1 / 45

电子商务概论

电子商务概论. 大连东软信息技术职业学院 电子商务概论课程组. 模块六:电子商务安全技术. 电子商务安全的常用方法. 防火墙技术 密钥系统 消息摘要 数字签名 数字时间戳 数字信封 数字证书. 防火墙定义. 防火墙:是指一种将内部网和公众访问网分开的方法,实际上是一种隔离技术;是指一个由软件系统和硬件设备组合而成的,在内部网和外部网之间的界面上构造的保护屏障。. 客户机. 电子邮件 服务部. Internet. 墙. 外部 WWW 客户. WEB 服务器. DB. 防 火 墙 结 构. 防火墙的类型.

marcos
Download Presentation

电子商务概论

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 电子商务概论 大连东软信息技术职业学院 电子商务概论课程组

  2. 模块六:电子商务安全技术

  3. 电子商务安全的常用方法 • 防火墙技术 • 密钥系统 • 消息摘要 • 数字签名 • 数字时间戳 • 数字信封 • 数字证书

  4. 防火墙定义 防火墙:是指一种将内部网和公众访问网分开的方法,实际上是一种隔离技术;是指一个由软件系统和硬件设备组合而成的,在内部网和外部网之间的界面上构造的保护屏障。

  5. 客户机 电子邮件 服务部 Internet 墙 外部 WWW 客户 WEB 服务器 DB 防 火 墙 结 构

  6. 防火墙的类型 静态防火墙(Static firewalls) ----默认容许(Default permit) ----默认拒绝(Default deny) 动态防火墙(Dynamic firewalls) ----可以定期的调整容许和拒绝服务 ----需要更多的维护工作 ----提供了更大的自由度(flexibility)

  7. 防火墙的另一分类方法(技术) • 防火墙技术大体上分为两类: ⑴ 网络层防火墙 ⑵ 应用层防火墙

  8. 包过滤 • 包过滤可由路由器与 防火墙独立或组合完成 • 路由器 ----校验对接入点的授权(目的网络,主机地址,目的传输点) ----可提供粒子化的过滤分类

  9. 什么是IP欺骗(IP spoofing)? • 攻击者将他的主服务器或路由伪装为他人的主机或路由 • 需要在过滤规则中禁止外部网络的包使用内部地址 • 监控日志可用来分析和支持决定

  10. 伪装 159.226.41.109:60001 192.168.0.2:6012 159.226.41.109:60001 192.168.0.2:6012 外部地址 159.226.41.99 内部用户 192.168.0.2 192.168.0.1 防火墙 159.226.41.109

  11. Cisco PIX 防火墙 • 专用系统--保证系统本身可靠性 • 专门硬件 • 非UNIX的、安全实时的嵌入式操作系统 • 混合设计--提供既安全又高效的网络保护 • 自适应的安全算法(ASA) --隐藏地址,检测数据包 • 直通代理-- 提高系统性能 • 高性能--为大企业和复杂高流量的环境设计 • 最多500,000 并发用户连接 • 最多1000 Mbps 吞吐量 • 最多每秒 6,500连接 • 多种连接方式--满足不同用户需求 • 10/100/1000 以太网口,令牌环或FDDI PIX 501 PIX 506 PIX 515/525 PIX 535

  12. Linux IP Firewall 原理 本机 De-masq 转发 入 出 masq input output

  13. Cryptography and authentication(密码学和认证)

  14. 加密技术 • 对称密钥系统(Symmetric Cryptography) • 发送者和接受者使用相同的密钥,加密和解密的密钥是同一个 • 加密的安全性取决于密钥的保密程度对称密钥系统 • 非对称加密体系(Asymmetric Cryptography) • 公钥(Public Key) • 私钥(Private )

  15. 发送者 接收者 密文 明文 明文 解密 加密

  16. DES算法 • The US government development the Data Encryption Standard(DES) in 1977. • 现在使用3次DES来加强保密性 • 但是使信息传输的效率降低

  17. 明文 密文1 明文 密文1 解密1 加密1 解密2 密文2 密文2 加密2 解密3 密文 加密3

  18. 如何保证共享密匙的安全性? In a business environments particularly, this is a genuine problem. One alternative is to use the Asymmetric method 公匙---密匙 Symmetric key Challenge

