电子商务安全培训 课件

第五章

电子商务安全

第五章

电子商务安全

2022/12/1022000年2月，互联网最为严重的黑客事件

——“电子珍珠港”事件2月7日，美国雅虎网站（Yahoo）遭到攻击，大部分网络服务陷于瘫痪；2月8日，电子商务网站遭到攻击：当天股市的网络销售公司购买网站死机，随后世界最著名的网络拍卖行网站（eBay）、著名电子商务网站亚马逊（Amazon）也被迫关闭多个小时。2月9日，电子商务网站再度遭殃，电子交易网站遭到攻击，科技新闻网站ZDNet中断2个小时。2022/12/822000年2月，互联网最为严重的黑客事件2022/12/103相关的数据和统计：截至2002年底，全球Internet用户超过6.55亿。

CNNIC中国互联网络发展状况统计最新统计显示，截至2008年12月31日，中国网民规模达到2.98亿人，世界第一,普及率达到22.6%，超过全球平均水平；2007年增长率为41.9%最高。学生网民20%,美国60%CNNIC统计指出，我国超过40%的网站存在严重的安全漏洞。

美国金融时报报道，世界上平均每20秒就发生一起黑客入侵事件。2000年1月，黑客从CDUniverse网站窃取了35万个信用卡号码，这是向公众报道的最大规模的信用卡失窃案件。2022/12/83相关的数据和统计：截至2002年底，全2022/12/104案例：携程被曝存“支付漏洞”

携程的IT系统完全自建，2009年以前，携程服务器并不留存用户CVV码，用户每次购买机票，预订酒店都需要输入CVV码；2009年后，为了简化操作流程，优化客户体验，携程服务器上开始留存CVV码，也为支付安全留下隐患。2014年3月22日乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器，有可能被黑客所读取。对此，携程在声明中称，公司已经展开技术排查，并在两小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。2022/12/84案例：携程被曝存“支付漏洞”携程的IT事件陈述当时正处于央行对于第三方支付表示质疑的关口，加上安全漏洞关乎携程数以亿计的用户财产安全，所以这一消息引起了了极大的关注。有用户称，携程“官方信息完全在瞎扯”，并附上信用卡记录为证。作为携程的钻石卡会员，他早于2月25日就曾致电携程，他的几张绑定携程的信用卡被盗刷了十几笔外币，但当时携程居然回复“系统安全正常”。有种“闭着眼睛撒谎”的感觉。事件陈述案例：当当网存安全漏洞用户资料被篡改案例：当当网存安全漏洞用户资料被篡改事件陈述广州的消费者常先生2014年2月25日发现,自己当当网的上千元余额被盗走了。常先生曾在当当网分两次充值总价2000元的礼品卡。被刷走当天,常先生突然发现自己的账户里有一个新订单,订单显示是一条价值1578元的千足金链子,而收件人的地址来自湖北武汉。“收件人姓名是我自己,但是联系地址和联系电话都不是我的”。常先生告诉记者,自己当当网账号的验证邮箱、密码、手机号都被篡改,可自己事先并不知情。今年3月左右，有多名消费者在当当网的账户被不明人士篡改，购买的千元礼品卡余额被盗刷。而受害者则面临着投诉无果，被盗款无法追回等问题。对此，当当网曾发布公告称，针对被盗号用户的赔偿事宜，当当网可先行赔付。事件陈述广州的消费者常先生2014年2月25日发现,自己当当支付宝存漏洞嫌犯伪造执照

盗刷网店20余万2014年3月初，有媒体爆出支付宝存在安全漏洞。张某、刘某一起在淘宝上开网店。在开店过程中，二人发现修改其网店的支付宝用户名和密码时，只需在网上向支付宝客服提交电子版营业执照即可；支付宝客服对电子版营业执照的审核不严，很容易受理通过。二人利用此漏洞，盗刷数家企业支付宝内的资金共20余万元。支付宝存漏洞嫌犯伪造执照

盗刷网店20余万2014年3月初1、支付宝大面积瘫痪无法进行操作2015年5月，拥有将近3亿活跃用户的支付宝出现了大面积瘫痪，全国多省市支付宝用户出现电脑端和移动端均无法进行转账付款、出现余额错误等问题。而今年十一长假之后，则有“资深”支付宝用户爆料称在登录支付宝官网后无意间发现，自己的实名认证信息下多出了5个未知账户，而这些账号都没有经过他本人的认证。2、财付通用户账号遭冻结余额不翼而飞2015年8月10日，腾讯一用户财付通账号无故被冻结，财付通客服解释为账户异常，但并未给出具体解释。从11日开始，该用户反复提交材料并与客服要求解冻未果。直至26日，账户终于解冻，但发现账户余额内2000余元不翼而飞。随后，该用户申请冻结账户，账户在27日下午被冻结后又在28日自动解冻。而客服解释是之前申请过冻结账户。“等于我丢了2000元，他们却不知道。”

