第3章电子商务安全技术选读.ppt

第三章 电子商务安全技术 电子商务安全现状 2011年7月，中国互联网络信息中心发布的《2010年中国网民网络信息安全状况调查报告》：2010年我国60%网民曾遭遇过网络安全事件；超过九成网民均碰到过网络钓鱼网站，77.5%是因为在网络下载或浏览时遭遇病毒或木马的攻击。 黑客产业的攻击重心在2011年逐渐转向社交和网购应用。其中，聊天、交友、微博等社交网络的好友列表成为木马和钓鱼网站的主力传播通道。 2010年，钓鱼网站、木马等威胁已经给网络购物用户造成超过150亿元的损失 安博士2011年上半年10大网络安全威胁趋势 1. 企业是网络恶意攻击的主要对象 2. 网上银行攻击频繁 3.移动恶意代码发威 4.恶意软件泛滥 5.垃圾邮件和网络欺骗立足“社交网络”6.日益诡诈的钓鱼网站 7.即时通讯成为恶意链接的温床 钓鱼网站 钓鱼网站是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的网址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的网页代码，以此来骗取用户银行或信用卡账号、密码等私人资料。 特点： 1、成本低：制作一个钓鱼网站成本只有几十元 ，域名也大多可以免费申请 2、周期短：3-5天，被识破后，又将网页内容切换到另一域名 3、高伪装性 4、病毒式推广： 电子商务系统安全 1、计算机网络安全 2、电子商务交易安全 计算机网络安全是基础，电子商务交易安全是目标，只有在计算机网络安全的前提下，电子商务交易安全才有可能。 电子商务系统安全技术 电子商务系统安全交易的需求 1、信息的必威体育官网网址性 （信息的部分或全部窃取） 2、信息的完整性 （发送方发送的信息和 接收方收到的信息是完全一样的） 电子商务系统安全交易的需求 3、身份的认证性 （伪造身份） 4、不可否认性 (发送方发送了信息否认 接收方收到了信息抵赖） 5、信息的可靠性 （信息中断、非法访问） 电子商务网络安全威胁 1、物理实体的安全问题 2、自然灾害、意外事故 3、黑客的恶意攻击 4、软件的漏洞和“后门” 5、网络协议的安全漏洞 6、计算机病毒的攻击 电子商务系统安全 1、计算机网络安全 计算机网络设备安全、计算机网络系统安全、数据库安全、应用软件安全等。 2、电子商务交易安全 计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可 加密的概念 用基于数学算法的程序和必威体育官网网址的密钥 对信息进行编码，生成难以理解的字符串。 加密技术的相关概念 明文：加密前的数据称为明文，用M表示。 密文：加密后的数据称为密文，用C表示。 加密：把明文M经过加密算法E和加密密钥Ke 的计算后得到密文C的过程称为加密 解密：把密文C经过解密算法D和解密密钥Kd 的计算后得到明文M的过程称为解密 信息加密技术 信息加密系统模型 加密方法的分类 古代对称加密：恺撒密码（移位加密算法） 对于任意密钥k将明文的每个字母循环后移k位得到密文，例如：设k=3 明文：secure message 密文： 古代对称加密：词组密钥密码 密钥为２６字母的词组，置换规则为： abcdefghijklmnopqrstuvwxyz k=fivestarbcdghjklmnopquwxzy 明文：secure message 密文： 对称加密（私钥加密） ：Ke=Kd 优点 对信息编码和解码的速度快，效率高。 缺点 如何将密钥安全地送给接收方 密文和密钥的传送通常需采用不同的渠道 如何对数量庞大的密钥进行分发、传输和存储。 加密的安全性主要取决于密钥的长度。 常用的现代对称加密算法：DES算法 DES加密算法是由IBM公司在1970年研制的，1977年1月15日由美国国家标准局和美国国家标准协会对外宣布，作为非机密机构（军事机构）的加密标准，用于绝大多数非绝密数据的加密。 是典型的对称加密算法 DES算法在ATM、磁卡及智能卡、加油站、高速公路收费站等领域被广泛应用。 现代加密算法：公钥加密体制 又称非对称加密或双钥加密，它的概念是由美国Stanford大学的Diffie与ellman于1976年提出的。 公钥技术是二十世纪最伟大的思想之一 改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务 公钥加密体制 每个用户都拥有一对密钥：公开密钥和私有密钥。在这种体制中，公开密钥是公开信息，而私有密钥是必威体育官网网址的，需要由用户自己必威体育官网网址。 公钥加密体制 公开密钥体制特点： 1、没有任何两个私有或公开密钥是相同的； 2、一个信息如果用A的私有密钥加密，只能用A的公开密钥才能解密；如果一个信息用A的公开密钥加密，则只能用A的私有密钥才能解密。 3、已