電子商務安全系統(tǒng)課件

第3章電子商務安全系統(tǒng)12/11/2022第3章電子商務安全系統(tǒng)12/8/20221電子商務發(fā)展的核心和關鍵問題是交易的安全性，這是網(wǎng)上交易的基礎，也是電子商務技術的難點所在。目前，因特網(wǎng)上影響交易最大的阻力就是交易安全問題。序言12/11/2022電子商務發(fā)展的核心和關鍵問題是交易的安全性，這是網(wǎng)上交易的2電子商務系統(tǒng)安全體系結構安全數(shù)據(jù)傳輸技術非對稱密鑰體制、對稱密鑰體制…….電子商務安全認證技術數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系……電子商務安全應用層協(xié)議SET、SSL、SHTP、STT….電子商務業(yè)務系統(tǒng)電子支付系統(tǒng)12/11/2022電子商務系統(tǒng)安全體系結構3案例國外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)2000年春天，有人利用普通的技術，從電子商務網(wǎng)站竊取到8萬個信用卡號和密碼，標價26萬元出售。12/11/2022案例國外12/8/20224中國互聯(lián)網(wǎng)絡信息中心調(diào)查結果

用戶認為目前網(wǎng)上交易存在的最大問題是安全性得不到保障：23.4%

付款不方便：10.8%產(chǎn)品質(zhì)量、售后服務及廠商信用得不到保障：39.3%

送貨不及時：8.6%價格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠：6.4%其它：0.7%12/11/2022中國互聯(lián)網(wǎng)絡信息中心調(diào)查結果用戶認為目前網(wǎng)上交易存在的最5本章主要內(nèi)容3.1計算機病毒的防范3.2Internet的主要安全措施3.3身份認證3.4密鑰管理3.5不可否認性12/11/2022本章主要內(nèi)容3.1計算機病毒的防范12/8/202263.1計算機病毒的防范3.1.1計算機病毒的一般特點3.1.2計算機病毒的傳播方式3.1.3感染計算機病毒的癥狀3.1.4防治計算機病毒的方法12/11/20223.1計算機病毒的防范3.1.1計算機病毒的一般特點127計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“編制或者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。定義12/11/2022計算機病毒(ComputerVirus)在《中華人民共和國8危害12/11/2022危害12/8/20229計算機病毒的歷史1946年，第一臺“馮·諾依曼”體系的計算機ENIAC問世。12/11/2022計算機病毒的歷史1946年，第一臺“馮·諾依曼”體系的計算機101949年，馮·諾伊曼在他的一篇論文《復雜自動裝置的理論及組織的進行》里，提出了一種能夠自我繁殖的程序的可能，但并沒有引起關注。1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，并將這種破壞性程序命名為計算機病毒(ComputerViruses)，8小時后專家們成功運行該程序。第一個病毒實驗成功。12/11/20221949年，馮·諾伊曼在他的一篇論文《復雜自動裝置的理論及組111986年初，巴錫特(Basit)和阿姆杰德(Amjad)兩兄弟編寫的Pakistan病毒，在一年內(nèi)流傳到了世界各地。1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如黑色星期五等。1988年3月2日，一種蘋果機的病毒發(fā)作。這天受感染的蘋果機都停止了工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”，以慶祝蘋果機生日。1988年冬天，在康乃爾大學攻讀的莫里斯，把一個稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡。12/11/202212/8/2022121991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，在空襲巴格達的戰(zhàn)斗中，成功地破壞了對方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗的順利進行，直至最后勝利。1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1997年被公認為計算機反病毒界的“宏病毒”年。宏病毒主要感染W(wǎng)ord、Excel等文件。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡災害。此次病毒攻擊導致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓，在中國80%以上網(wǎng)民受此次全球性病毒襲擊影響而不能上網(wǎng)，很多企業(yè)的服務器被此病毒感染引起網(wǎng)絡癱瘓。此病毒不具有破壞文件、數(shù)據(jù)的能力，主要影響就是大量消耗網(wǎng)絡帶寬資源，使得網(wǎng)絡癱瘓。2005年是木馬流行的一年。包括安全領域耳熟能詳?shù)慕?jīng)典木馬(例如冰河，灰鴿子等)。2006年-現(xiàn)在木馬仍然是病毒主流，其變種層出不窮。2006年上半年，江民反病毒中心共截獲新病毒33358種。12/11/20221991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，13黑客黑客是“Hacker”的音譯，源于動詞Hack，其引申意義是指“干了一件非常漂亮的事”或是指那些精于某方面技術的人。對于計算機而言，黑客就是精通網(wǎng)絡、系統(tǒng)、外設以及軟硬件技術的人。什么是駭客？有些黑客逾越尺度，運用自己的知識去做出有損他人權益的事情，就稱這種人為駭客（Cracker，破壞者）。12/11/2022黑客黑客是“Hacker”的音譯，源于動詞Hack，其引申14

2006年9月11日上午8點多，中國移動的網(wǎng)站首頁顯示的不是“移動信息專家”，而是一行涂鴉：“懇請移動的話費能便宜點不……”原來是中國移動網(wǎng)站遭到黑客突襲。

黑客事件１12/11/2022

15百度遭大規(guī)模黑客攻擊搜索“罷工”近半小時黑客事件22006年9月12日17點30分，北京、重慶等地的網(wǎng)友反映百度無法正常使用，出現(xiàn)“請求超時”的信息。這次攻擊造成了百度搜索服務在全國各地出現(xiàn)了近30分鐘的故障。12/11/2022百度遭大規(guī)模黑客攻擊搜索“罷工”近半小時黑客事件2216黑客的分類目前將黑客的分成三類：第一類：破壞者；第二類：紅客；第三類：間諜12/11/2022黑客的分類目前將黑客的分成三類：12/8/202217灰帽子-破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機為人民服務白帽子-創(chuàng)新者設計新系統(tǒng)打破常規(guī)精研技術勇于創(chuàng)新沒有最好，只有更好善黑帽子-破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅惡渴求自由另一種分類12/11/2022灰帽子-破解者白帽子-創(chuàng)新者善黑帽子-破壞者惡渴求自由另一種18知識鏈接黑客精神1、“Free”(自由、免費)的精神需要在網(wǎng)絡上和本國以及國際上一些高手進行廣泛的交流，并有一種奉獻精神，將自己的心得和編寫的工具和其他黑客共享。如：黑吧安全網(wǎng)論壇。2、探索與創(chuàng)新的精神所有的黑客都是喜歡探索軟件程序奧秘的人。他們探索程序與系統(tǒng)的漏洞，在發(fā)現(xiàn)問題的同時會提出解決問題的方法。12/11/2022知識鏈接黑客精神1、“Free”(自由、免費)的精神12/193、反傳統(tǒng)的精神找出系統(tǒng)漏洞，并策劃相關的手段利用該漏洞進行攻擊，這是黑客永恒的工作主題，而所有的系統(tǒng)在沒有發(fā)現(xiàn)漏洞之前，都號稱是安全的。4、合作的精神成功的一次入侵和攻擊，在目前的形式下，單靠一個人的力量已經(jīng)沒有辦法完成了，通常需要數(shù)人，數(shù)百人的通力協(xié)作才能完成任務，互聯(lián)網(wǎng)提供了不同國家黑客交流合作的平臺。12/11/20223、反傳統(tǒng)的精神12/8/202220隱蔽性計算機病毒是人為編寫出來的一組指令，它隱藏在可執(zhí)行程序、操作系統(tǒng)或其他數(shù)據(jù)文件中，不易被人發(fā)現(xiàn)和察覺，因此有很大的隱蔽性。傳染性傳染是指計算機病毒從一個程序進入另一個程序的過程。傳染不但能在單個計算機上進行，還可以經(jīng)由帶有病毒的存儲設備(例如軟盤和光盤)或計算機網(wǎng)絡，從一個計算機系統(tǒng)蔓延到另一個計算機系統(tǒng)，因此計算機病毒具有很強的傳染性。欺騙性計算機病毒侵入計算機系統(tǒng)后一般不立即發(fā)作，而是潛伏一段時間，當特定條件滿足時才發(fā)作。在這段潛伏期內(nèi)，病毒悄悄地進行繁殖、傳播，潛伏朗越長。由于計算機病毒的代碼通常很短小，不引入注意，而且當病毒感染目標后，就做上自己的標記，以免再被同種病毒重復感染，否則會導致文件長度過度增長而引起人們的注意，因此計算機病毒具有很強的欺騙性。

