第5章_电子商务的安全.ppt

5.1.1 电子商务安全要素 1、信息的必威体育官网网址性 2、信息的完整性 3、信息的即需性 4、信息的不可抵赖性 5、交易身份的真实性 6、系统的可靠性 5.1.2 电子商务系统存在的安全隐患 对电子商务安全的威胁主要来自 硬件系统 软件系统 人为破坏 人为破坏 病毒（viruses） 黑客行为（Hacker） 病 毒 病毒的分类(按寄生方式) 引导型病毒 文件型病毒 复合型病毒 宏病毒 典型病毒 CIH VBS.LoveLetter 冲击波 如何防范病毒？ 杀毒软件 浏览器的安全级别 邮件附件 不明链接 下载软件 及时升级软件 黑 客 对网络的蓄意破坏，也就是熟知的“黑客”行为，是电子商务安全的又一严重威胁。 由于互联网赖以存在的TCP/IP协议在最初设计时就缺乏安全考虑，而计算机的操作系统和软件也都或多或少隐藏着安全漏洞和“后门”，这些缺陷为技术精湛的“黑客”们提供了大显身手的舞台。 2000年2月7日上午10点半，Yahoo！遭到黑客攻击，蒙受了停机3个小时的耻辱。2月8日，最大的网络零售商Buy．com受到攻击，服务器陷于瘫痪。5个半小时之后，eBay也遭到攻击，服务器停机持续了整整一个下午。几乎与此同时，Amazon和著名的有线新闻网站CNN．com也未能幸免于难。在35个小时之内，网站排名名列前茅的公司几乎全部罹难。2月8日下午4：20，新浪被袭，直到第二天下午才恢复正常。 据统计，这次黑客的大规模攻击给这些美国的大型商业网站造成了惊人的损失，在情况最严重的2月9日，全美因特网的运行性能下降了26.8%。在2月7、8、9日这短短的三天里，这些受害公司的损失就超过了10亿美元，其中单营销和广告收入一项就高达1亿美元。 据悉，这次大规模攻击使用的是一种叫“分布式拒绝服务”的新方法。 什么是拒绝服务？ “拒绝服务”是又一种令电子商务企业深感苦恼的安全问题。由于某种外界破坏，导致系统无法完成应有的网络服务项目 （例如电子邮件或是联机功能等），即称为“拒绝服务” 问题。此类破坏虽未直接威胁到信息的安全，然而企业却往往需要耗费大量时间和精力来弥补错误，以恢复正常的服务。而在此期间，许多商机白白错过了，企业的商誉和形象也会大打折扣。 分布式拒绝服务 密码学概述 密码学是数学、计算机科学、电子与通信等多学科相融合的科学。密码技术既具有信息的必威体育官网网址性功能，也可以保证信息的完整性和有效性，既可以防止信息的泄密，也可以防止信息被修改、删除或假冒。 密码编码学：密码体制设计 密码分析学：密码体制破译 密码学举例 加密、解密、算法、密钥 a, b, c, d, …, w, x, y, z E,F, G,H, …, Z,A,B,C,D 明文：How are you ——〉密文： LSAEVICSY 算法：S=M+K 密钥: K=4 对称加密 对称加密算法（DES） DES（data encryption standard）是著名的对称加密算法。 DES算法原是IBM公司为保护产品机密于1971年至1972年研制成功的， 被美国国家标准局和国家安全局选为联邦信息标准中的一项，并于1977年颁布使用。 83年ISO也已将DES作为数据加密标准。 DES原理 加密时，先对64比特长的明文块（8行8列）进行初始置换，然后将其分割成左右各32比特长的子块，经过16次迭代，进行循环移位与变换，最后再进行逆变换得出64比特长的密文。 对称加密（DES） 数据加密标准DES的密钥为56位， 97年、98年分别被攻破，一重DES已经不再保证安全，三重加密（Triple DES）为DES的改进，密钥为128位，三重DES仍在广泛使用。 优点：适用于一对一的信息交换，加密速度快。 缺点：密钥的传递和管理困难，不适于大量用户的情况，因此不适于EC。 是PKI（Public-Key Infrastructure）的基础. 最常用的算法是RSA，RSA由Ron Rivest, Adi Shamir, Leonard Adleman于1977年针对加密及认证功能而提出的。 两种加密方法比较 两种加密方法密钥数比较 10方通信：A、B、C、D、E、F、G、H、I、J 对称密钥系统： 需要密钥发布 (A,B,1)；(A,C,2)；(A,D,3)；(A,E,4)；(B,C,5)…。10*9/2=45对密钥 A用1加密，B用1解密 B用1加密，A用1解密 公开密钥系统： 一个密钥公开，另一个秘密 (A1,A2)，(B1,B2)，(C1,C2)，(D1,D2)…10对密钥 A用A1加密，B用A2解密、C用A2解密… B用A2加密，A用A1解密 1.公钥基础设施(PKI)概述 PK