2022/12/1091、支付宝大面积瘫痪无法进行操作2022/12/893、翼支付频遭盗刷系统疑存隐患从2014年4月份起至今，翼支付绑定银行卡被盗刷事件就已经出现过7次，盗刷金额从几百到几万不定。多位银行卡被盗刷受害者表示，在持卡人不知情的情况下，银行卡中的资金通过翼支付被盗刷，且翼支付无法查询到被盗刷资金去向。没有开通翼支付的银行卡也被盗刷，并且被盗刷期间没有收到任何消费和支付的短信提醒，这让受害者百思不得其解。2022/12/10103、翼支付频遭盗刷系统疑存隐患2022/12/810第五章电子商务安全熟悉电子商务安全的含义了解目前常见的电子商务安全威胁掌握电子商务安全的需求了解电子商务安全常见的技术了解电子商务安全协议2022/12/1011学习目标第五章电子商务安全熟悉电子商务安全的含义了解目前常见的电子

5.1电子商务安全概述

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全和数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性。2022/12/1012

5.1电子商务安全概述

2022/12/8122022/12/1013

5.1电子商务安全概述

电子商务活动的交易安全紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。以下几种情况：（1）窃取信息；（2）篡改信息；（3）身份仿冒；（4）抵赖；（5）网络病毒；（6）其他安全威胁。2022/12/813

5.1电子商务安全概述

电子商务活5.1电子商务安全概述5.1.1电子商务安全要素由于电子商务是在互联网环境下进行的商务活动，交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关注的问题。因此，为了保证电子商务整个交易活动的顺利进行，电子商务系统必须具备以下几个安全要素：（1）信息保密性需求（2）信息完整性需求（3）不可否认性（4）交易者身份鉴别需求（5）系统有效性（系统有效性关系个人、企业、国家）（6）可审查性需求（7）操作合法性需求2022/12/10145.1电子商务安全概述5.1.1电子商务安全要素20225.1电子商务安全概述5.1.2电子商务的安全威胁及主要的安全技术

电子商务的安全威胁包括：信息在网络的传输过程中被截获、传输的文件被篡改、假冒他人身份、不承认已经做过的交易、抵赖、非法访问和计算机病毒等。电子商务的主要安全技术包括：加密技术、认证技术、数字签名、安全套接字协议（SSL）和安全电子交易规范（SET）。2022/12/10155.1电子商务安全概述5.1.2电子商务的安全威胁及主要

【案例】开发理财软件留“后门”

2009年7月，某金融机构委托某公司开发一个银行理财产品的计算机程序，该公司便让其员工邹某负责研发。邹某在未告知公司和该金融机构的情况下私自在程序中加入了一个后门程序。之后程序研发顺利完成并交付至该金融机构投入运行。自2009年11月至今年6月期间，邹某又先后多次通过后门程序进入上述系统，并采用技术手段非法获取了70多名客户的客户资料、密码，非法查询了多名客户的账户余额，同时将23名客户的账户资金在不同的客户账户上相互转入转出，涉及金额共计1万余元。自2009年9月起，该金融机构就陆续接到客户投诉，于是于2010年6月联系上述研发公司进行检测，终于发现了这个秘密的“后门程序”，立即向公安机关报案。公安机关于当月将犯罪嫌疑人邹某抓获归案。

【案例】开发理财软件留“后门”

2009年7月，某金融机构触发安全问题的原因1．黑客的攻击——目前，世界上有20多万个黑客网站，攻击方法成千上万。2．管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。3．网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。4．软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。冲击波病毒win20005．人为的触发——基于信息战和对他国监控的考虑，个别国家或组织有意识触发网络信息安全问题。触发安全问题的原因1．黑客的攻击——目前，世界上有20多万个2022/12/1018棱镜门棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划。"棱镜"监控的主要有10类信息：电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被政府监控。通过棱镜项目，国安局甚至可以实时监控一个人正在进行的网络搜索内容。2022/12/818棱镜门棱镜计划（PRISM）是一项由美反病毒技术2022/12/1019计算机病毒（ComputerVirus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。反病毒技术2022/12/819计算机病毒（Computer2022/12/1020