3.1.1計算機病毒的一般特點12/11/2022隱蔽性計算機病毒是人為編寫出來的一組指令，它隱藏在可執(zhí)行程序21破壞性

破壞性主要表現(xiàn)在以下幾個方面。1)破壞或刪除計算機系統(tǒng)中的系統(tǒng)文件或系統(tǒng)數(shù)據(jù)、磁盤上特定的可執(zhí)行文件或數(shù)據(jù)文件，使系統(tǒng)不能啟動或造成用戶信息丟失。2)病毒在計算機系統(tǒng)中的不斷自我復制，使得計算機系統(tǒng)內(nèi)存或外部存儲空間不斷減少，并與正常程序爭奪計算機系統(tǒng)的有限資源(例如CPU時間)。3)絕大多數(shù)計算機病毒攻擊的是計算機軟件系統(tǒng)(如操作系統(tǒng)、用戶程序、數(shù)據(jù)文件等)，但有些病毒已具備了破壞計算機硬件系統(tǒng)的能力.衍生性計算機病毒在傳染過程中自身可以發(fā)生變化，產(chǎn)生成干上萬的變種，使得每個被感染的系統(tǒng)、每個被感染的文件在感染病毒后的表現(xiàn)又不盡相同，為查殺計算機病毒的工作帶來了很大困難。12/11/2022破壞性12/8/202222計算機病毒的分類惡性病毒：破壞或刪除系統(tǒng)數(shù)據(jù)、毀壞計算機等良性病毒：不破壞系統(tǒng)數(shù)據(jù)，但要占用系統(tǒng)資源，使計算機不能正常工作定時發(fā)作病毒：如黑色星期五在月13日且是星期五發(fā)作、CIH病毒在4月26日發(fā)作計數(shù)發(fā)作病毒：對感染病毒文件個數(shù)到一定數(shù)量時開始發(fā)作隨即發(fā)作病毒：沒有規(guī)律操作系統(tǒng)型病毒：攻擊系統(tǒng)的引導扇區(qū)，啟動時進行內(nèi)存發(fā)作外殼型病毒：大量消耗CPU資源，降低運行效率甚至癱瘓1.按危害性分2.按發(fā)作條件分3.按入侵方式分

計算機病毒一般按病毒的危害、發(fā)作的條件、入侵的方式等進行分類。

12/11/2022計算機病毒的分類1.按危害2.按發(fā)作3.按入侵計算機病毒一233.1.2計算機病毒的傳播方式1.由存儲介質(zhì)傳播軟盤硬盤光盤及其他活動硬盤特別是光盤這種存儲介質(zhì)具有只讀屬性，其中帶有的計算機病毒不能被反病毒工具清除。計算機中的非活動存儲介質(zhì)(如普通的計算機硬盤)如果被感染了病毒，那么在該計算機上使用的活動存儲介質(zhì)也很有可能被感染病毒。2.由網(wǎng)絡傳播

通過計算機網(wǎng)絡，計算機病毒可以從一臺計算機傳染到另一臺計算機，也可以從一個局部網(wǎng)絡傳染到另一個局部網(wǎng)絡，一夜之間就可以使千千萬萬臺計算機受到感染，其傳播方式最快。12/11/20223.1.2計算機病毒的傳播方式1.由存儲介質(zhì)傳播124<1>計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象(1)平時運行正常的計算機突然無緣無故地死機病毒將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。(2)關機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，使系統(tǒng)無法啟動這很可能是計算機病毒感染系統(tǒng)文件后使文件結構發(fā)生變化，無法被操作系統(tǒng)加載、引導。3.1.3感染計算機病毒的癥狀12/11/2022<1>計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象3.1.3感染計算機病毒25(3)運行速度明顯變慢這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行速度變慢。(4)以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減少。

12/11/2022(3)運行速度明顯變慢12/8/202226(5)打印和通信發(fā)生異常這很可能是計算機病毒駐留內(nèi)存后占用了打印端口、串行通信端口的中斷服務程序，使之不能正常工作。(6)以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者是由計算機病毒程序本身存在著兼容性方面的問題造成的。12/11/2022(5)打印和通信發(fā)生異常12/8/202227(7)系統(tǒng)文件的時間、日期、大小發(fā)生變化計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小會有所增加，文件的訪問、修改日期和時間也會被改成感染時的時間。(8)運行Word，打開Word文檔后，該文件另存時只能以模板方式保存感染了Word宏病毒。(9)磁盤空間迅速減少這可能是計算機病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時文件夾下的文件數(shù)量過多過大也可能造成可用的磁盤空間迅速減少。12/11/2022(7)系統(tǒng)文件的時間、日期、大小發(fā)生變化12/8/202228<2>計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象(1)提示一些不相干的話比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。(2)發(fā)出一段音樂惡作劇式的計算機病毒，最著名的是外國的“楊基”計算機病毒(Yangkee)和中國的“瀏陽河”計算機病毒。楊基計算機病毒發(fā)作時利用計算機內(nèi)置的揚聲器演奏《楊基》音樂，而瀏陽河計算機病毒更絕，當系統(tǒng)時鐘為9月9日時開始演奏歌曲《瀏陽河》，而當系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。

