1、电子商务的安全问题电子商务的安全问题电子商务的安全问题电子商务的安全问题是电子商务系统的首是电子商务系统的首要问题要问题案例案例l国外国外2000年年2月月7日日9日,日,Yahoo, ebay, Amazon 等著等著名网站被黑客攻击,直接和间接损失名网站被黑客攻击,直接和间接损失10亿美元。亿美元。l国内国内2000年春天,有人利用普通的技术,从电子商务网年春天,有人利用普通的技术,从电子商务网站窃取到站窃取到8万个信用卡号和密码,标价万个信用卡号和密码,标价26万元出售。万元出售。CNNIC调查结果调查结果(2006年年7月)月)l用户对互联网的满意度用户对互联网的满意度Internet
2、先天性安全漏洞先天性安全漏洞l在进行通信时,在进行通信时,Internet用户的数据被拆成一个用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。个数据包,然后经过若干结点辗转传递到终点。l但是但是TCP/IP在传递数据包时,并未对其加密。在传递数据包时,并未对其加密。在数据包所经过的每个结点上,都可直接获取在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储。这些数据包,并可分析、存储。电子商务所面临的安全问题电子商务所面临的安全问题l信息在网络传输过程中被窃听信息在网络传输过程中被窃听最简易的窃听方式是将计算机连入网络,利用专门的最简易的窃听方式是将计算机连入网络,
3、利用专门的工具软件对在网络上传输的数据包进行分析。进行窃工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器,特别是位于关卡处听的最佳位置是网络中的路由器,特别是位于关卡处的路由器的路由器, ,它们是数据包的集散地,在该处安装一个它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。窃听程序,可以轻易获取很多秘密。电子商务所面临的安全问题电子商务所面临的安全问题可被窃听的位置至少包括:可被窃听的位置至少包括:l网络中的各个计算机网络中的各个计算机l数据包在数据包在Internet上途经的每一路由器上途经的每一路由器l网络网络中的计算机中的计算机电子商务所面临
4、的安全问题电子商务所面临的安全问题l信息在传输过程中被窃取信息在传输过程中被窃取这种入侵方式一般出现在使用支持信任机制的网这种入侵方式一般出现在使用支持信任机制的网络中。通常,用户只需拥有合法帐号即可通过认络中。通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息另一方连网,以窃取信息电子商务所面临的安全问题电子商务所面临的安全问题若入侵者欲用主机若入侵者欲用主机A A入侵主机入侵主机B B,其步骤大致如下:,其步骤大致如下:l确定要入侵的主机确定要入侵的主机B Bl确定主机确定主机B B所信任的主机所信
5、任的主机A Al利用主机利用主机X X在短时间内发送大量的数据包给在短时间内发送大量的数据包给A A,使之穷于应付,使之穷于应付l利用主机利用主机X X向向B B发送源地址为发送源地址为A A的数据包的数据包电子商务所面临的安全问题电子商务所面临的安全问题l网络会话被劫夺网络会话被劫夺会话劫夺指入侵者首先在网络上窥探现有的会话,发会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息并顶替被截断方继续与另一方进行连接,以窃取信息会话劫夺不像窃取那样容易防范。对于由外
6、部网络入会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径,可用防火墙切断,但对于内、外侵内部网络的途径,可用防火墙切断,但对于内、外部网络之间的会话,除了采用数据加密手段外,没有部网络之间的会话,除了采用数据加密手段外,没有其他方法可保证绝对安全其他方法可保证绝对安全电子商务所面临的安全问题电子商务所面临的安全问题当主机当主机A A正与主机正与主机B B进行会话时,进行会话时,X X切入会话,并假冒切入会话,并假冒B B的名义发送数据包给的名义发送数据包给A A,通知其中断会话,然后,通知其中断会话,然后X X顶替顶替A A继续与继续与B B进行会话进行会话电子商务所面临的安全问