现在所谓的特洛伊木马正是指那些表面上是有用的软件，实际上却会危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。2022/12/820现在所谓的特洛伊木马正是指2022/12/1021WannaCry是一种蠕虫式的勒索病毒，它利用了WindowsSMB服务漏洞，攻击电脑并加密硬盘中的文件，向用户勒索赎金。由于它主要利用TCP445端口传播（运营商通常会关闭个人用户的445端口），大量企业、政府和教育机关的网站中招。国内受影响最大的是教育网，很多实验室数据和毕业论文都被加密了。2022/12/821WannaCry是一种蠕虫式的勒索病毒2022/12/1022感染熊猫烧香后，exe文件会被破坏导致很多软件无法正常使用；另外它启动后会将用户电脑上的杀毒软件进程杀掉；它还会破坏磁盘和外接U盘等，造成它们无法正常使用；此外作者建立了服务器对病毒不断更新，速度直逼杀毒软件；熊猫烧香还会感染网页文件，从而导致浏览部分网站的用户中招。2022/12/822感染熊猫烧香后，exe文件会被破坏导致计算机病毒特点1.繁殖性计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。2.破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏3.传染性计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。计算机病毒特点计算机病毒特点4.潜伏性计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作，会使电脑变慢。5.隐蔽性计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。6.可触发性编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。计算机病毒特点4.潜伏性病毒对计算机造成的破坏破坏文件分配表删除文件修改或破坏重要数据减少磁盘空间显示非正常信息和图像系统不能正常存储造成写错误破坏磁盘文件目录降低计算机工作速度非法格式化打印机故障文件增长改变系统正常运行过程造成屏幕和键盘死锁病毒对计算机造成的破坏计算机病毒的防范1、备份：对所有的软件（甚至操作系统）进行备份，并制定应付突发情况的应急方案；2、预防：提高用户的警惕性，实行安全卫生制度，例如使用正版软件等；3、检测：使用杀病毒软件来检测，报告并杀死病毒；4、隔离：确认并隔离携带病毒的部件；5、恢复：杀毒或清除被病毒感染的文件。计算机病毒的防范1、备份：对所有的软件（甚至操作系统）进行备2022/12/10271、确保你的电脑没有病毒木马，安装并且及时更新杀毒软件；2.下载网购保镖；3、支付账户的密码要复杂一点；此外，尽量不要在公共场合进行支付，如网吧等场所。网络支付安全保护2022/12/8271、确保你的电脑没有病毒木马，安装并且常见的杀毒软件2022/12/1028世界级：常见的杀毒软件2022/12/828世界级：2022/12/1029常见的杀毒软件国内：2022/12/829常见的杀毒软件国内：2022/12/1030防火墙技术防火墙：防火墙（Firewall），也称防护墙。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙主要包括：1.限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯；2.限制内部网对外部网的访问，主要针对不健康信息及敏感信息的访问。2022/12/830防火墙技术2022/12/1031防火墙五大基本功能：1.过滤进出网络的数据包2.管理进出网络的访问行为3.封堵某些禁止的访问行为4.记录通过防火墙的信息内容和活动5.对网络攻击进行检测和警告防火墙的安全策略：1.凡未列为允许访问都是被禁止的。2.凡未列为禁止访问都是被允许的。2022/12/831防火墙五大基本功能：2022/12/1032按软硬件形式分类：软件防火墙硬件防火墙按技术分类：包过滤防火墙应用层防火墙按结构形式分类：单一主机防火墙路由器集成式防火墙分布式防火墙2022/12/832按软硬件形式分类：防火墙在网络中的位置

安装防火墙以前的网络

防火墙在网络中的位置安装防火墙以前的网络安装防火墙后的网络

安装防火墙后的网络硬件防火墙硬件防火墙2022/12/1036软件防火墙2022/12/836软件防火墙密码学历史Phaistos(费斯托斯圆盘)圆盘，一种直径约为160mm的Cretan-Mnoan粘土圆盘，始于公元前17世纪。表面有明显字间空格的字母，至今还没有破解。5.2信息加密技术密码学历史Phaistos(费斯托斯圆盘)圆盘，一种直径约为密码学历史（续）希腊密码二维字母编码查表公元前2世纪例：ZhejiangUniversity552315242411332254332451154243244454密码学历史（续）希腊密码二维字母编码查表公元前2世纪例密码学历史（续）恺撒密码：将字母循环前移k位明文：ZhejiangUniversity密文：EmjonfslZsnajwxnyd例如k=5时对应关系如下：密码学历史（续）恺撒密码：将字母循环前移k位明文：Zheji2022/12/1040ILOVEYOU

LORYHBRX后移3位前移3位ILOVEYOUEg:2022/12/840LORYHBRX后移3位前移3位密码学历史（续）二战中美国陆军和海军使用的条形密码设备M-138-T4。根据1914年ParkerHitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用，主要用于低级的军事通信。密码学历史（续）二战中美国陆军和海军使用的条形密码设备M-1电子商务安全培训课件

密码学概念密码编码学（cryptography）：使消息保密的技术和科学密码分析学（cryptanalysis）：破译密文的技术和科学密码学（cryptology）密码学=密码编码学+密码分析学密码学概念密码编码学（cryptography）：密

密码学的发展1949年之前(基于算法的保密)密码学是一门艺术古典密码1949～1975年(基于密钥保密)密码学成为科学Shannon1976年以后密码学的新方向——公钥密码学

加密和解密钥分开Diffie、Hellman

三个阶段：对称密钥的管理要求高数字签名,证书公开密码学的发展1949年之前(基于算法的保密)单向函数质数因子分解单向函数

5.2信息加密技术

为保证数据和交易的安全、防止欺骗，确认交易双方的真实身份，电子商务必须采用加密技术，加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文，明文经过某种加密算法作用后，转换成密文，我们将明文转换为密文的这一过程称为加密，将密文经解密算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥，密钥长度越长，密钥的空间就越大，遍历密钥空间所花的时间就越多，破译的可能性就越小。以密钥类型划分，可将密钥系统分为对称密钥系统和非对称密钥系统。

5.2信息加密技术

为保证数据和交易的安全、防止欺骗，

5.2信息加密技术

5.2.1密码学概述

一般的数据加密模型如图5-1所示，它是采用数学方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字（密文），而对于合法的接收者，由于掌握正确的密钥，可以通过访问解密过程得到原始数据。密码学分为两类：密码编码学和密码分析学。

