第10章电子商务安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Hash签名是最主要的数字签名方法。它的主要 方式是,报文的发送方从明文文件中生成一个128比特 的散列值(数字摘要)。发送方用自己的私钥对这个散 列值进行加密来形成发送方的数字签名。然后该数字签 名将作为附件和报文一起发送给接收方。报文的接收方 首先从接收到的原始报文中计算出128比特的散列值( 数字摘要),接着用发送方的公钥来对报文附加的数字 签名解密。
(P-1)×(Q -1)互为质数; ④ 另找一个数d,使其满足(e×d)MOD[(P-1)×(Q-l) ]=1其中MOD(模)为相除取余;(n,e)即为公钥;(n,d)为 私钥。 加密和解密的运算方式为:明文M=Cd(MOD n);
密文C=M e(MOD n )
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
数字签名应该确定以下两点:
采用数字签名,应该确定以下两点 :
– 保证信息是由签名者自己签名发送的 ,签名者不能否认或难以否认。 – 保证信息自签发后到收到止未作任何 改动,签发的文件是真实文件。
论2》020/高10/等11教育出版社 2003版
10.3.2 防火墙
➢网络管理员将堡垒主机 ,信息服务器,Modem组 ,以及其它公用服务器放 在“非军事区”网络中。
论2》020/高10/等11教育出版社 2003版
3、防火墙的安全策略及局限性
1.防火墙的安全策略
– “凡是未被准许的就是禁止的” – “凡是未被禁止的就是允许的”
2.防火墙的局限性
– 不能阻止来自内部的破坏 – 不能保护绕过它的连接 – 无法安全防止新出现的网络威胁 – 不能防止病毒
在线服务:用企业提供的内部网来提供 联机服务。
论2》020/高10/等11教育出版社 2003版
10.3.1 数字加密技术
为了保证信息在网上传输过程中不被篡改,必须
对所发送的信息进行加密。
例如:将字母a,b,c,d,e,… x,y,z的自然 顺序保持不变,但使之与D,E,F,G,H,…,Y ,Z,A,B分别对应(即相差3个字符)。若明文为 and,则对应密文为DQG。(接收方知其密码为3,
2、 防火墙的类型
论2》020/高10/等11教育出版社 2003版
包过滤型防火墙
Internet 过滤路由器 内部网络
➢包过滤型防火墙往往可 以用一台过滤路由器来实 现,对所接收的每个数据 包做允许或拒绝的决定。
➢包过滤路由器型防火墙 的优点: 处理包的速度要 比代理服务器快;
➢包过滤路由器型防火墙 的缺点:防火墙的维护比 较困难等。
它就能解开此密文)。
论2》020/高10/等11教育出版社 2003版
1 对称密钥密码体系
对称密钥密码体系(Symmetric Cryptography)又
称对称密钥技术。
对称密钥密码体系的优点是加密、解密速度很
快(高效),但缺点也很明显:密钥难于共享,需太 多密钥。
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
CNNIC调查结果(2003年1月)
是:
23.4% 10.8% 39.3% 8.6%
6.4%
用户认为目前网上交易存在的最大问题
安全性得不到保障:
付款不方便:
产品质量、售后服务及厂商信用得不到保障:
送货不及时:
价格不够诱人: 网上提供的信息不可靠:
10.8%
论2》020/高10/等11教育出版社 2003版
双宿网关防火墙
Internet
NIC
代理 服务器
NIC
内部网络
➢双宿网关是一种拥有两个 连接到不同网络上的网络 接口的防火墙。两个网络 之间的通信可通过应用层 数据共享或应用层代理服 务来完成。
➢为了保证内部网的安全, 双重宿主主机应具有强大 的身份认证系统,才可以 阻挡来自外部不可信网络 的非法登录。
第10章电子商务安全技术
论2》020/高10/等11教育出版社 2003版
案例
•国外
