電子商務(wù)安全技術(shù)（雙語版）電子商務(wù)安全技術(shù)E-CommerceSecurityTechnology電子商務(wù)的安全概述IntroductiontosecurityinEC

加密技術(shù)Dataencryptiontechnology

認證技術(shù)Authenticationtechnology

防火墻技術(shù)Firewall

technology安全技術(shù)協(xié)議ProtocolforsecurityCase:Biblifind公司

該公司立即報告州和聯(lián)邦執(zhí)法機構(gòu)調(diào)查這次黑客事件，并且向9.8萬名客戶發(fā)出了電子郵件，提醒客戶信息可能已被黑客獲取了。官方的調(diào)查既沒有逮捕責任人，也沒有發(fā)現(xiàn)嫌犯。許多客戶知道后都非常憤怒。在攻擊事件一個月后，Bibliofind被關(guān)閉了。一家成功的企業(yè)因不能保存客戶信息而毀于一旦。Case:Biblifind公司

本章重點

電子商務(wù)的安全是一個非常重要的問題。只有網(wǎng)上交易做到了安全可靠，客戶才能接受和使用這種交易方式，電子商務(wù)才能順利開展下去。電子商務(wù)的安全性不是一個孤立的概念，它是由計算機安全性，尤其是計算機網(wǎng)絡(luò)安全性發(fā)展而來的。本章重點：電子商務(wù)安全需求電子商務(wù)的安全隱患及安全電子商務(wù)結(jié)構(gòu)對稱密鑰加密體制及公開密鑰加密體制認證技術(shù)與數(shù)字證書數(shù)字時間戳網(wǎng)絡(luò)通信中的加密方式防火墻技術(shù)電子商務(wù)安全概述

電子商務(wù)安全需求

TheBasicRequirementsforECSecurity信息保密性的需求Secrecy信息完整性的需求Integrity不可否認性的需求Necessity交易實體身份真實性的需求Authentication系統(tǒng)可靠性的需求Reliability

電子商務(wù)的安全隱患

TheProblemsforECSecurity

互聯(lián)網(wǎng)本身的問題計算機操作系統(tǒng)的安全問題計算機應(yīng)用軟件的安全問題通信傳輸協(xié)議的安全問題網(wǎng)絡(luò)安全管理的問題電子商務(wù)安全概述電子商務(wù)安全概述

電子商務(wù)安全措施

TheMeasuresforECSecurity安全要素可能損失防范措施信息的保密性數(shù)據(jù)被泄露或篡改信息加密信息的完整性信息丟失和變更數(shù)字摘要信息的驗證性冒名發(fā)送接受數(shù)據(jù)數(shù)字證書信息的認可性發(fā)送數(shù)據(jù)后抵賴數(shù)字時間戳與簽名信息的授權(quán)性未經(jīng)授權(quán)擅自侵入防火墻、口令

防火墻的概念Theconceptionofthefirewall

Incomputerfield,firewallisalogicaldesign(hardwareorsoftware)withinanetworkenvironmentwhichpreventscommunicationsforbiddenbythesecuritypolicyofanorganizationfromhappening.

防火墻圖示

防火墻技術(shù)

防火墻的功能Thebasictaskofthefirewall

防火墻的基本任務(wù)是提供一種訪問控制，通過這種訪問控制來實現(xiàn)網(wǎng)絡(luò)路由的安全性包括兩個方面：⑴限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，從而保護內(nèi)部網(wǎng)特定資源免受非法侵犯⑵限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問，主要是針對一些不健康信息及敏感信息的訪問

防火墻技術(shù)

防火墻的分類Thetypeofthefirewall

防火墻技術(shù)通信發(fā)生在主機與網(wǎng)絡(luò)還是網(wǎng)絡(luò)之間

通信在網(wǎng)絡(luò)層或應(yīng)用層進行分析是否保留有狀態(tài)信息個人防火墻網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻網(wǎng)絡(luò)防火墻有狀態(tài)防火墻無狀態(tài)防火墻

防火墻的工作原理⑴分組過濾（PacketFilter）分組過濾是利用路由器里安裝防火墻軟件方式來保護網(wǎng)絡(luò)內(nèi)部系統(tǒng)。這種包過濾實際上是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯規(guī)則，檢查數(shù)據(jù)流中每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源、目的地址、所用的IP端口等因素來確定是否允許該數(shù)據(jù)包通過。