5.2信息加密技术

5.2.1密码学概述5.2信息加密技术5.2.1密码学概述图5-1数据加密模型5.2信息加密技术5.2.1密码学概述图5-1数据加密5.2信息加密技术对称密钥系统对称密钥系统，又称单钥密钥系统或密钥系统，是指在对信息的加密和解密过程中使用相同的密钥。也就是说，私钥密钥就是将加密密钥和解密密钥作为一把密钥。对称加密、解密的过程如图5-2所示。图5-2对称加密、解密过程5.2信息加密技术对称密钥系统图5-2对称加密、解密过5.2信息加密技术对称密钥系统对称密钥系统的安全性依赖于两个因素：第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。密码学的一个原则是“一切秘密寓于密钥之中”，算法可以公开，因此，我们没有必要确保算法的秘密性，而需要保证密钥的秘密性。对称密钥系统的这些特点使其有着广泛的应用。对称密钥加密的特点是加密和解密使用的是同一个密钥，其典型的代表是美国国家安全局的DES。5.2信息加密技术对称密钥系统对称加密的要求：（1）需要强大的加密算法。（2）发送方和接收方必须用安全的方式来获得保密密钥的副本，必须保证密钥的安全。如果有人发现了密匙，并知道了算法，则使用此密匙的所有通信便都是可读取的。2022/12/1051对称加密的要求：2022/12/8515.2信息加密技术对称密钥系统DES算法大致可以分成四个部分：初始置换、迭代过程、逆置换和子密钥生成。图5-4DES加密算法过程5.2信息加密技术对称密钥系统图5-4DES加密算法过程RSA非对称密钥加密技术发送者加密和接受者解密使用不用密钥的加密方法。非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。非对称加密算法主要有RSA、DSA、DIFFIE等2022/12/1053RSA非对称密钥加密技术2022/12/8535.2信息加密技术非对称密钥系统图5-5非对称加密、解密过程5.2信息加密技术非对称密钥系统图5-5非对称加密、解5.2信息加密技术两种加密方法各有优缺点，对称加密体制的编码效率高，但在密钥分发与管理上存在困难，而非对称密码体制可以很好地解决这个问题。因此，可以组合使用这两种加密方法，如图5-6所示。图5-6两种加密组合使用5.2信息加密技术两种加密方法各有优缺点，对称加密体制的对称数据加密技术非对称数据加密技术密码个数1个2个算法速度较快较慢算法对称性对称，解密密钥可以从加密密钥中推算出来不对称，解密密钥不能从加密密钥中推算出来主要应用领域数据的加密和解密对数据进行数字签名、确认、鉴定、密钥管理和数字封装等典型算法实例DES等RSA等对称和非对称加密技术比较对称数据加密技术非对称数据加密技术密码个数1个2个算法速度较

5.3信息认证技术

在电子商务中，由于参与的各方往往是素未谋面的，身份认证成了必须解决的问题，即在电子商务中，必须解决不可抵赖性问题。交易抵赖包括多个方面，如发言者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了订货单不承认，商家卖出的商品因价格差而不承认原有的交易等。电子商务关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商务顺利进行的关键。

5.3信息认证技术

5.3信息认证技术5.3.1身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息（包括用户的身份信息）都是由一组特定的数据表示的，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。而我们的生活从现实世界到一个真实的物理世界，每个人都拥有独一无二的物理身份。5.3信息认证技术5.3.1身份认证5.3信息认证技术5.3.1身份认证1.密码方式

密码方式是最简单也是最常用的身份认证方法，是基于“whatyouknow”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者是合法用户。由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此密码方式是一种不安全的身份认证方式。5.3信息认证技术5.3.1身份认证5.3信息认证技术5.3.1身份认证2.生物学特征

生物学特征认证是指采用每个人独一无二的生物学特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物学特征认证是最可靠的身份认证方式，因为它直接使用人的生理特征来表示每个人的数字身份，不同的人具有不同的生物学特征，因此几乎不可能被仿冒。5.3信息认证技术5.3.1身份认证5.3信息认证技术5.3.1身份认证3.动态口令动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。5.3信息认证技术5.3.1身份认证5.3信息认证技术5.3.1身份认证4.USBKey认证

基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。USBKey的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏，只要USBKey本身不被盗用即安全。黑客如果想要通过破解加密狗的方法破解USBKey，那么需要先偷到用户USBKey的物理硬件，而这几乎是不可能的。5.3信息认证技术5.3.1身份认证5.3信息认证技术5.3.2数字摘要与数字签名1.数字摘要数字摘要简要地描述了一份较长的信息或文件，它可以被看作一份长文件的“数字指纹”。信息摘要用于创建数字签名，对于特定的文件而言，信息摘要是唯一的。信息摘要可以被公开，它不会透露相应文件的任何内容。数字摘要就是采用单向散列函数将需要加密的明文“摘要”成一串固定长度（128位）的密文，这一串密文又称为数字指纹，它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。5.3信息认证技术5.3.2数字摘要与数字签名5.3信息认证技术5.3.2数字摘要与数字签名

