电子商务系统安全技术概述.pptx

第4章 电子商务安全技术;4.1 电子商务系统安全的概念;4.1 电子商务系统安全的概念;3．电子商务的安全性需求 （1）信息的保密性 （2）信息的完整性 （3）信息的不可否认性 （4）交易者身份的真实性，身份认证 （5）系统的可靠性 （6）防御性 （7）业务的合法性;4.1 电子商务系统安全的概念;4.1 电子商务系统安全的概念;4.2 防火墙技术 ;;4.2 防火墙技术;;;;;4.2 防火墙技术;·静态包过滤 根据流经该设备的数据包地址信息决定是否允许 该数据包通过,判断依据有(只考虑IP包) – 数据包协议类型TCP UDP ICMP IGMP等 – 源目的IP地址 – 源目的端口FTP HTTP DNS等 – IP选项源路由记录路由等 – TCP选项SYN ACK FIN RST等 – 其它协议选项ICMP ECHO ICMP ECHO REPLY等 – 数据包流向in或out – 数据包流经网络接口eth0 eth1;·动态包过滤 --Check point一项称为“Stateful Inspection”的技术 --可动态生成/删除规则 --分析高层协议(网络4/5层) ·应用程序网关 --网关理解应用协议可以实施更细粒度的访问控制 --对每一类应用都需要一个专门的代理 --灵活性不够;4.2 防火墙技术;;;4.3 密钥加密技术 ;;2．对称加密技术（加密密钥和解密密钥相同） --数据加密标准DES是一种对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位(有8位用于奇偶校验).解密过程和加密相似,但密钥顺序正好相反.DES的整个体制是公开的系统的,安全性完全靠密钥的保密. --DES算法过程是在一个初始置换IP后,明文组被分成右半部分和左半部分,每部分32位以L0和R0表示,然后16轮迭代的乘积变换,称为函数f.将数据和密钥结合起来.16轮之后左右两部分再连接起来,经过一个初始逆置换IP-1, 算法结束. --初始置换与初始逆置换在密码意义上作用不大,目的在于打乱原来输入x的ASCII码字划分关系,并将原来明文的校验位变成置换输出的一个字节.;4.3 密钥加密技术;三重DES 这种方式里，使用三（或两）个不同的密钥对数据块进行三次（或两次）加密（加密一次要比进行普通加密的三次要快）。三重DES的强度大约和112-bit的密钥强度相当。三重DES有四种模型： (a) DES-EEE3，使用三个不同密钥，顺序进行三次加密变换。 (b)DES-EDE3，使用三个不同密钥，依次进行加密-解密-加密变换。 (c)DES-EEE2 其中密钥K1=K3，顺序进行三次加密变换。 (d)DES-EDE2 其中密钥K1=K3，依次进行加密-解密-加密变换。 到目前为止，还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索，那么由于空间太大，这实际上是不可行的。若用差分攻击的方法，相对于单一DES来说复杂性以指数形式增长，要超过1052。 ;RC5 由RSA公司首席科学家Ron Rivest于1994年设计，95年正式公开的一个很实用的加密算法。它是一种分组长（为2倍字长w位）、密钥长（按字节数计）和迭代轮数都可变的一种分组迭代密码。它以RC5-w/r/b表示。Rivest建议使用的标准RC5为RC5-32/12/16。具有特性： (a) 形式简单，易于软件或者硬件，实现运算速度快。 (b) 能适应于不同字长的程序，不同字长派生出相异的算法。 (c) 加密的轮数可变，这个参数用来调整加密速度和安全性的程度。 (d) 密钥长度是可变的，加密强度可调节。 (e) 对记忆度要求不高，使RC5可用于类似Smart Card这类对记忆度有限定的器件。 (f) 具有高保密性（适当选择好参数）。 (g) 对数据实行bit循环移位，增强了抗攻击能力。 RC5自1995年公布以来，尽管至今为止还没有发现实际攻击的有效手段，然而一些理论攻击的文章先后也分析出RC5的一些弱点。;IDEA International Data Encryption Algorithm缩写，1990年由瑞士联邦技术学院来学嘉（X.J.Lai）和Massey提出的建议标准算法，称作PES（Proposed Encryption Standard）。 Lai和Massey在1992 年进行改进，强化抗差分分析的能力，改称为IDEA。它也是对64bit大小的数据块加密的分组加密算法，密钥长度为128位。它基于“相异代数群上的混合运算”设计思想，算法用硬件和软件实现都很容易，它比DES在实现上快得多。;AES算法 1997年4月15日美国国家标准和技术研究所（NIST）发起征集AES