12/11/2022<2>計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象(1)提示一些不相干的話29(3)產(chǎn)生特定的圖像這是另一類惡作劇式的計算機病毒，比如小球計算機病毒，發(fā)作時會從屏幕上方不斷掉落下來小球圖形。(4)硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化，或者寫入許多垃圾文件，或反復讀取某個文件，致使硬盤上的數(shù)據(jù)遭到破壞。12/11/2022(3)產(chǎn)生特定的圖像12/8/202230(5)進行游戲算法有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩贏了才讓用戶繼續(xù)工作。比如曾經(jīng)流行一時的“臺灣一號”宏病毒，在系統(tǒng)日期為13日時發(fā)作，彈出對話框，要求用戶做算術題。(6)Windows桌面圖標發(fā)生變化把Windows默認的圖標改成其他樣式，或者將其他應用程序、快捷方式的圖標改成Windows默認圖標樣式，起到迷惑用戶的作用。12/11/2022(5)進行游戲算法12/8/202231(7)計算機突然死機或重啟有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發(fā)作時會造成意想不到的情況。(8)自動發(fā)送電子郵件大多數(shù)電子郵件病毒都采用自動發(fā)送電子郵件的方法作為傳播的手段，也有的電子郵件病毒在某一特定時刻向同一個郵件服務器發(fā)送大量無用的信件，以阻塞該郵件服務器的正常服務功能。(9)鼠標指針自己在動沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，但屏幕上的鼠標指針卻自己在動，應用程序自己在運行，有受遙控的現(xiàn)象。這種情況大多數(shù)是計算機系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計算機病毒發(fā)作的一種現(xiàn)象。12/11/2022(7)計算機突然死機或重啟12/8/202232(1)硬盤無法啟動，數(shù)據(jù)丟失如果硬盤的引導扇區(qū)被計算機病毒破壞后，就無法從硬盤啟動系統(tǒng)了。有些病毒修改了硬盤的關鍵內(nèi)容(如文件分配表、根目錄區(qū)等)，使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。(2)系統(tǒng)文件丟失或被破壞某些計算機病毒發(fā)作時刪除了或者破壞了系統(tǒng)文件，使得以后無法正常啟動計算機系統(tǒng)。<3>計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象12/11/2022(1)硬盤無法啟動，數(shù)據(jù)丟失<3>計算機病毒發(fā)作后的表現(xiàn)現(xiàn)33(3)文件目錄發(fā)生混亂目錄發(fā)生混亂有兩種情況。一種計算機病毒是確實將目錄結構破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復。另一種情況是將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在該計算機病毒，則它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。(4)部分文檔丟失或被破壞類似系統(tǒng)文件的丟失或被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據(jù)丟失。12/11/2022(3)文件目錄發(fā)生混亂12/8/202234(5)部分文檔自動加密有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方，使被感染的文件被加密，如果內(nèi)存中駐留有這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復了。(6)使部分BIOS程序混亂，主板被破壞(7)網(wǎng)絡癱瘓，無法提供正常的服務12/11/2022(5)部分文檔自動加密12/8/2022351.預防病毒2.檢測病毒3.清除病毒3.1.4防治計算機病毒的方法12/11/20221.預防病毒3.1.4防治計算機病毒的方法12/8/20361.預防病毒強化防病毒意識，加強計算機使用管理，擔任重要工作的計算機應實行專人、專管、專用。定期進行查毒，重要的數(shù)據(jù)堅持經(jīng)常備份；不使用來歷不明的程序或軟件；對外來的軟件或數(shù)據(jù)盤堅持進行使用前查毒，確認無病毒后再使用。在計算機系統(tǒng)中安裝病毒實時監(jiān)控工具，在發(fā)現(xiàn)病毒的第一時間立即清除；在網(wǎng)絡環(huán)境中，一旦發(fā)現(xiàn)某個計算機感染了病毒，立即斷開該計算機的網(wǎng)絡入口，將病毒可能造成的危害限制在最小范圍內(nèi)，并立即清除病毒。12/11/20221.預防病毒12/8/2022372.反病毒軟件12/11/20222.反病毒軟件12/8/20223812/11/202212/8/202239周鴻祎，1970年10月生，湖北黃岡人。畢業(yè)于西安交通大學管理學院系統(tǒng)工程系，獲碩士學位。曾就職方正集團，先后擔任事業(yè)部總經(jīng)理、研發(fā)中心常務副主任等職?，F(xiàn)任奇虎360董事長。1998年10月，為了完成“讓中國人能用自己的母語上網(wǎng)”的理想，周鴻袆創(chuàng)建3721公司，并在同年推出了3721“網(wǎng)絡實名”的前身——中文網(wǎng)址。2003年3721被雅虎公司收購。2003年3月周鴻祎出任雅虎中國區(qū)總裁。2004年1月雅虎出資1.2億美金購買了香港3721公司。2005年8月任職期滿，周鴻祎離開雅虎中國。2005年9月1日周鴻祎先生以投資合伙人的身份正式加盟IDGVC（國際數(shù)據(jù)集團風險投資基金），幫助國內(nèi)眾多的中小企業(yè)獲得快速發(fā)展的機會，推動整個行業(yè)的發(fā)展。12/11/2022周鴻祎，1970年10月生，湖北黃岡人。畢業(yè)于西安交通大學402006年2月，周鴻祎成立天使投資基金，希望幫助更多的創(chuàng)新企業(yè)獲得發(fā)展的機會。2006年3月，周鴻袆創(chuàng)建奇虎公司，出任奇虎董事長，目前奇虎麾下有奇虎網(wǎng)論壇搜索，奇虎生活搜索，以及360安全衛(wèi)士軟件等產(chǎn)品。2009年1月4日，中國雅虎正式放棄發(fā)展3721和雅虎助手的業(yè)務，3721“網(wǎng)絡實名”軟件正式淡出互聯(lián)網(wǎng)舞臺。2011年3月30日奇虎360在美國紐交所上市后，開盤價為27美元，獲得2011華人經(jīng)濟領袖大獎。2012年5月4日，周鴻祎透露將與手機制造商阿爾卡特合作，推出“360特供手機”（AK47）。2012年11月，國內(nèi)最大的數(shù)字雜志運營商VIVA對外宣布完成新一輪融資，值得注意的是，在這一輪融資中，奇虎360成為戰(zhàn)略股東，周鴻祎將任VIVA新董事。12/11/20222006年2月，周鴻祎成立天使投資基金，希望幫助更多的創(chuàng)新企413.2.1Internet的主要安全問題3.2.2防火墻技術3.2.3代理服務器3.2.4信息安全性問題3.2.5安全檢測3.2Internet的主要安全措施12/11/20223.2.1Internet的主要安全問題3.2Inter42

系統(tǒng)安全問題主要表現(xiàn)在電子商務系統(tǒng)被入侵、被破壞、被感染各種病毒，造成系統(tǒng)癱瘓，不能提供正常的商務服務；信息安全問題是開放網(wǎng)絡環(huán)境下，網(wǎng)絡電子交易關注的核心問題，主要表現(xiàn)為信息被竊聽、篡改、否認、丟失、偽造、重放、不對稱等。

3.2.1Internet的主要安全問題12/11/2022系統(tǒng)安全問題主要表現(xiàn)在電子商務系統(tǒng)被入侵、被破壞、被感染各43防火墻的結構Intranet

防火墻是由軟件系統(tǒng)和硬件設備組合而成、在內(nèi)外部之間的保護系統(tǒng)。數(shù)據(jù)庫客戶機Email服務器Web服務器12/11/2022防火墻的結構Intranet防火墻是由軟件系44防火墻（Firewall）是在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間構筑的一道屏障，是在內(nèi)外有別及在需要區(qū)分處設置有條件的隔離設備，用以保護內(nèi)部網(wǎng)中的信息、資源等不受來自互聯(lián)網(wǎng)中非法用戶的侵犯。防火墻系統(tǒng)的構成防火墻主要包括安全操作系統(tǒng)、過濾器、網(wǎng)關、域名服務和電子郵件處理5部分。3.2.2防火墻技術12/11/2022防火墻（Firewall）是在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間構筑的一道屏45“凡是未被準許的就是禁止的”“凡是未被禁止的就是允許的”防火墻的安全策略12/11/2022“凡是未被準許的就是禁止的”防火墻的安全策略12/8/20246提供服務控制確定在防火墻之外或之內(nèi)可以提供的Internet服務類型，根據(jù)網(wǎng)絡地址或端口號來過濾數(shù)據(jù)，還可以直接運行服務器軟件，提供某些網(wǎng)絡服務，例如郵件服務。提供方向控制審計各種方向的訪問請求(由內(nèi)向外或者由外向內(nèi))，并確定是否允許通過防火墻。用戶控制－－根據(jù)請求訪問的用戶來確定是否允許提供該服務。

行為控制－－控制如何使用某種特定的服務。例如防火墻可以從電子郵件中過濾垃圾郵件。防火墻的主要功能12/11/2022提供服務控制確定在防火墻之外或之內(nèi)可以提供的Internet47

(1)無法阻止繞過防火墻的攻擊防火墻只能對通過它的數(shù)據(jù)流發(fā)揮作用，如果本地系統(tǒng)或網(wǎng)絡中有數(shù)據(jù)越過防火墻直接與Internet連通，則得不到防火墻的保護。因此，必須保證本地系統(tǒng)或網(wǎng)絡中任何用戶沒有繞過防火墻直通Internet的通道。

(2)無法阻止來自于內(nèi)部的攻擊防火墻不能防止本地系統(tǒng)或網(wǎng)絡用戶對本地資源的攻擊，防火墻只是設在本地系統(tǒng)或網(wǎng)絡與Internet之間，對其間的信息流進行干預的安全設施。在一個單位內(nèi)部，各部門之間設置的防火墻也具有類似特點，都不能用于防范內(nèi)部的攻擊破壞。這些要由內(nèi)部系統(tǒng)的認證和接入控制機構來解決。

