db100e786f3813ba147e699c9e6c4352.ppt
- Количество слайдов: 98
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 4. 2 防火墙技术 4. 3 密钥加密技术 4. 4 电子商务信息安全技术
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 1. 电子商务构架
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 2.电子商务中存在的安全威胁 --由于非法入侵者的侵入,造成商务信息被篡改、盗窃 或丢失; --商业机密在传输过程中被第三方获悉,甚至被恶意窃 取、篡改和破坏; --虚假身份的交易对象及虚假订单、合同;贸易对象的 抵赖; --由于计算机系统故障对交易过程和商业信息安全所造 成的破坏。
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 3.电子商务的安全性需求 (1)信息的保密性 (2)信息的完整性 (3)信息的不可否认性 (4)交易者身份的真实性,身份认证 (5)系统的可靠性
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 4. 网络安全的对策 --技术对策:网络安全检测设备(防范黑客), 智能卡设备,CA认证,安全 具包/软件,数 字签名 --管理对策:人员管理制度,保密制度,跟踪、 审计、稽核制度,网络系统的日常维护制度, 病毒防范制度,应急措施(硬件恢复,数据恢 复)
第 4章 电子商务安全技术 4. 1 电子商务系统安全的概念 5. 通信安全性的分层 返回本节
第 4章 电子商务安全技术 4. 2 防火墙技术 1. 防火墙定义 是位于两个(或多个)网络间实施网间访问控制的一组组 件的集合它满足以下条件: – 内部和外部之间的所有网络数据流必须经过防火墙 – 只有符合安全政策的数据流才能通过防火墙 – 防火墙自身应对渗透(peneration)免疫 2. 为什么需要防火墙 • 保护内部不受来自Internet的攻击 • 为了创建安全域 • 为了增强机构安全策略
第 4章 电子商务安全技术 防火墙的安全策略有两种: (1)凡是没有被列为允许访问的服务都是被禁止的。 (2)凡是没有被列为禁止访问的服务都是被允许的 。
第 4章 电子商务安全技术 4. 2 防火墙技术 3. 防火墙体系结构 双宿/多宿主机模式(dual-homed/multihomed) 屏蔽主机模式 屏蔽子网模式
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术 4. 2 防火墙技术 4. 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 虚拟专用网
第 4章 电子商务安全技术 4. 2 防火墙技术 ·静态包过滤 根据流经该设备的数据包地址信息决定是否允许 该数据包通过, 判断依据有(只考虑IP包) – 数据包协议类型TCP UDP ICMP IGMP等 – 源目的IP地址 – 源目的端口FTP HTTP DNS等 – IP选项源路由记录路由等 – TCP选项SYN ACK FIN RST等 – 其它协议选项ICMP ECHO REPLY等 – 数据包流向in或out – 数据包流经网络接口eth 0 eth 1
第 4章 电子商务安全技术 4. 2 防火墙技术 ·动态包过滤 --Check point一项称为“Stateful Inspection”的技术 --可动态生成/删除规则 --分析高层协议 ·应用程序网关 --网关理解应用协议可以实施更细粒度的访问控制 --对每一类应用都需要一个专门的代理 --灵活性不够
第 4章 电子商务安全技术 4. 2 防火墙技术 ·电路级网关 --拓扑结构同应用程序网关相同 --接收客户端连接请求代理客户端完成网络连接 --在客户和服务器间中转数据 --通用性强 电路级网关实现方式 --简单重定向 --根据客户的地址及所请求端口将该连接重定向到指定 的服务器地址及端口上 --对客户端应用完全透明 --在转发前同客户端交换连接信息 --需对客户端应用作适当修改
第 4章 电子商务安全技术
