<noframes id="znbxn">

      <form id="znbxn"></form>
      <video id="znbxn"></video>
      <th id="znbxn"></th>

      <listing id="znbxn"><meter id="znbxn"><mark id="znbxn"></mark></meter></listing>

      <menuitem id="znbxn"><font id="znbxn"></font></menuitem>

      <big id="znbxn"></big>

      電子商務安全技術有什么

      宇春1171分享

      信息安全技術在電子商務系統中的作用非常重要,它守護著商家和客戶的重要機密,維護著商務系統的信譽和財產。下面是小編為大家整理的電子商務安全技術有什么,希望能夠幫助到大家!

      防火墻技術

      一、防火墻原理

      作為近年來新興的保護計算機網絡安全技術性措施,防火墻(FireWall)是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。防火墻是一種被動防衛技術,由于它假設了網絡的邊界和服務,因此對內部的非法訪問難以有效地控制,因此,防火墻最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡。

      作為Internet網的安全性保護軟件,FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全,在企業網和Internet間設立FireWall軟件。企業信息系統對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶,則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息,那么就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器上以保護一個子網,也可以安裝在一臺主機上,保護這臺主機不受侵犯。

      二、防火墻的種類

      真正意義下的防火墻有兩類:一類被稱為標準防火墻;一類叫雙家網關。標準防火墻系統包括一個Unix工作站,該工作站的兩端各按一個路由器進行緩沖。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準防火墻使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準防火墻的擴充,雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標準防火墻的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。

      隨著防火墻技術的進步,在雙家網關的基礎上又演化出兩種防火墻配置:一種是隱蔽主機網關;另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的防火墻配置。顧名思義,這種配置一方面將路由器進行隱蔽,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的防火墻當屬隱蔽智能網關。所謂隱蔽智能網是將網關隱藏在公共系統之后,它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之上的保護軟件來進行的。一般來說,這種防火墻是最不容易被破壞的。

      從實現原理上分,防火墻的技術包括四大類:網絡級防火墻(也叫包過濾型防火墻)、應用級網關、電路級網關和規則檢查防火墻。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。

      1.網絡級防火墻

      一般是基于源地址和目的地址、應用或協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。

      防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。

      2.應用級網關

      應用級網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。 在實際工作中,應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟件,使用時工作量大,效率不如網絡級防火墻。

      應用級網關有較好的訪問控制,是目前最安全的防火墻技術,但實現困難,而且有的應用級網關缺乏“透明度”。在實際使用中,用戶在受信任的網絡上通過防火墻訪問Internet時,經常會發現存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。

      3.電路級網關

      電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。

      電路級網關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前,這就引入了代理服務的概念,即防火墻內外計算機系統應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現,這就成功地實現了防火墻內外計算機系統的隔離。同時,代理服務還可用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。

      4.規則檢查防火墻

      該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣,規則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業網絡的安全規則。

      規則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網關的是,它并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。

      三、使用防火墻

      防火墻是企業網安全問題的流行方案,即把公共數據和服務置于防火墻外,使其對防火墻內部資源的訪問受到限制。一般說來,防火墻是不能防病毒的,盡管有不少的防火墻產品聲稱其具有這個功能。防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題,如果延遲太大將無法支持實時服務請求。此外,防火墻采用濾波技術,濾波通常使網絡的性能降低50%以上,如果為了改善網絡性能而購置高速路由器,又會大大提高經濟預算。

      作為一種網絡安全技術,防火墻具有簡單實用的特點,并且透明度高,可以在不修改原有網絡應用系統的情況下達到一定的安全要求。但是,如果防火墻系統被攻破,則被保護的網絡處于無保護狀態。如果一個企業希望在Internet上開展商業活動,與眾多的客戶進行通信,則防火墻不能滿足要求。

      加密與數字簽名

      一、加密

      數據加密技術從技術上的實現分為在軟件和硬件兩方面。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。

      在網絡應用中一般采取兩種加密形式:對稱密鑰和公開密鑰,采用何種加密算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來作出判斷。因為除了加密算法本身之外,密鑰合理分配、加密效率與現有系統的結合性,以及投入產出分析都應在實際環境中具體考慮。

      對于對稱密鑰加密。其常見加密標準為DES等,當使用DES時,用戶和接受方采用64位密鑰對報文加密和解密,當對安全性有特殊要求時,則要采取IDEA和三重DES等。作為傳統企業網絡廣泛應用的加密技術,秘密密鑰效率高,它采用KDC來集中管理和分發密鑰并以此為基礎驗證身份,但是并不適合Internet環境。

      在Internet中使用更多的是公鑰系統。即公開密鑰加密,它的加密密鑰和解密密鑰是不同的。一般對于每個用戶生成一對密鑰后,將其中一個作為公鑰公開,另外一個則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法,加密強度很高。具體作法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數據簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然后與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然后,用發布方公布的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由于加密強度高,而且并不要求通信雙方事先要建立某種信任關系或共享某種秘密,因此十分適合Internet網上使用。

