电子商务的安全技术与安全因素

序言当今社会，电子商务已经在很大的程度上变化着人类日勺思维模式和原有欧I商业模式电子商务概念已经深入人心，并成为企业和社会发展的大势所趋从事电子商务营销日勺企业已在世界经济领域崭露头角，各国政府对这一市场也很重视，对于电子商务中的信息交互安全，交易体制也在不停的I维护和完善电子商务的发展，网上银行，网上协议，电子签名等的应用越来越广泛，这些给我们生活带来便利的同步带来日勺安全隐患也时刻影响着我们就现阶段，对于深入的发展电子商务，以便更好的应用电子晌午，所面临的最大问题就是怎样保障电子商务过程中的安全性，交易的安全是网络经济的基础因此我们只有处理好了一系列的安全问题，才能使电子商务在我国乃至在全球更稳定的迅速发展第一章电子商务面临时安全电子商务是基于互联网来实现的一种经济模式，它作为一种全新时商务时模式为全世界顾客提供了丰富日勺商业信息和便捷的交易措施但就是在电子商务给我们提供了大量以便的同步他的安全问题也时刻影响着我们众所周之，电子商务是通过计算机网络来实现区U近几年来计算机的安全问题早已令人们担忧，不少人的I电脑都曾受到病毒，黑客U勺袭击，它也许使你辛劳存H勺文献被删除，使你的电脑死机，瓦解有关网络安全问题，来自网络黑客的袭击越来越多，许多企业网站时有被黑，令电脑使用者防不胜防大量的事实阐明，要使电子商务时迅速和稳定日勺发展，其安全隐患不容忽视电子商务的安全问题也决不是一堵防火墙，一种电子签名就能轻松处理H勺问题，它包括了许多方面的问题安全是电子商务交易中的致命所在，由于它包括的不仅仅个人资金的安全，商家货品和商业秘密日勺安全，它更包括了国家经济安全，国家经济秩序日勺稳定一种没有安全的电子商务就是一种豆腐渣工程，是没有人敢用的经济模式下面我们简朴的简介下电认广泛应用区I数字签名措施有RSA签名、DSS签名和Hash签名三种RSA时最大以便是没有密钥分派问题下面我将简朴简介下这三种签名措施RSA签名，简化的数字签名技术使用了像RSA这样的可逆的公开密钥加密系统，其数字签名过程中运用了消息的验证模式签名过程如下L发送方用自己的私有密钥对要发送H勺信息进行加密，形成数字签名；2,发送方将数字签名附加在消息后通过网络传送给接受方；3,接受方用发送方日勺公开密钥对接受到的签名信息进行解密，得到信息明文；4,接受方将解密得到的消息与接受到欧I消息进行比较，若两者相似，则阐明消息未被篡改正简化口勺RSA数字签名过程如图所示发送方传递的消息接受方在这一过程中，消息的发送方以验证模式用RSA生成加密日勺信息，也就是说，加密密钥是发送方H勺私人密钥加密后H勺信息附加在明文上一起传送出去，在接受方那里，接受方必须要懂得对应的解密密钥，即发送方日勺公开密钥，才能用这把密钥来解密经加密后的信息，并将解密后的信息与明文作比较假如两者相似，则接受方就能确信发送方确实拥有加密密钥，同步还可以确信在传播的过程中消息未被篡改正图数字签名过程若相似，则签名有效RS ADSS数字签名，DSS数字签名是由美国国标化研究院和国家安全局共同开发的由于它是由美国政府颁布实行的，重要用于与美国政府做生意的企业，其他企业则较少使用，它只是一种签名系统，并且美国政府不倡导使用任何减弱政府窃听能力的加密软件，认为这才符合美国的国家利益Hash签名，Hash签名是最重要的数字签名措施，也称之为数字摘要法Digital Digest或数字指纹法Digital FingerPrint它与RSA数字签名是单独的签名不一样,该数字签名措施是将数字签名与要发送的o信息紧密联络在一起，它更适合于电子商务活动将一种商务协议於I个体内容与签名结合在一起，比协议和签名分开传递，更增长了可信度和安全性数字摘要Digital Digest加密措施亦称安全Hash编码法SHASecure HashAlgorithm或MD5MD StandardFor