第 4章 电子商务安全技术 • 密码理论与技术加密标记 • 授权与访问控制理论与技术 • 网间隔离与访问代理技术 • 认证识别理论与技术 • 审计追踪技术 • 反病毒技术 返回本节
第 4章 电子商务安全技术 4. 3 密钥加密技术 1.密钥加密概念 将明文数据进行某种变换,使其成为不可 理解的形式,这个过程就是加密,这种不可理 解的形式称为密文。解密是加密的逆过程,即 将密文还原成明文。 加密和解密必须依赖两个要素,这两个要 素是算法和密钥。算法是加密和解密的计算方 法;密钥是加密和加密所需的参数。
第 4章 电子商务安全技术
第 4章 电子商务安全技术 2.对称加密技术(加密密钥和解密密钥相同) --数据加密标准DES是一种对二元数据进行加密的算法, 数据分组长度为 64位, 密文分组长度也是 64位, 使用的密 钥为 64位, 有效密钥长度为 56位(有8位用于奇偶校验). 解密过程和加密相似, 但密钥顺序正好相反. DES的整个 体制是公开的系统的, 安全性完全靠密钥的保密. --DES算法过程是在一个初始置换IP后, 明文组被分成右 半部分和左半部分, 每部分32位以L 0和R 0表示, 然后16轮 迭代的乘积变换, 称为函数f. 将数据和密钥结合起来. 16 轮之后左右两部分再连接起来, 经过一个初始逆置换IP 1, 算法结束. --初始置换与初始逆置换在密码意义上作用不大, 目的 在于打乱原来输入x的ASCII码字划分关系, 并将原来明 文的校验位变成置换输出的一个字节.
第 4章 电子商务安全技术 4. 3 密钥加密技术 --特点 在首次通信前,双方须通过除网络以外的另外途径传递 统一密钥。 当通信对象增多时,需要相应数量的密钥。 对称加密建立在共同保守秘密的基础上,在管理和分发 密钥过程中,任何一方泄密都会造成密钥的失效,存在 着潜在的危险和复杂的管理难度。 --进展 对DES进行复合, 强化它的抗攻击能力. 开辟新的方法, 即象DES那样加解密速度快, 又具有抗差 分攻击和其他方式攻击的能力. 如三重DES,IDEA, RC 5,RC 6等
第 4章 电子商务安全技术 三重DES 这种方式里,使用三(或两)个不同的密钥对数据块进 行三次(或两次)加密(加密一次要比进行普通加密的 三次要快)。三重DES的强度大约和112 -bit的密钥强度 相当。三重DES有四种模型: (a) DES-EEE 3,使用三个不同密钥,顺序进行三次加密变换。 (b)DES-EDE 3,使用三个不同密钥,依次进行加密-解密-加密变换。 (c)DES-EEE 2 其中密钥K 1=K 3,顺序进行三次加密变换。 (d)DES-EDE 2 其中密钥K 1=K 3,依次进行加密-解密-加密变换。 到目前为止,还没有人给出攻击三重DES的有效方法。 对其密钥空间中密钥进行蛮干搜索,那么由于空间太大, 这实际上是不可行的。若用差分攻击的方法,相对于单 一DES来说复杂性以指数形式增长,要超过1052。
第 4章 电子商务安全技术 RC 5 由RSA公司首席科学家Ron Rivest于1994年设计,95年正式公开的 一个很实用的加密算法。它是一种分组长(为 2倍字长w位)、密 钥长(按字节数计)和迭代轮数都可变的一种分组迭代密码。它 以RC 5 -w/r/b表示。Rivest建议使用的标准RC 5为RC 5 -32/12/16。具 有特性: (a) 形式简单,易于软件或者硬件,实现运算速度快。 (b) 能适应于不同字长的程序,不同字长派生出相异的算法。 (c) 加密的轮数可变,这个参数用来调整加密速度和安全性的程度。 (d) 密钥长度是可变的,加密强度可调节。 (e) 对记忆度要求不高,使RC 5可用于类似Smart Card这类对记忆度有限 定的器件。 (f) 具有高保密性(适当选择好参数)。 (g) 对数据实行bit循环移位,增强了抗攻击能力。 RC 5自 1995年公布以来,尽管至今为止还没有发现实际攻击的有效手段, 然而一些理论攻击的文章先后也分析出RC 5的一些弱点。
第 4章 电子商务安全技术 IDEA International Data Encryption Algorithm缩写,1990年 由瑞士联邦技术学院来学嘉(X. J. Lai)和Massey提出 的建议标准算法,称作PES(Proposed Encryption Standard)。 Lai和Massey在 1992 年进行改进,强化抗差分分析的能 力,改称为IDEA。它也是对 64 bit大小的数据块加密的 分组加密算法,密钥长度为 128位。它基于“相异代数群 上的混合运算”设计思想,算法用硬件和软件实现都很 容易,它比DES在实现上快得多。
