电子商务常用安全技术.pptx

3.3电子商务常用安全技术,,3.3.1网络的物理隔离,1.在物理传导上使内外网络隔断。 2.在物理辐射上隔断内部网与外部网。 3.在物理存储上隔断两个网络环境。,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,1.VPN (Virtual Private Network) 运用特殊的安全技术在公用网络上建立的如同自己专用网络的安全数据网络。因其并非真正建立在专线基础上，故称VPN。,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,2.基本功能 ⑴加密数据 保证通过公网传输的信息即使被他人截获也不会泄密； ⑵数据验证和身份认证 保证信息的完整性，并能鉴别用户的身份； ⑶提供访问控制 不同的用户有不同的访问权限和安全等级。,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.3.2 虚拟专用网(VPN)技术,3.VPN 基本结构 (1)表面上看像是专用连接，实际上是在共享网络上实现的； (2)采用隧道技术，建立点到点的连接，提供数据分组通过公用网络的专用隧道； (3)来自不同信息源不同网络协议的分组经由不同的隧道在同一体系结构上传输； (4) 隧道技术：将原始分组加密和协议封装后放在另一种协议的数据包中在公用网络中传输。,3.3.3防火墙技术(Firewall),1.防火墙的概念 防火墙是指在需要保护的网络与可能带来安全威胁的互联网或其他网络之间建立的一层保护，实际上是一种隔离技术，防火墙示意图如图3-1所示。,图3-1防火墙示意图,2.防火墙的属性 ⑴双向流通信息必须经过它； ⑵只有被预定的本地安全策略授权的信息流才被允许通过； ⑶该系统本身具有很高的抗攻击能力。 防火墙相当于一个过滤设备，它允许特定的信息流入或流出被保护的网络。,3.3.3防火墙技术(Firewall),3.防火墙的功能 ⑴保护那些易受攻击的服务。 ⑵控制对特殊站点的访问(控制访问)。 一些能被外部网络访问主机(Mail、FTP、WWW服务器)要有权限控制，而有些(数据库服务器)要禁止访问。 ⑶集中化的安全管理。 ⑷对网络访问进行记录和统计(审计)。,3.3.3防火墙技术(Firewall),4.防火墙的两种策略模型 ⑴未被列为允许访问的服务都将被禁止(安全系数高)； ⑵未被列为禁止访问的服务都将被允许。,3.3.3防火墙技术(Firewall),5.防火墙的主要类型 ⑴包过滤型防火墙(Packet Filter) 最简单的防火墙，检查的范围涉及可信网络和互联网之间传输的所有数据(源、目标地址、端口、传输协议等)，并设定规则。,3.3.3防火墙技术(Firewall),⑵应用级型防火墙(Proxy Service) 能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。有应用网关型和代理服务型两种。 ①网关服务器：根据所请求的应用对访问进行过滤的防火墙。如约束Telnet，ftp，http。 ②代理服务器：代表某个专用网络同互联网进行通讯的防火墙。代理请求、接收页面，并进行缓存。,3.3.3防火墙技术(Firewall),6.防火墙的缺陷 一般的防火墙不能防止受到病毒感染的软件或文件的传输。不能防范绕过防火墙的攻击。,3.3.3防火墙技术(Firewall),3.3.4数据加密技术,1.数据加密技术概述 由于对加密技术的研究进而产生了密码学。 密码学主要有两个分支，一个是研究加密技术的，即密码编码学，另一个分支主要研究密码破译技术，即密码分析学。,重点 难点,3.3.4数据加密技术,加密技术指通过使用代码或密码来保障信息数据的安全性。加密包含两个要素：加密算法和密钥。 加密过程可用公式描述： EK(M)=C E表示加密算法，K表示加密密钥， M表示加密前的明文，C表示加密后密文。,重点 难点,2.加密解密过程 密钥分加密密钥和解密密钥。 为了保护数据在传递过程中不被别人窃取或修改，必须用加密密钥对数据进行加密（加密后的数据称为密文），这样，即使别人窃取了数据（密文），由于没有解密密钥而无法将之还原成明文（未经加密的数据），从而保证了数据的安全性，接收方因有正确的解密密钥，因此可以将密文还原成正确的明文。 数据加密的方法有很多，常用的加密方法有对称加密方法和公开密钥方法两大类。,3.3.4数据加密技术,重点 难点,3.对称式密钥密码体制 所谓对称加密，是指使用同一把密钥对信息加密，而对信息解密，同样采用该密钥即可。如果一个加密系统的加密密钥和解密密钥的相同，或者虽不相同，但可以由其中一个推导出另一个，则为对称式密钥密码体制。,3.3.4数据加密技术,重点 难点,3.3.4数据加密技术,重点 难点,4.公开密钥密码体制 公开密钥（Public Key）密码体制出现于1976年。