第六章 电子商务的安全体系教材课程.ppt

电 子 商 务; 第六章 电子商务的安全体系 ;第六章 主要内容;6.1 电子商务安全概述 ; （1）身份的可认证性 身份的可认证性，又称鉴别服务，是对贸易双方的身份进行鉴别，为身份的真实性提供保证，确认对方就是本次交易中所声称的真正交易方。认证性一般是通过认证机构和证书来实现的。 （2）信息的机密性 信息的机密性又称保密性，是指信息在产生、传送、处理和存贮过程中不泄露给非授权的个人或组织。机密性一般是通过加密技术对信息进行加密处理来实现的。经过加密处理后的密文信息，即使被非授权者截取，也由于非授权者无法解密而不能了解其内容。; （3）信息的完整性 信息的完整性是指交易信息在传送和存贮过程中保持一致，没有被改变，也就是信息在交易处理过程中不能被非授权者加入、删除或修改。完整性一般可以通???提取信息的数字摘要的方式来实现。 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，从而破坏信息的完整性。这种破坏手段主要有3个方面：篡改； 删除；插入。; ;3 . 电子商务的安全机制 ; (1）防火墙的概念 为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。对外，这道屏障能够阻断来自外部通过Internet对内部网络的威胁和入侵，提供把守内部网络安全和审计的唯一关卡；对内，这道屏障能够控制用户对外部的访问。这种中介系统也叫做“防火墙”。;防火墙的结构图 ;提供 内容过滤 ; 1) 包过滤防火墙 网络上传输的每个数据包头都会包含一些特定信息，如源地址、目标地址、所用的端口号和协议类型等标志。数据包过滤技术就是根据每个数据包头内的标志来确定是否允许该数据包通过防火墙，其中过滤的依据是系统内设置的过滤规则。 ; 1) 包过滤防火墙 ; 应用代理防火墙位于外部网络和内部网络之间，主要用于防范应用层攻击。它能够为应用软件解释协议流，并且根据协议内部可见部分控制它们通过防火墙的行为，从而使得应用软件只接受正常的活动请求。 ;2）应用代理防火墙 ;(4) 防火墙的局限性; (1) 加密技术的基本概念 加密技术是最基本的安全技术，是实现信息保密性的一种重要手段，目的是为了防止非法用户获取信息系统中的机密信息。;英文字母和十进制数的对应关系图 ; 加密技术分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，其中加密密钥可以公开而解密密钥需要保密。; (2)对称加密技术 对称加密技术从传统的简单换位代替密码（如凯撒密码）发展而来，它的特点是加密和解密使用相同的密钥。对称加密技术的典型代表是数据加密标准DES(Data Encryption Standard)，它是由IBM公司提出、美国国家标准局于1977年公布的一种加密算法。 DES算法最主要的优点是：可靠性较高、加密/解密速度快、算法容易实现、通用性强；其主要的缺点是：密钥位数少、算法具有对称性、容易被穷尽法攻击、密钥管理复杂。; 算法的加密、解密过程图; (3)非对称加密技术 为解决信息公开传送和密钥管理问题，美国学者Diffie和Hellman于1976年提出了一种新的密钥交换协议，允许在不安全的媒体上的通信双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥(Public key)和私有密钥(Private key)。 ; 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其他方公开，得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己的私钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。; 公钥密码体系用的最多是RSA算法，它是以三位发明者(Rivest、Shamir和Adleman)姓名的第一个字母组合而成的。 RSA算法的优点是：易于实现，使用灵活，密钥较少，在网络中容易实现密钥管理，便于进行数字签字，从而保证数据的不可抵赖性；缺点是：要取得较好的加密效果和强度，必须使用较长的密钥，从而加重系统的负担和减慢