电子商务安全知识详解.pptx
《电子商务安全知识详解.pptx》由会员分享,可在线阅读,更多相关《电子商务安全知识详解.pptx(79页珍藏版)》请在冰豆网上搜索。
目录n子商安全述电务概n信息加密技术n信息技认证术n字数证书与CA中心认证nSSL协议n其他子商安全电务第一子商安全述节电务概n子商的安全威电务胁n信息在的程中被截网络传输过获n的文件可能被改传输篡n造子件伪电邮n假冒他人身份n不承已做的交易,抵认经过赖n子商的主要安全要素电务n有效性n机密性n完整性n可靠性/不可抵性赖/鉴别n能力审查n主要安全技及其准范术标规n加密技术n密管理技钥术n字名数签nInternet子件安全电邮协议n安全子交易范(电规SET)nn加密的基本念概n加密解密与n所加密就是通密算据(明文)行谓过码术对数进化,使之成有正确密任何人都无法转为没钥读懂的文。
而些以无法的形式出的据一报这读懂现数般被密文。
称为n解密是加密的逆程。
过n算法和密钥n算法是普通的文本(或者可以理解的信息)将与一字(密)的合,生不可理解的密文窜数钥结产的步,密是用控制据行和解骤钥来对数进编码码方法的。
参数n加密的型类n不考解密虑问题n加密对称n非加密对称n密体制的要求码u截的密文或明文密文,要确定密或任从获对钥意明文在算机上是不可行的。
计u系的保密性只依于密而不依于加密体统赖钥赖对制的保密,句加密体制可以外公而不换话说对开影系的保密性。
响统u加密和解密算法适用于所有密空中的元素。
钥间u系易于而且使用方便。
统实现n密加密对称钥n匙加密系是加密和解密均采用同一把对称钥统秘密匙,而且通信方都必得把匙钥双须获这钥,保持匙的秘密。
并钥nDES密体制码n最有名的密算法码n第一被公的代密个开现码n由IBM于1971年至1972年制成功研n分度:
组长64比特n密度:
钥长56比特n目前DES已被不安全,普遍使用的是视为变种tripleDES,即对64比特分加密三次,每次用组不同的密,密度共钥钥长总168比特。
n比著名的加密算法较对称算法注释Blowfish加密;布斯块鲁施奈尔(BruceSchneier)提出DES加密;块70年代提出IDEA加密(被是有最好的算法)块认为现RC2RC4RC5RC6加密;块RSA公司提出流加密加密块加密块TripleDES使用三密的加密、解密、加密序列个钥n非加密体制对称n非加密体制又密体制或公对称称为双钥钥开密体制。
在体制中,加密密(又公钥该钥称密)开钥PK是外公的,加密算法对开E和解密算法D也是公的,但解密密(又开钥称秘密密)钥SK是保密的。
然虽SK是由PK定的,但却不能根据决PK算出计SK。
公密算法具有以下特点开钥用加密密钥PK明文对X加密后,再用解密密钥SK解密即得明文,即DSK(EPK(X)=X;加密密不能用解密,即钥来DPK(EPK(X)X;在算机上可以容易地生成的计产对PK和SK,但已知的从PK不可能推出导SK。
nRSA体制nRSA算法是由Rivest,Shamir和Adleman于1978年提出的,曾被ISO/TC97的据加密委数员会SC20推荐公据加密准。
为开数标nRSA体制是根据求大素容易,而他寻两个数将们的乘分解其困一原理的。
积开则极难这来设计nRSA中的密钥是十分困难的。
求出想从者满足一定关系,但破译而且是公开的,保密的只有该体制中,为两个大素数)。
其中,私钥:
公钥:
dNeNdedNeqpqpNNdSKNePK,(),(),(nRSA中的加密解密与NYXNXYNYXYXdemodmod,:
解密:
加密:
则为整数)密文。
(:
明文;令nRSA中密中的钥参数选择。