  19. Asymmetric Method • 为了防止第三者(middleman)的窃听 • Rivest, Shamir, Adelman 发明了RSA算法 • 这一算法包含三个组成部分:公钥,算法,密钥

  20. 公钥 密钥 密文 明文 明文 解密 加密

  21. 公钥 密钥 明文 明文 密文 加密 解密 解密:密文的每个字节被除3 加密:原文的每个字节被乘3

  22. 公钥 密钥 随机产生的DES密钥 随机产生的DES密钥 加密 解密 明文 明文 加密 解密 密文

  23. 总结 • 有很多的缺点与加密算法相连 ---如何保证密钥的安全性? ---加密使得文件长度显著增大,传输时间明显增长 ---如果“middleman”不被避免,组织的信息将难保安全

  24. 完整性(Data Integrity) • 收发双方都希望保证信息内容的完整无缺 • 也许,我们不关心谁看信息, 内容也不需要保密,重要的是信息不被第三方所修改 • 使用算法扫描信息内容并产生一个组合码(hash), hash由这一信息产生并且是唯一的

  25. 完整性(Data Integrity)…. • 发送方将信息及hash一起发给接收方 • 接收方也用同样的算法对收到的信息内容扫描并产生hash, 如果与发送方的相同, 则表明信息未被改变

  26. 发送者 接收者 明文 明文 hash 计算hash 计算hash 检验信息 的完整性 hash 明文

  27. 完整性/证明 • 通常,要有确定电子信息发送者的方法 • 可能的方法有: 授权的标记 用户名和密码 相配的物理特征 • 今天,三者都需要,我们称为three-factor authentication

  28. 完整性/证明…. • With the increasing use of the Web for commerce, and information retrieval, both organizations and individuals are at risk if the identity of the client cannot definitely be established, methods used ----数字签名 ----可信的第三方 ----密码 ----生物测定设备 ----提问(challenge Response)

  29. 数字签名(Digital signatures) • 密钥对被用来将信息的发送者与相应的信息绑定 • 公钥-密钥方法被使用,因为密钥是私有的,不用来共享 • 密钥被发送者用来计算一个信息摘要(类似于前面提到的hash)

  30. 数字签名(Digital signatures)… • 接收方用公钥来解开摘要 • 使用密钥对可以确定信息来源的唯一性 • 因此,发送者不可否认发送过这一信息

  31. 发送 明文 明文 产生 摘要A 摘要A 数字签名 (加密的 摘要) 摘要 产生 摘要 解密 加密 确认的 明文 摘要 发送者公钥 发送者私钥

  32. 更多的证明方法 • 一次性密码(One-time passwords) • 智能卡(Smart Cards) • 多因素证明(Two and three factor identification) • 提问(Challenge response) • 生物手段(Biometrics)

  33. 系统的可靠性(Access) • 常用的通路安全用的是用户名和密码(username/password) • 其它的方法还包括: 生物设备(Biometric devices) 视网膜扫描(Retina scan) 数字指纹(digital fingerprints) 智能卡(Smart cards) 提问(Challenge response)

  34. 数字时间戳(digital time-stamp) 加了时间后的新摘要 定义:是用来证明消息的收发时间的。 发送端 Internet 加时间 Hi How Are you Hash 函数加密 XX XX XX 摘要1 XX 摘要1 时间 Hash函数加密 摘要1 时间 摘要1 第三方 私钥加密 数字 时间戳 原 信 息 数字 时间戳 DTS机构

  35. 数字信封 数字信封过程图

  36. 数字证书(digital ID)  定义:又称数字凭证、数字标识。它含有证书持有者的有关信息,以标识他们的身份。   证书的类型:个人数字证书      企业(服务器)数字证书       软件(开发者)数字证书

  37. 数字证书-digital ID 内容 • 证书持有者的姓名 • 证书持有者的公钥 • 公钥的有效期 • 颁发数字证书的单位 • 颁发单位的数字签名 • 数字证书的序列号

  38. 认证中心(CA) • 所谓CA(Certificate Authority)认证中心,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。 • 认证中心的地位和作用: • 电子商务认证机构:是为了解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的。

  39. 认证技术(认证与识别) • 认证机构的运作 持卡人 商家 认证中心 CA认证

  40. 根CA-A Who Should I trust? CA-B 证书 CA的树形验证结构

  41. CA中心主要功能 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档

  42. 国外CA中心: VerSign:www.verisign.com BankGate:www.bankgate.com • 国内常见的CA: • 中国数字认证网www.ca365.com • 广东电子商务认证中心http://www.cnca.net/ • 首都在线安全电子邮件认证 http://secumail.263.net • 上海市电子商务安全证书管理中心有限公司 http://www.sheca.com

More Related