防火墻技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層分組過濾防火墻實現(xiàn)原理圖內(nèi)部受保護的網(wǎng)絡(luò)外層網(wǎng)絡(luò)

防火墻技術(shù)⑵應(yīng)用網(wǎng)關(guān)（ApplicationGateways）應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用協(xié)議，使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必須的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

防火墻技術(shù)應(yīng)用網(wǎng)關(guān)防火墻實現(xiàn)原理示意應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外層網(wǎng)絡(luò)內(nèi)部受保護的網(wǎng)絡(luò)

防火墻技術(shù)(3)代理服務(wù)（ProxyService）代理服務(wù)使用一個客戶程序與特定的中間結(jié)點（代理服務(wù)器，即防火墻）建立連接，然后中間結(jié)點與服務(wù)器進行實際連接。代理服務(wù)在應(yīng)用層上進行。防火墻代理訪問控制客戶代理服務(wù)器代理服務(wù)器客戶請求應(yīng)答請求轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)應(yīng)答代理服務(wù)器防火墻數(shù)據(jù)控制及傳輸示意

防火墻技術(shù)

防火墻的基本策略BasicPolicyofFirewall⑴沒有被列為允許訪問的服務(wù)都是被禁止的這種控制模型需要確定所有可以被提供的服務(wù)以及它們的安全特性，然后，開放這些服務(wù)，并將所有其它未被列入的服務(wù)排除在外，禁止訪問。⑵沒有被列為禁止訪問的服務(wù)都是被允許的這種防火墻模型與上種模型正好相反，它需要確定那些被認為是不安全的服務(wù)，禁止其訪問；而其它服務(wù)則被認為是安全的，允許訪問。

防火墻技術(shù)

防火墻技術(shù)

防火墻實現(xiàn)站點安全的安全策略

ConcreteofFirewall⑴服務(wù)控制策略這種策略主要明確規(guī)定外部網(wǎng)和內(nèi)部網(wǎng)用戶之間進行訪問的服務(wù)類型。⑵方向控制策略啟動特定的服務(wù)請求并允許它通過防火墻，這些操作都具有方向性。⑶用戶控制策略這種策略主要針對訪問請求的用戶類型來確定是否提供服務(wù)。⑷行為控制策略用來控制用戶如何使用某種特定的服務(wù)。

數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密Dataencryption

加密就是用基于數(shù)學算法的程序和保密的密鑰對信息進行編碼，生成難以理解的字符串。

源信息加密算法E源信息解密算法D密文加密密鑰Ke解密密鑰Kd

源信息用加密算法E和加密密鑰Ke進行加密運算，得到密文，然后通過一定的傳輸路徑傳輸給接收端，接收端接收到密文后，利用解密算法D和解密密鑰Kd對密文進行解密運算，從而獲得信息明文。

數(shù)據(jù)加密技術(shù)

對稱密鑰加密體制

Symmetricencryptiontechnology

對稱密鑰加密原理對稱密鑰體制，就是加密密鑰和解密密鑰相同，即：

Ke=Kd=K

對稱密鑰加密體制常用算法

1．替換加密法

2．轉(zhuǎn)換加密法

3．數(shù)據(jù)加密標準（DES）算法替換加密法例1：Caesar（愷撒）密碼——最原始的密碼技術(shù)

數(shù)據(jù)加密技術(shù)明文：CRYPTOGRAPHY密文：FUBSWRJUDSKBkey：n=4例2：單表置換密碼

數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)非對稱密鑰加密體制Asymmetricencryptiontechnology非對稱密鑰加密原理非對稱密碼體制也稱雙鑰密碼（或公鑰密鑰）體制，就是加密和解密使用不同的密鑰。非對稱密碼體系的主要特點公鑰密碼體系的主要特點就是加密和解密使用不同的密鑰，每個用戶都有一對選定的密鑰（所以又稱雙鑰），即：公鑰KP（publickey）是可以公開的，它可以像號碼一樣注冊公布私鑰KS（selfkey）是秘密的，私用的。由KP不能計算出KS。加密和解密分開。

數(shù)據(jù)加密技術(shù)Kex:X的加密密鑰，Key:Y的加密密鑰，其他密鑰依次類推…….公開密鑰密碼體制

認證技術(shù)