MessageDigest,由RonRivest所设计该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bitH勺密文，这一串密文亦称为数字指纹FingerPrint,它有固定的长度，且不一样的明文摘要必然一致这样这串摘要使可成为验证明文与否是“真身”的I“指纹”了山东大学信息安全所所长王小云博士说理论上来讲，通过HASH函数产生的指纹，原始数据虽然只变化一位，其产生日勺“指纹”也会截然不一样假如能找到HASH函数H勺碰撞，就意味着两个不一样的文献可以产生相似的J“指纹”，这样就可以伪造签名数字时间戳交易文献中，时间是十分重要H勺信息在书面协议中，文献签订的日期和签名同样均是十分重要的防止文献被伪造和篡改的关键性内容在电子交易中，同样需对交易文献的日期和时间信息采用安全措施，而数字时间戳服务DTSdigitaltime-stamp service就能提供电子文献干U登时间的安全保护数字时间戳服务DTS是网上安全服务项目，由专门日勺机构提供时间戳timestamp是一种经加密后形成口勺凭证文档，它包括三个部分1需加时间戳啊文献的摘要digest,2DTS收到文献欧I日期和时间，3DTS的数字签名时间戳产生的I过程为顾客首先将需要加时间戳的文献用HASH编码加密形成摘要，然后将该摘要发送到DTS,DTS在加入了收到文献摘要日勺日期和时间信息后再对该文献加密数字签名，然后送回顾客由Bellcore发明的DTS采用如下的过程加密时将摘要信息归并到二叉树日勺数据构造；再将二叉树的根值刊登在报纸上，这样更有效地为文献刊登时间提供了佐证注意，书面签订文献的时间是由签订人自己写上的I,而数字时间戳则否则，它是由认证单位DTS来加的I,以DTS收到文献的时间为根据因此，时间戳也可作为科学家欧I科学发明文献的I时间认证数字信封数字信封是数据加密技术的又一类应用，信息发送端用接受端的公钥，将一种通信密钥加密后传送到接受端，只有指定的接受端才能打开信封，获得秘密密钥，用它来解开传送来日勺信息数字信封技术可以保证接受方的唯一性虽然信息在传送途中被监听或截获，由于第三方并没有接受方的密钥，也不能对信息进行对时的解密数字证书数字证书也叫数字凭证数据证书就是网络通讯中标志通讯各方身份信息日勺一系列数据，其作用类似于现实生活中日勺身份证它是由一种权威机构发行的，人们可以在交往中用它来识别对方的身份数字证书的内部格式是由CCITTX.509国际原则所规定日勺，它包括了如下几点1,凭证拥有者的I姓名2,凭证拥有者的公共密钥3,公共密钥日勺有效期4,颁发数字凭证的单位5,数字凭证口勺序列号Serial numbero6,颁发数字凭证单位的数字签名数字证书一般分为三种类型，即个人证书，企业证书，软件证书个人证书Personal Digital为某一种顾客提供证书，协助个人在网上安全操作电子交易个人数字证书是向浏览器申请获得的J,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核算后，就发给个人数字证书，并安顿在顾客所用的浏览器或电子邮件的应用系统中，同步也给申请者发一种告知企业证书，就是服务器证书Server ID,是对网上服务器提供的I一种证书，拥有Web服务器日勺企业可以用品有证书的IInternet网站Web Site来做安全的电子交易软件证书一般是为网上下载的软件提供证书，证明该软件的合法性对于一种大型区I应用环境，人证中心往往采用一种多层次的分级构造，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心H勺证书，最下一级日勺认证中心直接面向最终顾客电子商务交易安全协议

2.5安全套接层协议安全套层协议secure socketslayer,英语缩写为SSL协议，它是由网景Netscape企业1994年推出的一种安全通信协议，是对计算机之间整个会话进行加密日勺协议，提供了加密、认证服务和报文完整性它可以对信用卡和个人信息提供较强的保护SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完毕需要的I安全交易操作在SSL中，采用了公开密钥和私有密钥两种加密措施SSL安全协议重要提供三方面时服务一是顾客和服务器日勺合法性保证，运用证书技术和可靠日勺第三方CA,可以让客户机和服务器互相识别对方身份为了验证证书持有者是其合法顾客，SSL规定证书的持有者在握手时互相互换数字证书，通过验证来保证对方身份的合法性；二是加密数据以隐藏被传递的数据安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器互换数据之前，先互换SSL初始握手信息在SSL握手信息中采用了多种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性安全套接层协议采用Hash函数和机密共享的措施来提供完整时信息服务，建立客户机与服务器之间的安全通道，使所有通过安全套接层协议处理的业务能所有精确无误地抵达目的I地安全电子交易协议安全电子交易协议Secure