第 4章 电子商务安全技术 AES算法 1997年 4月15日美国国家标准和技术研究所(NIST)发 起征集AES算法的活动,并成立专门的AES 作组,目 的是为了确定一个非保密的、公开披露的、全球免费使 用的分组密码算法,用于保护下一世纪政府的敏感信息, 并希望成为秘密和公开部门的数据加密标准。 1997年 9月12日在联邦登记处公布了征集AES候选算法 的通告。AES的基本要求是比三重DES快而且至少和三 重DES一样安全,分组长度 128比特,密钥长度为 128/192/256比特。
第 4章 电子商务安全技术 1998年 8月20日NIST召开第一次候选大会并公布15个候选 算法。1999年 3月22日举行第二次AES候选会议,从中选 出 5个。AES将成为新的公开的联邦信息处理标准( FIPS —Federal Information Processing Standard),用于美国 政府组织保护敏感信息的一种特殊的加密算法。美国国 家标准技术研究所(NIST)预测AES会被广泛地应 用于组织、学院及个人。入选AES的五种算法是MARS 、 RC 6、Serpent、Twofish、Rijndael。 2000年 10月2日美国商务部部长Norman Y. Mineta宣布经 过三年来世界著名密码专家之间的竞争, “Rijndael数据 加密算法”最终获胜! 为此在全球范围内角逐数年的激烈竞争宣告结束。这一 新加密标准的问世将取代DES数据加密标准成为 21世纪 保护国家敏感信息的高级算法。
第 4章 电子商务安全技术 Rijndael算法 --为AES开发Rijndael算法是两位来自比利时密码专家 Proton World International的Joan daemen博士、 Katholieke Universiteit Leuven电子 程系(ESAT)的 Vincent Rijmen博士后,两位先生在加密领域里一直比 较活跃。 --NIST主任Ray Kammer在马里兰召开新闻发布会上说, 选中Rijndael是因为它很快而且所需的内存不多。这个 算法可靠使在密码方面最内行的美国国家安全局也决定 将用它来保护一些关键数据不被窥视。Rijndael也是 5 个上决赛名单中唯一一个不面临潜在的日立公司侵犯专 利诉讼的算法。
第 4章 电子商务安全技术 --Rijndael算法原形是Square算法,它的设计策略是宽 轨迹策略(Wide Trail Strategy), 这种策略是针对差分 分析和线性分析提出来的是一个分组迭代密码,具有可 变的分组长度和密钥长度。AES被设计成三个密钥长度 128/192/256比特,用于加密长度为 128/192/256比特的分 组,相应的轮数为 10/12/14。 --Rijndael汇聚安全、性能、效率、可实现性和灵活性 等优点,尤其在无论有无反馈模式的计算环境下的软硬 件中,Rijndael都显示出非常好的性能。Rijndael对内 存的需求非常低也使它很适合用于受限制的环境中。 ijndael操作简单,并可抵御强大和实时的攻击。
第 4章 电子商务安全技术 3.非对称加密技术(公—私钥加密技术) --什么是公钥密码体制 • 公钥密码又称为双钥密码和非对称密码是 1976年由Diffie 和Hellman在其“密码学新方向”一文中提出的,见划时代 的文献: W. Diffie and M. E. Hellman, New Directrions in Cryptography, IEEE Transaction on Information Theory, V. IT-22. No. 6, Nov 1976, PP. 644654 单向陷门函数是满足下列条件的函数f: (1)给定x 计算y=f(x)是容易的; (2)给定y, 计算x使y=f(x)是困难的。(所谓计算x=f-1(Y)困难是指计算 上相当复杂,已无实际意义) (3)存在δ,已知δ时, 对给定的任何y ,若相应的x存在, 则计算x使y=f(x)是容易的。
