ch8电子商务安全技术(邵兵家)s(阅读).pptVIP

21世纪中国电子商务网校 第8章 电子商务安全技术 电子商务信息安全的6个方面： 信息的保密性 数据的完整性 用户身份的鉴别 数据原发者鉴别 数据源发者的不可抵赖性 合法用户的安全性 8.1 电子商务安全的重要性 8.1.1 电子商务所面临的安全问题 电子商务中的安全隐患可分为如下几类： 1.信息的截获和窃取 2.信息的篡改 3.伪造电子邮件 4.信息假冒 5.交易抵赖 8.1.2 电子商务对安全的基本要求 1．授权合法性 2．不可抵赖性 3．保密性 4．身份的真实性 5．信息的完整性 6．存储信息的安全性 ※ 8.1.3 电子商务安全措施 1．确定通信中的贸易伙伴身份的真实性——CA认证中心 2．保证电子单证的保密性——加密、解密 3．确定电子单证内容的完整性——散列技术 4．确定电子单证的真实性——数字签名 5．不可抵赖性——签名+CA认证中心 6．存储信息的安全性——访问控制权限+加密存储+数据备份恢复+防火墙技术 8.2 防火墙技术 防火墙：在被保护网络和Internet之间， 或者和其它网络之间限制访问的 软件和硬件的组合。 1.基本概念 防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。 防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。 防火墙的分类 路由器 定义一系列包过滤规则 代理服务器 应用层网关 防火墙的基本原理（1） 数据过滤：一个设备采取的有选择地控制来往于网络的数据流的行动。数据包过滤可以发生在路由器或网桥上。 包过滤技术主要检查的内容 ??? ?? 数据包的源地址、目的地址 ??? ?? 数据包的源端口、目的端口 ??? ?? 数据包传递的服务内容等 8.2.3防火墙的安全策略及局限性 一切未被允许的就是禁止的 防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。 一切未被禁止的就是允许的 防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。 防火墙的局限性 1.不能阻止来自内部的破坏 2.不能保护绕过它的连接 3.无法防止新出现的网络威胁 4.不能防止病毒 密码算法的主要分类 序列密码 这种体制是将明文M看成是连续的比特流或字符流（m1m2m3…），并用密钥序列K（k1k2k3…）中的第i个元素ki对明文中的mi进行逐位加密。需要和明文等长的密钥序列，如果明文太长，将不利于密钥的制订和管理。 分组密码 先将明文划分为固定长度的数据组，以组为单位进行加密。即用一个固定的变换对一个比较大的明文数组进行操作。这种密码的密钥相对较短，因此出于安全的考虑，加密变换的算法起着至关重要的作用。 公开密钥密码 HASH函数 用HASH算法求出某个信息的hash值。主要用于生成信息摘要，相当于信息的指纹。信息摘要技术能将一个大数据块映射到一个小信息块，具有不可逆性。 1．对称密钥加密体制 对称密钥加密，又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。 ※ 公/私密钥对的用法 1、用于收发双方通信时，发方用收方的公钥对原文进行加密，收方收到发方的密文后，用自己的私钥进行解密，在这其中，他人是无法解密的，因为他人不拥有收方的私钥。简言之，用公钥加密，用私钥解密适用于双方通信时。 2、而用私钥加密文件、公钥解密文件则是用于数字签名，即发方向收方签发文件时，发方用自己的私钥加密文件传送给收方，收方用发方的公钥进行解密。 对称与非对称加密体制对比 实例：RSA的算法：其数学原理是将一个大数分解成两个质数的乘积 1)选取两个足够大的质数P和Q； 如：P=101，Q=113 2)计算P和Q相乘所产生的乘积n = P×Q； 如：n=11413 3)找出一个小于n的数e，使其符合与（P－1）×（Q－1）互为质数；如：取e=3533 4)另找一个数d，使其满足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod为相除取余）；如：取d=6597 5)（n，e）即为公开密钥；（n，d）即为私有密钥； 6)将明文X分组，X=X1X2…Xr（Xi=n); 7)加密：Yi=Xie（mod n）,得