2.数字签名

在传统的交易中，我们是用书面签名来确定身份的。在书面文件上签名的作用有两点，一是确定为自己所签署难以否认；二是因为签名不易仿冒，从而判断文件是否为非伪造签署文件。随着电子商务的应用，人们希望通过数字通信网络迅速传递贸易合同，这就出现了合同真实性认证的问题，数字签名就应运而生了。5.3信息认证技术5.3.2数字摘要与数字签名5.3信息认证技术5.3.2数字摘要与数字签名图5-7生成数字签名流程5.3信息认证技术5.3.2数字摘要与数字签名图5-75.3信息认证技术5.3.2数字摘要与数字签名图5-8数字签名的过程示意5.3信息认证技术5.3.2数字摘要与数字签名图5-85.3信息认证技术5.3.3数字信封与数字时间戳1.数字信封数字信封是用加密技术来保证只有特定的收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，为了能安全地传输对称密钥，将对称密钥使用接收方的公开密钥来加密（这部分称为“数字信封”）之后，将它和对称加密信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。采用数字信封技术后，即使加密文件被他人非法截获，截获者由于无法得到发送方的通信密钥，也不可能对文件进行解密。5.3信息认证技术5.3.3数字信封与数字时间戳5.3信息认证技术5.3.3数字信封与数字时间戳图5-9数字信封的生成

5.3信息认证技术5.3.3数字信封与数字时间戳图5-95.3信息认证技术5.3.3数字信封与数字时间戳5-10数字信封的解除

5.3信息认证技术5.3.3数字信封与数字时间戳5-10

5.3信息认证技术

5.3.3数字信封与数字时间戳2.数字时间戳

在电子交易中，需对交易文件的日期和时间采取安全措施，而数字时间戳就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括3个部分：需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。DTS的过程为：用户将需要加上时间的文件生成文件摘要，然后将摘要传给DTS服务机构；DTS将收到的摘要加上时间，再用自己的私钥进行加密；最后将加有时间和数字签名的文件发回给客户，完成数字时间戳的服务过程。

5.3信息认证技术

5.3.3数字信封与数字时间戳5.3信息认证技术5.3.3数字信封与数字时间戳图5-11数字时间戳的使用5.3信息认证技术5.3.3数字信封与数字时间戳图5-15.3信息认证技术5.3.4数字证书1.数字证书的含义

数字证书就是网络通信中标志各通信方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书的内容由6个部分组成：用户的公钥、用户名、公钥的有效期、CA颁发者（颁发数字证书的CA）、数字证书的序列号、颁发者的数字签名。5.3信息认证技术5.3.4数字证书5.3信息认证技术5.3.4数字证书2.数字证书的应用数字证书由CA颁发，并利用CA的私钥签名。CA中心所发放的数字安全证书可以应用于公众网络上的商务和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、科研单位和医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、网上证券交易和网上银行等方面。CA中心还可以与企业代码中心合作，将企业代码证和企业数字安全证书一体化，为企业网上交易、网上报税和网上作业奠定基础。数字证书广泛应用，对网络经济活动有非常重要的意义。5.3信息认证技术5.3.4数字证书5.3.5认证中心CA（CertificationAuthority）是认证机构的国际通称，主要对数字证书进行管理，负责证书的申请、审批、发放、归档、撤销、更新和废止等。

CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改。CA是权威的、公正的提供交易双方身份认证的第三方机构，在电子商务体系中起着举足轻重的作用。数字证书实际上是存放在计算机上的一个记录，是由CA签发的一个声明，证明证书主体（“证书申请者”被发放证书后即成为“证书主体”）与证书中所包含的公钥的唯一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期限等内容。数字证书的作用是使网上交易的双方互相验证身份，保证电子商务的正常进行。5.3.5认证中心

5.3信息认证技术

5.3.5认证中心一个CA系统主要包括以下几大组成部分：认证中心（CA）负责产生和确定用户实体数字证书审核部门（RA）负责对证书申请者进行资格审查证书操作部门（CP）为已被授权的申请者制作、发放和管理证书密钥管理部门（KM）负责产生实体的加密密匙（托管服务）证书存储地（DIR）包括网上所有的证书目录

5.3信息认证技术

5.3.5认证中心2022/12/1076作用：①验证网站是否可信（针对HTTPS）②验证某文件是否可信（是否被篡改）在很多情况下，安装CA证书并不是必要的。大多数操作系统的CA证书是默认安装的。这些默认的CA证书由GoDaddy或VeriSign等知名的商业证书颁发机构颁发。2022/12/876作用：在很多情况下，安装CA证书并不是

【案例5】广东省电子商务认证中心

【案例5】广东省电子商务认证中心

5.4电子商务安全协议

5.4.1SSL协议

SSL（SecureSocketLayer，安全套接层）协议是由Netscape公司研究制定的安全协议，该协议向基于TCP/IP的客户端/服务器应用程序提供客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。它是指通信双方在通信前约定使用的一种协议方法，该方法能够在双方计算机之间建立一个秘密信道，凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输，不用担心数据会被别人偷窃。只保证信息传输过程中不被窃取、篡改，但不提供其他安全保证。

5.4电子商务安全协议

5.4.1SSL协议2022/12/1079SSL提供的服务：1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。SSL协议提供的安全通道有以下三个特性：机密性：SSL协议使用密钥加密通信数据。可靠性：服务器和客户都会被认证，客户的认证是可选的。完整性：SSL协议会对传送的数据进行完整性检查。安全套接层(SSL)协议2022/12/879SSL提供的服务：SSL协议提供的安全安全套接层(SSL)协议安全套接层(SSL)协议2022/12/1081SSL协议的握手过程开始加密通信之前，客户端和服务器首先必须建立连接和交换参数，这个过程叫做握手（handshake）。假定客户端叫做爱丽丝，服务器叫做鲍勃，整个握手过程可以用下图说明（点击看大图）。2022/12/881SSL协议的握手过程开始加密通信之前，2022/12/10822022/12/882工作流程工作流程

