主要内容与重点
本章主要讲述以下4部分的内容:
(1)防火墙技术:通过对防火墙的概念及分类进行阐述,并分别介绍了滤型防火墙(Packet Filter)、代理服务器型防火墙(Proxy Service)以及复合型防火墙(Hybrid)、物理隔绝技术的工作原理和特点,并阐述入侵检测技术、安全扫描技术,了解电子商务安全的技术保障手段。
(2)加密技术:主要介绍加密技术的概念,了解对称密码体制、公钥密码体制、PKI加密技术、数字签名技术的工作原理,准确掌握主要的加密体系。
(3)电子认证技术:简要概述电子认证技术,并重点介绍了客户认证、身份认证、通过电子认证服务机构认证、带有数字签名和数字证书的加密系统和在线身份认证模式,从而对电子认证技术有一个较为全面的理解。
(4)电子商务交易系统安全:首先对电子商务交易系统存在的安全问题进行分析,并从电子商务网站、用户、资源及访问控制角度对电子商务交易系统的安全管理进行阐述,并提出了电子商务交易系统网络层安全解决方法及应用层安全解决方案。
通过本章的学习,学生应系统掌握电子商务安全的技术保障措施及工作原理。
学习流程
本章学习流程见图2-1。
图2-1 学习流程
考核要点提示
1. 防病毒技术包括哪几方面内容,包括哪些关键技术。
(1)防火墙技术:所谓防火墙,就是在内部网(如Intranet)和外部网(如互联网)之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器,用来在两个或多个网络间加强访问控制、实施相应的访问控制策略,力求把那些非法用户隔离在特定的网络之外,从而保护某个特定的网络不受其他网络的攻击,但又不影响该特定网络正常的工作。根据对防火墙技术的综合分析,还可以将其分为包过滤型防火墙(Packet Filter)和代理服务器型防火墙(Proxy Service)两大类型,以及最近几年来将上述两种类型的防火墙加以结合而形成的新产物——复合型防火墙(Hybrid)。
(2)入侵检测技术:网络安全入侵检测技术是维护计算机网络安全的重要手段,它收集并分析计算机系统中的文件和数据,检测出其中违反计算机网络安全的入侵行为,并对这些
入侵行为进行报警和阻挡。入侵检测技术分为以行为为基础的入侵检测技术、以主机为基础的入侵检测技术和以网络为基础的入侵检测技术。
(3)安全扫描技术:安全扫描技术是一类重要的网络安全技术,主要是通过远程扫描网络关键要素,寻网络安全薄弱环节,使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低网络系统的应用风险。安全扫描技术可分为主机安全扫描技术、网络安全扫描技术、端口扫描技术、漏洞扫描技术。
2. 对称密码体系和公钥密码体系和加密原理
对称密码技术已经存在了很长时间。最早使用对称密码技术的是埃及人。对称密码技术之所以被称之为对称是因为在加密和解密过程中其使用的密钥是同一个。对称密码算法接受明文作为输入。然后使用一个对称密钥(symmetic key)进行运算,输出明文的一个加密版本(也称为密文)。对称密码体系有两个重要的要素构成,分别是对称密码算法和用作对称密钥的随机数。对称密钥的创建一般是使用随机数发生器,而其中最好的则是专门用于产生随机数的硬件设备。比如噪声很大的二极管,就是公认的随机数发生器。事实上噪声本身就是很好的随机数发生源,只要到适当的方法加以利用就可以使其成为不错的随机数 发生器。
对称加密过程如图2-8所示。
图 2-8对称加密过程
对称加密过程的优点是其加密和解密的密钥是同一个,加密速度比较快,得到的密文紧凑,大小几乎等于明文。但是,对称加密的密钥必须经过互联网发送给接受者,密钥本身有可能被黑客截获,安全性令人担心,而且对称密钥只能使用一次,这需要一个庞大的系
统支持来搞清所有的密钥与密文之间的关系,在密钥分发、存储和管理方面都面临很大的难题。此外,对称加密不支持数字签名,无法进行身份确认。
公开密钥密码体制又称非对称(或不对称)密钥加密体制,或公钥密码体制。1976年,狄菲(W.Diffe)和赫尔曼(M.E.Hellman)提出建立“把加密算法的一切予以公开,而解密只有当知道秘密密钥时方可做到”的所谓非对称或公钥密码体制的构想。它是指加密密钥和解密密钥各不相同,并且不可能由一个密钥推导出另一个密钥,特别是不可能依据所知道的加密函数求解出解密函数。在这种加密体制下,每个用户都有一对不同的密钥,其中加密密钥即公开密钥是完全公开的,可以像电话号码一样公诸于世,让所有参加通信的人都知道;但是解密密钥则必须严格保密,并由每个用户单独掌握。这些特点就提供了从任何人到秘密密钥持有者之间的秘密通信。
图2-9是使用公钥加密和对应的私钥解密的示意图。
图 2-9 使用公钥加密和对应的私钥解密的示意图
公开密钥密码体制具有以下主要优点:
(1) 密码数量足够大,可以适应网络的开放性要求;
(2) 密钥的分配和管理比较容易。由于加密密钥是公开的,用户仅需保存自己的解密密钥,所以当n个人相互通信时,仅需产生n对密钥就能满足需要;
烟盒工艺品(3) 对互不相识的人也可以提供通信的保密性;
(4) 可以实现数字签名和数据鉴别。
但是,由于公开密钥密码体制的密钥长度比对称密钥的长度更长,算法也复杂得多,所以它的运行效率是比较低的。
3. 请简述数字签名的原理。
数字签名与传统的书面文件签名有相似之处,数字签名就是在以计算机文件为基础的事务处理中采用了电子形式的签名。
数字签名技术以加密技术为基础,采用公钥密码体制对整个明文进行变换,得到一个作为核实签名的值。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则证明对方的身份是真实的。
数字签名可以实现以下功能:
钢架桥(1)接收者可以确认发送者的真实身份。这一功能是十分必要的。如果一个客户通过计算机网络向期货交易所发出订单以购买某种期货,交易所的计算机必须保证发出订单的计算机真正属于将来账户中要划拨出资金的那个客户。
(煮机坛子2)发送者事后不能否认发送过该报文。这一功能的必要性在于防止交易所或其他金融机构因客户否认订单而遭受不必要的损失。如果客户购入期货后价格大跌而交易所又没有建立严格的数字签名机制,发送者就可能会投诉交易所,并声称自己从未发送过要求交易所 买进期货的订单。
病房呼叫系统
(3)保证报文的准确性和完整性。数字签名使接收方和非法入侵者均不能伪造或篡改报文,从而确保了报文在传输过程中不会遭到任何修改和增删。
数字签名的主要运作过程如下:
(1)报文信息的发送方通过运行散列函数(Hash Function)生成一个欲发送报文的信息摘要(Message Digest);
(2)发送方利用其私钥对生成的信息摘要进行加密,以形成发送方的数字签名,这个签名将作为报文的附件和报文一起发送给报文的接收方;
(3)接收方在收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要;
(4cpich)通过比较上述两个信息摘要是否相同来确认发送方和报文的正确性。
当然,上述过程只是对报文进行了签名以确保报文来自正确的发送方,而对于发送的报文
破窗器
本身并未加密。为了同时实现数字签名和秘密通信,发送方可以使用接收方的公钥对发送的信息进行加密。这样,只有接收方才能通过自己的私钥对报文进行解密以获得正确的信息,其他人由于没有接收方的私钥,所以即使截获了报文并知道了发送者的身份也无法理解报文的内容。