防火墻的不足12/11/2022(1)無法阻止繞過防火墻的攻擊防火墻的不足12/8/2048(3)無法提供病毒防護

通常防火墻不對本地系統(tǒng)或網(wǎng)絡提供防護外部病毒侵犯的功能。病毒可以通過FTP或其他工具傳至本地系統(tǒng)或網(wǎng)絡，如果要實現(xiàn)這種防護，防火墻應特別具有檢測病毒的功能。

(4)無法保證數(shù)據(jù)安全

防火墻主要用來保護網(wǎng)絡系統(tǒng)安全，但缺乏一整套身份認證和授權管理系統(tǒng)。12/11/2022(3)無法提供病毒防護12/8/202249

常用的防火墻包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。對所接收的每個數(shù)據(jù)包做允許或拒絕的決定。（最簡單的防火墻）過濾路由器Internet12/11/2022常用的防火墻包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定50應用層網(wǎng)關防火墻是在本地系統(tǒng)或網(wǎng)絡和外部網(wǎng)之間建立一個單獨的子網(wǎng)，它將本地系統(tǒng)或網(wǎng)絡屏蔽起來，此子網(wǎng)有一個代理主機、一個路由器和一個較復雜的網(wǎng)關與本地系統(tǒng)或網(wǎng)絡相連，另一個路由器和網(wǎng)關與外部網(wǎng)相連。進出用戶通過網(wǎng)關時必須在應用層上（要求特定的用戶程序或用戶接口）與代理主機連接。代理主機對其進行認證，控制進出，并進行審計跟蹤。

12/11/2022應用層網(wǎng)關防火墻是在本地系統(tǒng)或網(wǎng)絡和外部網(wǎng)之間建立一個單獨的51代理服務器技術是防火墻技術中一種優(yōu)秀的安全技術措施。代理服務器運行在兩個網(wǎng)絡之間，接收用戶請求后，會檢查用戶請求的網(wǎng)絡地址是否符合安全策略的要求，如果允許則去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶，否則拒絕其請求！代理服務型防火墻12/11/2022代理服務器技術是防火墻技術中一種優(yōu)秀的安全技術措施。代理服務52之一：雙宿堡壘主機網(wǎng)絡接口網(wǎng)絡接口應用程序轉(zhuǎn)發(fā)器Internet雙端主機防火墻內(nèi)部網(wǎng)客戶代理在堡壘主機中插裝兩塊網(wǎng)絡接口卡，并在其上運行代理服務器軟件，受保護的內(nèi)部網(wǎng)與Internet之間就不能直接進行通信，而必須經(jīng)過堡壘主機。12/11/2022之一：雙宿堡壘主機網(wǎng)絡接口網(wǎng)絡接口應用程序轉(zhuǎn)發(fā)器Intern53之二：屏蔽主機屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內(nèi)部主機相連。屏蔽主機防火墻包過濾路由器和堡壘主機組成。這個防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高。路由器濾堡壘主機Internet內(nèi)部網(wǎng)絡12/11/2022之二：屏蔽主機屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機54之三：屏蔽子網(wǎng)外部過濾路由器堡壘主機Internet內(nèi)部網(wǎng)絡內(nèi)部過濾路由器

屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機。這個防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)。12/11/2022之三：屏蔽子網(wǎng)外部堡壘主機Internet內(nèi)部網(wǎng)絡內(nèi)部55屏蔽子網(wǎng)Internet過濾路由器過濾路由器內(nèi)部網(wǎng)堡壘主機12/11/2022屏蔽子網(wǎng)Internet過濾路由器過濾路由器內(nèi)部網(wǎng)堡壘主機1563.2.3信息安全性問題（1）信息的保密性這是指信息在存儲、傳輸和處理過程中，不被他人竊取。這需要對交換的信息實施加密保護，使得第三方無法讀懂電文。信息的保密性主要包括以下兩個方而。1)交易雙方進行交易的內(nèi)容不被第三方竊取。2)交易一方提供給另一方使用的文件不被第三方非法使用。

12/11/20223.2.3信息安全性問題（1）信息的保密性12/8/20257（2）信息的有效性接收方可以證實所接收的數(shù)據(jù)時原發(fā)方發(fā)送的，而原發(fā)送方也可以證實只有指定的接收方才能接收。因此，必須保證貿(mào)易數(shù)據(jù)在確定價格、期限、數(shù)量以及確定的時刻、地點都是有效。12/11/2022（2）信息的有效性12/8/202258（3）信息的完整性

是指確保收到的信息就是對方發(fā)送的信息，信息在存儲中不被篡改和破壞，在交換過程中無亂序或篡改，保持與原發(fā)送信息的一致性。

由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異；數(shù)據(jù)傳輸過程中的信息丟失、信息重組或信息傳送的次序也會導致貿(mào)易各方信息的不同；傳輸過程中信息可能被他人非法地修改、刪除或重放。因此要預防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復，并保證信息傳送次序的統(tǒng)一。

12/11/2022（3）信息的完整性12/8/202259（4）信息的不可否認性

這是指信息的發(fā)送方不可否認已經(jīng)發(fā)送的信息，接收方也不可否認已經(jīng)收到的信息。

在無紙化的電子商務方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能了。可能出現(xiàn)這樣的情況，買方向賣方訂購某種建筑材料，訂貨時世界市場的價格較低，收到訂單時價格上漲，如果賣方否認收到訂單的時間，甚至否認收到訂單，那么買方就會受到損失。因此，要求在交易信息的傳播過程中參與交易的個人、企業(yè)或國家提供可靠的標識，使原發(fā)方在發(fā)送數(shù)據(jù)后不能否認；接收方在接收數(shù)據(jù)后也不能否認。12/11/2022（4）信息的不可否認性12/8/202260（5）信息的真實性是指交易雙方確實存在，不是假冒的，防止冒名發(fā)送數(shù)據(jù)。如何確定要進行交易的貿(mào)易方正是所期望的貿(mào)易方，是保證電子商務順利進行的關鍵。如果個進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易、敗壞被假冒一方的信譽或盜取被假冒一方的交易成果等。進行身份識別后，交易雙方就可避免“相互猜疑”的情況發(fā)生。因此，要在交易信息的傳輸過程中，為參與交易的個人、企業(yè)或國家提供可靠的身份標識。12/11/2022（5）信息的真實性是指交易雙方確實存在，不是假冒的，防止冒名61（6）系統(tǒng)的可靠性是指計算機及網(wǎng)絡系統(tǒng)的硬件和軟件工作的可靠性。在電子商務所需的幾種安全性要求中，以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現(xiàn)涉及到多種安全技術的應用。12/11/2022（6）系統(tǒng)的可靠性是指計算機及網(wǎng)絡系統(tǒng)的硬件和軟件工作的可靠62如果能夠迅速地檢測到入侵或其他破壞活動，那么就能夠確認入侵者，將其可能造成的損害降低至最低限度。安全檢測系統(tǒng)作用收集有關入侵活動的信息加強系統(tǒng)的安全措施三種安全檢測技術1.審計追蹤2.入侵檢測3.隱蔽信道檢測3.2.5安全檢測12/11/2022如果能夠迅速地檢測到入侵或其他破壞活動，那么就能夠確認入侵者633.3.1身份認證的目的和基本功能3.3.2身份認證的基本方法3.3.3證書的概念和類型3.3.4證書的內(nèi)容和使用3.3身份認證12/11/20223.3.1身份認證的目的和基本功能3.3身份認證12/864認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認證和信息認證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性。12/11/2022認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認65認證的目的第一、驗證信息的發(fā)送者是真的，而不是冒充的，此為實體認證；包括信源、信宿等的認證和識別。第二、驗證信息的完整性，驗證數(shù)據(jù)在傳送或存儲中未被篡改、重放或延遲等，此為消息認證。3.3.1身份認證的目的與基本功能12/11/2022認證的目的3.3.1身份認證的目的與基本功能12/8/2066認證功能1）可信性：信息的來源是可信的，即信息接收者能夠確認所獲得的信息不是由冒充者所發(fā)出的。