第 4章 电子商务安全技术 注 1*. 仅满足(1)、(2)两条的称为单向函数;第(3)条称为 陷门性,δ称为陷门信息。 2*. 当用陷门函数f 作为加密函数时,可将f公开,这 相当于公开加密密钥。此时加密密钥便称为公开钥, 记为Pk。f函数的设计者将δ保密,用作解密密钥, 此时δ称为秘密钥匙,记为Sk。由于加密函数是公开 的,任何人都可以将信息x加密成y=f(x),然后送给函 数的设计者(当然可以通过不安全信道传送);由于 设计者拥有Sk,他自然可以解出x=f-1(y)。 3*. 单向陷门函数的第(2)条性质表明窃听者由截获的 密文y=f(x)推测x是不可行的。
第 4章 电子商务安全技术 --RSA公钥算法是由Rivest, Shamir和Adleman在 1978年提出来的(见Communitions of the ACM. Vol. 21. No. 2. Feb. 1978, PP. 120 -126)该算法的数学 基础是初等数论中的Euler 欧拉)定理,并建立在 大整数因子的困难性之上。
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术 4. 3 密钥加密技术 4. 密钥分配交换 --Diffie-Hellman密钥交换方法
第 4章 电子商务安全技术
第 4章 电子商务安全技术 4. 3 密钥加密技术 --基于PGP的密钥分配方法 PGP - Pretty Good Privacy 作者Phil Zimmermann 提供可用于电子邮件和文件存储应用的保密与 鉴别服务。
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术 PGP 密码功能概要
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术 返回本节
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 1. 信息摘要过程图示
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 2. 数字签名过程图示
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 3. 数字时间戳 获得数字时间戳的过程图示
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 4. 数字证书与CA认证 (1).数字证书(Digital Certificate 或Digital ID) 采用公-私钥密码体制,每个用户拥有一把仅为本 人所掌握的私钥,进行信息解密和数字签名;同时拥有 一把公钥,并可对外公开,用于信息加密和签名验证。 数字证书可用于发送安全电子邮件、访问安全站点、网 上证券交易、网上采购招标、网上办公、网上保险、网 上税务、网上签约和网上银行等安全电子事务处理和安 全电子交易活动。
第 4章 电子商务安全技术 (2).数字证书的内容 l 证书拥有者的姓名; l 证书拥有者的公钥; l 公钥的有限期; l 颁发数字证书的单位; l 颁发数字证书单位的数字签名; l 数字证书的序列号等。
第 4章 电子商务安全技术 查看证书内容(1)
第 4章 电子商务安全技术 查看证书内容(2)
第 4章 电子商务安全技术 图 3 -32 查看证书内容(3)
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 (3).认证中心CA(Certificate Authority) --认证中心的功能:核发证书、管理证书、 搜索证书、验证证书 --CA的树形验证结构(如图 3 -33所示)
第 4章 电子商务安全技术 图 3 -33 CA的树形结构
第 4章 电子商务安全技术 --国内外CA中心简介 国 外 常 见 CA有 Veri. Sign、 GTE Cyber Trust、 Thawte等。 国内常见CA有 中国商务在线 l中国数字认证网(www. ca 365. com),数字认 证,数字签名,CA认证,CA证书,数字证书,安 全电子商务。 l北京数字证书认证中心 (www. bjca. org. cn), 为网上电子政务和电子商务活动提供数字证书服务。
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 (4).数字证书的类型 --个人数字证书 --单位证书 --软件数字证书 (5).数字证书的申请 --下载并安装根证书(如图 3 -34~3 -38所示) --申请证书(如图 3 -39~3 -41所示) --将个人身份信息连同证书序列号一并邮寄到中国数 字认证网
