电子商务安全
- 格式:doc
- 大小:642.00 KB
- 文档页数:12
1、电子商务安全要素:真实性、保密性、完整性、不可否认性、可靠性、及时性、不可拒绝性。
2、常用的安全手段:
①保证交易双方身份的真实性:常采用身份认证技术,一般依赖某个可信赖的机构CA发放数字证书,来识别对方;②保证信息的机密性:常采用数据加密和解密技术来保护信息,常用的加密方法有对称密钥加密技术(DES,AES算法),公有密钥加密技术(RSA,ElGamal算法);
③保证信息的完整性:常采用散列函数(Hasb函数)来实现.对信息进行散列算法(MD5,SHA-1和RIPEMD-160),以生成的散列码来证明数据的完整性;④保证信息的真实性和不可否认性
常采用数字签名技术,目的是解决通信双方相互之间可能的欺诈;⑤保证信息存储和传输的安全性:规范内部管理,使用访问控制和日志,以及敏感信息的加密技术等。
3、常用的攻击手段:
第一类是信息收集型攻击,主要采用刺探、扫描和监听技术。方法包括:
(1)地址扫描(2)端口扫描(3)体系结构探测(4)DNS域名转换(5)LDAP轻量目录访问协议服务(6)伪造电子邮件
第二类是利用型攻击,利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。包括口令猜测、特洛伊木马、缓冲区溢出。
第三类是拒绝服务攻击,拒绝服务目的在于使系统瘫痪,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。常见的拒绝服务攻击手段包括:死亡之ping,泪滴,UDP洪水,电子邮件炸弹等.
4、常用的安全技术:
电商安全的要求:可靠性、完整性、保密性、抗否认性、匿名性、原子性、有效性。包括:
(1)加密技术
包括(1)对称密码体制,采用相同的加密算法并只交换公享的专用密钥(加密和解密使用相同的密钥)(2)非对称密码体制,有两个密钥,公有密钥通过非保密的方式向他人公布,而私有密钥由使用者秘密保存(RSA算法和椭圆曲线密码)
(2) 认证技术(数字证书来实现)
认证是以特定的机构,对签名及其签署者的真实性进行验证具有法律意义的服务.与电子签名(侧重身份辨别和文件归属问题,使数据信息不被否认或篡改,主要是技术上的保证)不同,侧重是交易人的可信度问题,主要应用于交易关系的信用安全方面,是组织制度上的保证。
(3) 数字签名
实现对原始报文的鉴别和不可否认性.实现过程:报文发送方从报文文本中采用散列函数生成一个散列值(报文摘要),并用自己的私密对这个散列值进行加密,形成发送方数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给接收方,接收方首先从接收到的原始报文中计算出散列值,再接着用发送方的公有密钥来对报文附加的数字签名进行解密,得到发送方的散列值,若发送方的散列值与计算所得散列值相同,则证明数字签名是发送方的
(4) 防火墙技术
防火墙通过硬件和软件组合而成在Internet和Intranet之间的屏障.是保护企业保密数据和保护网络设施免遭破坏的主要手段之一,可用于防止未授权的用户访问企业内部网,也可用于防止企业内部的保密数据未经授权而发出。即使企业内部网络与因特网相连,也可用防火墙管理用户对内部网中某些部分的访问,保护敏感信息或保密信息。
(5) 虚拟专用网络
①虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。
②虚拟专用网是企业常用的一种安全解决方案,它利用不可靠的公用互联网作为信息传输媒介,通过附加的安全隧道,用户认证和访问控制等技术,实现与专用网相类似的安全性能。
③对于商务网站来说,它是一种理想的性价比较高的安全防护手段,既可以为企业提供类似专用网的安全性,同时又可以为企业节约成本。
(6)身份认证
又称身份识别,是通信和数据系统正确识别通信用户或终端身份的重要途径.主要有:口令认证(如用户名,密码,个人识别码PIN,口令等),持证认证(身份证,信用卡等)和生物识别(指纹,脸像,步态等).
(7) 数字时间戳(DTS)
在电子交易中,需要对交易文件的日期和时间信息采用安全措施,而数字时间戳能提供电子文件发布时间的安全保护. 数字时间戳由专门机构提供,时间戳是一个经加密后形成的凭证文档,它包括需要时间戳的文件的摘要,DTS收到文件的日期时间和DTS的数字签名.