– 2000年2月7日-9日,Yahoo, ebay, Amazon 等著名网站被黑客攻击,直接和 间接损失10亿美元。
•国内
– 2000年春天,有人利用普通的技术, 从电子商务网站窃取到8万个信用卡号和 密码,标价26万元出售。
论2》020/高10/等11教育出版社 2003版
4. 数字信封
“数字信封”(也称电子信封)技术。 具体操作方法是:每当发信方需要发送信息时首先
生成一个对称密钥,用这个对称密钥加密所需发送的报 文;然后用收信方的公开密钥加密这个对称密钥,连同 加密了的报文一同传输到收信方。收信方首先使用自己 的私有密钥解密被加密的对称密钥,再用该对称密钥解 密出真正的报文。
论2》020/高10/等11教育出版社 2003版
Leabharlann Baidu
屏蔽子网防火墙
Internet
外部 过滤路由器
堡垒主机
内部 过滤路由器
内部网络
➢ 屏蔽子网防火墙系统用 了两个包过滤路由器和一 个堡垒主机。 这个防火墙
系统建立的是最安全的防 火墙系统,因为在定义了“ 非军事区”网络后,它支持 网络层和应用层安全功能 。
论2》020/高10/等11教育出版社 2003版
屏蔽主机防火墙
Internet
过滤路由器 堡垒主机
内部网络
➢屏蔽主机防火墙强迫所 有的外部主机与一个堡垒 主机相连接,而不让它们 直接与内部主机相连。
➢屏蔽主机防火墙包过滤 路由器和堡垒主机组成。 这个防火墙系统提供的安 全等级比包过滤防火墙系 统要高,因为它实现了网 络层安全(包过滤)和应 用层安全(代理服务)。
对称加密和解密的示范
以一个简单实例来看看加密和解密的过程。一个
简单的加密方法是把英文字母按字母表的顺序编号作
为明文,将密钥定为17,加密算法为将明文加上密钥
字17,A 就得B 到C一个…密码Z 表。空 , . / : ?
母一个简单的密码表
格
明 01 02 03 … 26 27 28 29 30 31 32
学习内容
•电子商务安全隐患 •电子商务安全体系 •电子商务安全技术 •数字证书及其应用 •电子商务安全法律与制度
论2》020/高10/等11教育出版社 2003版
10.1 电子商务安全隐患与类型
10.1.1 安全隐患
– 系统中断 破坏系统的有效性
– 窃听信息 破坏系统的机密性
– 篡改信息 破坏系统的完整性
论2》020/高10/等11教育出版社 2003版
四、五层:硬件系统的保护和物理实体的安全
对自然灾害防范:防火、防水、
防地震。如:建立备份中心;
防范计算机设备被盗:固定件、
添加锁、设置警铃、购置柜机、系统外 人员不得入内等;
尽量减少对硬件的损害:不间断
电源、消除静电、系统接地等.
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
RSA算法
1977年麻省理工学院的三位教授(Rivest、Shamir和 Adleman)发明了 RSA公开密钥密码系统。在此系统中有一对密码 ,给别人用的就叫公钥,给自己用的就叫私钥。用公钥加密后的密 文,只有私钥能解。RSA的算法如下: ① 选取两个足够大的质数P和Q ; ② 计算P和Q相乘所产生的乘积n = P×Q; ③ 找出一个小于n的数e ,使其符合与
RSA算法
假定P =3,Q =11,则n = P×Q =33,选择 e =3,因为3和20没有公共因 子。(3×d)MOD(20)=1,得出d=7。从而得到(33,3)为公钥;( 33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为 将密文C 的7次方模33得到明文。下表显示了非对称加密和解密的过程。
论2》020/高10/等11教育出版社 2003版
10.3 电子商务安全技术
•信息加密 •数字签名 •数字证书 •安全协议 •防火墙 •防病毒软件
论2》020/高10/等11教育出版社 2003版
早期曾采用过的方法
部分告之:在网上交易中将最关键的数 据略去,再告之。
另行确认:交易后,用电子邮件对交易 进行确认。
明文 M
字母 序号
A
01
E
05
N
14
S
