电子商务安全技术

电子商务安全技术 信息工程系李建刚

授课提纲 任务一数据加密技术任务二数字签名技术任务三数字证书与认证中心任务四防火墙技术

任务一数据加密技术 主要加密算法发展历史对称与非对称加密加密算法基础数据加密

加密技术发展历史 • 最早公元前5世纪,古希腊斯巴达发明原始密码器 • 16世纪意大利数学家卡尔达诺漏格板 • 一战时期英国破译”齐默尔曼电报”促使美国参战 • 二战时期图灵协助美破译日本”九七式”机密码 • 1975年美国家标准局颁布EDS标准--对称加密 • 1977年非对称加密(公钥密码体制) RSA

对称加密和非对称加密 • 对称加密 • 概念：加密解密使用一个相同密钥, 收发信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 • 优点:算法公开、计算量小、加密速度快、加密效率高 • 不足:安全性差、密钥管理困难，使用成本较高、缺乏签名功能 • 主要算法：DES和IDEA

对称加密和非对称加密 • 非对称加密 • 概念：非对称加密需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。 • 优点:安全性高、密钥管理简单、可防假冒和抵赖 • 不足:算法复杂、速度慢 • 主要算法：使用最广泛的是RSA算法

加密算法基础（传统加密算法） 代替加密：明文字母用用另一字母或一组祖母代替。（如将明文字母移位置若干字母形成密文）用c语言设计了一个加密算法：用a代替z，用b代替y，用c代替x，……，用z代替a。

加密算法基础（传统加密算法） 置换加密：明文字母保持不变,只是顺序被打乱密钥作用是对列按照英文字母的顺序进行编号

主要加密算法 DES算法:DES算法为密码体制中的对称密码体制，又被成为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组, 密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。加密原理 DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环，使用异或，置换，代换，移位操作四种基本运算。数据加密算法 DES算法的安全性　　一.安全性比较高的一种算法，目前只有一种方法可以破解该算法，那就是穷举法. 　　二.采用64位密钥技术，实际只有56位有效，8位用来校验的.譬如，有这样的一台PC机器，它能每秒计算一百万次，那么256位空间它要穷举的时间为2285年.所以这种算法还是比较安全的一种算法.

主要加密算法 RSA算法: RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美国麻省理工学院）开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。 RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。 RSA安全性：RSA的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明

主要加密算法 RSA算法: RSA的算法涉及三个参数，n、e、d。　　其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。 e和d是一对相关的值，e可以任意取，但要求e与(p-1)*(q-1)互质；再选择d，要求(e*d)mod((p-1)*(q-1))=1。 (n及e),(n及d)就是密钥对。 RSA加解密的算法完全相同,设m为明文，c为密文，则：m=c^e mod n；c=m^dmod n； e和d可以互换使用，即： m=c^d mod n；c=m^e mod n; RSA的缺点主要有：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，运算代价高，速度慢。

任务二掌握数字签名技术 为什么要进行数字签名什么是数字签名如何进行数字签名数字签名的主要算法 [Image Info] www.wizdata.co.kr - Note to customers : This image has been licensed to be used within this PowerPoint template only. You may not extract the image for any other use.

为什么要进行数字签名 • 数字签名的作用数据不可否认性数据保密性数据完整性 • 满足的三个条件 • 不能抵赖自己的签名 • 不能伪造签名 • 可进行仲裁验证

什么是数字签名 概念：数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。功能：1、认证报文来源 2、核实报文是否发生变化

如何进行数字签名 P226

数字签名的主要算法 数字签名的算法很多,应用最为广泛的三种是: Hash签名、DSS签名、RSA签名。这三种算法可单独使用，也可综合在一起使用。 1、Hash签名：Hash算法也称作散列算法或报文摘要。单向Hash函数就是把可变输入长度串（叫做预映射，Pre-image）转换成固定长度（经常更短）输出串（叫做hash值）的一种函数。单向函数的概念是计算起来相对容易，但求逆却非常困难。也就是说，已知x，我们很容易计算f（x）。但已知f（x），却难于计算出x。在这里，“难”定义成：即使世界上所有的计算机都用来计算，从f（x）计算出x也要花费数百万年的时间。打碎盘子就是一个很好的单向函数的例子。把盘子打碎成数千片碎片是很容易的事情，然而，要把所有这些碎片再拼成为一个完整的盘子，却是非常困难的事情。

数字签名的主要算法 2、 DSS和RSA签名：采用公钥算法。和Hash签名相比，在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数大一些。 RSA算法是目前比较好的密码算法，它不仅可以作为加密算法使用，而且可以用作数字签名和密钥分配与管理，而DSA只适合作签名，且安全强度和速度都不如RSA。

数字签名应用 验证Windows XP的核心文件是否被替换：开始→运行”对话框键入“sigverif”命令打开“文件签名验证”窗口，点击“开始”按钮，首先会建立文件列表这里未经过数字签名的文件大都是驱动程序文件，只要winlogon.exe、licdll.dll两个文件未出现在列表中，那么说明你的Windows XP未被篡改过。原因:在Windows 2000以前的Windows版本中，安装操作系统之外的软件，可能会覆盖掉一些共享的系统文件，微软引入了“Windows文件保护”机制用来防止替换受到保护的系统文件，Windows文件保护是通过检测文件的数字签名，以确定新文件的版本是否为正确的Microsoft版本，如果文件版本不正确，Windows文件保护会自动调用dllcache文件夹或Windows中存储的备份文件替换该文件，如果Windows文件保护无法定位相应的文件，那么会提示用户输入该位置或插入安装光盘。