2）完整性：要求信息在傳輸過程中保證其完整性，也即信息接收者能夠確認所獲得的信息在傳輸過程中沒有被修改、延遲和替換。

3）不可抵賴性：要求信息的發(fā)送方不能否認自己所發(fā)出的信息。同樣，信息的接收方不能否認已收到了信息。

4）訪問控制：拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權和指定的資源。

12/11/2022認證功能12/8/2022671、身份認證的單因素法（口令）2、雙因素法（智能卡加服務器中存入某個事先由用戶選擇的隨機數(shù)

）3、一次性口令機制（每次用戶登錄系統(tǒng)時口令互不相同

）3.3.2身份認證的基本方法12/11/20221、身份認證的單因素法（口令）3.3.2身份認證的基本方法683.3.3證書的概念和類型1、證書的概念證書也叫數(shù)字證書、數(shù)字憑證、數(shù)字標識，是一個擔保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權的電子文檔。證書需要由社會上公認的可靠組織發(fā)行，如果由于它簽發(fā)的證書造成不恰當?shù)男湃侮P系，該組織需要負責任。例如用戶證書證實用戶擁有一個特別的公鑰，服務器證書證實某一特定的公鑰屬于這個服務器。證書由發(fā)證機構(認證授權中心．簡稱CA，CertificateAuthority)發(fā)行，其中含有掌握相應密鑰的證卡者的確切身份或其他屬性。這些機構負責在發(fā)行證書前證實個人身份和密鑰所有權。

12/11/20223.3.3證書的概念和類型1、證書的概念12/8/20226912/11/202212/8/202270認證機構的層次體系CA認證體系通常以各種基本加密算法為基礎，同時采用各種基本安全技術，為上層的安全應用協(xié)議提供證書認證功能。根CA持卡人CA（CCA）持卡人證書品牌CA區(qū)域CA商家CA（MCA）支付網(wǎng)關CA（PCA）商家證書支付網(wǎng)關證書12/11/2022認證機構的層次體系CA認證體系通常以各種基本712、證書的類型1）個人證書（客戶證書)這種證書證實客戶身份和密鑰所有權。在某些情況下，服務器可能在建立SSL連接時要求客戶證書來證實客戶身份。為了取得個人證書，用戶可向某一CA申請，CA經(jīng)過審查后決定是否向用戶頒發(fā)證書。12/11/20222、證書的類型12/8/2022722）服務器證書（服務器證書）這種證書證實服務器的身份和公鑰。當與客戶建立SSL連接時，服務器格它的證書傳送給客戶。當客戶收到證書后，客戶檢查證書是由哪家CA發(fā)行的，這家CA是否被客戶所信任。如果客戶不信任這家CA，瀏覽器會提示用戶接受或拒絕這個證書。在NetscapeNavigator中，用戶可以選擇總是接受某一站點的證書。如果用戶選擇這個選項，這個站點的證書被存在用戶計算機的數(shù)據(jù)庫里。用戶可以看到這些證書。在Netscape服務器里，管理員可以看到這個服務器的服務器證書。12/11/20222）服務器證書（服務器證書）12/8/2022733）安全郵件證書這種證書證實電子郵件用戶的身份和公鑰。有些傳送安全電子郵件的應用程序使用證書來驗證用戶身份和加密解密消息。

12/11/20223）安全郵件證書12/8/202274

4）CA證書這種證書證實CA身份和CA的簽名密鑰(簽名密鑰被用來簽署它所發(fā)行的證書)。在NetscapeNavigator里，用戶可以看到瀏覽器所接受的CA證書，也可以選擇他們是否信任這些證書。在Netscape服務器中，管理員可以看到服務器所接受的CA證書，也可以選擇是否信任這些證書。CA證書允許CA發(fā)行其他類型的證書。

12/11/20224）CA證書12/8/2022753.3.4證書的內(nèi)容和使用1.證書的內(nèi)容證書包括申請證書個人的信息和發(fā)行證書的CA的信息。證書由以下兩部分組成。

1）證書數(shù)據(jù)●版本信息，用來與X.509的將來版本兼容。●證書序列號，每一個由CA發(fā)行的證書必須有—個惟一的序列號?！馛A所使用的簽名算法?！癜l(fā)行證書CA的名稱。●證書的有效期限?！褡C書主題名稱。●被證明的公鑰信息，包括公鑰算法、公鑰的位字符串表示(只適用于RSA加密體制)?！癜~外信息的特別擴展。2）發(fā)行證書的CA簽名證書第二部分包括發(fā)行證書的CA簽名和用來生成數(shù)字簽名的簽名算法。任何人收到證書后都能使用簽名算法來驗證證書是由CA的簽名密鑰簽署的。12/11/20223.3.4證書的內(nèi)容和使用1.證書的內(nèi)容1）證書數(shù)據(jù)12/762.證書的有效性只有下列條件為真時，證書才有效。1)證書沒有過期。所有的證書都有一個有效期，只有在有效期限以內(nèi)證書才有效?？梢酝ㄟ^檢查證書的期限來決定證書是否有效。2)密鑰沒有被修改。如果密鑰校修改，就不應該再使用。密鑰對應的證書就應當收回。3)用戶仍然有權使用這個密鑰。例如雇員離開了某家公司，雇員就不能再使用該密鑰，密鑰對應的證書就需要收回。4)CA負責回收證書，發(fā)行無效證書清單。證書必須不在CA發(fā)行的無效證書清單中。

12/11/20222.證書的有效性12/8/2022773.證書的使用證書幫助證實個人身份。當用戶把他的證書送給某人，并將消息用該用戶的密鑰加密，接收者就能用證書里的公鑰來證實用戶的身份。用戶的證書和用戶的密鑰就是證明他是誰的證據(jù)。

12/11/20223.證書的使用12/8/2022784.證書申請創(chuàng)建操作流程12/11/20224.證書申請創(chuàng)建操作流程12/8/20227912/11/202212/8/202280圖2-11下載根證書（1）12/11/2022圖2-11下載根證書（1）12/8/202281圖2-12安裝根證書（1）12/11/2022圖2-12安裝根證書（1）12/8/202282圖2-12安裝根證書（2）12/11/2022圖2-12安裝根證書（2）12/8/202283圖2-12安裝根證書（3）12/11/2022圖2-12安裝根證書（3）12/8/202284圖2-12安裝根證書（4）12/11/2022圖2-12安裝根證書（4）12/8/202285圖2-12安裝根證書（5）12/11/2022圖2-12安裝根證書（5）12/8/202286圖2-13申請個人免費證書(1)12/11/2022圖2-13申請個人免費證書(1)12/8/202287圖2-13申請個人免費證書(2)12/11/2022圖2-13申請個人免費證書(2)12/8/202288圖2-13申請個人免費證書(3)12/11/2022圖2-13申請個人免費證書(3)12/8/202289圖2-14查詢個人免費證書12/11/2022圖2-14查詢個人免費證書12/8/20229012/11/202212/8/2022915.撤消數(shù)字證書的操作流程(1)用戶提出申請，向登記中心操作員發(fā)送一封簽名加密的郵件，聲明自己自愿撤消證書。如果服務器的證書需要撤消，則由管理員向登記中心操作員聯(lián)系。(2)登記中心同意證書撤消操作員鍵入用戶或服務器的序列號，對請求進行數(shù)字簽名。(3)認證中心查詢證書撤消請求列表，選出其中的一個，驗證操作員的數(shù)字簽名。如果正確的話，則同意用戶的證書撤消申請，同時更新CRL列表，然后將CRL以多種格式輸出。(4)登記中心轉(zhuǎn)發(fā)證書撤消列表，操作員導入CRL，并以多種不同的格式將CRL公布于眾。(5)其他用戶通過瀏覽安全服務器下載或瀏覽CRL。12/11/20225.撤消數(shù)字證書的操作流程12/8/2022926.證書的查詢安全認證中心為用戶提供實時的證書狀態(tài)查詢服務，并且定期發(fā)布證書撤消列表。12/11/20226.證書的查詢12/8/2022937.認證技術(CA)