19
Z 125261
M3 1 125 2744 6859 17576
密文 C M3(MOD 33)
01 26 05 28 20
C7 1 8031810176 78125 13492928512 128000000
解密 C7(MOD 33)
01 05 14 19 26
文
密 18 19 20 … 43 44 45 46 47 48 49 文
论2》020/高10/等11教育出版社 2003版
2. 非对称密钥密码体系
非对称密钥密码体系(Asymmetric
Cryptography)也称公开密钥技术。 非对称密钥技术的优点是:易于实现,使用灵 活,密钥较少。 弱点在于要取得较好的加密效果和强度,必须 使用较长的密钥。
论2》020/高10/等11教育出版社 2003版
10.3.3 电子商务安全协议
要保证交易过程中数据来源可靠、传 输安全、不被篡改并且能为交易各方的行为 提供无或抵赖的证据,当前成熟的做法是: 通过数字证书和安全检查技术解决各方身份 的交叉确认;通过数字签名技术验证数据的 完整性、来源的可靠性,并为交易各方行为 提供不可抵赖的证据;通过加密技术确保数 据在传递过程中的保密性。
字母 A E N S Z
论2》020/高10/等11教育出版社 2003版
RSA算法
非对称加密有若干优点:在多人之间进行保密信息传输所需的密 钥组合数量很小;公钥没有特殊的发布要求,可以在网上公开;可实 现数字签名。
论2》020/高10/等11教育出版社 2003版
3. 数字签名技术
数字签名(Digital Signature)技术是将摘要用 发送者的私钥加密,与原文一起传送给接收者。接收者 只有用发送者的公钥才能解密被加密的摘要。数字签名 主要有3种应用广泛的方法:RSA签名、DSS签名和 Hash签名。
论2》020/高10/等11教育出版社 2003版
学习目标
•了解电子商务面临的主要安全威胁 •了解电子商务对安全的基本要求 •熟悉电子商务常用的安全技术 •掌握防火墙的功能和工作原理 •了解电子商务常用的加密技术 •了解电子商务的认证体系 •掌握SSL和SET的流程和工作原理
论2》020/高10/等11教育出版社 2003版
1、防火墙(firewal1)的概念
是指一个由软件或和硬件设备组合而 成,是加强因特网与内部网之间安全防范的 一个或一组系统。它具有限制外界用户对内 部网络访问及管理内部用户访问外界网络的 权限。它可以确定哪些内部服务允许外部访 问,哪些外部服务可由内部人员访问,即它 能控制网络内外的信息交流,提供接入控制 和审查跟踪,是一种访问控制机制。
(六、七层 管理制度与法律制度的保障
管理制度的建立与实施 – 包括运行与维护的管理规范、系统保密管理 的规章制度、安全管理人员的教育培训、制度的 落实、职责的检查等方面内容。
法律制度与道德规范 – 要求国家制定出严密的法律、政策,规范和 制约人们的思想和行为,将信息系统纳入规范化 、法制化和科学化的轨道。有关的条例有:《中 华人民共和国计算机信息系统安全保护条例》 、 《计算机信息系统保密管理暂行规定》等。
– 伪造信息 破坏系统的真实性
– 对交易行为进行抵赖 要求系统具备审查能力
1–0.1.2
类型
物理安全问题
– 网络安全问题
– 数据的安全性
– 对交易不同方表现的不同安全问题
论2》020/高10/等11教育出版社 2003版
10.1.3 电子安全交易的基本要求
•授权合法性 •信息的保密性 •信息的完整性 •交易者身份的真实性 •不可抵赖性 •系统的可靠性
论2》020/高10/等11教育出版社 2003版
10.2 电子商务安全体系
•技术保障 •法律控制 •社会道德规范 •完善的管理政策、制度
论2》020/高10/等11教育出版社 2003版
信息系统安全层次模型
论2》020/高10/等11教育出版社 2003版
一、二、三层:信息、软件、网络安全