      下面介紹幾種最常見的加密體制的技術實現:

      1.常規密鑰密碼體制

      所謂常規密鑰密碼體制,即加密密鑰與解密密鑰是相同的。

      在早期的常規密鑰密碼體制中,典型的有代替密碼,其原理可以用一個例子來說明:

      將字母a,b,c,d,…,w,x,y,z的自然順序保持不變,但使之與D,E,F,G,…,Z,A,B,C分別對應(即相差3個字符)。若明文為student則對應的密文為VWXGHQW(此時密鑰為3)。

      由于英文字母中各字母出現的頻度早已有人進行過統計,所以根據字母頻度表可以很容易對這種代替密碼進行破譯。

      2.數據加密標準DES

      DES算法原是IBM公司為保護產品的機密于1971年至1972年研制成功的,后被美國國家標準局和國家安全局選為數據加密標準,并于1977年頒布使用。ISO也已將DES作為數據加密標準。

      DES對64位二進制數據加密,產生64位密文數據。使用的密鑰為64位,實際密鑰長度為56位(有8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。

      DES的保密性僅取決于對密鑰的保密,而算法是公開的。DES內部的復雜結構是至今沒有找到捷徑破譯方法的根本原因?,F在DES可由軟件和硬件實現。美國AT&T首先用LSI芯片實現了DES的全部工作模式,該產品稱為數據加密處理機DEP。

      3.公開密鑰密碼體制

      公開密鑰(public key)密碼體制出現于1976年。它最主要的特點就是加密和解密使用不同的密鑰,每個用戶保存著一對密鑰 ? 公開密鑰PK和秘密密鑰SK,因此,這種體制又稱為雙鑰或非對稱密鑰密碼體制。

      在這種體制中,PK是公開信息,用作加密密鑰,而SK需要由用戶自己保密,用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現,但卻不能根據PK計算出SK。公開密鑰算法的特點如下:

      1、用加密密鑰PK對明文X加密后,再用解密密鑰SK解密,即可恢復出明文,或寫為:DSK(EPK(X))=X

      2、加密密鑰不能用來解密,即DPK(EPK(X))≠X

      3、在計算機上可以容易地產生成對的PK和SK。

      4、從已知的PK實際上不可能推導出SK。

      5、加密和解密的運算可以對調,即:EPK(DSK(X))=X

      在公開密鑰密碼體制中,最有名的一種是RSA體制。它已被ISO/TC97的數據加密技術分委員會SC20推薦為公開密鑰數據加密標準。

      二、數字簽名

      數字簽名技術是實現交易安全的核心技術之一,它的實現基礎就是加密技術。在這里,我們介紹數字簽名的基本原理。

      以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:

      接收者能夠核實發送者對報文的簽名;發送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。

      現在已有多種實現各種數字簽名的方法,但采用公開密鑰算法要比常規算法更容易實現。下面就來介紹這種數字簽名。

      發送者A用其秘密解密密鑰SKA對報文X 進行運算,將結果DSKA(X)傳送給接收者B。B用已知的A的公開加密密鑰得出EPKA(DSKA(X))=X。因為除A外沒有別人能具有A的解密密鑰SKA,所以除A外沒有別人能產生密文DSKA(X)。這樣,報文X就被簽名了。

      假若A要抵賴曾發送報文給B。B可將X及DSKA(X)出示給第三者。第三者很容易用PKA去證實A確實發送消息X給B。反之,如果是B將X偽造成X',則B不能在第三者面前出示DSKA(X')。這樣就證明B偽造了報文??梢钥闯?,實現數字簽名也同時實現了對報文來源的鑒別。

      但是上述過程只是對報文進行了簽名。對傳送的報文X本身卻未保密。因為截到密文DSKA(X)并知道發送者身份的任何人,通過查問手冊即可獲得發送者的公開密鑰PKA,因而能夠理解報文內容。則可同時實現秘密通信和數字簽名。SKA和SKB分別為A和B的秘密密鑰,而PKA和PKB分別為A和B的公開密鑰。

      三、密鑰的管理

      對稱密鑰加密方法致命的一個弱點就是它的密鑰管理十分困難,因此它很難在電子商務的實踐中得到廣泛的應用。在這一點上,公開密鑰加密方法占有絕對的優勢。不過,無論實施哪種方案,密鑰的管理都是要考慮的問題。當網絡擴得更大、用戶增加更多時尤其如此。一家專門從事安全性咨詢的公司Cypress Consulting的總裁CyArdoin說:“在所有加密方案中,都必須有人來管理密鑰?!?/p>

      目前,公認的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。每個用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。

      首先,A向KDC申請公開密鑰,將信息(A,B)發給KDC。KDC返回給A的信息為(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB稱為證書(Certificate),分別含有A和B的公開密鑰。KDC使用其解密密鑰SKAS對CA和CB進行了簽名,以防止偽造。時間戳T1和T2的作用是防止重放攻擊。

