第九章电子商务安全技巧.ppt

第九章 电子商务安全与风险管理 学习要点及目标 1．了解电子商务对安全的基本要求 2．了解电子商务面临的主要安全威胁 3．熟悉并掌握电子商务常用的加密技术、访问控制和身份认证技术 4．理解防火墙、VPN、入侵检测系统的基本原理以及SET和SSL协议 本章主要内容 第一节 电子商务安全的概念 第二节 威胁和攻击的种类 第三节 电子商务通信安全 第四节 电子商务网络安全 第一节 电子商务安全的概念（续） 一、电子商务安全的概念 二、电子商务安全的主要问题 三、电子商务安全问题产生的原因 四、电子商务对安全的基本需求 五、电子商务的安全管理策略 一、电子商务安全的概念 电子商务系统硬件安全 电子商务系统软件安全 电子商务系统运行安全 电子商务安全立法 二、电子商务安全的主要问题 网络协议安全性问题 用户信息安全性问题 电子商务网站的安全性问题 三、电子商务安全问题产生的原因 管理问题 缺乏统一管理，没有合理的评价标准 技术问题 没有形成完整的体系 环境问题 如法制建设不够等 四、电子商务对安全的基本需求 信息的保密性/机密性 信息的完整性 信息的有效性 信息的不可否认性 信息的可认证性/交易者身份的真实性 系统的可靠性 审查能力 五、电子商务的安全管理策略 物理安全策略 自然灾害安全防范策略 人为风险防范策略 硬件防护策略 网络安全策略 技术策略 管理策略 灾难恢复策略 灾难备份 数据恢复 第二节 威胁和攻击的种类 一、入侵性病毒 二、扩展类威胁 三、网络侵害 四、黑客网络攻击的发展趋势 一、入侵性病毒 系统病毒 蠕虫病毒 木马病毒、黑客病毒 脚本病毒 宏病毒 破坏性程序病毒 玩笑病毒 捆绑机病毒 二、扩展类威胁 间谍软件(Spyware) 广告软件(Adware) 网络钓鱼软件(Phishing) 放置特洛伊木马程序 截获或窃取信息 拒绝服务 三、网络侵害 电子邮件攻击 www的欺骗技术 获取口令 网络监听 利用帐号进行攻击 偷取特权 四、黑客网络攻击的发展趋势 盗取个人资料 “僵尸”入侵 Adware、Spyware偷袭 垃圾邮件改头换面 第三节 电子商务通信安全 一、访问控制与身份认证 二、 PKI 一、访问控制与身份认证 (一)加密介绍 (二)对称加密体系与DES算法 (三)非对称加密体系与RSA算法 (四)数字摘要与Hash算法 (五)数字签名 (六)数字信封 (七)数字时间戳 (八)SET简介 (九)SSL简介 加密介绍 加密 解密 密钥 加密算法 凯撒密码 单表替代密码的一种，又叫循环移位法 算法为b=(a+k) mod n a为明文字符，b为密文字符，n为算法涉及的字符总数 k为密钥 如对HOWAREYOU加密，密文为MTBFWJDTZ 传统加密技术（续） 多表替代加密算法 密钥根据不同的位置各不相同，相同算法的保密程度取决于密钥的长度 如 对HOWAREYOU加密，密文为KNODQWBNM 若明文超过密钥的长度，则密钥循环使用 传统加密技术（续） 换位加密算法 不对明文的字符进行改变，只是改变它的位置 如明文ZJUCITYCOLLEGE，放到4×4方阵中 则密文为ZIOGJTLEUYLXCCEX，密钥为4 对称加密算法 加密和解密的密钥相同，又称为单一密钥加密法 对称加密机制加密流程 对称加密算法（续） DES算法 把明文分成64位长的组，每一组分别进行加密计算，再把加密后的结果合成密文 通常使用DES算法的密钥为56位，计算时要从中依次选取48位的子密码，对明文进行16轮的迭代运算 对称加密算法（续） 优点 运算迅速，效率高 缺点 密钥数目问题 安全传送密钥 无法鉴别发送发和接收方 非对称加密算法 加密过程使用一对密钥，一个用来加密，另一个用来解密 密钥管理采用公钥-私钥机制 公钥任何人可以得到 私钥只有密钥所有者才能拥有和保存 用公钥加密的密文只能用私钥解密，反之亦然 无论用公钥还是私钥，都不能推导出另一个密钥 非对称加密算法（续） 非对称加密算法（续） 非对称加密算法（续） 非对称加密算法（续） 非对称加密算法（续） RSA算法 算法原理 先选择两个大素数p和q 计算n=pq和z=(p-1)(q-1) 选择一个和z互质的数e(ez) 再找一个满足e×d=1(mod z)的数d 得到三个数：n，d，e 设需要加密明文M，若Mn，则将M分解成Mi 密文Ci=Mi^d(mod n) 解密Mi=Ci^e(mod n) 公钥（n，d），私钥（n，e） 非对称加密算法（续） 给别人发送的信息使用e加密，只要别人能用d解开就证明信息是由你发送的，构成签名机制。别人给你发送信息时使用d加