它最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥——公开密钥和私有密钥，因此，这种体制又称为双钥或非对称密钥密码体制。,3.3.4数据加密技术,重点 难点,4.公开密钥密码体制 (1)RSA算法,3.3.4数据加密技术,RSA公开密钥算法的发明人,从左到右为罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）。 RSA是1977年由他们一起提出的。当时他们三人都在麻省理工学院工作。,重点 难点,4.公开密钥密码体制 (1)RSA算法 RSA算法是一种非对称的密码系统。由两个大素数的积经过运算生成两个数对，这两个数对拥有非常可贵的性质，它们相互之间无法在有效的时间内导出对方，以其中的一个数对为密钥对信息进行加密后，只能以另一个数对为密钥对其解密。 这样，可以把其中的一个在网上公开，称为公钥；另一个由自己保留，称为私钥。每个人都有自己的公钥和私钥。,3.3.4数据加密技术,重点 难点,(2)信息保密原理 在发送保密信息时，使用接收者的公钥进行加密，接收者使用自己的私钥即能解密；别人不知道接收者的私钥则无法窃取信息。在对发送者进行确认时，由发送者用自己的私钥对约定的可公开信息进行加密，接收者用发送者的公钥进行解密；由于别人不知道发送者的私钥，无法发出能用其公钥解开的信息，因此发送者无法抵赖。,3.3.4数据加密技术,重点 难点,3.3.5电子商务认证技术,1.数字摘要 数字摘要也称为安全Hash编码法。“摘要”称为信息的“指纹”。用以验证消息是否是原文。数字摘要方法解决了信息的完整性问题。 常见的数字摘要技术有Hash、MD2、MD5等，最常用的是Hash。,重点 难点,数字摘要过程,3.3.5电子商务认证技术,重点 难点,1.数字摘要 Hash函数应该满足的几个条件: (1)对同一数据使用同一Hash函数，其运算结果应该是一样的。 (2)Hash函数应具有运算结果不可预见性，即从源文件的变化不能推导出缩影结果的变化 。 (3)Hash函数具有不可逆性，即不能通过文件缩影反算出源文件的内容。,3.3.5电子商务认证技术,2.数字签名 在进行电子商务之前，必须首先确认两件事情： 确保支付手段和网上传递信息的真实可靠，以及使用支付手段的人是经过授权的合法使用者。这要求建立一种安全机制，能够核实买卖双方、合同等各种信息的真实性，这种交易认证的核心技术就是数字签名。,3.3.5电子商务认证技术,重点 难点,2.数字签名,3.3.5电子商务认证技术,数字签名过程,重点 难点,3.数字信封 数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方自动生成对称密钥，用它加密原文，再利用RSA算法对该密钥进行加密，则被RSA算法加密的密钥部分称为数字信封。数字信封中采用了对称密码体制和公钥密码体制，保证了数据传输的真实性和完整性。,3.3.5电子商务认证技术,重点 难点,数字信封的工作过程,3.3.5电子商务认证技术,重点 难点,4.数字时间戳 数字时间戳（DTS）技术就是数字签名技术的一种变种 。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。 数字时间戳服务是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。,3.3.5电子商务认证技术,重点 难点,4.数字时间戳 时间戳是一个经加密后形成的凭证文档，包括三个部分： ⑴需加时间戳的文件的摘要； ⑵DTS收到文件的日期和时间； ⑶DTS的数字签名。,3.3.5电子商务认证技术,重点 难点,5.数字证书 数字证书也称数字凭证、数字标识，它含有证书持有者的有关信息，以标识其身份。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA认证中心签发的证书。,3.3.5电子商务认证技术,重点 难点,5.数字证书 (1)数字证书的内部格式 内部格式由CCITT X.509国际标准所规定，包括证书内的数据和发布证书CA的签名两部分。,3.3.5电子商务认证技术,重点 难点,证书内的数据包括以下信息： ①版本号； ②凭证拥有者的姓名； ③证书序列号； ④CA使用的签名算法； ⑤发布证书CA的唯一名称； ⑥证书的有效期限； ⑦认证目标的唯一名称； ⑧凭证拥有者的公钥的信息。,3.3.5电子商务认证技术,重点 难点,5.数字证书 (2)数字证书的类型 ①个人数字证书 ②企业(服务器)证书 ③软件(开发者)证书,3.3.5电子商务认证技术,重点 难点,5.数字证书 (3)认证中心CA 认证中心，它是采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的部门，如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。,3.3.5电子商务认证技术,重点 难点,CA层次结构,,3.3.5电子商务认证技术,重点 难点·,《再见！》,