第四章 电子商务安全.pptVIP

电子商务概论 武汉理工大学出版社 第四章 电子商务安全 1.电子商务安全概述 2.电子商务安全技术 3.电子商务安全协议 4.电子商务安全策略和管理 “黑客”是Hacker的音译，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。 现在黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。即指那些利用系统安全漏洞对网络进行攻击破坏或偷阅、篡改或窃取他人机密数据资料，甚至在电脑网络上进行犯罪活动的人，或者是指利用通信软件，通过网络非法进入他人系统，截获或篡改他人计算机数据，危害信息安全的电脑入侵者。 电子商务是基于计算机网络之上的，要确保电子商务交易的安全，在电子商务的应用过程中要满足以下六个方面的需求： （一）信息的保密性 （二）信息的完整性 （三）信息的有效性 （四）信息的不可否认性 （五）交易身份的真实性 （六）系统的可靠性 （一）网络系统的安全威胁： 1. 身份窃取：指用户的身份在通信时被他人非法截取。 2. 非授权访问：指对网络设备及信息资源进行非正常使用或越权使用等。 3. 冒充合法用户：主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。 4. 数据窃取：指非法用户截取通信网络中的某些重要信息。 5.数据流分析：指分析通信线路中的信息流向、流量和流速等，从中获得有用信息。 6. 破坏数据的完整性：指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 7. 否认：指通信的双方有一方事后否认曾参与某次活动。 8. 拒绝服务：指通信被终止或实时操作被延迟。 9. 干扰系统正常运行：指改变系统的正常运行方法，减慢系统的响应时间等手段。 10. 病毒与恶意攻击：指通过网络传播病毒或恶意Java，Active X等。 电子商务系统安全威胁 1．窃取信息：由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。 2．篡改信息：当入侵者掌握了信息的格式和规律后，可以通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。 3．假冒：由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远程用户通常很难分辨。 4．恶意破坏：由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。 5．电子货币丢失：可能是物理破坏，或者被偷窃，通常会给用户带来不可挽回的损失。 6．非法存取：指未经授权者进入计算机系统中存取数据的情形，或合法授权者另有其他目的地使用系统。 7．欺诈：攻击者伪造数据或通信程序以窃取机密信息，例如，安装伪造的服务器系统以欺骗使用者主动泄露机密。 8．拒绝服务：攻击者造成合法使用者存取信息时被拒绝的情况。 9．否认：交易双方之一方在交易后，否认该交易曾经发生，或曾授权进行此交易的事实。 加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户获取和理解原始数据，从而确保数据的保密性。 加密、解密、密钥、加密算法概念。 （一）对称密钥加密体制 是指在对信息的加密和解密过程中使用相同的密钥。或者，加密和解密的密钥虽然不同，但可以由其中一个推导出另一个。 对称密钥加密算法的代表是数据加密标准DES（Data Encryption Standard和国际数据加密算法（1DEA）。 1．DES加密算法 DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位作为奇偶校验，有效的密码长度为56位。 2．对称密码体制的特点 对称密钥密码使用的加密算法比较简便高效，密钥简短，破译极其困难。存在的问题是： （1）密钥难于安全传递。 （2）密钥量太大，难以进行管理。 （3）无法满足互不相识的人进行私人谈话时的保密性要求。 （4）难以解决数字签名验证的问题。 （二）公开密钥密码体制 公开密钥密码体制是现代密码学的最重要的发明和进展。它是将加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，并使得由加密密钥推导出解密密钥（或由解密密钥推导出加密密钥）在计算上是不可行的。 公开密钥加密方法的典型代表是RSA算法。 1．RSA算法 RSA算法是1978年由RonRivest，AdiShamir和LeonardAdlemail三人发明的，所以该算法以三个发明者名字的首字母命名为RSA。RSA是第一个既能用于数据加密，也能用于数字签名的算法，但RSA的安全性一直未能得到理论上的证明。 2．公开密钥密码体制的特点 （1）密钥分配简单。 （2）密钥的保存量少。 （3）