第七章電子商务的安全.doc

电子商务安全 教学内容 7.1 电子商务安全需求 7.1.1 电子商务面临的威胁 7.1.2 电子商务的安全性要求 7.2 电子商务安全技术 7.2.1 加密技术 7.2.2 认证技术 7.2.3 安全协议 7.2.4 防火墙技术 7.3 电子商务安全管理 7.3.1 机构制度管理 7.3.2 风险制度管理 7.3.3 法律制度管理 7.3.4 安全提示 教学目的 1. 了解电子商务面临的安全威胁和电子商务安全管理的政策与法规。 2. 理解电子商务安全管理。 3. 熟悉电子商务安全的目标。 4. 掌握实现电子商务安全的相关技术。 教学重点 1. 电子商务安全的目标 2. 实现电子商务安全的相关技术 教学难点 1. 实现电子商务安全的相关技术 教学方法 讲授法、探究法、案例法 课时数 4课时 引例1：如何避免网络钓鱼攻击获取客户信息 根据英国的一互联网监测公司Netcraft声称，2006年3月12日，中国一家银行的服务器被网络骗子用做网络钓鱼（phishing）网站的主机，以复制美国一些银行和网络零售商的顾客资料。这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。攻击中发出的电子邮件是伪装成摩根大通网上银行的调查，邮件中谎称用户只要填写账号和个人信息后，会收到20美元的辛苦费。那么什么是网络钓鱼攻击？如何识别垃圾邮件及假冒邮件？在发送和接收邮件时应该注意什么？ 引例2：如何预防病毒的危害 2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。卡通化外表的病毒，隐藏着巨大的传染力，短短几个月，“熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。如何预防计算机病毒和网络病毒呢？ 第一节 电子商务的安全目标 电子商务的安全问题安全技术问题法律问题复杂的管理问题（一）（二）间谍软件袭击网络钓鱼信息的保密性信息的完整性信息的不可否认性交易者身份的真实性系统的可靠性 图7.1 对称加密体制的工作过程 2．对称加密体制的优点与缺点 对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实现数字签名和身份验证； 3．对称加密体制的算法 目前，比较常用的对称密钥算法有DES（data encryption standard，数据加密标准）。DES算法是一个对称的分组加密算法。 （二）非对称加密体制 1．非对称加密体制的工作过程 图7.2 非对称加密体制的工作过程 2．非对称加密体制的优点与缺点 非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。 3．非对称加密体制的算法 目前，非对称加密体制的算法使用最多的是RSA。RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。 一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（pretty good privacy）就是将RSA作为传送会话密钥和数字签名的标准算法。 （三）对称加密体系与非对称加密体系的对比 表7.1 对称加密体系和非对称加密体系的对比 比 较 项 目 对称加密体制 非对称加密体制 代表算法 DES RSA 密钥数目 单一密钥 密钥是成对的 密钥种类 密钥是秘密的 一个私有，一个公开 密钥管理 简单，但不好管理 需要数字证书及可靠的第三者 相对速度 非常快 慢 主要用途 大量数据加密 数字签名或密钥分配的加密 （四）对称加密体系与非对称加密体系的结合 二、认证技术 （一）身份认证概述 实现身份认证的物理基础主要有以下3种。 · 用户所知道的（something the user knows）。 · 用户所拥有的（something the user possesses）。 · 用户的特征（something the user is or how he/she behaves）。 （二）消息认证概述 1．消息摘要 2．数字签名 图7.3 数字签名原理示意图 3．数字时