,即下式的,并计算出满足,作为公开的加密指数互素的数中选择一个与,第三步:
用户从的欧拉数第二步:
计算出公开;将计算出和两个大素数第一步:
用户秘密选择)(mod)(mod1,)
(1)(0);1)(1()(,)1)(NedNeddeNNqpNNNqpNqpNnRSA密体制算例码。
解密:
加密:
取1755mod18mod;18;1855mod17mod;17;2740mod3)(mod;16)40()(,3;40104)1)(1()(;55115,11,5273116)1)(NYXYNXYXNedNeqpNNqpdeNnRSA算法的安全性nRSA安全性取于模决对n因分解的困性。
数难n1999年8月,荷家算机科究兰国数学与计学研所家的一科家成功分解了们组学512bit的整数,大约300台高速工作站与PC机行行,整并运工作花了个7月。
个n1999年9月,以色列密家码学AdiShamir设计了一名叫“种TWINKLE”的因分解,可以数设备在几天攻破内512bit的RSA密。
(但要做到钥一点,需要这300-400台,每台价设备设备值5000美)。
圆n有的现RSA密体制支持的密度有码钥长512、1024、2048、4096等。
n密体制的缺点比两种钥优较n加密体制的效率高对称编码n密体制在密分管理上存在困对称码钥发与难,而非密体制可以很好的解对称码决这个问题n比著名的非加密算法较对称算法注释ECCLUCRSA加密;块RSA公司提出n密一起使用两种钥n字信封数n字信封的工作流程数数字信封的生成第三信息技节认证术n攻密系的方式击码统两种n被攻动击n手只是截的密文行分析而已。
敌对获进n主攻动击n手通采取除、增添、重放、造等手段主敌过删伪向系注入假消息。
动统n信息的目的认证n信息的送者是正的而不是假冒的;验证发真n信息的完整性,即信息在送或存中未验证验证传储被改、重放或延。
篡迟n体制的要求对认证n意定的接受者能和消息的合法性、够检验证实真实性和完整性。
n消息的送者不能所的消息不能抵,有发够对发够赖也要求消息的接受者不能否所收到的消息。
时认n除了合法的消息送者外,其他人不能造合法的发伪消息。
n信息相的技与认证关术n字摘要数n字名技数签术n字信封数n字戳数时间n字摘要数n字摘要要地描述了一的信息或文件数简份较长,可以被看作一文件的“字指”。
信它份长数纹息摘要用于建字名,于特定的文件而创数签对言,信息摘要是唯一的。
信息摘要可以被公开,不透露相文件的任何容。
它会应内n摘要函数n又函、算法或哈希函,就是把称杂凑数杂凑数任意度的入串化成固定度的出串的长输变长输一函。
种数n摘要函的安全性数n入度是任意的;输长n出度是固定的,根据目前的算技至少取输长计术128比特,以便抵抗生日攻;长击n每一定的入,算出即是很容对个给输计输杂凑值易的;n(a)定函的描述,找到不同的给杂凑数两个输入消息到同一在算上是不可行的,或杂凑个值计(b)定憾事的描述和一机的消给杂凑个随选择息,找到另一消息不同的消息使得他个与该们杂到同一在算上是不可行的。
凑个值计n字摘要的作用数n用于信息的完整性。
验证n比著名的摘要算法较算法注释MD2目前已放弃;RSA公司提出MD4目前已不安全;128位散列;值RSA公司提出MD5能提供好的保密;较128位散列;值RSA公司提出SHA1SHA的替代算法;160位散列值n字名数签n什是字名么数签n字名是通一向函要送的文数签过个单数对传报进行理得到的用以文源核文是否处认证报来并实报生化的一字母字串。
发变个数n字名数签n字名的作用数签n保信息完整证n信息送者身的发份验证n字名工作流程数签(a)生成数字签名流程(b)验证数字签名流程n字戳数时间n什是字戳?