5、国外操作系统安全评估:美国可信计算机安全评估标准(TCSEC),是计算机系统安全评估的第一个正式标准。 TCSEC将计算机系统的安全划分为4个等级、8个级别。
(1) D类安全等级:D类安全等级只包括D1一个安全类别,安全等级最低。D1系统只为文件和用户提供安全保护。最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
(2) C类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统通过将用户和数据分开来达到安全的目的。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责,通过登录过程、安全事件和资源隔离来增强这种控制。
(3) B类安全等级:B类安全等级分为B1、B2、B3三类。B类系统具有强制性保护功能,强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
(4) A类安全等级:目前A类安全等级只包含A1一个安全类别。其显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。
6、国内操作系统安全评估:
《计算机信息安全保护等级划分准则》将计算机信息系统安全保护等级划分为五个级别:
1.用户自主保护级 本级的安全保护机制使用户具备自主安全保护能力,保护用户和用户组信息,避免其他用户对数据的非法读写和破坏。
2.系统审计保护级
本级的安全保护机制具备第一级的所有安全保护功能,并创建、维护访问审计跟踪记录,以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,使所有用户对自己行为的合法性负责。
3.安全标记保护级
本级的安全保护机制有系统审计保护级的所有功能,并为访问者和访问对象指定安全标记,以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
4.结构化保护级
本级具备第3级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构,其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。
5. 安全域级保护级
本级的安全保护机制具备第4级的所有功能,并特别增设访问验证功能,负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。
7、用户安全配置
新建用户:密码有一定长度和复杂度。帐户授权:对不同的帐户进行授权,使其拥有和身份相应的权限。停用Guest用户。系统Administrator账号改名。创建一个陷阱用户。更改默认权限:将共享文件的权限从“Everyone”改成“授权用户。不显示上次登录用户名。限制用户数量。多个管理员账号。开启用户策略 可以有效的防止字典式攻击 。
8、数据加密过程就是通过加密系统把原始的数字数据(明文),按照加密算法变换成与明文完全不同的数字数据(密文)的过程。
加密系统:由算法以及所有可能的明文、密文和密钥组成。
密码算法:密码算法也叫密码(cipher),适用于加密和解密的数学函数 (通常情况下,有两个相关的函数,一个用于加密,一个用于解密)。
明文(plaintext):未被加密的消息。密文(ciphertext):被加密的消息。 加密(encrypt)、解密(decrypt):用某种方法伪装数据以隐藏它原貌的过程称为加密;相反的过程叫解密。
密钥(key):密钥就是参与加密及解密算法的关键数据。没有它明文不能变成密文,密文不能变成明文。
加密密钥 解密密钥
| |
明文 → “加密” → 密文 → “解密” → 明文
9、数字加密算法有很多种,密码算法标准化是信息化社会发展的必然趋势。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段。古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA、背包密码、椭圆曲线等。
目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。
10、替代密码(Substitution Cipher)是使用替代法进行加密所产生的密码。替代密码就是明文中每一个字符被替换成密文中的另外一个字符。接收者对密文进行逆替换就恢复出明文来。替代法加密是用另一个字母表中的字母替代明文中的字母。在替代法加密体制中,使用了密钥字母表。它可以由明文字母表构成,也可以由多个字母表构成。如果是由一个字母表构成的替代密码,称为单表密码。其替代过程是在明文和密码字符之间进行一对一的映射。如果是由多个字母表构成的替代密码,称为多表密码。
1)单表替代密码
单表替代密码的一种典型方法是凯撒(Caesar)密码,又叫循环移位密码。它的加密方法就是把明文中所有字母都用它右边的第k个字母替代,并认为Z后边又是A。这种映射关系表示为如下函数:其中:a表示明文字母;n为字符集中字母个数;k为密钥。
F(a)=(a+k) mod n
除了凯撒密码,在其他的单表替代法中,有的字母表被打乱。
2)多表替代密码
周期替代密码是一种常用的多表替代密码,又称为维吉尼亚密码。这种替代法是循环的使用有限个字母来实现替代的一种方法。若明文信息mlm2m3„mn,采用n个字母(n个字母为B1,B2,„Bn)替代法,那么,ml将根据字母Bn的特征来替代,mn+l又将根据B1的特征来替代„„,如此循环。可见B1,B2,„Bn就是加密的密钥。
这种加密的加密表是以字母表移位为基础把26个英文字母进行循环移位,排列在一起,形成26×26的方阵。该方阵被称为维吉尼亚表。采用的算法为
f(a)=(a+Bi) mod n (i=(1,2,„,n))
3)换位密码是采用移位法进行加密的。它把明文中的字母重新排列,本身不变,但位置变了。如:把明文中的字母的顺序倒过来写,然后以固定长度的字母组发送或记录。
(l)列换位法将明文字符分割成为五个一列的分组并按一组后面跟着另一组的形式排好。(密文纵念)
(2)矩阵换位法这种加密是把明文中的字母按给定的顺序安排在一个矩阵中,然后用另一种顺序选出矩阵的字母来产生密文。