电子商务-第七章-电子商务安全技术.pptVIP

应用级防火墙通常是运行在防火墙上的运行代理服务器软件部分（又称为应用网关） 应用级网关 Internet 优点：比包过滤式防火墙更为安全、可靠，详细记录所有访问状态信息 缺点：速度慢，不允许用户直接访问网络，透明性差 Intranet 内部服务器等 代理服务器 路 由 器 应用级网关的应用原理示意图 * * 状态监测防火墙 使用一个在网关上执行网络安全策略的软件模块，称为监测引擎，是第三代防火墙技术 原理 监测引擎软件在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考 * * 7.3.3 电子商务安全协议 ? SSL:安全套接层协议（会话层） 在建立连接的过程中采用公开密钥； 在会话过程中采用专用密钥； 每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。 ? SET:安全电子交易协议（应用层） 对消费者、商户、收单行进行认证。 * * 在Internet上进行欺骗的模式： 采用假的服务器来欺骗用户的终端； 采用假的用户来欺骗服务器； 在信息的传输过程中截取信息； 在Web服务器及Web用户之间进行双方欺骗。 SSL安全技术 * * SSL工作流程 SSL客户端发出一个消息，该消息中包含了SSL可实现的算法列表和其他一些必要的信息。SSL的服务器将回应一个消息，确定该次通信所要用的算法，然后发出服务器端的证书（其中包含了身份和公钥）。客户端在收到该消息后会生成一个秘密消息，并用SSL服务器的公钥加密后传回服务器。服务器用自己的私钥解密后，会话密钥协商成功，则双方可以用同一份会话密钥通话了。 * * SET安全技术 1、SET协议的作用 ?个人账号信息与订单信息的隔离。 ?商家只能看到定货信息,而看不到持卡人的帐户信息。 ?对交易者的身份进行确认和担保。 ?持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务。 ?统一协议和报文的格式。 ?使不同厂家开发的软件能相互兼容。 * * SET的优点 ? SET保证了商家的合法性，并且用户的信用卡号不会被窃取。 ? SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。 ? SET可以用在系统的一部分或者全部。 * * 7.4 数字证书与CA认证中心 数字证书 CA认证中心 * * 7.4.1 数字证书 1. 什么是数字证书 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 证书的格式遵循ITU X.509国际标准。 * * 一个标准的X.509数字证书内容 ? 证书的版本信息； ? 证书的序列号，每个证书都有一个唯一的证书序列号； ? 证书所使用的签名算法； ? 证书的发行机构名称，命名规则一般采用X.500格式； ? 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； ? 证书所有人的名称，命名规则一般采用X.500格式； ? 证书所有人的公开密钥； ? 证书发行者对证书的数字签名。 * * 2. 数字证书的三种类型 ?个人证书 它仅仅为某一个用户提供数字证书。 ?企业（服务器）数字证书 它通常为网上的某个Web服务器提供数字证书。 ?软件（开发者）数字证书 它通常为因特网中被下载的软件提供数字证书。 * * 数字证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。 3. 数字证书原理简介 * * 7.4.2 认证中心 ?认证中心，又称为证书授证(Certificate Authority)中心，是一个负责发放和管理数字证书的权威机构。 ?认证中心的作用 证书的颁发； 证书的更新； 证书的查询； 证书的作废； 证书的归档。 * * 数据加密解密、身份认证流程图 用户B数字证书 用户A数字证书 加密 数字 信封 数字签名 数字签名 解密 密文 明文 明文 加密 Hash 加密 密文 A用户 用户A的私有 签名密钥 数字签名 对称密钥 + + 密文 解密 解密 用户A数字证书 数字签名 明文 信息 摘要 信息 摘要 比 较 Hash + + 用户A的公开 签名密钥 用户B的私有 密钥