么数时间n字戳服(数时务DTS)采用强加密措施颁发时戳,戳一具体的日期和字文该时将个时间与数件在一起。
字戳可以在以后的某日关联数时个期里用于明在戳所著的确有一证时时间实这么子文件存在。
个电第四字节数证书与CA体认证系n字数证书n什是字?
么数证书nDigitalID也字,把身子密称数证书份与电钥对定,密可以信息行加密和名。
绑该钥对对进签数字可以用于某人是否有使用某指定证书鉴别权个的密,也可以防止人使用假冒的密冒充钥们钥来他人。
字密一起提供更完整的安数证书与码术为全性。
n字由数证书CA,利用颁发并CA的私名。
钥签n字的容数证书内n字一般包含以下容:
数证书内n用的公户钥n用名户n公的有效期钥nCA者(字的颁发颁发数证书CA)n字的序列数证书号n者的字名颁发数签n字的作用数证书在使用字的程中用公密加密技数证书过应开钥术,建立起一套密的身系,能保:
严份认证统它够证n信息除送方和接受方外不被其他人窃取;发n信息在程中不被改;传输过篡n接收方能通字确送方的身;够过数证书来认发份n送方于自己送的信息不能抵。
发对发赖n字的型数证书类n客户证书n商家证书n网关证书nCA证书n中心认证(CA)n什是中心?
么认证n中心是行上安全子交易服、认证进网电认证务字、确用身的服机。
签发数证书认户份务构认中心的工作就是受理字的申、证数证书请签发字以及字行管理。
在子商数证书对数证书进电交易中,需要有具有威性和公正性的务这样权第三方完成工作,使子商交易能来认证电务够正常行。
进n例子:
广省子商中心东电务认证nCA体系的功能模认证型nRS-接收用申的户证书请证受理者书nRA-放的核部证书发审门nCP-放的操作部证书发门nCRL-作的记录废证书证书作表废nCA体系认证结构第五节SSL协议nSSL协议nSSL(SecureSocketsLayer,安全套接层)最初由协议Netscape公司的,主设计开发要用于提高用程序之的据安全系。
应间数数nSSL范协议规nSSL记录协议n在SSL中,所有的据都封装在中协议传输数记录。
nSSL握手协议n用于建立私密通信信道和客。
户认证记录头记录数据nSSL的工作流程协议nSSL加密方式两种n在建立接程中采用公密;连过开钥n在程中采用了有密。
会话过专钥nSSL提供的服协议务n用和服器的合法性;户务认证n加密据以藏被的据;数隐传输数n据完整性维护数第六其他子商安全节电务n常的活容形式见动内nJava小用程序应nActiveX控件nJavaScriptnVBscriptnJava小用程序应nJava是Sun微系公司的一高程序统开发种级言。
设计语nJava是一正的面向象的言,是一种真对语这很有用的特点,因支持代重用。
个为它码nJava平台无,可在任何算机上行。
与关计运nActiveX控件nActiveX是一象(作控件),含有个对称它(程序“封装”)由面者放在员称为页设计页面行特定任的程序。
来执务nActiveX的件源于多程序言,如构许设计语C+或VisualBasic。
但与Java或JavaScript代不同的是,码ActiveX控件只能在装Windows的算机上行,且只能在支持计运并ActiveX控件的器上行。
浏览运nActiveX代完后,程序人其封装码编设计员将在ActiveX信封里(在代成机前码转换读码的一特殊方式)、控件把放到种编译并它页面上。
器下了嵌有当浏览载ActiveX控件的面,就可在客机上行了。
页时它户运nActiveX控件的安全威是:
一旦下后,胁载它就能像算机上的其他程序一行,能计样执访包括操作系代在的所有系源,问统码内统资是非常危的。