由于電子商務是在網(wǎng)絡中完成，交易雙方互相之間不見面，為了保證每個人及機構（如銀行、商家）都能唯一而且被無誤地識別，這就需要進行身份認證。1）認證中心（CA）

電子商務認證授權機構也稱為電子商務認證中心（CertificateAuthority，CA）。CA就是承擔網(wǎng)上安全電子交易的認證服務，它能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構。CA通常是一個服務性機構，主要任務是受理數(shù)字證書的申請，簽發(fā)及管理數(shù)字證書，如護照辦理機構。12/11/20227.認證技術(CA)12/8/2022942）認證中心的職能（1）證書發(fā)放（2）證書更新（3）證書撤消（4）證書驗證12/11/20222）認證中心的職能12/8/202295世界著名的認證中心Verisign12/11/2022世界著名的認證中心Verisign12/8/202296我國認證中心現(xiàn)狀我國現(xiàn)有的安全認證體系(CA)可分為金融CA與非金融CA兩種類型來處理。在金融CA方面，根證書由中國人民銀行管理，根認證管理一般是脫機管理；品牌認證中心采用“統(tǒng)一品牌、聯(lián)合建設”的方針進行。在非金融CA方面，最初主要由中國電信負責建設。12/11/2022我國認證中心現(xiàn)狀我國現(xiàn)有的安全認證體系(CA)可分為金融C971.中國金融認證中心（CFCA）CFCA是全國惟一的金融根認證中心，由中國人民銀行負責統(tǒng)一規(guī)劃管理，中國工商銀行、中國銀行、中國農(nóng)業(yè)銀行、中國建設銀行、交通銀行、招商銀行、中信實業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行和福建興業(yè)銀行共十三家商業(yè)銀行聯(lián)合建設，由銀行卡信息交換總中心承建，建立了SETCA和Non-SETCA兩套系統(tǒng)，于2000年6月29日正式開始為全國的用戶提供證書服務。12/11/20221.中國金融認證中心（CFCA）CFCA是全國惟一的金融9812/11/202212/8/202299

2.廣東CA廣東省電子商務認證中心是國家電子商務的試點工程，其前身是中國電信南方電子商務中心，創(chuàng)立于1998年。2001年1月，廣東省電子商務認證中心的“網(wǎng)證通”電子認證系統(tǒng)通過國家公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測，被認定為安全可信的產(chǎn)品。2001年8月，國家密碼管理委員會辦公室批準廣東省電子商務認證中心使用密碼和建立密鑰管理中心，成為國內(nèi)提供網(wǎng)絡安全認證服務的重要力量。12/11/20222.廣東CA廣東省電子商務認證中心是國家電子商務的試點工程10012/11/202212/8/2022101

3.上海CA及中國協(xié)卡認證體系（SHECA）上海市CA中心是中國第一個CA認證中心，創(chuàng)建于1998年，經(jīng)過國家批準并被列為信息產(chǎn)業(yè)部全國的示范工程。12/11/20223.上海CA及中國協(xié)卡認證體系（SHECA）上海市CA中心10212/11/202212/8/2022103我國知名的認證中心12/11/2022我國知名的認證中心12/8/20221043.4密鑰管理3.4.1密碼技術的一般理論3.4.2認證系統(tǒng)3.4.3密碼體制分類3.4.4公鑰與私鑰對的管理3.4.5公鑰證書的管理12/11/20223.4密鑰管理3.4.1密碼技術的一般理論12/8/20221053.4.1密碼技術的一般理論在Internet中可以通過防火墻、代理服務器等技術來防止黑客對系統(tǒng)的攻擊、入侵與破壞，但無法解決信息在傳遞過程中的防竊聽、防篡改、防抵賴等問題。電子商務不僅要求系統(tǒng)安全，更要求信息保密、確定信息的來源和去向，并保證信息傳遞過程中的完整、保密、不可否認，解決這些問題要通過加密技術實現(xiàn)。采用加密技術可以隱蔽和保護需要保密的消息，使未授權者不能提取信息。12/11/20223.4.1密碼技術的一般理論在Internet中可以通過106明文：被隱蔽的消息。加密：將明文通過編碼和運算變換成另一種隱蔽的形式，這種變換過程。明文在加密后就是密文。解密：加密過程的逆過程，即由密文恢復出明文的過程。加密算法：信息發(fā)送者對明文進行加密時所采用的一組規(guī)則稱為。解密算法：信息接收者對密文進行解密時所采用的一組規(guī)則稱為。幾個概念12/11/2022明文：被隱蔽的消息。幾個概念12/8/2022107加密密鑰和解密密鑰：加密和解密算法的操作通常都是在一組密鑰控制下進行的。截收者：在信息傳輸和處理系統(tǒng)中，除了預定的接收者外，還有非授權接收者，他們通過各種辦法（如搭線竊聽、電磁竊聽、聲音竊聽等）來竊取機密信息。密碼分析：截收者在不知道系統(tǒng)所用的密鑰，但通過分析可能從截獲的密文推斷出原來的明文或密鑰，這一過程就是密碼分析。密碼分析學：研究如何從密文推演出明文、密鑰或解密算法的科學，就是密碼分析學。藏頭詩：蘆花叢中一扁舟，俊杰俄從此地游。義士若能知此理，反躬難逃可無憂。暗藏“盧俊義反”四字，結果成了官府治罪的證據(jù)，終于把盧俊義“逼”上了梁山。摩爾斯電碼12/11/2022加密密鑰和解密密鑰：加密和解密算法的操作通常都是在一組密鑰控108密碼系統(tǒng)加密系統(tǒng)解密系統(tǒng)密碼分析明文(M)加密密鑰(K1)解密密鑰(K2)密文(C)明文(M)明文(M)12/11/2022密碼系統(tǒng)加密系統(tǒng)解密系統(tǒng)密碼分析明文(M)加密密鑰(K1)解1093.4.2認證系統(tǒng)為了防止消息被篡改、刪除、重放和偽造，一種有效方法是使發(fā)送的消息具有被驗證的能力，使接收者或第三方能夠識別和確認消息的真?zhèn)?，實現(xiàn)這類功能的密碼系統(tǒng)稱做認證系統(tǒng)。12/11/20223.4.2認證系統(tǒng)為了防止消息被篡改、刪除、重放和110保密性和認證性是信息系統(tǒng)安全的兩個重要方面，他們具有不同屬性。認證不能自動地提供保密性，而保密性也不能自然地提供各認證功能。

保密性是使截收者在不知道密鑰條件下不能解讀密文的內(nèi)容。

認證性是使任何不知密鑰的人不能構造一個密報，使預定的接收者脫密成為一個可理解的消息，從而達到偽造合法消息的目的。

12/11/2022保密性和認證性是信息系統(tǒng)安全的兩個重要方面，他們具有不同111按照加密和解密密鑰是否相同對稱式加密系統(tǒng)（加密密鑰和解密密鑰相同，從一個易于得出另一個，這種密碼體制稱為單鑰或?qū)ΨQ密碼體制）（K1=K2)也稱為私鑰（PrivateKey)系統(tǒng)非對稱式加密系統(tǒng)（若加密密鑰和解密密鑰不相同，從一個難于推算出另一個，則稱為雙鑰或非對稱密碼體制）（K1<>K2)也稱為公鑰（PublicKey)系統(tǒng)混合加密系統(tǒng)