7、题电子商务所面临的安全问题l伪造网站和用户伪造网站和用户伪造中国银行网站伪造中国银行网站l假冒他人身份假冒他人身份盗用密码盗用密码l不承认或抵赖已经做过的交易不承认或抵赖已经做过的交易防止相互猜疑、防止交易抵赖防止相互猜疑、防止交易抵赖l计算机病毒与恶意攻击计算机病毒与恶意攻击网络传输的可靠性网络传输的可靠性病毒与恶意攻击病毒与恶意攻击电子商务常用安全技术电子商务常用安全技术l加密技术加密技术基本概念基本概念l信息加密技术信息加密技术明文明文加密器E解密器D密钥发生器密文信道电子商务常用安全技术电子商务常用安全技术l密码体制分类密码体制分类非对称密钥加密体制非对称密钥加密体制对称密钥加密体制对
8、称密钥加密体制电子商务常用安全技术电子商务常用安全技术l对称加密体制对称加密体制什么是对称加密什么是对称加密l加密和解密密钥相同或本质上相同加密和解密密钥相同或本质上相同 加密 发送方 原文 密文 解密 接收方 密文 原文 Internet 相同密钥 电子商务常用安全技术电子商务常用安全技术对称加密体制的优点对称加密体制的优点l加密速度快加密速度快对称加密体制存在的问题对称加密体制存在的问题l密钥需要经常更换密钥需要经常更换l密钥在传递中可能泄漏密钥在传递中可能泄漏l密钥只能一对一密钥只能一对一l面对多用户,需要多对多,密钥管理困难面对多用户,需要多对多,密钥管理困难l互不相识的人不能进行保密
9、对话互不相识的人不能进行保密对话l不能解决数字签名问题不能解决数字签名问题电子商务常用安全技术电子商务常用安全技术l非对称加密体制非对称加密体制什么是非对称加密什么是非对称加密l非对称加密算法需要两个密钥:公开密钥(非对称加密算法需要两个密钥:公开密钥(public key)和私有密)和私有密钥(钥(private key)。公开密钥与私有密钥是一对,如果用公开密)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密密钥对数据进行加密,那么
10、只有用对应的公开密钥才能解密 Internet 接收方公钥加密 发送方 接收方私钥解密 接收方 原文 密文 密文 原文 电子商务常用安全技术电子商务常用安全技术非对称加密的优点非对称加密的优点l密钥分配简单密钥分配简单l密钥保存量少密钥保存量少l可以满足互不相识的人保密对话可以满足互不相识的人保密对话l可以实现数字签名可以实现数字签名非对称加密的缺点非对称加密的缺点l算法复杂,计算速度慢算法复杂,计算速度慢l它不适合于对文件加密而只适用于对少量数据进行加密它不适合于对文件加密而只适用于对少量数据进行加密 电子商务常用安全技术电子商务常用安全技术互不相识的人保密对话互不相识的人保密对话明文DAE
11、BDBEA明文Internet认证A私钥加密B公钥加密B私钥解密A公钥解密电子商务常用安全技术电子商务常用安全技术l数字摘要数字摘要数字摘要加密方法亦称安全数字摘要加密方法亦称安全Hash编码法编码法(SHA:Secure Hash Algorithm)或)或MD5(MD Standards for Message Digest),由),由Ron Rivest所设计。该编码法采用单向所设计。该编码法采用单向Hash函数将需加密的明函数将需加密的明文文“摘要摘要”成一串成一串128bit的密文,这一串密文亦称为的密文,这一串密文亦称为数字指纹(数字指纹(Finger Print),它有固定的长度
12、,且不),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明明文其摘要必定一致。这样这串摘要便可成为验证明文是否是文是否是“真身真身”的的“指纹指纹”了了 电子商务常用安全技术电子商务常用安全技术数字摘要的原理数字摘要的原理 Internet Hash 函数加密 发送方 接收方 原文 摘要 摘要 原文 摘要 Hash 函 数加密 对比 电子商务常用安全技术电子商务常用安全技术l王小云教授的杰出工作王小云教授的杰出工作王小云教授发现,可以很快的找到王小云教授发现,可以很快的找到MD5的的“
13、碰撞碰撞”,就是两个不同文件可以产生相同的就是两个不同文件可以产生相同的“指纹指纹”。这意味。这意味着,当你在网络上使用电子签名签署一份合同后,还着,当你在网络上使用电子签名签署一份合同后,还可能找到另外一份具有相同签名但内容迥异的合同,可能找到另外一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别。这样两份合同的真伪性便无从辨别。 电子商务常用安全技术电子商务常用安全技术l数字签名数字签名什么是数字签名什么是数字签名l数字签名是指发送者根据消息产生摘要,并对摘要用自身的数字签名是指发送者根据消息产生摘要,并对摘要用自身的私钥加密。消息和用自身私钥加密的数字摘要组合成数字签私钥加