一有意的这险个恶ActiveX控件可格式化硬、向件通簿里的所有人盘邮讯送子件或算机。
由于发电邮关闭计ActiveX控件可全的算机,能破坏保密权访问你计它性、完整性或即需性,因此,ActiveX控件不能控制,但可被管理。
如果器安全特浏览性置正确,在下设你载ActiveX控件,时浏器就提醒。
览会你nJavaScriptnJavaScript是景公司的一脚本言网开发种语,支持面者建活容。
它页设计创动内nJavaScript受到各流行器的支持,种浏览它和Java言有同的。
语样结构n其他活容形式动内n形图n形文件中可包含一些含的嵌入指令,形图隐当图下到客机后就可行些指令。
如果行可载户执这运行形文件或其他文件格式中所嵌入指令的程执图序,可能致藏在合法形指令中的有意会导隐图恶指令的行。
运nCookien的,简单说Cookie就是服器存放在算机上务暂你计的一料,好服器用辨的算机。
笔资让务来认你计nCookie的使用很普遍,多提供人化服的站许个务网,都是利用Cookie辨使用者,以方便送出使用来认者量身定做的容。
内ncookie本身有意,但由于其信息可能被利并没恶会用,因此有些人不喜自己的算机存欢让计储Cookie。
n客机的保对户护n微公司的软Authenticode技术nAuthenticode可下的检查载ActiveX控件里的两重要目:
在段程序上名;名后是否个项谁这签签被修改。
过nAuthenticode技可程序是否具有效的术验证备证,但不能阻止意程序的下和行。
书恶载运n“活容不可防止,但可以管理!
”动内nIE其中的安全域浏览区nInternet、本地Intranet、可信站点、受限站点nIE器中的安全浏览级别n高、中、中低、低n理处Cookien使用病毒防火件墙软n防病毒件只能保的算机不受已下到软护你计载计算机上的病毒攻,所以是一防策略。
击它种卫n不家商的品,都得不更新防病论选择哪厂产你断毒件的据文件。
些文件存的是用于软数这储检测病毒的病毒信息。
由于每月都有以百识别会数计的新病毒出,必定期更新防病毒件的现你须软数据文件,以新病毒消。
识别并灭它n防火技墙术n什是防火么墙n防火的功能墙n防火的墙种类n据包数过滤包又分包和包,过滤为简单过滤状态过滤简包是根据据包的源地址、目的地址单过滤数或端口行投的,目前的路由器都能号来进递的包功能。
于包是实现简单过滤对状态过滤根据每据包的行投的。
个数状态来进递n点:
优n一路由器能助保整;据包个过滤协护个网络数过用透明;路由器速度快、效率高。
滤对户过滤n缺点:
n不能底防止地址欺;一些用不适合于彻骗应协议据包;正常的据包路由器无法行数过滤数过滤执某些安全策略。
n点:
优n代理易于配置;代理能生成各;代理能项记录灵活、完全地控制出的流量、容;代理能进内过滤据容;代理能用提供透明的加密机制;数内为户代理可以方便地其他安全手段集成。
与n缺点:
n代理速度路由器慢;代理用不透明;于较对户对每服代理可能要求不同的服器;代理服项务务务不能保免受所有弱点的限制;代理不能证你协议改底的安全性。
进层协议n用应层网关n代理是一新型的防火技,防火有种较墙术这种墙也被用,防火的工作方式时称为应层网关这种墙和据包的防火、以路由器基的防火过滤数墙为础的工作方式稍有不同。
是基于件的。
墙它软n用的点应层网关优n代理易于配置;代理能生成各;代理能项记录灵活、完全地控制出的流量、容;代理能进内过滤据容;代理能用提供透明的加密机制;数内为户代理可以方便地其他安全手段集成。
与n缺点n代理速度路由器慢;代理用不透明;于较对户对每服代理可能要求不同的服器;代理服项务务务不能保免受所有弱点的限制;代理不能证你协议改底的安全性。
进层协议
升级会员 