      最后,A將證書CA和CB傳送給B。B獲得了A的公開密鑰PKA,同時也可檢驗他自己的公開密鑰PKB。

      用戶識別和安全認證

      僅僅加密是不夠的,全面的保護還要求認證和識別。它確保參與加密對話的人確實是其本人。廠家依靠許多機制來實現認證,從安全卡到身份鑒別。前一個安全保護能確保只有經過授權的用戶才能通過個人計算機進行Internet網上的交互式交易;后者則提供一種方法,用它生成某種形式的口令或數字簽名,交易的另一方據此來認證他的交易伙伴。用戶管理的口令通常是前一種安全措施;硬件/軟件解決方案則不僅正逐步成為數字身份認證的手段,同時它也可以被可信第三方用來完成用戶數字身份(ID)的相關確認。

      一、認證和識別的基本原理

      認證就是指用戶必須提供他是誰的證明,他是某個雇員,某個組織的代理、某個軟件過程(如股票交易系統或Web訂貨系統的軟件過程)。認證的標準方法就是弄清楚他是誰,他具有什么特征,他知道什么可用于識別他的東西。比如說,系統中存儲了他的指紋,他接入網絡時,就必須在連接到網絡的電子指紋機上提供他的指紋(這就防止他以假的指紋或其它電子信息欺騙系統),只有指紋相符才允許他訪問系統。更普通的是通過視網膜血管分布圖來識別,原理與指紋識別相同,聲波紋識別也是商業系統采用的一種識別方式。網絡通過用戶擁有什么東西來識別的方法,一般是用智能卡或其它特殊形式的標志,這類標志可以從連接到計算機上的讀出器讀出來。至于說到“他知道什么”,最普通的就是口令,口令具有共享秘密的屬性。例如,要使服務器操作系統識別要入網的用戶,那么用戶必須把他的用戶名和口令送服務器。服務器就將它仍與數據庫里的用戶名和口令進行比較,如果相符,就通過了認證,可以上網訪問。這個口令就由服務器和用戶共享。更保密的認證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環是規程分析儀的竊聽,如果口令以明碼(未加密)傳輸,接入到網上的規程分析儀就會在用戶輸入帳戶和口令時將它記錄下來,任何人只要獲得這些信息就可以上網工作。

      智能卡技術將成為用戶接入和用戶身份認證等安全要求的首選技術。用戶將從持有認證執照的可信發行者手里取得智能卡安全設備,也可從其他公共密鑰密碼安全方案發行者那里獲得。這樣智能卡的讀取器必將成為用戶接入和認證安全解決方案的一個關鍵部分。越來越多的業內人士在積極提供智能卡安全性的解決方案。盡管這一領域的情形還不明朗,但我們沒有理由排除這樣一種可能:在數字ID和相關執照的可信發行者方面,某些經濟組織或由某些銀行擁有的信用卡公司將可能成為這一領域的領導者。

      二、認證的主要方法

      為了解決安全問題,一些公司和機構正千方百計地解決用戶身份認證問題,主要有以下幾種認證辦法。

      1.雙重認證。如波斯頓的Beth Isreal Hospital公司和意大利一家居領導地位的電信公司正采用“雙重認證”辦法來保證用戶的身份證明。也就是說他們不是采用一種方法,而是采用有兩種形式的證明方法,這些證明方法包括令牌、智能卡和仿生裝置,如視網膜或指紋掃描器。

      2.數字證書。這是一種檢驗用戶身份的電子文件,也是企業現在可以使用的一種工具。這種證書可以授權購買,提供更強的訪問控制,并具有很高的安全性和可靠性。隨著電信行業堅持放松管制,GTE已經使用數字證書與其競爭對手(包括Sprint公司和AT&T公司)共享用戶信息。

      3.智能卡。這種解決辦法可以持續較長的時間,并且更加靈活,存儲信息更多,并具有可供選擇的管理方式。

      4.安全電子交易(SET)協議。這是迄今為止最為完整最為權威的電子商務安全保障協議,我們將在第六節做較詳細的討論。


      電子商務安全技術有什么相關文章:

      2021適合男生的熱門專業推薦

      學生假期社會實踐反思報告2021

      985與211分校畢業證書與本部相同嗎

      實習工作個人心得實用總結2021

      2021年度工作心得分析總結范文

      學生實習個人的心得體會2021

      優秀大學生求職個人簡歷2021最新五篇

      個人年度工作總結2022最新

      個人年末工作總結簡短2021

      個人工作指導年度總結2021

        503620
        最新无码在线视频一级大片

            <noframes id="znbxn">

            <form id="znbxn"></form>
            <video id="znbxn"></video>
            <th id="znbxn"></th>

            <listing id="znbxn"><meter id="znbxn"><mark id="znbxn"></mark></meter></listing>

            <menuitem id="znbxn"><font id="znbxn"></font></menuitem>

            <big id="znbxn"></big>