hp 电子商务安全技术系统.ppt

邵兵家 主编 《电子商务概论》 高等教育出版社 2003版 2000年9月9日 《电子商务概论》高等教育出版社 2003版 重庆大学经济与工商管理学院 邵兵家 博士 连远强 讲授 案 例 国外 2000年2月7日－9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 中国首例网络攻击案。8848向百度索赔1500万元。8848：店门口被堵死了。8848称，2005年1月21日下午至1月22日晚，百度公司采用分布式拒绝服务攻击(通称为DDOS攻击)手段，借助几千家百度搜索联盟网站的巨大访问量,集中攻击8848的服务器，使其瘫痪，无法被正常访问。 CNNIC调查结果 用户认为目前网上交易存在的最大问题 统计日期 2000.7 2001.1 2001.7? ?2002.1 2002.7?? 2003.1 2003.7 产品质量、售后服务及 厂商信用得不到保障 28.3% 32.0% 33.0% 30.2% 36.9% 39.3% 40.0% 安全性得不到保障 31.8% 31.2%?? 33.4% 31.0% 22.1%? ?23.4% 25.1% 价格不够诱人 7.7%?? 7.4% 6.6% 6.3% 11.1%?? 10.8% 10.3% 付款不方便? ?13.3% 12.6% 11.5%?? 11.8% 13.0% 10.8% 9.9% 资料来源：根据CNNIC《中国互联网络发展状况统计报告》（2000.7-2003.7）整理 3.1 电子商务的安全问题 3.1.1 电子商务面临的安全隐患 系统中断 破坏系统的有效性 窃听信息 破坏系统的机密性 篡改信息 破坏系统的完整性 伪造信息 破坏系统的真实性 对交易行为进行抵赖 要求系统具备审查能力 安全隐患的类型 物理安全问题 网络安全问题 数据的安全性 对交易不同方表现的不同安全问题 3.1.2 电子安全交易的基本要求 信息的保密性 信息的完整性 交易者身份的真实性 不可抵赖性 系统的可靠性 3.1.4 电子商务安全体系 3.2 电子商务的安全技术 信息加密技术 对称式密钥加密技术、公开密钥加密技术 认证技术 数字信封、数字摘要、数字签名、数字时间戳、数字证书、身份认证 安全技术协议 安全超文本传输协议S-HTTP 安全因特网电子邮件扩充协议S-MIME 安全套接层协议SSL 安全交易技术协议STT 安全电子交易协议SET 公开密钥体制PKI X.509标准 防火墙技术 包过滤路由器 、应用层网关 、电路层网关 部分告之：在网上交易中将最关键的数据略去，再告之。 另行确认：交易后，用电子邮件对交易进行确认。 在线服务：用企业提供的内部网来提供联机服务。 3.2.1 数据加密技术 3.加密技术的分类 散列编码（Hashing） 对称式密钥加密技术（Symmetric Cryptography） 公开密钥加密技术（Asymmetric Cryptography） （2）对称式密钥加密技术 （3）非对称密钥密码体系 加密算法——RSA加密算法 它是第一个成熟的，迄今为止理论上最为成功的公开密钥密码体制。它的安全性基于数论中的Euler定理和计算复杂性理论中的下述诊断：求两个大素数的乘积是容易的，但要分解两个大素数的乘积，求出它们的素因子则是非常困难的。 RSA算法依据著名的欧拉定理： 根据现在已知的结果，因子分解n的复杂性为： 若n为200位10进制数，则用每秒107次运算的超高速计算机，也要108年才能得到计算结果,目前为止还没有出现新的攻击RSA的算法。 RSA对称算法，两个密钥是两个很大的质数，用其中一个质数与原信息相乘，对信息加密；而用另一个质数与收到的信息相乘来解密。但不能用其中一个质数求出另一个质数。 3.2.2 认证技术 数字信封（Digital Envelop） 数字摘要（Digital Digest） 数字签名 (Digital Signature) 数字时间戳 (Dig