14、密。消息和用自身私钥加密的数字摘要组合成数字签名名 数字签名的作用数字签名的作用l接受者能够核实发送者对报文的签名接受者能够核实发送者对报文的签名l发送者事后不能抵赖对报文的签名发送者事后不能抵赖对报文的签名l接受者不能伪造对报文的签名接受者不能伪造对报文的签名如何实现数字签名如何实现数字签名l使用数字摘要和非对称加密技术使用数字摘要和非对称加密技术电子商务常用安全技术电子商务常用安全技术数字签名的原理数字签名的原理Hash 函数加密 发送者私钥加密 发送方 发送者公钥解密 Hash 函数加密 接收方 原 文 摘要 签名 签名 摘要 原 文 摘要 对比 Internet 电子商务常用安全技术电
15、子商务常用安全技术l双重数字签名双重数字签名假设持卡人假设持卡人C C(customercustomer)从商家)从商家M M(merchantmerchant)购买商品,他不希望商家看到他的信用卡信息,购买商品,他不希望商家看到他的信用卡信息,也不希望银行也不希望银行B B(bankbank)看到他有关商品的信息,)看到他有关商品的信息,于是他采用双重数字签名,流程说明如下:于是他采用双重数字签名,流程说明如下:电子商务常用安全技术电子商务常用安全技术l首先首先C产生发往产生发往M的订购信息的订购信息OI和发往和发往B的支付指令的支付指令PI,并分别产,并分别产生生OI与与PI的摘要的摘要H
16、(OI)和)和H(PI)。其中摘要由一个单向)。其中摘要由一个单向HASH函数作用于消息产生,它是一个唯一对应此消息的值,其它任何消函数作用于消息产生,它是一个唯一对应此消息的值,其它任何消息用息用HASH函数作用都不能产生此值,因此用消息摘要可以检查消函数作用都不能产生此值,因此用消息摘要可以检查消息在中途是否被篡改。息在中途是否被篡改。l连接连接H(OI)和)和H(PI)得到)得到OP,再生成,再生成OP的摘要的摘要H(OP),用),用C的的RSA私钥签名私钥签名H(OP),得),得signH(OP),称为双重数字签,称为双重数字签名。名。C将消息将消息OI,H(PI),),signH(O
17、P)发给发给M,将,将PI,H(OI),),signH(OP)发给发给B。l在验证双重数字签名时,接受者分别创建消息摘要,在验证双重数字签名时,接受者分别创建消息摘要,M生成生成H(OI),),B生成生成H(PI),再分别将),再分别将H(OI)/H(PI)与另一接受)与另一接受到的摘要到的摘要H(PI)/H(OI)连接,生成)连接,生成OP及其摘要及其摘要H(OP),接受者接受者M/B用用C的的RSA公钥解开公钥解开signH(OP),得到,得到H(OP),),比较比较H(OP)与与H(OP)是否相同,如果相同,则表示数据完)是否相同,如果相同,则表示数据完整且未被篡改,如果不同,则丢弃数据
18、。整且未被篡改,如果不同,则丢弃数据。 作业电子商务常用安全技术电子商务常用安全技术l数字信封数字信封数字信封是用加密技术来保证只有规定的收信人才能数字信封是用加密技术来保证只有规定的收信人才能阅读信的内容阅读信的内容接收方公钥加密 加密 发送方 接收方私钥解密 解密 接收方 对称密钥 数字信封 密文 数字信封 密文 原文 原文 对称密钥 Internet 电子商务常用安全技术电子商务常用安全技术l数字时间戳数字时间戳数字时间戳的内容数字时间戳的内容l数字时间戳(数字时间戳(time-stamp)是一个经加密后形成的凭证文)是一个经加密后形成的凭证文档,它包括三个部分内容:档,它包括三个部分内
19、容:需加时间戳的文件的摘要(需加时间戳的文件的摘要(digest)DTS(DTS:digital time-stamp service)收到文件的日期和)收到文件的日期和时间时间DTS的数字签名的数字签名电子商务常用安全技术电子商务常用安全技术数字时间戳的产生过程数字时间戳的产生过程l用户首先将需要加时间戳的文件用用户首先将需要加时间戳的文件用HASH编码加密形成摘要编码加密形成摘要 l用户将该摘要发送到用户将该摘要发送到DTSlDTS对收到的文件摘要加上日期和时间信息后,再对该文件对收到的文件摘要加上日期和时间信息后,再对该文件加密(数字签名)加密(数字签名)lDTS将加密后的文件送回用户将