( 这三层是计算机信息系统安全的关键。包括: 数据的加密解密(加密解密算法、密钥管理) 操作系统、应用软件的安全(用户注册、用户权限( 如:查询权限、录入权限、分析权限、管理权限)管理) 数据库安全(访问控制、数据备份与管理、数据恢复 ) 数据的完整性 网络安全(对网络传输信息进行数据加密、认证、数 字签名、访问控制、网络地址翻译、防毒杀毒方案等) 病毒防范(硬件防范、软件防范、管理方面的防范)
(P-1)×(Q -1)互为质数; ④ 另找一个数d,使其满足(e×d)MOD[(P-1)×(Q-l) ]=1其中MOD(模)为相除取余;(n,e)即为公钥;(n,d)为 私钥。 加密和解密的运算方式为:明文M=Cd(MOD n);
密文C=M e(MOD n )
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
数字签名应该确定以下两点:
采用数字签名,应该确定以下两点 :
– 保证信息是由签名者自己签名发送的 ,签名者不能否认或难以否认。 – 保证信息自签发后到收到止未作任何 改动,签发的文件是真实文件。
论2》020/高10/等11教育出版社 2003版
10.3.2 防火墙
➢网络管理员将堡垒主机 ,信息服务器,Modem组 ,以及其它公用服务器放 在“非军事区”网络中。
论2》020/高10/等11教育出版社 2003版
3、防火墙的安全策略及局限性
1.防火墙的安全策略
– “凡是未被准许的就是禁止的” – “凡是未被禁止的就是允许的”
2.防火墙的局限性
– 不能阻止来自内部的破坏 – 不能保护绕过它的连接 – 无法安全防止新出现的网络威胁 – 不能防止病毒
在线服务:用企业提供的内部网来提供 联机服务。
论2》020/高10/等11教育出版社 2003版
10.3.1 数字加密技术
为了保证信息在网上传输过程中不被篡改,必须
对所发送的信息进行加密。
例如:将字母a,b,c,d,e,… x,y,z的自然 顺序保持不变,但使之与D,E,F,G,H,…,Y ,Z,A,B分别对应(即相差3个字符)。若明文为 and,则对应密文为DQG。(接收方知其密码为3,
2、 防火墙的类型
论2》020/高10/等11教育出版社 2003版
包过滤型防火墙
Internet 过滤路由器 内部网络
➢包过滤型防火墙往往可 以用一台过滤路由器来实 现,对所接收的每个数据 包做允许或拒绝的决定。
➢包过滤路由器型防火墙 的优点: 处理包的速度要 比代理服务器快;
➢包过滤路由器型防火墙 的缺点:防火墙的维护比 较困难等。
它就能解开此密文)。
论2》020/高10/等11教育出版社 2003版
1 对称密钥密码体系
对称密钥密码体系(Symmetric Cryptography)又
称对称密钥技术。
对称密钥密码体系的优点是加密、解密速度很
快(高效),但缺点也很明显:密钥难于共享,需太 多密钥。
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
CNNIC调查结果(2003年1月)
是:
23.4% 10.8% 39.3% 8.6%
6.4%
用户认为目前网上交易存在的最大问题
安全性得不到保障:
付款不方便:
产品质量、售后服务及厂商信用得不到保障:
送货不及时:
价格不够诱人: 网上提供的信息不可靠:
10.8%
论2》020/高10/等11教育出版社 2003版
双宿网关防火墙
Internet
NIC
代理 服务器
NIC
内部网络
➢双宿网关是一种拥有两个 连接到不同网络上的网络 接口的防火墙。两个网络 之间的通信可通过应用层 数据共享或应用层代理服 务来完成。
➢为了保证内部网的安全, 双重宿主主机应具有强大 的身份认证系统,才可以 阻挡来自外部不可信网络 的非法登录。
第10章电子商务安全技术
论2》020/高10/等11教育出版社 2003版
案例
•国外
– 2000年2月7日-9日,Yahoo, ebay, Amazon 等著名网站被黑客攻击,直接和 间接损失10亿美元。
•国内
– 2000年春天,有人利用普通的技术, 从电子商务网站窃取到8万个信用卡号和 密码,标价26万元出售。
论2》020/高10/等11教育出版社 2003版