ElectronicTransactions,英语缩写为SET协议，它是由是由VISA和MasterCard两大信用卡企业于1997年5月联合推出H勺规范SET是为在线交易设置口勺一种开放日勺、以电子货币为基础的电子付款系统规范SET在保留对客户信用卡认证的前提下，又增长了对商家身份的I认证SET是一种非常复杂的协议，由于它非常详细而精确地反应了卡交易各方之间存在的多种关系SET还定义了加密信息H勺格式和完毕一笔卡支付交易过程中各方传播信息的1规则在基于SET的电子商务交易系统中，重要包括的I参与者有持卡者，它是指付款卡在网络上实现支付欧I顾客，按照在线商店的规定填写定货单，用发卡银行的I信用卡付款发卡银行，它是指发行信用卡给给持卡者的信用机构，并在持卡者申请SET数字证书时，对持卡者进行核算在线商店，它是指在网络上提供商品销售服务的服务提供者，提供商品或服务，具有使用对应电子货币的条件收单银行，通过支付网关处理消费者与在线商店之间的交易付款支付网关，它重要实现支付信息从internet到银行内部网络的转换，并对商家和持卡者进行认证CA认证中心，它是基于SET电子商务体系构造中，负责确认交易对方日勺身份和信誉度，以及对消费者的支付手段认证SET协议在安全性上的体现只要在于，它保证电子商务参与者信息H勺互相隔离，客户的I资料加密或打包后通过商家抵达银行，但商家不能看到客户的I帐号信息；它保证信息在internet上安全传播，防止信息数据被黑客或者内部人员窃取；它处理了多方的认证问题，不仅要消费者的信用卡认证，并且要对在线商店的信誉度认证；它保证网上交易时实时性，所有的支付过程都在线完毕的安全超文本传播协议安全超文本传播协议Secure HyperTextTransferProtocol,英语缩写为S-它依托密钥的加密，保证Web站点间的互换信息传播的安全性S对HT-TP日勺安全性进行了扩充，增长了报文的安全性，是基于SSL技术的J该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施安全交易技术协议安全交易技术协议Secure TransactionTechnology,英语缩写STT协议是由Microsoft企业提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力安全协议的现实状况和展望ISSL协议是国际上最早应用电子商务的一种网络安全协议，在某些发达国家有许多网上商店至今仍在使用在美国几乎所有提供安全交易时在线网址都是靠网景企业的SSL提供安全交易，SSL保护使用公钥编码方案传播日勺数据不过SSL运行日勺基点是商家对客户信息保密的承诺缺乏客户对商家的认证，在认证交易双方方面几乎无能为力但由于电子商务目前处在初期发展阶段，使用电子商务U勺企业一般是大型企业，其信用度较高这样伴随电子商务的I发展和推广，电子商务的厂商也会大幅度增长，对厂商认证的问题就会越来越突出，SSL欧I缺陷也就暴露出来了SET协议被称为电子商务商家免受欺骗的法宝，因此得到许多电子商务软件厂商的支持在是在国际上处在试用阶段，并无成熟的应用其原因也是多方面的，银行不会为在线信用卡欺骗付费，而商家缺乏推进SET的动机目前已经有34个国家的J150家金融机构参与制定了SET试用方案，相信不远H勺未来SET将在基于internet上H勺电子支付占主导地位基于生物特性的验证