20、加密后的文件送回用户电子商务常用安全技术电子商务常用安全技术数字时间戳的产生过程示意图数字时间戳的产生过程示意图 Hash 函数加密 发送方 加 DTS 机构时间 DTS 机构数字签名 DTS 机构 原 文 摘 要 摘 要 摘要 + 时间 数字时间戳 数字时间戳 Internet 电子商务常用安全技术电子商务常用安全技术l数字证书数字证书什么是数字证书什么是数字证书l数字证书又称为数字凭证,它提供了一种在数字证书又称为数字凭证,它提供了一种在Internet上身份上身份验证的方式,是用来标志和证明网络通信双方身份的数字信验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日
21、常生活中的身份证相似。在网上进息文件,与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的交易操作。通俗地讲,的身份,并使用数字证书来进行有关的交易操作。通俗地讲,数字证书就是个人或单位在数字证书就是个人或单位在Internet的身份证的身份证 电子商务常用安全技术电子商务常用安全技术数字证书的颁发数字证书的颁发过程过程l(1)用户通过认证中心网站首先产生自己的密钥对,并将)用户通过认证中心网站首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。公共
22、密钥及部分个人身份信息传送给认证中心。l(2)认证中心在核实身份后,将执行一些必要的步骤,以)认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,用户就可以使用自己的数字证书进行相关的一个数字证书,用户就可以使用自己的数字证书进行相关的各种活动各种活动 电子商务实验电子商务实验4 4电子商务常用安全技术电子商务常用安全技术数字证书的内容数字证书的内容l(1)证书拥有者的姓名和电子邮件地址)证书拥有者的姓名和电子邮件地址l(2)证书拥有者的公共密钥)证书拥有者的公共密钥l(3)公共密钥
23、的有效期)公共密钥的有效期l(4)颁发数字证书的单位(认证中心)名称)颁发数字证书的单位(认证中心)名称l(5)数字证书的序列号()数字证书的序列号(Serial number)l(6)认证中心()认证中心(CA)的数字签名)的数字签名电子商务常用安全技术电子商务常用安全技术数字证书的主要类型数字证书的主要类型l个人证书个人证书l企业证书企业证书l软件证书软件证书电子商务常用安全电子商务常用安全数字证书的原理数字证书的原理l数字证书基于数字证书基于PKI(Public Key Infrastructure)公开密钥)公开密钥基础架构技术基础架构技术l在公开密钥基础架构技术中,最常用一种算法是在
24、公开密钥基础架构技术中,最常用一种算法是RSARSA算法,算法,其数学原理是将一个大数分解成两个质数的乘积,加密和解其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。既使已知明文、密文和加密密钥密用的是两个不同的密钥。既使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),当密钥(公开密钥),想要推导出解密密钥(私密密钥),当密钥足够长时,在计算上是不可能实现的足够长时,在计算上是不可能实现的密钥长度问题密钥长度问题l40bit密钥破译需要密钥破译需要3.5小时小时成都重庆240密钥长度问题密钥长度问题l56bit密钥破译需要密钥破译需要22小时小时
25、15分钟分钟价值25万美元的主机RSA的解密大赛罗马见密钥长度问题密钥长度问题l64bit密钥破译需要密钥破译需要3334天天地球自转3334周密钥长度问题密钥长度问题l1024bit密钥破译需要密钥破译需要2000年以上年以上地球绕太阳公转2000周以上电子商务常用安全技术电子商务常用安全技术l认证中心认证中心什么是认证中心什么是认证中心l所谓所谓CA(Certificate Authority)认证中心,它是采用)认证中心,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且
