对称密钥加密体制对称密钥加密.PPT

武汉大学信息管理学院 电子商务安全技术 本章主要内容： 电子商务安全要求与安全内容 防火墙等网络安全技术 加密技术和认证技术 SSL与SET PKI 10.1 电子商务安全要求 10.1.1 电子商务所面临的安全问题 电子商务中的安全隐患可分为如下几类： 1.信息的截获和窃取 2.信息的篡改 3.信息假冒 4.交易抵赖 10.1.2 电子商务安全需求 机密性 完整性 认证性 不可抵赖性 有效性 10.1.3 电子商务安全内容 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 电子商务安全构架 10.2 计算机网络安全技术 10.2.2 计算机网络安全体系 在实施网络安全防范措施时要考虑以下几点： 加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞； 用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补； 从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证； 10.2.3 常用的计算机网络安全技术 病毒防范技术 身份识别技术 防火墙技术 虚拟专用网技术 （Virtual Private Network，VPN） 1．病毒防范技术 网络病毒的威胁 一是来自文件下载 ；二是网络化趋势。 措施 安装防病毒软件，加强内部网的整体防病毒措施； 加强数据备份和恢复措施； 对敏感的设备和数据要建立必要的物理或逻辑隔离措施等 2．身份识别技术 口令 标记方法 生物特征法 3．防火墙技术 基本概念 防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 设计防火墙的准则 一切未被允许的就是禁止的 防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。 一切未被禁止的就是允许的 防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。 防火墙示意图 防火墙的功能 保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类； 保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源； 保护数据的机密性。加密敏感数据。 防火墙的实现技术 分组过滤（Packet Filter） 分组过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 4．虚拟专用网技术（Virtual Private Network，VPN） 虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。 1．对称密钥加密体制 对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。 2．非对称密钥加密体制 非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。 对称与非对称加密体制对比 10.3.2 认证技术 信息认证的目的 （1）确认信息的发送者的身份； （2）验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。 常用的安全认证技术 1.数字摘要 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finge