認證技術(shù)為了確保信息的真實性和防偽性，就必須使發(fā)送的消息具有被驗證性，使接收者或第三者能夠識別消息的真?zhèn)危瑢崿F(xiàn)這類功能的密碼技術(shù)稱作數(shù)字認證技術(shù)。

信息的認證與保密是有區(qū)別的，加密保護只能防止被動攻擊，而認證保護可以防止主動攻擊。保密性是使截獲者在不知密鑰條件下不能解讀密文的內(nèi)容。認證性是使任何不知密鑰的人不能構(gòu)造一個密報，使意定的接收者脫密成一個可理解的消息。

認證技術(shù)

數(shù)字摘要Messagedigest

Messagedigestisatechniqueofmakinguseofdigitalfingerprintforintegrityverification.Thedigitalfingerprintofthefileistransmittedalongwiththefiletotherecipientintransit.Afterreceivingthefile,therecipientcalculatesthehashvalueofthereceivedfileinthesamewayandiftheresultisidenticalwiththedigestcodereceived,itisconcludedthatthefilehasnotbeenaltered.

數(shù)字摘要是利用數(shù)據(jù)字指紋來保證信息完整性的一種手段。

數(shù)據(jù)摘要技術(shù)1.雜湊函數(shù)雜湊函數(shù)（hashingfunction）是將任意長的數(shù)字串M映射（壓縮）成一個較短的定長輸出數(shù)字串H的函數(shù)：

H=h(M)即H為M的雜湊值（雜湊碼），h(x)為雜湊函數(shù)。2.基于雜湊函數(shù)的信息摘要MUXhDMXh比較MM’h(M’)發(fā)端A收端B判斷輸出h(M)M|h(m)

認證技術(shù)

認證技術(shù)

數(shù)字簽名digitalsignatures

在以計算機文件為基礎(chǔ)的事務(wù)處理中采用電子形式的簽名,即數(shù)字簽名.

數(shù)字簽名解決的問題functionsTherecipientcanverifytherealidentityofthesenderThesendercannotrepudiatethemessagessentTherecipientorcrackerscannotalterandfakethemessagereceived.

老李A(yù)小王B老李和小王使用不同的密鑰老李使用小王的公鑰對簽名進行核實小王使用私鑰對消息進行簽名KSB

核實簽名對消息簽名“我們亟需定購100套Windows2000”“dkso(Sc#Z02f+baur}”“我們亟需定購100套Windows2000”“我們亟需定購100套Windows2000”InternetMMM1KPB

基于公鑰認證體制的數(shù)字簽名

認證技術(shù)

利用雜湊函數(shù)進行數(shù)字簽名數(shù)字簽名=Hash算法+私人密鑰加密

認證技術(shù)

數(shù)字證書與CA認證

Digitalcertificates&CAsecurityauthentication

數(shù)字證書（DigitalCertificate）也叫數(shù)字標識（DigitalID）、數(shù)字憑證、公開密鑰證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。

認證技術(shù)數(shù)字證書的類型:①個人數(shù)字證書②企業(yè)數(shù)字證書③服務(wù)器數(shù)字證書④代碼簽名數(shù)字證書⑤安全電子郵件數(shù)字證書

認證中心（CA，CertificationAuthority）

CertificateAuthority(CA)isthecoreorganizationofe-commercesecurityauthenticationsystem.Functions:

ThecorefunctionofCAistoissueandmanageDigitalCertificate.

另外，認證中心還對電子商務(wù)中的數(shù)據(jù)加密、數(shù)字簽字、防抵賴、數(shù)據(jù)完整性以及身份鑒別所需的密鑰和認證實施統(tǒng)一管理，以保證網(wǎng)上交易安全進行。

認證技術(shù)

一個典型的CA認證系統(tǒng)一般包括安全服務(wù)器、注冊機構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等.

認證技術(shù)treeauthenticationstructure

認證技術(shù)CA證書信任分級體系數(shù)字時間戳DigitalTimeStAdigitaltimestisaproofofthereceivingandsendingtimeofinformation,whichisadocumentformedafterbeingencrypted.數(shù)字時間戳是用來證明信息的收發(fā)時間的，它是一個經(jīng)過加密后形成的憑證文檔。數(shù)字時間戳應(yīng)當保證：（1）信息文件加上去的時間戳與存儲信息的物理媒介無關(guān)；（