26、具门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构实生活中颁发证件的公司,如护照办理机构 电子商务常用安全技术电子商务常用安全技术认证中心的作用认证中心的作用lCA中心在整个电子商务环境中处于至关重要的位置,它是中心在整个电子商务环境中处于至关重要的位置,它是整个信任链的起点。整个信任链的起点。CA中心是开展电子商务的基础,如果中心是开展电子商务的基础,如果CA中心不安全或发放的证书不具权威性,那么网上电子交中心不安全或发放的证书不具权威性,那么网上
27、电子交易就根本无从谈起易就根本无从谈起 l发放和管理用户的数字证书发放和管理用户的数字证书l证书管理证书管理证书的检索证书的检索撤销证书撤销证书备份证书数据库备份证书数据库保护证书密钥服务器的安全保护证书密钥服务器的安全电子商务常用安全技术电子商务常用安全技术认证体系结构认证体系结构根结点CA1CACACA2CA3AB电子商务常用安全技术电子商务常用安全技术认证中心发展状况认证中心发展状况l目前在全球处于领导地位的认证中心是美国的目前在全球处于领导地位的认证中心是美国的VeriSign公司,公司,创建于创建于1995年年4月,总部在美国加州的月,总部在美国加州的Mountain View。该。
28、该公司所提供的数字证书的服务已遍及全世界公司所提供的数字证书的服务已遍及全世界50个国家,接受个国家,接受该公司的服务器数字证书的该公司的服务器数字证书的Web站点服务器已超过站点服务器已超过45000个,个,而使用该公司个人数字证书的用户已超过而使用该公司个人数字证书的用户已超过200万名万名l国内认证中心是经过国家商用密码管理委员会严格审批的发国内认证中心是经过国家商用密码管理委员会严格审批的发放和管理数字安全证书的专门机构。目前国内的放和管理数字安全证书的专门机构。目前国内的CACA认证中心认证中心主要分为区域性主要分为区域性CACA认证中心和行业性认证中心和行业性CACA认证中心,还没
29、有全认证中心,还没有全国统一的认证中心。国统一的认证中心。电子商务常用安全技术电子商务常用安全技术l认证技术认证技术为什么需要信息认证为什么需要信息认证l确认信息发送者的身份确认信息发送者的身份l验证信息的完整性验证信息的完整性next电子商务常用安全技术电子商务常用安全技术身份认证身份认证l口令方式口令方式选择口令的原则选择口令的原则口令管理方式口令管理方式l标记方式标记方式用户保存磁卡、用户保存磁卡、IC卡卡用户具有的唯一证据,例如,指纹、声谱用户具有的唯一证据,例如,指纹、声谱电子商务常用安全技术电子商务常用安全技术信息完整性认证信息完整性认证原代码: 12345各乘以权数:65432乘
30、积之和:61012121050求余数作为校验码:50/1146含校验的新代码:123456信息内容认证电子商务常用安全技术电子商务常用安全技术lPKI什么是什么是PKIlPKI(Public Key Infrastructure )即)即“公开密钥体系公开密钥体系”,是一种遵循既定标准的密钥管理平台是一种遵循既定标准的密钥管理平台,它能够为所有网络它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系证书管理体系lPKI就是利用公钥理论和技术建立的提供安全服务的基础就是利用公钥理论和技术建立的提供安全服务的基础设施设施lPK
31、I技术是信息安全技术的核心,也是电子商务的关键和技术是信息安全技术的核心,也是电子商务的关键和基础技术基础技术 电子商务常用安全技术电子商务常用安全技术PKI的组成的组成l(1)认证机构()认证机构(CA):即数字证书的申请及签发机关,):即数字证书的申请及签发机关,CA必须具备权威性的特征必须具备权威性的特征l(2)数字证书库:用于存储已签发的数字证书及公钥,用)数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥户可由此获得所需的其他用户的证书及公钥l(3)密钥备份及恢复系统:如果用户丢失了用于解密数据)密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,