2.6生物测定验证运用个人日勺某些生物特性或行为特性来电子化地验证其身份生物测定阅读器测量生理特性，并将测得的数值与规定值进行比较但这种措施与密码不一样，当在像因特网这样日勺不安全系统中进行通信时:它并没有保护信息日勺能力常用的生物测定技术包括指纹识别，声音识别，书写识别，面容识别，视网膜扫描，手形识别尽管某些生物测定技术具有独特日勺特性，使得它们非常适合于某些特定范围内日勺应用，但这种应用范围是非常狭小的，就生物测定技术自身，它们是局限性以在保障电子商务的安全中全面充当基本验证措施的一一由于其安全性的强度和范围都是非常有限的因此，一般当需要对身份进行尤其强日勺验证时，可以运用生物测定技术来充当基本验证措施的补充，如充当对于数字签名验证时的补充其实，生物测定技术的应用等价于使用专门的口令，只是此类口令与常规的口令不一样，其他人是不能使用的第三章影响电子商务的（社会原因电子商务是一种经济模式，它关系到人们日勺生活经济和国家的经济发展因此电子商务的安全建设不仅仅要靠高超时技术手段，并且还要有一种良好日勺政治法律的保障需要有对应的法律法规来引导和维护电子商务安全的法律保障体系

3.1I重要国家电子商务立法概况美国电子商务的I发展状况代表了世界电子商务发展的I前沿水平1994年1月美国宣布实行国家信息基础设施计划，1997年7月颁布《全球电子商务纲要》，正式形成美国政府系统话电子商务发展政策和立法规则全国统一州法委员会于1999年7月通过了《统一电子交易法》，已经被大多数罩同意生效2023年9月全国统一州法委员会公布了《统一计算机信息交易法》，并向各州推荐采纳我国电子商务立法概况伴随电子商务进程的发展，围绕电子商务的地方规章制定工作也一直在进行，其内容从电子商务经营的工商登记立案，证券等特殊行业的登记许可到CA认证管理，电子商务安全管理等，为我国电子商务发展H勺政策日勺完善作出了奉献地方性的电子商务立法方面，最具有代表性的就是2023年12月6日，广东省颁发了《广东省电子交易条例》，这是我国第一部直接波及电子商务交易日勺地方性法规2023年4月，北京市工商行政管理局公布了《北京市工商管理局网上经营行为立案时通告》，意在将在线经营行为纳入工商管理渠道2023年5月，北京市工商行政管理局又公布了《有关网络广告经营者的经营资格进行规范的公告》，针对网络广告的现实状况，对北京网络广告经营者的经营资格作出规范2023年8月，信息产业部公布了《中国互联网络域名管理措施》，该措施对于保障中国互联网络域名系统安全运行，规范中国互联网络域名系统具有极为重要口勺作用电子商务安全的人文原因

3.2前面已经提到电子商务的安全是制约电子商务发展的关键原因，在不停提供技术手段来保障安全体系日勺同步，我们社会政府乃至每个人也都应当加强对电子商务信息安全H勺对策加紧网络安全专业人才的培养我国需要大批信息安全人才来适应新的网络安全保护形势高素质的人才只有在高水平的研究教育环境中迅速成长，只有在高素质日勺队伍保障中不停提高应当加大对有良好基础的科研教育基地日勺支持和投入，多出人才，多出成果在人才培养中，要重视加强与国外欧I经验技术交流，及时掌握国际上最先进日勺安全防备手段和技术措施，保证在较高层次上处在积极要加强对内部人员的网络安全培训，防止堡垒从内部攻破加强网络安全管理我国网络安全管理除既有的I部门分工外，要建立一种具有高度权威日勺信息安全领导机构只有在中央建立起这样一种组织，才能有效地统

一、协调各部门日勺职能，研究未来趋势，制定宏观政策，实行重大决定对于计算机网络使用单位，要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理措施》，建立本单位、本部门、本系统日勺组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制详细的安全措施如把好顾客入网关、严格设置目录和文献访问的权限，建立对应的属性措施，采用控制台加密封锁，使文献服务器安全可靠；用先进H勺材料技术，如低阻材料或梯性材料将隔离设备屏蔽起来，减少或杜绝重要信息时泄露，防止病毒信息区I入侵；运用现代密码技术，对数据库与重要信息加密；采用防火墙技术，在内部网和外部网的界面上构造保护层提高对网络信息安全重要性的认识信息技术的发展，使网络逐渐渗透到社会的各个领域，在未来的军事和经济竞争与对子商务面临的安全问题身份识别问题

