4計算機安全全解

第四章電子商務(wù)安全與認證第一節(jié)電子商務(wù)與信息安全一、電子商務(wù)安全的現(xiàn)狀計算機安全問題根本可以分為兩大類：黑客和計算機病毒。二、電子商務(wù)安全的要素1〕牢靠性2)機密性3)完整性4)有效性5)不行抵賴性其次節(jié)信息加密概述任何一個加密系統(tǒng)至少包括下面四個組成局部：

〔1〕未加密的報文，也稱明文。〔2〕加密后的報文，也稱密文。

〔3〕加密解密設(shè)備或算法。

〔4〕加密解密的密鑰。一、密碼的分類1〕按應(yīng)用技術(shù)或歷史進展階段劃分類〔1〕手工密碼〔2〕機械密碼〔3〕電子機內(nèi)亂密碼〔4〕計算機密碼2〕按保密程度劃分類〔1〕理論上保密的密碼〔2〕實際上保密的密碼〔3〕不保密的密碼3〕按密鑰方式劃分類〔1〕對稱式密碼〔2〕非對稱式密碼〔3〕散列編碼4〕按明文形態(tài)分類〔1〕模擬型密碼〔2〕數(shù)字型密碼5〕按編制原理劃分類

可分為移位、代替和置換三種以及它們的組合形式二、加密的優(yōu)勢與加密強度2〕加密強度首先是算法的強度其次個因素是密鑰的保密性第三個因素是密鑰長度三、加密技術(shù)1〕DES數(shù)據(jù)加密標準2〕IDEA國際數(shù)據(jù)加密算法3〕clipper加密芯片4〕公開密鑰密碼體制非對稱加密安全牢靠，但加密速度慢，所以一般只適合加密較短的信息，如信用卡號、對稱密鑰等。