32、则数据将无法被解密,这将造成合法数据丢失。为的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,避免这种情况,PKI提供备份与恢复密钥的机制。密钥备份提供备份与恢复密钥的机制。密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。够作备份。 电子商务常用安全技术电子商务常用安全技术l(4)证书作废系统:证书作废处理系统是)证书作废系统:证书作废处理系统是PKI的一个必备的一个必备的组件。与日常生活中的各种身份证件一样的组件。与日常生活中的各种身份证件一样,证书有效期以证书有效期以内也可能需要作废,原因可能是密钥介
33、质丢失或用户身份变内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等更等l(5 5)应用接口()应用接口(APIAPI):):PKIPKI的价值在于使用户能够方便地的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的使用加密、数字签名等安全服务,因此一个完整的PKIPKI必须必须提供良好的应用接口系统,使得各种各样的应用能够以安全、提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与一致、可信的方式与PKIPKI交互,确保安全网络环境的完整性交互,确保安全网络环境的完整性和易用性和易用性电子商务常用安全技术电子商务常用安全技术PKI的安全性的安全性l
34、保护保护PKI的保密性、完整性和可用性的保密性、完整性和可用性l提供证书不可抵赖服务提供证书不可抵赖服务l禁止禁止PKI服务否认其行为服务否认其行为l禁止用户否认其行为禁止用户否认其行为电子商务常用安全技术电子商务常用安全技术时间服务时间服务交互操作交互操作l支持证书和关系数据的国际标准支持证书和关系数据的国际标准l支持证书服务的国际标准支持证书服务的国际标准l支持证书和关系数据的国际化支持证书和关系数据的国际化l支持证书服务的国际化支持证书服务的国际化电子商务常用安全技术电子商务常用安全技术l公钥基础设施的结构公钥基础设施的结构安全协议协议安全服务长期密钥服务加密服务加密算法系统安全授权服务
35、安全策略服务支持服务应用明文密文密文Z公有密钥修改明文Z私有密钥B公有密钥修改明文B私有密钥ABA私有密钥A公有密钥Z私有密钥Z公有密钥中间人攻击公钥加密技术中间人攻击公钥加密技术拦截A和B公开密钥并以Z取代电子商务常用安全技术电子商务常用安全技术l防火墙技术防火墙技术什么是防火墙什么是防火墙l它是一种由计算机硬件和软件组成的一组用于增强内部网和它是一种由计算机硬件和软件组成的一组用于增强内部网和外部网之间访问控制的系统外部网之间访问控制的系统防火墙的优点防火墙的优点l保护容易受到攻击的服务保护容易受到攻击的服务l控制对特殊网站的访问控制对特殊网站的访问l集中化的安全管理集中化的安全管理l对网
36、络访问做统计和记录对网络访问做统计和记录电子商务常用安全技术电子商务常用安全技术防火墙的主要功能防火墙的主要功能l保护数据的完整性保护数据的完整性l保护网络的有效性保护网络的有效性l保护数据的机密性保护数据的机密性防火墙的缺点防火墙的缺点l不能有效防范内部的攻击不能有效防范内部的攻击l无法防范通过防火墙以外的攻击无法防范通过防火墙以外的攻击l无法完全防范计算机病毒无法完全防范计算机病毒电子商务常用安全技术电子商务常用安全技术防火墙安全控制基本准则防火墙安全控制基本准则l一切未被允许的都是禁止的一切未被允许的都是禁止的l一切未被禁止的都是允许的一切未被禁止的都是允许的电子商务常用安全技术电子商务
37、常用安全技术防火墙的主要类型防火墙的主要类型l数据包过滤数据包过滤在网络层中对数据包实施有选择的通过在网络层中对数据包实施有选择的通过路由器防火墙系统外部网Internet内部网Intranet电子商务常用安全技术电子商务常用安全技术l代理技术防火墙代理技术防火墙代替用户完成特定的代替用户完成特定的TCP/IP功能功能代理服务器防火墙系统内部网Intranet外部网Internet电子商务常用安全技术电子商务常用安全技术l混合技术防火墙混合技术防火墙内部网Intranet外部网Internet路由器防火墙系统代理服务器电子商务常用安全技术电子商务常用安全技术防火墙体系结构防火墙体系结构l双重宿主主机体系结构双重宿主主机体系结构防火墙双重宿主主机内部网电子商务常用安全技术电子商务常用安全技术l被屏蔽主机体系结构被屏蔽主机体系结构屏蔽路由器防火墙内部网电子商务常用安全技术电子商务常用安全技术l被屏蔽子网体系结构被屏蔽子网体系结构防火墙堡垒主机内部路由器外部路由器周边网内部网