即采用公鑰對私鑰進行加密，用私鑰對信息進行加密。3.4.3密碼體制分類12/11/2022按照加密和解密密鑰是否相同3.4.3密碼體制分類12/8/112兩種加密方式的比較比較項目代表標準密鑰關系數(shù)字簽名加密速度主要用途對稱密鑰加密DES加密密鑰與解密密鑰相同困難快數(shù)據(jù)加密非對稱密鑰加密RSA加密密鑰與解密密鑰不同容易慢數(shù)字簽名、密鑰分配加密12/11/2022兩種加密方式的比較比較項目代表標準密鑰關系數(shù)字簽名加密速度主113（1）密鑰的分配、保存和管理這個問題是單鑰體制中的最大問題。在同一個網(wǎng)絡中，如果所有用戶都是用相同的密鑰，也就沒有保密意義。這個在整個Internet中，用戶多，密鑰量大，保管困難。（2）通信的貿(mào)易雙方之間要確保密鑰安全、互換便利。單鑰體制系統(tǒng)的保密性主要取決于密鑰的安全性，必須通過安全可靠的途徑將密鑰送至接收端。由于算法公開，其安全性完全依賴于密鑰的保護，密鑰用一段時間后就更換，而必須使用與傳遞加密文件不同的途徑來傳遞密鑰，像電話通知、郵寄軟盤、專門派人傳送等。（3）身份認定。對稱加密方式存在的一個重要問題：是無法鑒別貿(mào)易信息發(fā)送方或貿(mào)易信息接收方。這是因為貿(mào)易雙方共享同一把專用密鑰。貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方。單鑰體制的不足之處：12/11/2022（1）密鑰的分配、保存和管理單鑰體制的不足之處：12/8/2114（1）密鑰分配簡單。公開密鑰可以像電話號碼一樣告訴每一個網(wǎng)絡成員，需要仔細保管的只是一個私人密鑰。（2）密鑰的保存量少。在非對稱密鑰體系中，網(wǎng)絡中的每個通訊成員只需保存一個私人密鑰，每個成員都可以像公開自己的電話號碼一樣公開公布自己的公鑰。（3）密鑰管理比較方便。就像收集電話號碼一樣收集所有成員的公鑰，對密鑰進行統(tǒng)一管理。（4）可以實現(xiàn)身份識別。A用戶使用自己私人密鑰加密特定的文件，這個文件就是數(shù)字簽名，B用戶用A用戶的公開密鑰對這個加密的信息進行解密，如果能解密，就能證明信息是A用戶發(fā)來的。前提是：在雙鑰體制下，用任意一個密鑰加密的信息，只有用與其配對的另一個密鑰才能解密。雙鑰體制的優(yōu)勢：12/11/2022（1）密鑰分配簡單。公開密鑰可以像電話號碼一樣告訴每一個網(wǎng)絡115接收方加密系統(tǒng)解密系統(tǒng)明文(M)乙方公鑰密文(C)發(fā)送方明文(M)乙方密鑰非對稱密鑰加密圖例12/11/2022接收方加密系統(tǒng)解密系統(tǒng)明文(M)乙方公鑰密文(C)發(fā)送方明文116混合應用發(fā)送者接收者RSA加密RSA解密DES解密DES加密明文明文密文DES解密鑰DES密鑰（通過RSA加密傳遞）密文DES解密密鑰接收者密鑰12/11/2022混合應用發(fā)送者接收者RSA加密RSA解密DES解密DES加密1173.4.4公鑰與私鑰對的管理

在Internet網(wǎng)絡環(huán)境中，由于用戶很多，需要使用大量密鑰，密鑰數(shù)量非常龐大，而且出于安全方面的考慮，又需要經(jīng)常更換密碼，密鑰管理非常重要。歷史經(jīng)驗表明，從密鑰管理途徑進行攻擊，竊取密碼，要比單純破譯密碼所花費的代價小得多，無論是對稱加密體制還是非對稱加密體制，都需要進行審慎的密鑰管理。密鑰管理要借助于加密、認證、簽名、協(xié)議、公證等技術，通常要可信賴的第三方參與公證系統(tǒng)。12/11/20223.4.4公鑰與私鑰對的管理在Internet網(wǎng)絡環(huán)境118公鑰/私鑰對的管理主要包括：

1、密鑰對生成

密鑰是加密算法中的可變部分，采用密碼技術保護的現(xiàn)代信息系統(tǒng)。一旦密鑰丟失或出錯，不但合法用戶不能提取信息，而且可能使非法用戶竊取信息。因此，產(chǎn)生密鑰算法的強度、密鑰長度以及密鑰的保密和安全管理在保證信息系統(tǒng)的安全中是極為重要的。密鑰按算法安全產(chǎn)生后，首先將私鑰安全地送給特定用戶，如需備份或存檔亦應技規(guī)定保證安全性，將公鑰送給一個或幾個CA，以生成相應證書。

12/11/2022公鑰/私鑰對的管理主要包括：1、密鑰對生成12/8/202119有以下兩種方式生成密鑰對1)密鑰對持有者系統(tǒng)。由用戶自己生成密鑰對(由硬件或軟件)，并將密鑰存入該系統(tǒng)。2)通用系統(tǒng)。由某信賴中心(可能為CA或相關機構)生成，然后安全地送到特定用戶的設備中。這種方法可以利用可信賴中心的能力產(chǎn)生高質(zhì)量密鑰對，易于備份和管理。

12/11/2022有以下兩種方式生成密鑰對12/8/20221202、密鑰的保護

必須防止未授權用戶對密鑰的訪問。可將密鑰存人防竄擾硬件或證卡(如IC卡或PCMCIA卡中)，或加密后存入計算機的文件中。必須通過認證才能訪問此密鑰。

3、密鑰對的更新

定期更換密鑰對是保證安全的重要措施。12/11/20222、密鑰的保護12/8/20221213.5不可否認性3.5.1不可否認性的特點3.5.2不可否認性的類型3.5.3不可否認性的實現(xiàn)12/11/20223.5不可否認性3.5.1不可否認性的特點12/8/2021223.5.1不可否認性的特點在網(wǎng)絡環(huán)境下，要求各種協(xié)議、業(yè)務（認證、簽名、完整性等）和機構對消息或參與者提供不同程度的非否認性。為了保證電子商務系統(tǒng)的安全性，必須提供足夠的非否定性，以保證第三方（仲裁者）最終能分辨出是非。沒有認證性和數(shù)據(jù)完整性就不可能實現(xiàn)不可否認性，但不可否認性還要保證事后能向第三方出示原來的某實體參與了該通信活動、或某消息確定已遞送給某實體的證明。任何通信都不可能防止對方拒絕，即使是最強的不可否認性也不能防止一方參與者抵賴傳送或否認曾收到信息。但只要其他參與者和第三方能提供不可辯駁的證據(jù)，可以迅速分清是非，使抵賴者不能得逞。利用不可否認性可有效地解決糾紛，減少此類事件發(fā)生。12/11/20223.5.1不可否認性的特點在網(wǎng)絡環(huán)境下1233.5.2不可否認性的類型信息的發(fā)送和接收來分為（1）源的不可否認性源的不可否認性是為保護收信人，提供證據(jù)解決下述可能的糾紛：接收者宣稱曾收到一個消息，但是被認定的發(fā)信者聲稱未發(fā)過任何信息；接收者宣稱所收到的信息不同于發(fā)信者所說的曾送的消息；接收者宣稱在特定日期和特定時間接收到某個特定發(fā)信者所發(fā)送的消息，但被認定的發(fā)信者宣稱在那個特定日期和時間未曾發(fā)過那個特定消息。12/11/20223.5.2不可否認性的類型信息的發(fā)送和接收來分為12/8/2124（2）遞送的不可否認性用于防止或解決出現(xiàn)有關是否一個特定實體收到了一個特定的數(shù)據(jù)項、遞送在特定時刻出現(xiàn)或兩者皆有分歧。這是為了保護發(fā)信人，提供足夠的證據(jù)以解決下述糾紛：發(fā)信人宣稱曾發(fā)送了一個消息，但被認定的收信人宣稱未曾收到過該消息；發(fā)信人宣稱曾發(fā)送了一個消息，但和收信人宣稱所收到的信息不一樣，發(fā)信人宣稱在特定日期和特定時間曾發(fā)生一個特定消息，但被認定的收信人宣稱在該特定日期和特定時間未曾收到過那個特定消息。12/11/2022（2）遞送的不可否認性12/8/20221253.5.3不可否認性的實現(xiàn)1、數(shù)字簽名技術2、數(shù)字時間戳技術12/11/20223.5.3不可否認性的實現(xiàn)1、數(shù)字簽名技術12/8/20221261.數(shù)字簽名技術