第三節(jié)電子商務(wù)中加密技術(shù)的綜合運用一、數(shù)字信封每當(dāng)發(fā)信方需要發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的原文。然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的原文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對稱密鑰，再用該對稱密鑰解密出真正的原文。二、數(shù)字指紋數(shù)字指紋解決了防止網(wǎng)上偽造的問題，保證了文檔的完整性。由于技術(shù)上的緣由，非對稱密鑰密碼體系不適合對數(shù)據(jù)量較大的報文加密(例如，RSA要求報文的長度必需小于密鑰的長度)，所以，目前報文的加密大量使用的仍舊是對稱密鑰密碼體系。為了用非對稱密鑰密碼體系對報文進展數(shù)字簽名，人們承受了數(shù)字指紋加密技術(shù)，這一加密方法亦稱安全Hash編碼法，該編碼法承受單向Hash函數(shù)將需加密的明文“摘要”成一串128位的密文，這128位的密文就是所謂的數(shù)字指紋，又稱信息鑒別碼，它有固定的長度，且不同的明文摘要成的密文，其結(jié)果總是不同的，而同樣的明文其摘要必定全都。這樣這串摘要便成為驗證明文是否是“真身”的指紋了。數(shù)字指紋的應(yīng)用使交易文件的完整性(不行修改性)得以保證。三、數(shù)字簽名數(shù)字簽名技術(shù)解決了發(fā)送者的身份認證問題。數(shù)字簽名技術(shù)就是將非對稱密鑰加密體系和數(shù)字指紋結(jié)合起來，實現(xiàn)數(shù)字簽名的過程如下：〔1〕被發(fā)送的原文用Hash算法加密產(chǎn)生128位的數(shù)字摘要。在數(shù)學(xué)上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不行更改性?！?〕發(fā)送方用自己的私有密鑰對摘要再加密，就形成了數(shù)字簽名?！?〕將原報文和加密的摘要同時發(fā)送給接收方。〔4〕接收方用發(fā)送方的公開密鑰對摘要解密，同時對收到的原來用HASH算法再生成一個摘要?！?〕比較兩個摘要，假設(shè)全都，說明白報文確實來自發(fā)送者，并且在傳輸過程中沒有被破壞或者修改正。四、數(shù)字時間戮(digitaltimestamp)用戶將需要加上時間戳的文件用Hash編碼加密形成摘要后，將摘要發(fā)送到DTS，由DTS在參加了收到文件摘要的日期和時間信息后，再對該文件加上數(shù)字簽名，然后發(fā)回給用戶。必需留意的是，書面簽署文件的時間是簽署人自己寫上的，而數(shù)字時間戳則是由DTS加上的，DTS是以收到文件的時間作為確認依據(jù)的。五、加密技術(shù)的綜合運用加密技術(shù)的綜合運用徹底解決了人們擔(dān)憂的電子商務(wù)安全認證問題，如圖4.2所示，其步驟如下：〔1〕A用戶用HASH算法對原來進展運算，形成信息摘要，得到摘要A，即數(shù)字指紋?！?〕A用戶用自己的私鑰加密摘要A，形成A用戶的數(shù)字簽名?！?〕為了將明文加密發(fā)送到B用戶，A用戶用電腦隨機產(chǎn)生的對稱密鑰加密明文，得到密文。〔4〕為了將對稱密鑰告知B用戶，A用B用戶的公開密鑰加密對稱密鑰，這就是數(shù)字信封。〔5〕A將上述〔2〕〔3〕〔4〕的結(jié)果發(fā)送給B用戶。〔6〕B用戶用自己的私鑰解開對稱密鑰?！?〕B用戶用對稱密鑰解開密文，得到明文。〔8〕B用戶對明文用HASH算法生成又一摘要B?！?〕B用戶用A用戶的公鑰解開A用戶的數(shù)字簽名，得到摘要A?！?0〕將摘要A和摘要B進展比較，假設(shè)全都，說明明文沒有被修改正。一、SSL協(xié)議〔SSL，SecuritySocketLayer〕1〕客戶機〔你上網(wǎng)用的電腦〕向效勞器提出訪問要求，比方，你要訪問一個安全網(wǎng)站，必需輸入對方的網(wǎng)址。2〕效勞器向客戶機發(fā)出包含效勞器公鑰的證書。3〕客戶機自動驗證效勞器的證書，假設(shè)該證書不在客戶機上，則掃瞄器會提示安全風(fēng)險。