4. 数字信封
“数字信封”(也称电子信封)技术。 具体操作方法是:每当发信方需要发送信息时首先
生成一个对称密钥,用这个对称密钥加密所需发送的报 文;然后用收信方的公开密钥加密这个对称密钥,连同 加密了的报文一同传输到收信方。收信方首先使用自己 的私有密钥解密被加密的对称密钥,再用该对称密钥解 密出真正的报文。
论2》020/高10/等11教育出版社 2003版
Leabharlann Baidu
屏蔽子网防火墙
Internet
外部 过滤路由器
堡垒主机
内部 过滤路由器
内部网络
➢ 屏蔽子网防火墙系统用 了两个包过滤路由器和一 个堡垒主机。 这个防火墙
系统建立的是最安全的防 火墙系统,因为在定义了“ 非军事区”网络后,它支持 网络层和应用层安全功能 。
论2》020/高10/等11教育出版社 2003版
屏蔽主机防火墙
Internet
过滤路由器 堡垒主机
内部网络
➢屏蔽主机防火墙强迫所 有的外部主机与一个堡垒 主机相连接,而不让它们 直接与内部主机相连。
➢屏蔽主机防火墙包过滤 路由器和堡垒主机组成。 这个防火墙系统提供的安 全等级比包过滤防火墙系 统要高,因为它实现了网 络层安全(包过滤)和应 用层安全(代理服务)。
对称加密和解密的示范
以一个简单实例来看看加密和解密的过程。一个
简单的加密方法是把英文字母按字母表的顺序编号作
为明文,将密钥定为17,加密算法为将明文加上密钥
字17,A 就得B 到C一个…密码Z 表。空 , . / : ?
母一个简单的密码表
格
明 01 02 03 … 26 27 28 29 30 31 32
学习内容
•电子商务安全隐患 •电子商务安全体系 •电子商务安全技术 •数字证书及其应用 •电子商务安全法律与制度
论2》020/高10/等11教育出版社 2003版
10.1 电子商务安全隐患与类型
10.1.1 安全隐患
– 系统中断 破坏系统的有效性
– 窃听信息 破坏系统的机密性
– 篡改信息 破坏系统的完整性
论2》020/高10/等11教育出版社 2003版
四、五层:硬件系统的保护和物理实体的安全
对自然灾害防范:防火、防水、
防地震。如:建立备份中心;
防范计算机设备被盗:固定件、
添加锁、设置警铃、购置柜机、系统外 人员不得入内等;
尽量减少对硬件的损害:不间断
电源、消除静电、系统接地等.
论2》020/高10/等11教育出版社 2003版
论2》020/高10/等11教育出版社 2003版
RSA算法
1977年麻省理工学院的三位教授(Rivest、Shamir和 Adleman)发明了 RSA公开密钥密码系统。在此系统中有一对密码 ,给别人用的就叫公钥,给自己用的就叫私钥。用公钥加密后的密 文,只有私钥能解。RSA的算法如下: ① 选取两个足够大的质数P和Q ; ② 计算P和Q相乘所产生的乘积n = P×Q; ③ 找出一个小于n的数e ,使其符合与
RSA算法
假定P =3,Q =11,则n = P×Q =33,选择 e =3,因为3和20没有公共因 子。(3×d)MOD(20)=1,得出d=7。从而得到(33,3)为公钥;( 33,7)为私钥。加密过程为将明文M的3次方模33得到密文C,解密过程为 将密文C 的7次方模33得到明文。下表显示了非对称加密和解密的过程。
论2》020/高10/等11教育出版社 2003版
10.3 电子商务安全技术
•信息加密 •数字签名 •数字证书 •安全协议 •防火墙 •防病毒软件
论2》020/高10/等11教育出版社 2003版
早期曾采用过的方法
部分告之:在网上交易中将最关键的数 据略去,再告之。
另行确认:交易后,用电子邮件对交易 进行确认。
明文 M
字母 序号
A
01
E
05
N
14
S
19
Z 125261
M3 1 125 2744 6859 17576
密文 C M3(MOD 33)
01 26 05 28 20
C7 1 8031810176 78125 13492928512 128000000
解密 C7(MOD 33)
