻技術(shù)中的一種平安技術(shù)措施優(yōu)點(diǎn)：在于可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來(lái)，增強(qiáng)網(wǎng)絡(luò)的平安性能，同時(shí)可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告等功能。缺點(diǎn)：在于需要為每個(gè)網(wǎng)絡(luò)效勞專門設(shè)計(jì)、開(kāi)發(fā)代理效勞軟件及相應(yīng)的監(jiān)控過(guò)濾功能，并且由于代理效勞器具有相當(dāng)?shù)墓ぷ髁浚鑼ｉT的工作站來(lái)承擔(dān)。代理效勞器對(duì)出入數(shù)據(jù)進(jìn)行兩次處理，所以會(huì)降低性能，這是應(yīng)用網(wǎng)關(guān)的主要缺陷。4.2.4防火墻的類型4.3加密技術(shù)

4.3.1加密技術(shù)的根本概念

4.3.2對(duì)稱密鑰密碼體系4.3.3非對(duì)稱密鑰密碼體系4.3.1加密技術(shù)的根本概念所謂加密技術(shù)，就是指采用數(shù)學(xué)方法對(duì)原始信息〔明文〕進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開(kāi)傳輸?shù)膬?nèi)容對(duì)于非法接收者來(lái)說(shuō)成為無(wú)意義的文字〔密文〕。在加密和解密過(guò)程中，都要涉及信息〔明文/密文〕、密鑰〔加密密鑰/解密密鑰〕和算法〔加密算法/解密算法〕這三項(xiàng)內(nèi)容。如果收發(fā)雙方密鑰是否相同，分為對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。4.3.2對(duì)稱密鑰密碼體系對(duì)稱加密方法中，信息的加密和解密都使用相同的密鑰。4.3.2對(duì)稱密鑰密碼體系優(yōu)點(diǎn)：加密、解密速度很快〔高效〕缺點(diǎn)：在首次通信前，雙方必須通過(guò)除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。當(dāng)通信對(duì)象增多時(shí)，需要相應(yīng)數(shù)量的密鑰。例如，當(dāng)某一貿(mào)易方有“n〞個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)“n〞個(gè)專用密鑰。代表性算法：IBM公司于1977年提出的DES算法，該算法被國(guó)家標(biāo)準(zhǔn)局NBS公布為商用數(shù)據(jù)加密標(biāo)準(zhǔn)。4.3.3非對(duì)稱密鑰密碼體系非對(duì)稱加密體系中，密鑰被分解為一對(duì)，即一把公開(kāi)密鑰〔公鑰〕和一把專用密鑰〔私鑰〕。非對(duì)稱加密體系中，一把用于加密，一把用于解密。非對(duì)稱密鑰系統(tǒng)的應(yīng)用：加密/解密：發(fā)送方用接收方的公鑰加密報(bào)文；鑒別：發(fā)送方用自己的私鑰加密報(bào)文；密鑰交換：兩方合作以便交換會(huì)話密鑰。優(yōu)點(diǎn)：密鑰宜于管理缺點(diǎn)：運(yùn)算速度較慢，較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí)。代表性算法：1979年由三位科學(xué)家Rivest、Shamir、Adleman研制的RSA算法。理論根底：兩個(gè)大素?cái)?shù)相乘在計(jì)算上是容易實(shí)現(xiàn)的，但將該乘數(shù)分解為兩個(gè)大素?cái)?shù)因子的計(jì)算量很大，大到甚至在計(jì)算機(jī)上也不可能實(shí)現(xiàn)。

4.3.3非對(duì)稱密鑰密碼體系4.4數(shù)字證書認(rèn)證技術(shù)

4.4.1公開(kāi)密鑰體系4.4.2認(rèn)證中心及數(shù)字證書4.4.1公開(kāi)密鑰體系公開(kāi)密鑰體系〔publickeyinfrastructure，PKI〕，是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套平安根底平臺(tái)的技術(shù)和標(biāo)準(zhǔn)。用戶可利用PKI平臺(tái)提供的效勞進(jìn)行平安通信。PKI必須具有權(quán)威認(rèn)證機(jī)構(gòu)CA在公鑰加密技術(shù)根底上對(duì)證書的產(chǎn)生、管理、存檔、發(fā)放以及作廢進(jìn)行管理的功能，包括實(shí)現(xiàn)這些功能的全部硬件、軟件、人力資源、相關(guān)政策和操作程序，以及為PKI體系中的各成員提供全部的平安效勞。

PKI由公開(kāi)密鑰技術(shù)、數(shù)字證書、認(rèn)證機(jī)構(gòu)〔CA〕和有關(guān)公開(kāi)密鑰的平安策略等根本局部組成。PKI提供的效勞

4.4.2數(shù)字證書及認(rèn)證中心數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。數(shù)字證書采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公鑰并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。數(shù)字簽名的流程數(shù)字證書是由一個(gè)由權(quán)威機(jī)構(gòu)——CA(CertificateAuthority)，又稱為證書認(rèn)證中心發(fā)行。CA〔CertificateAuthority〕，即證書認(rèn)證中心，作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA認(rèn)證所簽發(fā)的數(shù)字證書包括個(gè)人數(shù)字證書，企業(yè)數(shù)字證書

效勞器身份證書等．廣泛的被應(yīng)用于電子商務(wù)、網(wǎng)上銀行、電信、電子政務(wù)、網(wǎng)上身份證、數(shù)字簽名、電子公證、平安電郵、保險(xiǎn)等領(lǐng)域。4.4.2數(shù)字證書及認(rèn)證中心數(shù)字證書的內(nèi)容證書的版本信息證書的序列號(hào)證書所使用的簽