第4章电子商务安全技术精读.ppt

对称密钥体制 古典密码体制 替代算法 置换算法 现代密码体制中的对称密码算法 典型对称加密算法DES AES 三重DES（数据加密标准） 非对称加密系统 1976年，美国斯坦福大学的迪菲（Differ）和赫尔曼（Hellman）为解决DES算法密钥利用公开信道传输分发的问题，提出一种新的密钥交换技术。 这种技术允许在不安全媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”，相对“对称加密算法”也叫“非对称加密算法”. 非对称加密系统 图4-4 非对称密钥加密算法 非对称加密体制☆ 使用一对相关的密匙。密匙对是与相应系统联系在一起的，其中私有密匙是由系统所必威体育官网网址持有的，而公开密匙则是公开的。依据公开密匙无法推断出私有密匙。 加密模式（公开密匙加密，接收方私匙解密） 验证模式（发送方私匙加密，公开密匙解密） 基于公开密匙体制中的密码算法 RSA算法 防火墙技术 防火墙技术概述 防火墙(Firewall)的基本概念 在两个网络之间强制实施范文控制策略的一个系统或一组系统。 防火墙的主要功能 保护易受攻击的服务（过滤不安全的服务和非法用户） 控制对特殊站点的访问（Mail、FTP、WWW） 集中化的安全管理（安全软件） 集成入侵检测功能（入侵检测扫描） 对网络访问进行日志记录和统计（记录、统计、预警） 防火墙的基本原理 包过滤型防火墙 遵守TCP/IP协议的网络中，数据分解为不同的IP包传输。应用数据包过滤技术（Packetfiltering）在网络层对数据包进行选择，截获每个通过的IP包进行安全检查（检查源地址、目的地址、端口号、协议状态等）。 应用网关型防火墙 针对特定网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 代理服务型防火墙 防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，隔离了防火墙内外计算机系统。 防火墙的实现方式-1/3 △ 包过滤路由器：访问控制表“除了禁止不可的都被允许” 双穴防范网关：在受保护网络和Internet间设置一个系统网关（双重宿主主机），用来隔断TDP、IP的直接传输。 防火墙的实现方式-2/3 △ 过滤主机网关：包过滤路由器（屏蔽路由器）+设防主机（堡垒主机）。设防主机设置在被保护网络，路由器封锁了设防主机特定端口，只允许一定数量的通信服务。相对安全性较高。 防火墙的实现方式-3/3 △ 过滤子网防火墙：包过滤路由器（内部路由器、外部路由器）+设防主机（堡垒主机），内部网络和Internet可访问子网，但禁止其穿过被屏蔽子网通信。 安全性最高 虚拟专用网技术 虚拟专用网技术概述 虚拟专用网的概念 虚拟专用网（VPN）是一种在公用互联网上构造企业专用网络的技术。 通过VPN技术，可以实现企业不同网络的组件和资源之间的相互连接，它能够利用 Internet 或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 虚拟专用网的类别 VPDN、Intranet VPN、Extranet VPN。 病毒防范技术 反病毒技术 （1）预防病毒技术：常驻系统内存优先获得系统访问权，监视并阻止病毒进入计算机系统。 （2）检测病毒技术，它是通过对计算机病毒的特征来进行判断的技术。 （3）消毒技术，它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。 复习思考题 1.名词解释： 安全服务、公开秘钥体制、数字签名、防火墙。☆ 2.简要描述电子商务安全体系结构。 3.对称秘钥体制和公开秘钥体制有何异同？ 4.数字签名是如何实现的？举几个数字签名在电子商务中的应用例子。 ☆ 5.简述SSL协议与SET协议的异同。 ☆ 4.2 认证技术 4.2.1 认证技术△ 4.2.2 公钥基础设施PKI（自学） 4.2.3 认证中心 认证技术 认证技术 为了区分数字串的可信性，在数字后所加的使其可信的保证，就是认证。 认证的目的： 可信性 完整性 不可抵赖性 访问控制 基本认证技术 之 数字摘要☆  数字摘要用于确保数据的完整性。完整性校验就是通过某种手段来检验数据是否被改动过，数据是否完整。 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。 采用单向Hash函数，将需加密的明文“摘要”成一串128