任务三数字证书及认证中心 了解数字证书及认证中心 • 公钥体制 • 私钥签名和解秘 • 公钥加密和认证 • 服务器证书 • 电子邮件证书 • 客户端个人证书特点分类概念颁发 • 产生密钥对 • 传送给认证中心 • 发给用户数字证书 • 使用证书 • 数字证书:身份证 • 认证中心:颁发机构

我国的数字证书认证中心

实例：支付宝数字证书 支付宝数字证书是由支付宝与通过公安部、信息产业部、国家密码管理局等机构认证的权威机构合作，采用数字签名技术，颁发给支付宝用户用以增强支付宝用户帐户使用安全的一种数字凭证，并根据支付宝用户身份给予相应的网络资源访问权限。

实例：网络银行数字证书 数字证书是网银客户登录网上银行系统的凭证，为使用网上银行提供了全程的安全保障

实操： 1、下载并安装支付宝数字证书 2、下载并安装你所申请的网络银行的专业版管理软件 3、在IE中管理自己的数字证书

常见问题 利用因特网查找下列问题的答案 1、不使用支付宝数字认证书可以网上购物吗？ 2、装了支付宝数字证书是不是到别的电脑上必须有数字证书才能登录支付宝？ 3、如何修改支付宝账户绑定的手机号码？ 4、支付宝数字证书怎么从电脑上删除？ 5、我是淘宝买家开的网银.我现在想做卖家还用重新注册卖家帐号、开通支付宝、和开通网银吗？ 6、移动和非移动数字证书区别？谁更安全？

问题参考解答 1、如果每次都用网银付款那么没支付宝数字证书是可以的，但是数字证书毕竟能增强账户交易的安全性，无论支付宝还是网银，现在都是用的数字证书方式。 2、没有证书，只要有登陆密码就可以登陆支付宝但是没有证书，是不能付款、提现这些操作的，对支付宝账户内的资金起到保护作用。 3、http://help.alipay.com/lab/help_detail.htm?help_id=247204&uisrc=aside&ref=https://securitycenter.alipay.com/sc/index.htm 4、打开IE的工具里的INTERNET设置，找到内容选项卡，点击里面的证书看到Alipay开头的两个证书删掉就可以了！不用登录支付宝！ 5、不需要，账号就是原本的账号，支付宝，没开通的话，必须的开通，网银还是之前的网银。右边有个我要开店按钮，按照提示步骤做即可。需要准备省份证正反面的扫描相片。还要经过简单的开店考试就可以了 6、数字证书分为移动的和非移动的：非移动一般称文件数字证书，必须在安装有此证书的电脑上使用。如果你是用属于你自己的电脑，如家用或者办公，那就可以使用文件数字证书；移动数字证书可在任何一台电脑上使用，但必须将USB Key插入电脑的USB口，它采用专用的签名密钥在USB Key内生成，不能被读到USB Key外，也不能由外部生成写入USB Key 内。移动证书更安全。

任务四防火墙技术 • 一、什么是防火墙？ P246

任务四防火墙技术 • 2、主要技术 • 包过滤包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

任务四防火墙技术 • 二、主要技术 • 应用网关应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

任务四防火墙技术 子网屏蔽屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。

任务四防火墙技术 • 三、分类 P246 网络级防火墙应用级防火墙

任务四防火墙技术 双目主机结构防火墙系统主要由一台双目主机构成，具有两个网络接口，分别连接到内部网和外部网，充当转发器。这样，主机可以充当与这些接口相连的路由器，能够把IP数据包从一个网络接口转发到另一个网络接口。但是，实现双目主机的防火墙结构禁止这种转发功能，即IP数据包并不是从一个网络如因特网发送到其他网络如内部网。防火墙内部的系统能与双目主机通信，同时防火墙外部的系统如因特网也能与双目主机通信，但二者之间不能直接通信。 • 四、结构 • （1）双宿主主机

任务四防火墙技术 （2）屏蔽主机屏蔽主机结构使用一个单独的路由来提供与内部网相连主机即壁垒主机的服务。在这种安全体系结构中，主要的安全措施是数据包过滤，由于这种结构允许数据包通过因特网访问内部数据，因此，它的设计比双目主机结构要更冒风险。。

任务四防火墙技术 屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安全层，这个边界网络有时候称为非军事区。壁垒主机是最脆弱的、最易受攻击的部位，通过隔离壁垒主机的边界网络，便可减轻壁垒主机被攻破所造成的后果。因为壁垒主机不再是整个网络的关键点，所以它们给入侵者提供一些访问，而不是全部。最简单的屏蔽子网有两个屏蔽路由器，一个接外部网与边界网络，另一个连接边界网络与内部网。这样为了攻进内部网，入侵者必须通过两个屏蔽路由器。（3）屏蔽子网

任务四防火墙技术 • 五、缺陷 • （1）不能防止内网攻击 • （2）不能防止未经防火墙的攻击 • （3）不能取代杀毒软件 • （4）不易防止反弹端口木马攻击

任务四防火墙技术 • 六、常用防火墙软件 • 天网瑞星

任务四防火墙技术 • 问题解答 • （1）软件防火墙的种类有哪些? • （2）硬件防火墙和软件防火墙相比有何优势? • （3）防火墙与杀毒软件的区别是什么？ • （4）病毒防火墙和网络防火墙有什么区别

Thank You ! Add your company slogan

电子商务安全技术

电子商务安全技术

Presentation Transcript