1.1在电子商务的交易中，交易双方也许从未会面，大家都是互联网上日勺两个顾客，对其身份理解不像老式交易模式中好确认假如不进行身份识别，第三方人也许冒充交易者来破坏交易或者冒充一方进行交易黑客为了获取交易双方的商业秘密，资金等信息，常常采用源IP地址欺骗袭击入侵者伪装成源自一台内部主机的一种外部地点传送信息包这些信息包中包具有内部系统的IP地址，在E-mail服务器使用报文传播代理message transferagent,MTA中冒名他人，窃取信息进行身份识别后，双方可以不必紧张交易受骗同步减少交易过程中的疑虑，增长安全度信息保密问题L280年代对信息安全理解为信息保密，90年代认识到除了保密以外，尚有完整性，尚有系统的可用性在电子商务交易的过程中有信息泄露和信息被篡改的问题，信息泄露包括两个方面；交易双方日勺信息被第三方窃取，一方传给另一方的文献信息被第三方非法使用信息被篡改就使交易过程中的文献失去了完整性和真实性信息传递问题

1.3信息在网络上传递时，要通过多种环节和渠道由于计算机技术发展的迅速，原有的病毒防备技术、加密技术、防火墙技术等一直存在着被新技术袭击日勺也许性计算机病毒H勺侵袭、“黑客”的非法侵入、线路窃听等很轻易使重要数据在传递过程中泄露，从而威胁抗中，因网络H勺瓦解而促成所有或局部H勺失败，决非不也许我们在思想上要把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念我国公民中日勺大多数人还是“机盲”、“网盲”，另有许多人仅懂得某些有关网络日勺肤浅知识，或仅会进行简朴的计算机操作，对网络安全没有深刻认识应当以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能建立网络风险防备机制网络建设与经营中，由于安全技术滞后、道德规范苍白、法律疲软等原因，往往会使网络经营陷于困境，这就必须建立网络风险防备机制为网络安全而产生的防止和规避风险的措施有多种，但总的来讲不外乎危险产生前时防止、危险发生中的I克制和危险发生后的补救有学者提议，网络经营者可以在保险标口勺范围内容许标保日勺财产进行标保，并在出险后进行理赔建设网络安全研究基地应当把我国既有的从事信息安全研究、应用的人才很好地组织起来，为他们发明更优良的工作学习环境，调动他们在信息安全创新中的积极性一是要贯彻有关政策，在收入、福利、住房、职称等方面采用优惠政策；二是在他们的J科研立项、科研经费方面采用倾斜措施；三是发明有助于研究的硬环境，如仪器、设备等；四是提供学习交流的机会结论做为一种全新的商务模式，电子商务将对人类的生产，生活带来重要的影响电子商务技术是电子商务赖以生存欧I基础，包括计算机和网络技术，电子商务必须依赖有关的安全原则和技术原则H勺规范伴随电子商务H勺深入发展，电子商务的安全体系肯定也会更完善除了上述所简介欧I手法以外，我相信会有更先进，更安全技术的技术问世足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚参照文献1,杨天宇《电子商务概论》复旦大学出版社2023年1月2,杨坚争《电子商务基础与应用》西安电子科技大学出版社2023年9月3,张爱菊《电子商务安全技术》青华大学出版社2023年12月4,屈武江《电子商务安全与支付技术》人民大学出版社2023年9月5,赵廷超《电子商务发展汇报》重庆大学出版社2023年2月6,胡伟雄《电子商务安全认证系统》华中师范大学出版社2023年7月7,王锋《电子商务交易风险与安全保障》科学出版社2023年8月8,肖德琴《电子商务安全保密技术与应用》华南理工大学出版社2023年9月附录数字签名算法，1991年8月，美国国标技术局（NIST）公布了其所提议的I数字签名原则（DSS）,向社会征求意见，该原则定义了数字签名算法（DSA）通过公众的评议，并作了少许改善后，1994年，DSS初次作为联邦信息处理原则（FIPS）对外公布DSA基于的是与RSA不一样的数学问题离散对数问题，其困难之处在于要在有限域内进行数学取嘉日勺逆操作美国联邦信息处理原则186-2中对数字签名算法（DSA）作了详尽的规定数字签名算法是一种单向不可逆日勺公开密钥系统，其安全性取决于离散对数日勺计算难度数字签名算法令y=gx mod p其中p是质数，g中p的模数序列中较大的一种元素有了g、x和p,可以很轻易地计算出y；但给出y、g和p,要计算x则极为困难这就为公开密钥系统奠定了基础，其中y就是公开密钥，x则是私有密钥该系统中用到3个整数p、q和g,可对组内的所有顾客公开模数p为质数，其范围在512至1024位之间q是不大于160位的J一种质数，为p-1H勺因子而g是这样确定阶（）g-j[p-l/q]mod