5.4电子商务安全协议

5.4.2SET协议

SET（SecureElectronicTransaction）协议，即安全电子交易协议，是由MasterCard和Visa联合Netscape、Microsoft等公司，于1997年6月1日推出的一种电子支付模型。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。SET协议是B2C上基于信用卡支付模式而设计的，它保证了在开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户、商家、银行之间通过信用卡的交易而设计的。不仅具有加密机制，可通过数字签名，数字信封等实现身份鉴别和不可否认性。

5.4电子商务安全协议

5.4.2SET协议SET协议运行的主要目标：1.防止数据被非法用户窃取，保证信息在互联网上安全传输。2.SET中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。3.解决多方认证问题。不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和银行间的相互认证。4.保证网上交易的实时性，使所有的支付过程都是在线的。5.提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能。可在不同的软硬件平台上执行并被全球广泛接受。2022/12/1085SET协议运行的主要目标：2022/12/885与实际的购物流程非常接近。从顾客通过浏览器进入在线商店开始，一直到所定货物送货上门或所定服务完成，然后帐户上的资金转移，所有这些都是通过Internet完成的2022/12/1086与实际的购物流程非常接近。从顾客通过浏览器进入在线商店开始，其具体流程为：持卡人在商家的WEB主页上查看在线商品目录浏览商品。持卡人选择要购买的商品。持卡人填写定单，定单通过信息流从商家传过来。持卡人选择付款方式，此时SET开始介入。持卡人发送给商家一个完整的定单及要求付款的指令。在SET中，定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息。商家接受定单后，向持卡人的金融机构请求支付认可。通过Gateway到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。其具体流程为：商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将货款从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔。前三步与SET无关，从第四步开始SET起作用。在处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家、网关都通过CA来验证通信主体的身份，以确认对方身份。

商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支SSL和SET的比较：（1）认证机制（SET的安全要求较高）（2）设置成本（SET交易需要安装符合规格的电子钱包软件，SSL不需要另外按照软件）（3）安全性（SET安全性较高）（4）基于Web的应用（SET通用性更高）2022/12/1090SSL和SET的比较：2022/12/890

【思考】

如何减少和避免网络诈骗？1、给自己的电脑和手机安装杀毒软件，定期杀毒应该成为一种习惯；2、进行网银、支付宝操作时，要确保使用安全的浏览器和登录正确的网址；3、在网上购物，要选择正规、大型电商。设置复杂支付密码，并定期更换，最好选择“密码＋校验码”双重验证；4、在网站注册账号时，只填带*号的必填项，尽量提供最少的信息；5、不随意打开陌生邮件，尤其是带附件的邮件或者声称中大奖的邮件；

【思考】

如何减少和避免网络诈骗？

6、尽量别“蹭网”，公共场所的未知WiFi一定不要链接；7、如今在微信上测性格、运势等链接泛滥。这些链接通常会要求你提供姓名、年龄等基本信息，后台还会直接获取你的手机号码等信息；8、不要把个人敏感照片、数据上传到云端；9、尽可能不要再网站上以全部明文方式公开自己的姓名、电话号码和家庭住址等信息。比如，可以写裴先生，但尽量不要写裴智勇。再有，像现在的很多租房网站，都会对用户联系信息隐藏几位。这种放肆就相对安全的多，起码不至于让人随便一搜索就搜到；10、用户如果发现个人信息出现泄漏，希望能够删除相关信息的时候，除了在原网站上要求删除外，还可以通过搜索引擎来查阅自己的信息还在哪些地方存在（不一定是快照，也可能是其他网站）。这样一来，就相对安全多了。2022/12/10926、尽量别“蹭网”，公共场所的未知WiFi一定不要链接；2ThankYou!ThankYou!第五章

电子商务安全

第五章

电子商务安全

2022/12/10952000年2月，互联网最为严重的黑客事件

——“电子珍珠港”事件2月7日，美国雅虎网站（Yahoo）遭到攻击，大部分网络服务陷于瘫痪；2月8日，电子商务网站遭到攻击：当天股市的网络销售公司购买网站死机，随后世界最著名的网络拍卖行网站（eBay）、著名电子商务网站亚马逊（Amazon）也被迫关闭多个小时。2月9日，电子商务网站再度遭殃，电子交易网站遭到攻击，科技新闻网站ZDNet中断2个小时。2022/12/822000年2月，互联网最为严重的黑客事件2022/12/1096相关的数据和统计：截至2002年底，全球Internet用户超过6.55亿。

CNNIC中国互联网络发展状况统计最新统计显示，截至2008年12月31日，中国网民规模达到2.98亿人，世界第一,普及率达到22.6%，超过全球平均水平；2007年增长率为41.9%最高。学生网民20%,美国60%CNNIC统计指出，我国超过40%的网站存在严重的安全漏洞。

美国金融时报报道，世界上平均每20秒就发生一起黑客入侵事件。2000年1月，黑客从CDUniverse网站窃取了35万个信用卡号码，这是向公众报道的最大规模的信用卡失窃案件。2022/12/83相关的数据和统计：截至2002年底，全2022/12/1097案例：携程被曝存“支付漏洞”