數(shù)字簽名技術是將原文摘要用發(fā)送者的私鑰加密，與原文一起發(fā)送給接收者。接收者只有利用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務中，完善的數(shù)字簽名應具備簽名方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?2/11/20221.數(shù)字簽名技術12/8/2022127傳統(tǒng)文件簽名的作用：（1）因為自己的簽名難以否認，從而確認了文件已簽署這一事實。（2）因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與文件簽名有相同之處，采用數(shù)字簽名還能確認：（1）信息是由簽名者發(fā)送的；（2）信息自簽發(fā)后到收到為止未曾做過任何修改。12/11/2022傳統(tǒng)文件簽名的作用：12/8/2022128常用的數(shù)字簽名：（1）RSA簽名：RSA數(shù)字簽名源于RSA公開密鑰系統(tǒng)，最流行的一種方式，簽名時使用私鑰，驗證時使用公鑰。（2）DSS簽名：DSS是在1991午8月由美國NIST公布，1994年12月1日正式采用的美國聯(lián)邦信息處理標準。這類簽名標準具有較大的兼容性和適用性，已成為網(wǎng)絡安全體系的基本構件之一。（3）Hash簽名：最主要的數(shù)字簽名方法。也稱之為數(shù)字摘要法或數(shù)字指紋法。該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它與RSA數(shù)字簽名作為一種單獨的簽名方式術向，因此更適合于電子商務活動。12/11/2022常用的數(shù)字簽名：12/8/20221292、數(shù)字時間戳技術

在電子商務交易文件中，時間和簽名一樣是十分重要的證明文件有效性的內(nèi)容。數(shù)字時間戳（DTS,digitaltime-stamp

）用來證明消息的收發(fā)時間。

數(shù)字時間戳是有DTS機構加上的，以DTS機構收到文件的時間為依據(jù)。12/11/20222、數(shù)字時間戳技術在電子商務交易文件中，時間和簽名一樣是130本章重點內(nèi)容1、計算機病毒概念、特點及傳播方式2、防火墻概念及構成3、信息安全性問題表現(xiàn)在哪幾個方面

4、身份認證的基本方法5、證書及其類型6、不可否認性的類型7、數(shù)字簽名技術12/11/2022本章重點內(nèi)容1、計算機病毒概念、特點及傳播方式12/8/20131第3章電子商務安全系統(tǒng)12/11/2022第3章電子商務安全系統(tǒng)12/8/2022132電子商務發(fā)展的核心和關鍵問題是交易的安全性，這是網(wǎng)上交易的基礎，也是電子商務技術的難點所在。目前，因特網(wǎng)上影響交易最大的阻力就是交易安全問題。序言12/11/2022電子商務發(fā)展的核心和關鍵問題是交易的安全性，這是網(wǎng)上交易的133電子商務系統(tǒng)安全體系結構安全數(shù)據(jù)傳輸技術非對稱密鑰體制、對稱密鑰體制…….電子商務安全認證技術數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系……電子商務安全應用層協(xié)議SET、SSL、SHTP、STT….電子商務業(yè)務系統(tǒng)電子支付系統(tǒng)12/11/2022電子商務系統(tǒng)安全體系結構134案例國外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)2000年春天，有人利用普通的技術，從電子商務網(wǎng)站竊取到8萬個信用卡號和密碼，標價26萬元出售。12/11/2022案例國外12/8/2022135中國互聯(lián)網(wǎng)絡信息中心調(diào)查結果

用戶認為目前網(wǎng)上交易存在的最大問題是安全性得不到保障：23.4%

付款不方便：10.8%產(chǎn)品質(zhì)量、售后服務及廠商信用得不到保障：39.3%

送貨不及時：8.6%價格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠：6.4%其它：0.7%12/11/2022中國互聯(lián)網(wǎng)絡信息中心調(diào)查結果用戶認為目前網(wǎng)上交易存在的最136本章主要內(nèi)容3.1計算機病毒的防范3.2Internet的主要安全措施3.3身份認證3.4密鑰管理3.5不可否認性12/11/2022本章主要內(nèi)容3.1計算機病毒的防范12/8/20221373.1計算機病毒的防范3.1.1計算機病毒的一般特點3.1.2計算機病毒的傳播方式3.1.3感染計算機病毒的癥狀3.1.4防治計算機病毒的方法12/11/20223.1計算機病毒的防范3.1.1計算機病毒的一般特點12138計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義為：“編制或者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。定義12/11/2022計算機病毒(ComputerVirus)在《中華人民共和國139危害12/11/2022危害12/8/2022140計算機病毒的歷史1946年，第一臺“馮·諾依曼”體系的計算機ENIAC問世。12/11/2022計算機病毒的歷史1946年，第一臺“馮·諾依曼”體系的計算機1411949年，馮·諾伊曼在他的一篇論文《復雜自動裝置的理論及組織的進行》里，提出了一種能夠自我繁殖的程序的可能，但并沒有引起關注。1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，并將這種破壞性程序命名為計算機病毒(ComputerViruses)，8小時后專家們成功運行該程序。第一個病毒實驗成功。12/11/20221949年，馮·諾伊曼在他的一篇論文《復雜自動裝置的理論及組1421986年初，巴錫特(Basit)和阿姆杰德(Amjad)兩兄弟編寫的Pakistan病毒，在一年內(nèi)流傳到了世界各地。1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如黑色星期五等。1988年3月2日，一種蘋果機的病毒發(fā)作。這天受感染的蘋果機都停止了工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”，以慶祝蘋果機生日。1988年冬天，在康乃爾大學攻讀的莫里斯，把一個稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡。12/11/202212/8/20221431991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，在空襲巴格達的戰(zhàn)斗中，成功地破壞了對方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗的順利進行，直至最后勝利。1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1997年被公認為計算機反病毒界的“宏病毒”年。宏病毒主要感染W(wǎng)ord、Excel等文件。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡災害。此次病毒攻擊導致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓，在中國80%以上網(wǎng)民受此次全球性病毒襲擊影響而不能上網(wǎng)，很多企業(yè)的服務器被此病毒感染引起網(wǎng)絡癱瘓。此病毒不具有破壞文件、數(shù)據(jù)的能力，主要影響就是大量消耗網(wǎng)絡帶寬資源，使得網(wǎng)絡癱瘓。2005年是木馬流行的一年。包括安全領域耳熟能詳?shù)慕?jīng)典木馬(例如冰河，灰鴿子等)。2006年-現(xiàn)在木馬仍然是病毒主流，其變種層出不窮。2006年上半年，江民反病毒中心共截獲新病毒33358種。12/11/20221991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，144黑客黑客是“Hacker”的音譯，源于動詞Hack，其引申意義是指“干了一件非常漂亮的事”或是指那些精于某方面技術的人。對于計算機而言，黑客就是精通網(wǎng)絡、系統(tǒng)、外設以及軟硬件技術的人。什么是駭客？有些黑客逾越尺度，運用自己的知識去做出有損他人權益的事情，就稱這種人為駭客（Cracker，破壞者）。12/11/2022黑客黑客是“Hacker”的音譯，源于動詞Hack，其引申145