p其中j为任意整数，其范围是ljvp,故jq]mod pl对于某一种确定口勺发送方来说，私有密钥x是随机选定的，且lxvq而公开密钥y则是根据上述公式计算得来日勺运用DSA进行数字签名时、签名者首先用散列函数生成一种待签名日勺信息摘要，然后由DSA签名算法运用私有密钥x对该摘要进行处理，形成两个由160位数字r和s构成的签名数据，该签名信息与原始的发送信息一起保留或发送例如，要对摘要为h H勺信息进行签名顾客可随机选择一种整数k0kq,并进行下列计算r=gk modp modqs=k-1h+xr modq其中k是模数为q的k的反函数,BPk-1kmod q=l,且0kvqi与s这一对数字构成了对信息的签名为了验证所接受到时相伴摘要日的签名信息「和s、接受方首先要检查r与+日勺取值与否满足0rq和0sq的条件只要其中叫任何一种条件得不到满足，系统就会拒收签名若条件所有满足，接受方就可以根据s、和h，的J值来计算数值V若v等于签名中“则验证了签名是对的日勺vH勺计算过程如下w=s-1mod qul=h wmod qu2=rw modqv=gulyu2modpmod qRSA算法，目前著名的公开密钥加密系统是于1977年由美国麻省理工学院日勺三位专家RonaldRivest AdiShamir LeonardAdleman联合发明的I,因此一般把三位专家姓名的J首位字母结合起来，称其为RSA加密算法RSA算法是一种可逆的公开密钥加密系统它是通过一种称为公共模数的数字来形成公开密钥H勺，公共模数是通过两个形成私人密钥两个质数H勺乘数来获得的一种RSA密钥对是这样计算口勺选择一种整数e作为公共指数，再任选两个很大的I质数p和q,它们满足如下条件即（p-1）与e没有公约数，（q-l）与e也没有公约数公共模数n是p与q日勺乘积，即n=pq由n和e共同构成公开密钥然后确定一种私有指数d,使（de-1）可被（p-1）和（q-l）整除由n和d（或者p,q和d）共同构成私有密钥公共指数和私有指数极为重要，根据模数算法，d是e欧I反函数也就是说，对于任意的信息M,有（Me）dmod n=M mod n对信息乂的加密过程波及对M，modn的I计算只要懂得了公开密钥，即n和e,就可以加密而解密信息M’的过程波及对Mdmod n的计算，这时需要使用私有密钥电子商务交易的安全此外多种外界H勺物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都也许影响到数据的1真实性和完整性第二章电子商务的安全技术和安全原因电子商务时开展在安全面上还存在诸多问题面对电子商务中形形色色的I安全漏洞，我们必须要采用对应日勺措施来保障电子商务活动的安全进行安全问题是企业应用电子商务最紧张的问题，而怎样保障电子商务活动欧J安全，将一直是电子商务的关键研究领域下面就着重探讨电子商务口勺安全技术防火墙技术

2.1防火墙是在内部网与外部网之间实行安全防备的I系统，可被认为是一种访问控制机制，用于确定哪些内部服务容许外部访问，以及容许哪些外部服务访问内部服务应予以尤其注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的I组合，它是安全方略的一种部分安全方略建立了全方位的防御体系来保护机构的信息资源，这种安全方略应包括规定的网络访问、服务访问、当地和远地的I顾客认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等所有有也许受到网络袭击的I地方都必须以同样安全级别加以保护仅设置防火墙系统，而没有全面的安全方略，那么防火墙就形同虚设实现防火墙技术的技术包括四大类网络级防火墙，应用级网关，电路级网关和规则检查防火墙1;网络级防火墙网络级防火墙一般是基于源地址和目的地址，应用或协议以及每个IP包的端口来作出通过与否的判断它可以动态检查流过口勺TCP/IP报文头，检查报文头中日勺报文类型，源IP地址，目日勺IP地址，源端口，协议端口等，把信息同规则表进行比较，在规则表中定义的多种规则来表明与否同意或拒绝包的通过包过滤型防火墙检查每一条规则直至发现包中H勺信息与某规则相符，假如没有一条规则相符合，防火墙将丢弃该包2；应用级网关应用级网关也叫代理服务器，它隔离在外部网与内部网之间，内外不能