也就是說，假設(shè)你情愿訪問該網(wǎng)站，你選擇確認即可。4〕客戶機的掃瞄器自動生成一個對稱密鑰，用效勞器的公鑰加密后，發(fā)送到效勞器，效勞器用私鑰解密，從而獲得客戶機的對稱密鑰。5〕此時，客戶機與效勞器之間的全部交換數(shù)據(jù)都會用對稱密鑰自動加密，并且送到對方后會自動解密，從而保證了信息的保密性。以上過程實際上也是數(shù)字信封的整個過程，SSL協(xié)議完成了數(shù)據(jù)傳輸?shù)募用芗靶谄魃矸莸恼J定，但是沒有進展客戶機的數(shù)字簽名。SSL認證的具體過程請參看本書第五章效勞器認證。二、SET協(xié)議SET協(xié)議本身比較簡單，設(shè)計比較嚴格，安全性高，它能保證信息傳輸?shù)臋C密性、真實性、完整性和不行否認性。SET協(xié)議是PKI框架下的一個典型實現(xiàn)，同時也在不斷升級和完善。

由于SET供給了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整牢靠性和交易的不行否認性，特殊是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。SET在保存對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關(guān)重要的。SET建立了一種能在互聯(lián)網(wǎng)上安全使用銀行卡進展購物的標準。安全電子交易標準是一種為基于信用卡而進展的電子供給安全措施的規(guī)章，是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議，它能夠?qū)⑵毡閼?yīng)用的信用卡試用起始點從目前的商店擴展到消費者家里，擴展到消費者個人計算機中。三、安全超文本傳輸協(xié)議(SHTTP)四、X.509標準X.509給出的鑒別框架是一種基于公開密鑰體制的鑒別業(yè)務(wù)密鑰治理。一個用戶有兩把密鑰：一把是用戶的專用密鑰，另一把是其他用戶都可利用的公共密鑰。用戶可用常規(guī)密鑰〔如DES〕為信息加密，然后再用接收者的公共密鑰對DES進展加密并將之附于信息之上，這樣接收者可用對應(yīng)的專用密鑰翻開DES密鎖，并對信息解密。該鑒別框架允許用戶將其公開密鑰存放在它的名目款項中。一個用戶假設(shè)想與另一個用戶交換隱秘信息，就可以直接從對方的名目款項中獲得相應(yīng)的公開密鑰，用于各種安全效勞。第五節(jié)數(shù)字證書和認證中心一、什么是數(shù)字證書數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M展加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不行否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。二、數(shù)字證書的類型1〕個人證書2〕單位證書3〕效勞器證書4〕安全郵件證書5〕代碼簽名證書6)根證書三、電子令牌證書容器是特地用于存儲數(shù)字證書的安全的載體，遵循標準的技術(shù)標準，能夠有效的避開由于數(shù)字證書下載到本地計算機硬盤而帶來的多人公用同一個證書的狀況消失，目前比較成熟的產(chǎn)品有電子令牌〔也稱為USBToken〕和智能IC卡，電子令牌實際上是個優(yōu)盤，內(nèi)裝數(shù)字證書四、認證中心認證中心，又稱CA中心，作為電子商務(wù)活動中受信任的第三方，是一個負責(zé)發(fā)放和治理數(shù)字證書的權(quán)威機構(gòu)，并擔(dān)當(dāng)對公鑰合法性檢驗的責(zé)任。它是為解決電子商務(wù)活動中參與各方身份及資信的認定，維護網(wǎng)上交易的安全性，從根本上保障電子商務(wù)活動的順當(dāng)進展而建立的。1)證書的頒發(fā)2〕證書的更新3〕證書的查詢4〕證書的作廢5〕證書的歸檔以下是我國的局部電子商務(wù)認證中心：廣東省電子商務(wù)認證中心://安徽省電子商務(wù)認證中心://上海市電子商務(wù)安全證書治理中心://北京數(shù)字證書認證中心://

