电子商务安全研究报告.docxVIP

1●1黑客常用的攻击手段第一类是信息收集型攻击，主要采用刺探、扫描和监听技术。包括 地址扫描:运用ping、端口扫描、体系结构探测、DNS域名转换、LDAP服务（轻量目录访问协议LDAP)、伪造电子邮件。第二类是利用型攻击，利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。包括口令猜测、特洛伊木马、缓冲区溢出。第三类是拒绝服务攻击，拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。包括死亡之ping、泪滴(teardrop) 、UDP洪水、电子邮件炸弹。2电子商务安全要素 7个真实性、保密性、完整性、不可否认性、可靠性、及时性、不可拒绝性3电子商务安全措施1.保证交易双方身份的真实性：常用技术是身份认证，依赖于认证中心发放的数字证书。2.保证信息的机密性：常用加密和解密技术，安全性依赖于算法种类和密钥长度。3.保证信息的完整性：常用散列函数实现，4.保证信息的真实性、不可否认性：常用数字签名技术，5.保证信息存储、传输的安全性：规范管理、建立日志、加密存储、数据备份和恢复。4电子商务安全问题分类从技术上看，电子商务安全主要包括：网络安全技术、信息加密技术、公钥基础设施、电子安全交易协议网络安全和数据库安全是最重要的。从整体上电子商务安全可分为两大部分,计算机网络安全和电子商务交易安全。5电子商务安全问题电子商务的交易特征所带来的安全问题，即网络安全。安全技术、人员和设备管理、法律法规等安全问题。安全问题是制约电子商务发展的关键问题。6目前存在的主要安全问题 4类黑客恶意攻击、软件的漏洞和后门、网络协议的安全漏洞、计算机病毒的攻击7设备的安全问题一是:物理实体的安全:1设备的功能失常2意外原因3由电磁泄漏引起的信息失密4搭线窃听。二是:自然灾害的威胁。8电子商务安全技术信息加密技术、认证技术、数字签名、防火墙技术、虚拟专用网、身份认证、数字时间戳2●9信息加密技术是电子商务安全交易的核心，可实现电子商务交易的保密性、完整性、可用性，不可否认性等。EC包括三个实体：买方、卖方和金融中介。在信息的传输过程中，信息保密的任务由密码技术来完成。数字签名、认证技术也由密码技术来完成。10密码学的概念和分类密码学是研究通信安全保密的学科。分类：密码编码学、密码分析学。11密码系统的组成 明文空间：加密的信息为明文，明文的全体称为明文空间。用M(Message)表示 密文空间：经过伪装后的明文，密文的集合称为密文空间，用C(Cipher)表示，可被认为是字符流或比特流。 密码方案：描述加密和解密的具体规则（加密算法和解密算法）。 密钥空间：密钥是控制加密和解密算法操作的元素，用K（Key)表示，密钥的全体成为密钥空间12加密、解密概念： 加密算法：对明文进行加密时所使用的规则。 加密：对明文实施的变化过程，记为E(X)（X为明文）。 解密算法：对密文还原时所使用的规则。 解密：对密文实施的变换过程，记为D(X)(X为加密后的密文）。13密码体制的分类根据密码的发展史:古典密码、近现代密码根据加解密算法所使用的密钥是否相同:对称密钥密码体制（加密密钥和解密密钥相同）、非对称密钥密码体制（加密密钥和解密密钥不同）根据加密方式:流密码（逐位地加密明文消息字符(二进制)）、分组密码（把明文消息分组，逐组加密）根据加密变换是否可逆:单向函数密码（明文-容易-密文，密文-困难-明文单向函数包括：MD4、MD5、SHA-1。）、双向变换密码体制14密码攻击类别（强度按序递增，唯密文最弱）唯密文攻击：分析者有一个或一些密文。已知明文攻击：分析者有一些明文及对应的密文。选择明文攻击：分析者选择一些对攻击有利的特定明文，并产生对应的密文。选择密文攻击：分析者选择一些对攻击有利的特定密文，并得到对应的明文。15对称密码体制的概念及分类（ppt44-82）对称密码体制（单钥密码体制、秘密密钥密码体制）：加密密钥与解密密钥的密码体制相同，这种体制中只要知道家（解）密算法，就可以反推（解）加密算法。分类：古典密码、流密码、分组密码古典密码：移位密码、代换密码、仿射密码、维吉尼亚密码、置换密码。流密码：算法:流密码采用密钥生成器，根据初始密钥生成一系列密钥流来加密信息，每个明文可以选用不同的密钥加密。典型二进制流密码：A5、SEAL。分组密码:特点:加密时，先对明文分组，每组长度都相同，然后对分组加密得到等长的密文，分组密码的特点是加密密钥与解密密钥相同。安全性主要依赖于密钥。对密码算法的要求:分组长度m足够大、密钥空间足够大、密码变换必须足够复杂。典型的分组密码DES、AES。16非对称密码体制概念（ppt83-106）使用两个密钥：公开密钥、私有密钥；加解密的非