第4节 电子商务安全技术.pptVIP

第4章 电子商务安全技术 4.1 电子商务系统安全的概念 4.2 防火墙技术 4.3 密钥加密技术 4.4 电子商务信息安全技术 4.1 电子商务系统安全的概念 4.1 电子商务系统安全的概念 2．电子商务中存在的安全威胁 --由于非法入侵者的侵入，造成商务信息被篡改、盗窃或丢失； --商业机密在传输过程中被第三方获悉，甚至被恶意窃取、篡改和破坏； --虚假身份的交易对象及虚假订单、合同；贸易对象的抵赖； --由于计算机系统故障对交易过程和商业信息安全所造成的破坏。 3．电子商务的安全性需求 （1）信息的保密性 （2）信息的完整性 （3）信息的不可否认性 （4）交易者身份的真实性，身份认证 （5）系统的可靠性 （6）防御性 （7）业务的合法性 4.1 电子商务系统安全的概念 4.网络安全的对策 --技术对策：网络安全检测设备（防范黑客），智能卡设备，CA认证，安全工具包/软件，数字签名 --管理对策：人员管理制度，保密制度，跟踪、审计、稽核制度，网络系统的日常维护制度，病毒防范制度，应急措施（硬件恢复，数据恢复） 4.1 电子商务系统安全的概念 4.2 防火墙技术 1.防火墙定义 是位于两个(或多个)网络间实施网间访问控制的一组组件的集合它满足以下条件: – 内部和外部之间的所有网络数据流必须经过防火墙 – 只有符合安全政策的数据流才能通过防火墙 – 防火墙自身应对渗透(peneration)免疫 2.为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 4.2 防火墙技术 3.防火墙体系结构 双宿/多宿主机模式(dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式 4.2 防火墙技术 4.防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 虚拟专用网 4.2 防火墙技术 ·静态包过滤 根据流经该设备的数据包地址信息决定是否允许 该数据包通过,判断依据有(只考虑IP包) – 数据包协议类型TCP UDP ICMP IGMP等 – 源目的IP地址 – 源目的端口FTP HTTP DNS等 – IP选项源路由记录路由等 – TCP选项SYN ACK FIN RST等 – 其它协议选项ICMP ECHO ICMP ECHO REPLY等 – 数据包流向in或out – 数据包流经网络接口eth0 eth1 4.2 防火墙技术 ·动态包过滤 --Check point一项称为“Stateful Inspection”的技术 --可动态生成/删除规则 --分析高层协议(网络4/5层) ·应用程序网关 --网关理解应用协议可以实施更细粒度的访问控制 --对每一类应用都需要一个专门的代理 --灵活性不够 4.2 防火墙技术 ·电路级网关(会话层) --拓扑结构同应用程序网关相同 --接收客户端连接请求代理客户端完成网络连接 --在客户和服务器间中转数据 --通用性强 电路级网关实现方式 --简单重定向 --根据客户的地址及所请求端口将该连接重定向到指定的服务器地址及端口上 --对客户端应用完全透明 --在转发前同客户端交换连接信息 --需对客户端应用作适当修改 4.3 密钥加密技术 1．密钥加密概念 将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。 加密和解密必须依赖两个要素，这两个要素是算法和密钥。算法是加密和解密的计算方法；密钥是加密和加密所需的参数。 2．对称加密技术（加密密钥和解密密钥相同） --数据加密标准DES是一种对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位(有8位用于奇偶校验).解密过程和加密相似,但密钥顺序正好相反.DES的整个体制是公开的系统的,安全性完全靠密钥的保密. --DES算法过程是在一个初始置换IP后,明文组被分成右半部分和左半部分,每部分32位以L0和R0表示,然后16轮迭代的乘积变换,称为函数f.将数据和密钥结合起来.16轮之后左右两部分再连接起来,经过一个初始逆置换IP-1, 算法结束. --初始置换与初始逆置换在密码意义上作用不大,目的在于打乱原来输入x的ASCII码字划分关系,并将原来明文的校验位变成置换输出的一个字节. 4.3 密钥加密技术 --特点 在首次通信前，双方须通过除网络以外的另外途径传递统一密钥。 当通信对象增多时，需要相应数量的密钥。 对称加密建立在共同保守秘密的基础上，在管理和分发密钥过程中，任何一方泄密都会造成密钥的失效，