第4章电子商务安全技术.ppt

第4章 电子商务安全技术 第4章 电子商务安全技术 经济与管理学院 韩海雯 4.1 电子商务安全概述 电子商务安全所面临的威胁 : 一是对客户信息的安全威胁 二是对传输链路的安全威胁 三是对电子商务服务器的安全威胁 客户信息的安全威胁 （1）活动页面 嵌套在HTML中的程序，也将构成客户信息安全的重大威胁。远程客户可以通过嵌套的恶意程序，读取用户页面的信息，甚至是保留在Cookie程序中的信用卡用户及密码信息。 （2）浏览器的插件 但如果是一些无数字证书，或者是一些不健康的网站的插件，通常带有安全的威胁。这些插件中可能会有病毒，会有恶意攻击程序，会改写你的注册表等等。 传输信道的安全威胁 （1）窃听：随着科学技术的不断发展，窃听的涵义早已超出隔墙偷听、截听电话的概念，它是指借助于技术设备、技术手段，不仅窃取语音信息，还窃取数据、文字、图象等信息。 （2）中断：在通信过程中，通信双方受到第三方干扰，造成通信中断。 （3）篡改：在通信过程中，第三方截获信息并修改了交易双方的内容。 （4）伪造：在通信过程中，第三放伪造交易双方的身份进行交易。 电子商务服务器的安全威胁 （1）系统安全。 （2）数据库系统的安全 电子商务安全的需求 1.必威体育官网网址性 必威体育官网网址性一般通过加密技术对传输的信息进行加密处理来实现，常用的加密技术有对称加密和非对称加密 2.完整性 完整性一般可通过散列算法提取信息的数据摘要的方式来进行对比验证得到。 3.不可抵赖性 不可抵赖性可通过对发送的消息进行数字签名来获取 电子商务安全的内容 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的必威体育官网网址性、完整性、可鉴别性、不可伪造性和不可抵赖性。 4.2 加密技术 由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码进行破译。 现在常用的加密方法按加密程序类型分为三类：散列编码、对称加密和非对称加密 如： （1）“我们7月30号去旅游”——AD3D3DFVAF （2）一个实现算法： input?=?Let?us?meet?at ?9?o?clock?at?the?secret?place.; $hash?=?mhash(MHASH_SHA1,?$input);print?散列值为?.bin2hex($hash).\n; 散列值为 d3b85d710d8f6e4e5efd4d5e67d041f9cecedafe (2)对称密钥加密体制 也叫私有密钥加密，只用一个密钥对信息进行加密与解密，发送者与接收者都必须知道密钥。对称密钥密码技术要求加密解密双方拥有相同的密钥。 对称密钥密码技术的代表是数据加密标准DES（Data Encryption Standard），这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，作为商用的数据加密标准。DES的公布在密码学发展过程中具有重要意义，并且至今仍得到普遍采用。 DES加密的主要步骤： 加密前，先对整个的明文进行分组，每一个组长64位 使用密钥64位（实际56位，8位用于奇偶校验） 对每一个64位分组进行加密处理，产生一组64位密文数据 将各组密文串接起来，得出整个的密文 DES的必威体育官网网址性取决于对密钥的必威体育官网网址,而算法是公开的。 对称密钥加密体制 (3)非对称密钥加密体制 公钥密钥加密体制对当代密码学的发展具有重要影响。当网络用户数很多时，对称密钥的管理十分繁琐，而公钥密码的密钥管理则可大大简化。 也称公钥密钥加密，它用两个数学相关的密钥对信息进行编码，其中一个叫公开密钥（Public-Key），可随意发给期望同密钥持有者进行安全通信的人；第二个密钥是私有密钥（Private-Key），由用户自己秘密保存，私有密钥持有者对信息进行解密。现代密码算法将加密密钥与解密密钥区分开来，且由加密密钥事实上求不出解密密钥。 公钥密码体制的代表是RSA公钥密码，是由三位发明者姓名（Rivest，Shamir，Adleman）的第一个字母联合构成的。 RSA公钥密码(1) 加密密钥Pk （公开密钥）是公开信息，而解密密钥Sk（秘密密钥）是需要必威体育官网网址的。加密算法和解密算法也都是公开的。 特点如下: 发送者用加密密钥Pk对明文X加密后，