第四章 电子商务安全要点.ppt

第四章 电子商务安全技术 案例 学习目标 学习内容 案例 国外 早期，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 国内 早期，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 第四章 电子商务安全技术 电子商务安全面临的问题 电子商务安全的要求 电子商务安全技术 一 电子商务所面临的安全问题 电子商务中的安全隐患可分为如下几类： 1.信息的截获和窃取 2.信息的篡改 3.信息假冒 4.交易抵赖 二 电子商务安全要求 数据完整性 即数据在传输过程中的完整性.也就是数据在发送前和到达后是否完全一样. 数据保密性 即数据是否会被非法窃取. 数据可用性 即当需要时能否存取所需的信息,或在系统故障的情况下数据会否丢失. 身份认证 对信息的传播即内容具有控制能力. 三 电子商务安全内容 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。 电子商务安全构架 电子商务安全要求对应的安全技术 数据完整性机制 奇偶位、校验和、循环冗余校验CRC(Cyclic Redundancy Check） 消息发送方可同时发送该消息的校验值，消息接收方接到消息时只需要重新计算一次校验值，并比较两校验值是否相同就可以判断该消息是否正确了。 以上技术不能绝对保证数据的完整性，2个原因: 如果校验值和消息数据同时破坏，且改变后的校验值和消息又正巧匹配，则系统无法发现错误。 1中所述技术上的缺陷，可能被人恶意利用。 数据完整性机制 消息验证码(MAC) 为防止传输和存储的消息被有意或无意地篡改，采用密码技术对消息进行运算生成消息验证码（MAC），附在消息之后发出或与信息一起 存储，对信息进行认证。 计算MAC的算法是不可逆的。 加密的数据和MAC一起发送给接收者，接收者就可以用MAC来校验加密数据，保证数据没有被窜改过。 数据保密性机制 加密与解密 算法和密钥 数据加密标准DES 公开密钥密码体制 数字签名 加密与解密 消息（message）被称为明文（plaintext）。用某种方法伪装消息以隐藏它的内容的过程称为加密（encryption），被加密的消息称为密文（ciphertext），而把密文转变为明文的过程称为解密（decryption）。 算法和密钥 算法和密钥 密码算法（algorithm）也叫密码（cipher），适用于加密和解密的数学函数。（通常情况下有两个相关的函数，一个用来加密，一个用来解密） 如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的（restricted）算法。受限制的算法不可能进行质量控制或标准化。每个用户和组织必须由他们自己唯一的算法。 算法和密钥 现代密码学用密钥（key）解决了这个问题。 算法和密钥 所有这些算法的安全性都基于密钥的安全性；而不是基于算法的安全性。这就意味着算法可以公开，也可以被分析，可以大量生产使用算法的产品，即使偷听者知道你的算法也没有关系。 密码系统由（cryptosystem）由算法以及所有可能的明文、密文和密钥组成。 对称算法 基于密钥的算法通常有两类：对称算法和公开密钥算法。 算法和密钥 对称算法（symmetric algorithm）有时又叫传统密码算法，就是加密密钥能够从解密密钥推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫做秘密密钥算法或单钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。 算法和密钥 对称算法可以分为两类。一次只对明文中的单个位（有时对字节）运算的算法称为序列算法（stream algorithm）或序列密码（stream cipher）。另一类算法是对明文的一组位进行运算，这些位称为分组（block），相应的算法称为分组算法（block algorithm）或分组密码（block cipher）。 算法和密钥 公开密钥算法 公开密钥算法（public-key algorithm，也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。 之所以叫