携程的IT系统完全自建，2009年以前，携程服务器并不留存用户CVV码，用户每次购买机票，预订酒店都需要输入CVV码；2009年后，为了简化操作流程，优化客户体验，携程服务器上开始留存CVV码，也为支付安全留下隐患。2014年3月22日乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器，有可能被黑客所读取。对此，携程在声明中称，公司已经展开技术排查，并在两小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。2022/12/84案例：携程被曝存“支付漏洞”携程的IT事件陈述当时正处于央行对于第三方支付表示质疑的关口，加上安全漏洞关乎携程数以亿计的用户财产安全，所以这一消息引起了了极大的关注。有用户称，携程“官方信息完全在瞎扯”，并附上信用卡记录为证。作为携程的钻石卡会员，他早于2月25日就曾致电携程，他的几张绑定携程的信用卡被盗刷了十几笔外币，但当时携程居然回复“系统安全正常”。有种“闭着眼睛撒谎”的感觉。事件陈述案例：当当网存安全漏洞用户资料被篡改案例：当当网存安全漏洞用户资料被篡改事件陈述广州的消费者常先生2014年2月25日发现,自己当当网的上千元余额被盗走了。常先生曾在当当网分两次充值总价2000元的礼品卡。被刷走当天,常先生突然发现自己的账户里有一个新订单,订单显示是一条价值1578元的千足金链子,而收件人的地址来自湖北武汉。“收件人姓名是我自己,但是联系地址和联系电话都不是我的”。常先生告诉记者,自己当当网账号的验证邮箱、密码、手机号都被篡改,可自己事先并不知情。今年3月左右，有多名消费者在当当网的账户被不明人士篡改，购买的千元礼品卡余额被盗刷。而受害者则面临着投诉无果，被盗款无法追回等问题。对此，当当网曾发布公告称，针对被盗号用户的赔偿事宜，当当网可先行赔付。事件陈述广州的消费者常先生2014年2月25日发现,自己当当支付宝存漏洞嫌犯伪造执照

盗刷网店20余万2014年3月初，有媒体爆出支付宝存在安全漏洞。张某、刘某一起在淘宝上开网店。在开店过程中，二人发现修改其网店的支付宝用户名和密码时，只需在网上向支付宝客服提交电子版营业执照即可；支付宝客服对电子版营业执照的审核不严，很容易受理通过。二人利用此漏洞，盗刷数家企业支付宝内的资金共20余万元。支付宝存漏洞嫌犯伪造执照

盗刷网店20余万2014年3月初1、支付宝大面积瘫痪无法进行操作2015年5月，拥有将近3亿活跃用户的支付宝出现了大面积瘫痪，全国多省市支付宝用户出现电脑端和移动端均无法进行转账付款、出现余额错误等问题。而今年十一长假之后，则有“资深”支付宝用户爆料称在登录支付宝官网后无意间发现，自己的实名认证信息下多出了5个未知账户，而这些账号都没有经过他本人的认证。2、财付通用户账号遭冻结余额不翼而飞2015年8月10日，腾讯一用户财付通账号无故被冻结，财付通客服解释为账户异常，但并未给出具体解释。从11日开始，该用户反复提交材料并与客服要求解冻未果。直至26日，账户终于解冻，但发现账户余额内2000余元不翼而飞。随后，该用户申请冻结账户，账户在27日下午被冻结后又在28日自动解冻。而客服解释是之前申请过冻结账户。“等于我丢了2000元，他们却不知道。”

2022/12/101021、支付宝大面积瘫痪无法进行操作2022/12/893、翼支付频遭盗刷系统疑存隐患从2014年4月份起至今，翼支付绑定银行卡被盗刷事件就已经出现过7次，盗刷金额从几百到几万不定。多位银行卡被盗刷受害者表示，在持卡人不知情的情况下，银行卡中的资金通过翼支付被盗刷，且翼支付无法查询到被盗刷资金去向。没有开通翼支付的银行卡也被盗刷，并且被盗刷期间没有收到任何消费和支付的短信提醒，这让受害者百思不得其解。2022/12/101033、翼支付频遭盗刷系统疑存隐患2022/12/810第五章电子商务安全熟悉电子商务安全的含义了解目前常见的电子商务安全威胁掌握电子商务安全的需求了解电子商务安全常见的技术了解电子商务安全协议2022/12/10104学习目标第五章电子商务安全熟悉电子商务安全的含义了解目前常见的电子

5.1电子商务安全概述

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全和数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性。2022/12/10105

5.1电子商务安全概述

2022/12/8122022/12/10106

5.1电子商务安全概述

电子商务活动的交易安全紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。以下几种情况：（1）窃取信息；（2）篡改信息；（3）身份仿冒；（4）抵赖；（5）网络病毒；（6）其他安全威胁。2022/12/813

5.1电子商务安全概述

电子商务活5.1电子商务安全概述5.1.1电子商务安全要素由于电子商务是在互联网环境下进行的商务活动，交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关注的问题。因此，为了保证电子商务整个交易活动的顺利进行，电子商务系统必须具备以下几个安全要素：（1）信息保密性需求（2）信息完整性需求（3）不可否认性（4）交易者身份鉴别需求（5）系统有效性（系统有效性关系个人、企业、国家）（6）可审查性需求（7）操作合法性需求2022/12/101075.1电子商务安全概述5.1.1电子商务安全要素20225.1电子商务安全概述5.1.2电子商务的安全威胁及主要的安全技术