01 05 14 19 26
文
密 18 19 20 … 43 44 45 46 47 48 49 文
论2》020/高10/等11教育出版社 2003版
2. 非对称密钥密码体系
非对称密钥密码体系(Asymmetric
Cryptography)也称公开密钥技术。 非对称密钥技术的优点是:易于实现,使用灵 活,密钥较少。 弱点在于要取得较好的加密效果和强度,必须 使用较长的密钥。
论2》020/高10/等11教育出版社 2003版
10.3.3 电子商务安全协议
要保证交易过程中数据来源可靠、传 输安全、不被篡改并且能为交易各方的行为 提供无或抵赖的证据,当前成熟的做法是: 通过数字证书和安全检查技术解决各方身份 的交叉确认;通过数字签名技术验证数据的 完整性、来源的可靠性,并为交易各方行为 提供不可抵赖的证据;通过加密技术确保数 据在传递过程中的保密性。
字母 A E N S Z
论2》020/高10/等11教育出版社 2003版
RSA算法
非对称加密有若干优点:在多人之间进行保密信息传输所需的密 钥组合数量很小;公钥没有特殊的发布要求,可以在网上公开;可实 现数字签名。
论2》020/高10/等11教育出版社 2003版
3. 数字签名技术
数字签名(Digital Signature)技术是将摘要用 发送者的私钥加密,与原文一起传送给接收者。接收者 只有用发送者的公钥才能解密被加密的摘要。数字签名 主要有3种应用广泛的方法:RSA签名、DSS签名和 Hash签名。
论2》020/高10/等11教育出版社 2003版
学习目标
•了解电子商务面临的主要安全威胁 •了解电子商务对安全的基本要求 •熟悉电子商务常用的安全技术 •掌握防火墙的功能和工作原理 •了解电子商务常用的加密技术 •了解电子商务的认证体系 •掌握SSL和SET的流程和工作原理
论2》020/高10/等11教育出版社 2003版
1、防火墙(firewal1)的概念
是指一个由软件或和硬件设备组合而 成,是加强因特网与内部网之间安全防范的 一个或一组系统。它具有限制外界用户对内 部网络访问及管理内部用户访问外界网络的 权限。它可以确定哪些内部服务允许外部访 问,哪些外部服务可由内部人员访问,即它 能控制网络内外的信息交流,提供接入控制 和审查跟踪,是一种访问控制机制。
(六、七层 管理制度与法律制度的保障
管理制度的建立与实施 – 包括运行与维护的管理规范、系统保密管理 的规章制度、安全管理人员的教育培训、制度的 落实、职责的检查等方面内容。
法律制度与道德规范 – 要求国家制定出严密的法律、政策,规范和 制约人们的思想和行为,将信息系统纳入规范化 、法制化和科学化的轨道。有关的条例有:《中 华人民共和国计算机信息系统安全保护条例》 、 《计算机信息系统保密管理暂行规定》等。
– 伪造信息 破坏系统的真实性
– 对交易行为进行抵赖 要求系统具备审查能力
1–0.1.2
类型
物理安全问题
– 网络安全问题
– 数据的安全性
– 对交易不同方表现的不同安全问题
论2》020/高10/等11教育出版社 2003版
10.1.3 电子安全交易的基本要求
•授权合法性 •信息的保密性 •信息的完整性 •交易者身份的真实性 •不可抵赖性 •系统的可靠性
论2》020/高10/等11教育出版社 2003版
10.2 电子商务安全体系
•技术保障 •法律控制 •社会道德规范 •完善的管理政策、制度
论2》020/高10/等11教育出版社 2003版
信息系统安全层次模型
论2》020/高10/等11教育出版社 2003版
一、二、三层:信息、软件、网络安全
( 这三层是计算机信息系统安全的关键。包括: 数据的加密解密(加密解密算法、密钥管理) 操作系统、应用软件的安全(用户注册、用户权限( 如:查询权限、录入权限、分析权限、管理权限)管理) 数据库安全(访问控制、数据备份与管理、数据恢复 ) 数据的完整性 网络安全(对网络传输信息进行数据加密、认证、数 字签名、访问控制、网络地址翻译、防毒杀毒方案等) 病毒防范(硬件防范、软件防范、管理方面的防范)