第11章_电子商务安全技术辩析.ppt

* 简单地说，PKI就是由CA机构将用户的公钥和用户的其他标识信息捆绑在一起，用数字证书来管理公钥的一种公钥管理体制。一般而言，一个典型、完整、有效的PKI应用系统应具有下述功能：公钥数字证书的管理；证书撤销表的发布和管理；密钥的备份和恢复；自动更新密钥；自动管理历史密钥；支持交叉认证。 PKI主要由认证机构CA(Certificate Authority)、注册机构RA(Registration Authority)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分组成。 * 认证中心 认证机构CA又称认证中心、证书授权机构，是承担网上认证服务、签发和管理数字证书、能确认用户身份的受大家信任的公正、权威的第三方机构。 目前国际上最知名的认证中心是美国的Verising公司，是微软、Inter等公司的认证服务商。国内知名的认证中心有中国数字认证中心（ )、中国金融认证中心（ ) 等。 * 电子印章 电子印章是随着互联网商务经济的日趋成熟发展的一个新生事物，在传统印章制作、管理的基础上，将PKI技术与可视电子印章有效结合，有助于确立数字盖章的法律效力，进而促进了网上信任体系的建立，它的产生发展是实现无纸化电子办公的重要手段，同时也解决了无法在电子文档上面体现印章的痕迹的问题。 安全电子印章，是传统印章的印迹和数字证书相结合的产物。是合法的数字化印章与数字证书绑定的用其私钥进行了数字签名的包含用户身份、印章信息、公钥、有效期等许多相关信息的权威性的电子文件。 电子印章的安全性是通过PKI技术来体现其在应用中的唯一性、不可篡改性和不可否认性的安全特征。 * 电子印章的防伪，主要依靠与电子印章绑定的数字证书，两者之间具有一一对应的关系，也就是说，只要能够确保数字证书不被伪造、篡改和滥用，就能够保证电子印章不被伪造，主要从以下几个方面实现： 首先电子印章的申请与物理印章相同，均要经过印章审批部门的核实、审批后，方可提交到电子印章的制作单位。 电子印章的数字证书由可信的第三方CA签发，具有权威性。 CA中心获得经过审批的电子印章数字证书的请求后，为其颁发数字证书，数字证书中包含与电子印章对应印章主体的身份信息、公钥、印章审批机构名称、印章制发机构名称等，可以申明电子印章身份。 通过PKI技术，能够对电子印章在盖章应用时实现： 电子印章认证：身份识别与鉴别，确认实体是他自己所申明的 盖章文件或数据完整性检查：防篡改 ，确认没有被修改、缺损、防伪造 盖章文件或数据加解密：确保传输数据的机密，未授权不能被阅读 盖章行为的不可抵赖性：保证实体对其行为的诚实，防抵赖 对使用电子印章的用户来说，每一次的对电子文档的盖章行为都做了数字签名，这对用户来说是完全透明的，保证盖章后的文件不能被非法篡改，能够对数字签名进行验证。 * 数字时间戳 数字时间戳，是由第三方提供的一种对可信时间标记的服务，通过该服务获得的时间戳数据可以用来证明在某一时刻数据已经存在。数字签名配合时间戳服务，能更好地支持数据的抗抵赖。  对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。 * * 11.3.5防火墙技术 一、什么是防火墙 二、防火墙的分类及原理 三、防火墙的优缺点 * 一、什么是防火墙 防火墙指的是一个由软件和硬件设备组合而成的，在可信网络和非可信网络之间（如：内部网和外部网之间、专用网与公共网之间）的界面上构造的保护屏障。 防火墙能保障网络用户访问公共网络时具有最低风险，与此同时，也保护专用网络免遭外部袭击。所有的内部网和外部网、专用网与公共网之间的连接都必须经过此保护层，在此进行各种检查、认证和连接。只有被授权的通信才能通过此保护层，从而使得内部网络与外部网络、专用网络与公共网络在一定意义下隔离；这样可以防止非法入侵和非法使用系统资源，执行安全管理措施，记录所有可疑的事件。 * 防火墙的安全策略 1)没有被列为允许访问的服务都是被禁止的:基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他末列入的服务排斥在外,禁止访问;这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。 * 2)没有被列为禁止访问的服务都是被允许的∶基于该准则，防火墙转发所有信息流，然后逐项屏蔽有害的服务。这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。这