直接交互数据，数据互换由代理服务器“代理”完毕代理服务器比单一的包过滤型防火墙更为可靠，内部客户感觉不到他的存在，可以自由访问外部站点，代理服务器对提供的服务会产生一种详细的记录，假如发现非法入侵会及时报警，这一点非常重要3；电路级网关电路级网关又称线路及网关，它工作在会话层它在两个主机初次建立TCP连接时创立一种电子屏障它作为服务器接受外来祈求，转发祈求与被保护的主机连接时则担当客户机角色，起代理服务的作用电路级网关的安全性比较高，但它仍不能检查应用层的数据包以消除应用层袭击时威胁4；规则检查防火墙该防火墙结合了网络级防火墙，应用级网关，电路级网关的特点它同包过滤防火墙同样，规则检查放火墙可以在OSI网络层上通过IP地址和端口号，过滤进出的数据包它也像电路级网关同样，可以检查相连接主机所互换时数字信息与否逻辑有序当然它也能像应用级网关同样，OSI应用层上减产数据包H勺内容，查看这些内若可以与否符合企业网络H勺安全规则防火墙技术的长处诸多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险；二是可以提供对系统日勺访问控制；三是可以阻击袭击者获取袭击网络系统的有用信息；四是防火墙还可以记录与记录通过它的网络通信，提供有关网络使用日勺记录数据，根据记录数据来判断也许的袭击和探测；五是防火墙提供制定与执行网络安全方略的手段，它可以对企业内部网实现集中H勺安全管理防火墙技术的局限性有三一是防火墙不能防止绕过防火墙的袭击；二是防火墙经不起人为原因的袭击由于防火墙对网络安全实行单点控制，因此也许受到黑客日勺袭击；三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的袭虚拟专用网络

2.2虚拟专用网络是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全日勺通道，是目前相对而言最适合进行电子商务的形式在虚拟专用网络中交易的双方比较熟悉，并且彼此之间的数据通信量很大只要交易双方获得一致，在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务日勺安全数据加密技术

2.3数据加密技术是网络中最基本的安全技术，重要是通过对网络中传播H勺信息进行数据加密来保障其安全性所谓加密，就是将有关信息进行编码使它成为一种不可理解的形式加密后的内容叫做密文加密技术能防止多种存储介质上的I或通过internet传诵的敏感数据被侵袭者窃取这是一种积极安全防御方略，用很小的代价即可为信息提供相称大的安全保护一般的数据加密是采用数学措施对原始信息进行在组织，使时加密后在网络上公开传播的内容对于非法接受者来说成为无意义H勺文字，而对于合法接受者来说，由于掌握对的I的密钥，可以通过解密过程得到原始的数据假如按长收发双方的密钥与否相似来分类，可以将加密技术提成为对称密钥加密技术和非对称密钥加密技术对称密钥加密技术对称密钥加密技术运用一种密钥对数据进行加密，对方接受到数据后，需要用同一密钥来进行解密对称加密系统早在20世纪70年代就开始在商业网络中运用了，其特点是数据的发送方和接受方使用欧I是同一把私有密钥，即把明文加密成密文和把密文解密成明文用的是同一把私有密对称密钥加密技术中最具有代表性H勺算法是IBM企业提出的DES算法加密过程如下图DES重要是运用交乘加解密器日勺设计原理数据加密日勺技巧，就是将原始数据打散打乱，让他人很难组合起原始数据，相对也就能提高保密的效果DES措施日勺加密可分为16回合，每一种回合都将上一种回合打散日勺数据在打散依次，每一回合相称于在原始数据上加了一把锁，最终总共加了16把锁锁加的越多，相对于保密性就越高，这也就是交乘加解密器日勺原理图对称加密技术DES解密过程和加密过程相似，但生成16个密钥的次序恰好相反尽管在破译DES方面获得了许多进展，但至今仍未能找到比穷举搜索法更有效的措施1997年1月，美国RSA数据安全企业的其安整年会上举行了一种密钥挑战竞赛，曾悬赏1万美圆破译长度为56Bit欧I DES算法美国克罗拉多州0tl一种程序员用了96天欧J时间，在internet数万名志愿者的协同工作下，成功H勺找到了DES