第四章电子商务安全技术.ppt

电子商务安全技术 国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。（信息窃取） 2000年3月6日，中国某家知名的全国性网上连锁商城开业3天惨遭黑客暗算，网站全线瘫痪，页面被修改，数据库也受到了不同程度的攻击，交易数据破坏严重。（黑客攻击） 电子商务安全技术 第一节 电子商务安全概论 一 电子商务安全威胁 客户信息的安全威胁 活动页面 浏览器插件 传输信息的安全威胁 信息的机密性 信息的完整性 交易者身份的真实性 不可抵赖性 系统的可靠性 （一）一般的数据加密模型 （二）常规密钥密码体制 （三）公开密钥密码体制 （四）良好隐私加密算法（PGP） 第二节 信息加密技术 对称密钥密码体系 ?对称密钥密码体系(Symmetric Cryptography)又称单密钥密码体制（One-key System）。即信息交换双方共同约定一个口令或一组密码，建立一个通讯双方共享的密钥。工作原理如下图： ?数据加密标准——DES算法 DES加密过程中的密钥是长度为64位的比特串，其中56位是密钥，8位是奇偶校验位，奇偶校验位分布在位于8，16，24，32，40，48，56，64位置上。56位密钥经过置换选择、循环左移等，每次处理产生一个子密钥，共产生16个子密钥，组合成密钥。 ?优点： 加密、解密速度快，效率高。 ?缺点： 密钥的保存和管理是一大难题； 密钥的安全传送是一大难题； 鉴别发送方和接收方的身份是一大难题。 非对称密钥密码体系 ?非对称密钥密码体系(Asymmetric Cryptography)也称双密钥密码体制（Two-key System）。信息交换一方掌握两个不同的密钥：一个是可以公开的密钥作为加密密钥（常称公钥）；另一个则是秘密保存的作为解密密钥（常称私钥）。工作原理如下图： ?非对称加密算法的特点： 1、用加密密钥PK对明文X加密后，再用解密密 钥SK解密，即可恢复成明文， 写为：SK(PK(X))＝X。 2、加密密钥不能用来解密，即 PK(PK(X))≠X。 3、在计算机上可以容易地产生成对的PK和 SK。 4、从已知的PK实际上不可能推导出SK。 5、加密和解密的运算可以对调， 即PK(SK(X))＝X。 ?数据加密标准——RSA算法 1、选取一个足够大的质数P和Q； 2、计算P和Q相乘所产生的乘积n＝P×Q； 3、找出一个小于n的数e，使其符合与 w＝(P-1)×(Q-1)互为质数； 4、另找一个数d，使其满足(e×d) mod w＝1 （其中mod为相除取余）； 5、(n，e)即为公钥；(n，d)即为私钥； 6、将明文X分组，X＝X1X2…Xr（Xi＝n）； 7、加密：Yi＝Xie (mod n)，得密文 Y＝Y1Y2…Yr。 ?优点： 非对称密钥密码体系安全性能高，使用方便灵活。 ?缺点： 加密、解密速度慢，不适合对大的文件进行加密。 对称与非对称加密体制对比 3、防火墙的功能 隔离内部网络和外部网络 限制内部用户和外部用户的访问权限 保护数据的完整性 保护网络的有效性 保护数据的机密性 4、防火墙的设计准则 （两个逻辑关系） “凡是未被准许的就是禁止的” “凡是未被禁止的就是允许的” 数据包过滤（也称分组过滤）技术是在网络层对数据包中的IP地址过滤。如果防火墙设定某一IP地址不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。 优点——对用户透明，不要求客户机和服务器作任何修改，处理速度快而且易于维护。 缺点——仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接连接，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和允许状态，这可能导致非法访问和攻击。 代理服务技术是针对数据包过滤技术存在的不足而引入的新型防火墙技术。代理服务不像前一种技术在通过验证后内外的计算机直接连接通信，而是在内部与外部的系统之间加一层服务器，用该服务器来做中间代理功能。由于代理访问的中间作用，攻击的也只是代理服务器，而不会是网络内部的系统资源。 双宿网关防火墙 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 为了保证内部网的安全，双宿网关主机具有强大的身份认证系统，可以阻挡来自外部不可信网络的非法登录。 屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部