山東省數(shù)字證書認證治理://陜西省數(shù)字證書認證中心://湖北省數(shù)字證書認證治理中心://廣西壯族自治區(qū)數(shù)字證書認證中心://福建省數(shù)字安全證書治理://江西省數(shù)字證書認證中心://遼寧省數(shù)字證書認證中心://西部安全認證中心有限責(zé)任公司://河南省數(shù)字證書認證中心://浙江省數(shù)字認證中心://吉林省安信數(shù)字證書認證://廣東省數(shù)字證書認證中心://山西省電子商務(wù)安全認證中心://重慶市數(shù)字證書認證中心://第六節(jié)計算機安全一、安全問題的簡單性二、安全問題的類型1)硬件問題2)協(xié)議問題3)操作系統(tǒng)問題4)拒絕效勞的問題5)數(shù)據(jù)被偵聽的問題6)偽造和篡改問題7)假冒的問題8〕電子郵件轟炸9)病毒技術(shù)10)其他問題第七節(jié)計算機安全的技術(shù)防范一、防火墻防火墻是在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間構(gòu)筑的一道屏障，是在內(nèi)外有別及在需要區(qū)分處設(shè)置有條件的隔離設(shè)備，用以愛護內(nèi)部網(wǎng)中的信息、資源等不受來自互聯(lián)網(wǎng)中非法用戶的侵害。具體來說，防火墻是一類硬件及軟件。它掌握內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的全部數(shù)據(jù)流量，掌握和防止內(nèi)部網(wǎng)中的有價值數(shù)據(jù)流人互聯(lián)網(wǎng)，也掌握和防止來自互聯(lián)網(wǎng)的無用垃圾和有害數(shù)據(jù)流人內(nèi)部網(wǎng)。簡潔地說，防火墻成為一個進入內(nèi)部網(wǎng)的信息都必需經(jīng)過的限制點，它只允許授權(quán)信息通過，而其本身不能被滲透。假設(shè)把局域網(wǎng)比作一個要塞，那防火墻就是愛護要塞的城墻。防火墻從本質(zhì)上來說是一種愛護裝置，是用來愛護網(wǎng)絡(luò)資源、數(shù)據(jù)以及用戶信譽的。它使入侵者要么無法進入內(nèi)部系統(tǒng)，要么即使進入也帶不走有價值的東西。計算機網(wǎng)絡(luò)系統(tǒng)資源也是一種財寶，假設(shè)未經(jīng)允許擅自使用。對擁有者來這就是一種侵害，防火墻也能有效地防止這種侵害。1〕過濾型防火墻：包過濾技術(shù)是在網(wǎng)絡(luò)層對通過的數(shù)據(jù)包進展過濾的一種技術(shù)。包過濾技術(shù)的主要優(yōu)點有以下兩點。便利有效：利用包過濾技術(shù)建立起來的防火墻，能有效地防止來自外部網(wǎng)絡(luò)的侵襲。由于全部將要進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包都必需承受包過濾器的檢查；而且我們可以特別便利地通過修改正濾規(guī)章表來適應(yīng)不斷變化的需求。簡潔易行：建立基于包過濾技術(shù)的防火墻特別簡潔實現(xiàn)，特殊是利用適宜的路由器來實現(xiàn)防火墻功能時，通常不需再額外增加硬件／軟件配置。包過濾技術(shù)也存在著缺乏之處：一是僅在網(wǎng)絡(luò)層和傳輸層實現(xiàn)。二是缺乏可審核性。三是不能防止來自內(nèi)部的侵害2)代理效勞(proxyserver)技術(shù)代理效勞技術(shù)是利用一個應(yīng)用層網(wǎng)關(guān)作為代理效勞器的，代理效勞在應(yīng)用層上進展，這樣就可以防止Internet上的非法用戶直接獵取Intranet中的有關(guān)信息。在Intranet中設(shè)置一個代理效勞器，將Internet進入Intranet內(nèi)部的鏈路分為兩段，從Internet到代理效勞器的一段和從代理效勞器到Intranet內(nèi)部的另一段，用這種方法將Intranet與Internet隔離開來。全部來自Internet的應(yīng)用連接懇求均被送到代理效勞器中，由代理效勞器進展安全檢查后，再與Intranet中的應(yīng)用效勞器建立連接。全部Internet對Intranet應(yīng)用的訪問都須經(jīng)過代理效勞器，這樣，全部Internet對Intranet中應(yīng)用的訪問都被置于代理效勞器的掌握之下；同樣，全部Intranet對Internet效勞的訪問，也受到代理效勞器的監(jiān)視。代理效勞器可以實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能，代理效勞技術(shù)主要通過專用計算機來擔(dān)當(dāng)。代理效勞技術(shù)的主要優(yōu)點有以下兩點。①屏蔽被愛護的內(nèi)部網(wǎng)由于Internet上的非法用戶只能通過代理效勞器的方式來訪問Intranet，從而無法了解到Intranet中的狀況，如主機的名稱、1P地址、信息的配置等狀況，這樣就可以屏蔽受愛護的內(nèi)部網(wǎng)，增加網(wǎng)絡(luò)的安全性。②對數(shù)據(jù)流的監(jiān)控使用代理效勞技術(shù)的防火墻軟件能夠?qū)⒔?jīng)過它的正常、特別和非法的數(shù)據(jù)包記錄下來，實施對數(shù)據(jù)流的監(jiān)控，并可通過分析統(tǒng)計資料準時覺察在內(nèi)部網(wǎng)中的擔(dān)憂全因素。代理效勞技術(shù)的主要缺點是：第一，實施技術(shù)要求高，由于應(yīng)用級網(wǎng)關(guān)只允許有代理效勞的訪問通過，所以它要求為每種網(wǎng)絡(luò)信息效勞特地開發(fā)出代理效勞和相應(yīng)的監(jiān)控過濾功能的軟件；其次，需要特定的硬件支持，由于代理效勞需要處理大量進出Intranet的數(shù)據(jù)，因而需要使用特地的高性能計算機。二、計算機病毒防范1〕什么是計算機病毒2〕計算機病毒的類型〔1〕開機型病毒〔引導(dǎo)區(qū)病毒〕〔2〕文件型病毒〔3〕復(fù)合型病毒〔4〕變種病毒〔5〕宏病毒〔6〕特洛伊木馬程序〔7〕計算機蠕蟲病毒〔8〕黑客型病毒3〕計算機病毒的防范措施(1)給自己的電腦安裝防病毒軟件(2)認真執(zhí)行病毒定期清理制度(3)掌握權(quán)限(4)高度警覺網(wǎng)絡(luò)陷阱(5)不翻開生疏地址的電子郵件第八節(jié)計算機安全的治理對策1〕人員治理2〕保密制度3〕系統(tǒng)日志機制4〕日常維護制度(1)硬件的日常治理與維護(2)軟件的日常治理與維護5〕數(shù)據(jù)備份和應(yīng)急措施(1)瞬時復(fù)制技術(shù)(2)遠程磁盤鏡像技術(shù)(3)數(shù)據(jù)庫恢復(fù)技術(shù)案例

網(wǎng)絡(luò)安全與社會信用仍是電子商務(wù)最大難題《電子簽名法》的正式實施并不能馬上轉(zhuǎn)變傳統(tǒng)的商務(wù)模式，但電子商務(wù)替代傳統(tǒng)商務(wù)模式的進程將因此大大加速。05年4月1日，我國第一部與電子商務(wù)相關(guān)的法律《電子簽名法》正式實施。盡管這是一部特別重要的商業(yè)法律，但不同行業(yè)的人對這部法律的態(tài)度表現(xiàn)不盡一樣。一部法律不能轉(zhuǎn)變市場。但應(yīng)當(dāng)看到，市場的變化、電子商務(wù)的進展，是催生這部法律的動力。將來，電子簽名法對整個電子商務(wù)的促進也會漸漸表