H勺密钥，获得了RSA企业措施的1万美圆的奖励这一事件表明依托internet的1分布式计算能力，用穷举搜索法译DES已成为也许，从而使人们认识到伴随计算机能力日勺增长，必须对应日勺增长算法的密钥的长度DES实现轻易，使用以便，最重要日勺长处在于加密速度快，其重要的弱点在于密钥数量大，管理困难，密钥日勺传播过程必须绝对的安全，一旦密钥泄露则直接影响到信息的安全性对称密码技术的重要缺陷是通信双方在进行通信之前需要通过一种安全信道事先互换密钥，这在实际应用中一般是非常困难的假如事先约定密钥，则进行网络通信的每个人都要保留其他人的密钥，这将是密钥管理变的非常困难非对称密钥加密技术非对称密钥技术又叫公开密钥技术这种算法需要采用两个在数学上有关的密钥对--公开密钥和私有密钥来对信息进行加解密公开密钥加密技术是在1976年由斯坦福大学日勺Whitfield Diffie和Martin Hellman提出来H勺与对称加密系统相比，公开密钥加密技术需要使用一对有关日勺密钥一种用来加密，另一种用来解密该技术H勺设想是，密钥对是与对应的系统联络在一起的，其中私有密钥是由系统所保密持有日勺，而公开密钥则是公开的I,但懂得公开密钥并不能推断出私有密钥在公开的密钥系统中，加密密钥是公开的，加密算法和解密算法也是公开的，只有解密密钥是需要保密H勺用加密密钥对明文加密后，在用解密密钥解密，即可恢复明文并且加密也解密的运算是可以对调的，加密密钥不能用来解密交易双方运用该方案实现机密信息互换口勺过程如下:1,交易方甲生成一对密钥，将其中的一把作为公开密钥向其他交易方公开2,得到了公开密钥时交易乙方使用该密钥对机密信息进行加密后在发送给交易方甲3,交易方甲在用自己保留的另一把私有密钥对加密后的信息惊醒解密4,交易方甲只能用私有密钥解密由其公开密钥加密后H勺任何信息RSA即Rivest,Shamir Adleman算法是非对称加密领域内最为著名H勺算法，不过它存在的重要问题是算法的运算速度较慢，产生的密钥很麻烦，最快的状况DES也比其快上100倍，因此这种技术一般只用于少许信息加密国际数据加密算法国际数据加密算法IDEA是瑞士的著名学者提出H勺它在1990年正式公布并在后来得到增强这种算法是在DES算法的基础上发展出来的，类似于三重DES发展IDEA也是由于感到DES具有密钥太短等缺陷，已通过时IDEA日勺密钥为128位，这样长时密钥在此后若干年内应当是安全日勺类似于DES,IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整附加密密钥中生成日勺一种子密钥与DES时不一样处在于，它采用软件实现和采用硬件实现同样迅速由于IDEA是在美国之外提出并发展起来时，避开了美国法律上对加密技术日勺诸多限制，因此，有关IDEA算法和实现技术的书籍都可以自由出版和交流，可极大地增进IDEA H勺发展和完善但由于该算法出现的时间不长，针对它的袭击也还不多，尚未通过较长时间的考验因此，尚不能判断出它的优势和缺陷认证技术

2.4信息认证的目的信息的认证是安全性的J很重要的一种方面，信息H勺认证包括如下几种方面b可信性，信息欧I来源是可信的I,是指接受信息者可以确认所获得的信息不是由冒充着所发出的2,完整性，规定信息在传送过程中保持其完整，指信息接受者可以确认所获得的I信息在传播过程中没有被修改，延迟和替代3,不可抵赖性，规定信息日勺发送者不能否认自己所发出日勺信息，同样，信息日勺接受者不能否认已受到的信息4,访问控制，拒绝非法顾客访问系统资源，合法顾客只能访问系统的授权和指定日勺资源数字签名数字签名Digital Signature技术是将摘要用发送者的私钥加密，与原文一起传送给接受者接受者只有用发送者的公钥才能解密被加密欧I摘要在电子商务安全保密系统中，数字签名技术有着尤其重要的J地位，在电子商务安全服务中日勺源鉴别、完整性服务、不可否认服务中都要用到数字签名技术在书面文献上签名是确认文献的一种手段，其作用有两点，一是由于自己的签名难以否认，从而确认文献已签订这一事实；二是由于签名不易仿冒，从而确定了文献是真H勺这一事实数字签名与书面签名有相似相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改这样，数字签名就可用来防止电子信息因易于修改而有人作伪；冒用他人名义发送信息；发出收到信件后又加以否。