第 4章 电子商务安全技术 图 3 -34 下载根证书(1)
第 4章 电子商务安全技术 图 3 -35 下载根证书(2)
第 4章 电子商务安全技术 图 3 -36 安装根证书(1)
第 4章 电子商务安全技术 图 3 -37 安装根证书(2)
第 4章 电子商务安全技术 图 3 -38 查看根证书
第 4章 电子商务安全技术 图 3 -39 申请个人免费证书
第 4章 电子商务安全技术 图 3 -40 下载个人证书
第 4章 电子商务安全技术 图 3 -41 查看个人证书
第 4章 电子商务安全技术 (6).数字证书应用操作实例(个人证书在安全 电子邮件中的应用) (1)在Outlook Express 5 发送签名邮件(如 图 3 -42~3 -46所示) : 1)在Outlook Express 5中 设置证书、2)发送签名邮件。 (2)用Outlook Express 5发送加密电子邮件( 如图 3 -47~3 -50所示) : 1)获取收件人数字证书、 2)发送加密邮件。
第 4章 电子商务安全技术 图 3 -42 在Outlook Express中设置证书(1)
第 4章 电子商务安全技术 图 3 -43 在Outlook Express中设置证书(2)
第 4章 电子商务安全技术 图 3 -44 在Outlook Express中设置证书(3)
第 4章 电子商务安全技术 图 3 -45 发送签名邮件
第 4章 电子商务安全技术 图 3 -46 收到签名邮件的提示信息
第 4章 电子商务安全技术 图 3 -47 将收件人证书添加到通信簿
第 4章 电子商务安全技术 图 3 -48 查询和下载收件人数字证书
第 4章 电子商务安全技术 图 3 -49 发送加密邮件
第 4章 电子商务安全技术 图 3 -50 收到加密邮件的提示信息 返回本节
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 5. 电子商务安全交易标准 (1).安全套接层协议SSL(Secure Sockets Layer) --由Netscape公司于1994年,提供Internet上的 安全通信服务 --安全套接层技术支持DES,RC 2,RC 4等加密 算法
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 (2). 安 全 电 子 交 易 协 议 SET( Secure Electronic Transaction) --由世界上两大信用卡商Visa和Master Card于1997 年 5月联合制定的实现网上信用卡交易的模型和规范 --SET规范是一种为基于信用卡而进行的电子交易提 供安全措施的规则;是一种能广泛应用于Internet上 的安全电子付款协议 --SET中的核心技术主要有公开密匙加密,电子数字 签名,电子信封,电子安全证书等
第 4章 电子商务安全技术 图 3 -51 SET协议的参与对象
第 4章 电子商务安全技术 SET协议作用和地位. SET规范为在Internet上进行安全的电子商务提供一 个开放的标准。SET综合使用私用密钥加密和公用密钥 加密的电子认证技术,其认证过程使用RSA和DES算 法,因此可以为电子商务提供很强的安全保护。. SET主要是为了解决用户、商家和银行之间通过信用 卡支付的交易而设计的,以保证支付信息的机密、支付 过程的完整、商户及持卡人的合法身份、以及可操作性。. SET规范是目前电子商务中最重要的协议。SET得到 美国IT企业的支持如GTE 、 IBM 、 Microsoft 、 Netscape 、 RSA 、 SAIC 、 Terisa 和Veri. Sign。
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术
第 4章 电子商务安全技术 4. 4 电子商务信息安全技术 (3).其他安全协议 --安全超文本传输协议(S-HTTP) --安全多媒体Internet邮件扩展协议(S/MIME) 返回本节
第 4章 电子商务安全技术 THANK YOU ! 结束放映 返回本章首页
db100e786f3813ba147e699c9e6c4352.ppt