电子商务的安全威胁包括：信息在网络的传输过程中被截获、传输的文件被篡改、假冒他人身份、不承认已经做过的交易、抵赖、非法访问和计算机病毒等。电子商务的主要安全技术包括：加密技术、认证技术、数字签名、安全套接字协议（SSL）和安全电子交易规范（SET）。2022/12/101085.1电子商务安全概述5.1.2电子商务的安全威胁及主要

【案例】开发理财软件留“后门”

2009年7月，某金融机构委托某公司开发一个银行理财产品的计算机程序，该公司便让其员工邹某负责研发。邹某在未告知公司和该金融机构的情况下私自在程序中加入了一个后门程序。之后程序研发顺利完成并交付至该金融机构投入运行。自2009年11月至今年6月期间，邹某又先后多次通过后门程序进入上述系统，并采用技术手段非法获取了70多名客户的客户资料、密码，非法查询了多名客户的账户余额，同时将23名客户的账户资金在不同的客户账户上相互转入转出，涉及金额共计1万余元。自2009年9月起，该金融机构就陆续接到客户投诉，于是于2010年6月联系上述研发公司进行检测，终于发现了这个秘密的“后门程序”，立即向公安机关报案。公安机关于当月将犯罪嫌疑人邹某抓获归案。

【案例】开发理财软件留“后门”

2009年7月，某金融机构触发安全问题的原因1．黑客的攻击——目前，世界上有20多万个黑客网站，攻击方法成千上万。2．管理的欠缺——网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。3．网络的缺陷——因特网的共享性和开放性使网上信息安全存在先天不足。4．软件的漏洞或“后门”——操作系统和应用软件往往存在漏洞或“后门”。冲击波病毒win20005．人为的触发——基于信息战和对他国监控的考虑，个别国家或组织有意识触发网络信息安全问题。触发安全问题的原因1．黑客的攻击——目前，世界上有20多万个2022/12/10111棱镜门棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划。"棱镜"监控的主要有10类信息：电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被政府监控。通过棱镜项目，国安局甚至可以实时监控一个人正在进行的网络搜索内容。2022/12/818棱镜门棱镜计划（PRISM）是一项由美反病毒技术2022/12/10112计算机病毒（ComputerVirus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。反病毒技术2022/12/819计算机病毒（Computer2022/12/10113

现在所谓的特洛伊木马正是指那些表面上是有用的软件，实际上却会危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件（宣称是良性的，但事实上是恶意的），是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。2022/12/820现在所谓的特洛伊木马正是指2022/12/10114WannaCry是一种蠕虫式的勒索病毒，它利用了WindowsSMB服务漏洞，攻击电脑并加密硬盘中的文件，向用户勒索赎金。由于它主要利用TCP445端口传播（运营商通常会关闭个人用户的445端口），大量企业、政府和教育机关的网站中招。国内受影响最大的是教育网，很多实验室数据和毕业论文都被加密了。2022/12/821WannaCry是一种蠕虫式的勒索病毒2022/12/10115感染熊猫烧香后，exe文件会被破坏导致很多软件无法正常使用；另外它启动后会将用户电脑上的杀毒软件进程杀掉；它还会破坏磁盘和外接U盘等，造成它们无法正常使用；此外作者建立了服务器对病毒不断更新，速度直逼杀毒软件；熊猫烧香还会感染网页文件，从而导致浏览部分网站的用户中招。2022/12/822感染熊猫烧香后，exe文件会被破坏导致计算机病毒特点1.繁殖性计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。2.破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏3.传染性计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。计算机病毒特点计算机病毒特点4.潜伏性计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作，会使电脑变慢。5.隐蔽性计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。6.可触发性编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。计算机病毒特点4.潜伏性病毒对计算机造成的破坏破坏文件分配表删除文件修改或破坏重要数据减少磁盘空间显示非正常信息和图像系统不能正常存储造成写错误破坏磁盘文件目录降低计算机工作速度非法格式化打印机故障文件增长改变系统正常运行过程造成屏幕和键盘死锁病毒对计算机造成的破坏计算机病毒的防范1、备份：对所有的软件（甚至操作系统）进行备份，并制定应付突发情况的应急方案；2、预防：提高用户的警惕性，实行安全卫生制度，例如使用正版软件等；3、检测：使用杀病毒软件来检测，报告并杀死病毒；4、隔离：确认并隔离携带病毒的部件；5、恢复：杀毒或清除被病毒感染的文件。计算机病毒的防范1、备份：对所有的软件（甚至操作系统）进行备2022/12/101201、确保你的电脑没有病毒木马，安装并且及时更新杀毒软件；2.下载网购保镖；3、支付账户的密码要复杂一点；此外，尽量不要在公共场合进行支付，如网吧等场所。网络支付安全保护2022/12/8271、确保你的电脑没有病毒木马，安装并且常见的杀毒软件2022/12/10121世界级：常见的杀毒软件2022/12/828世界级：2022/12/10122常见的杀毒软件国内：2022/12/829常见的杀毒软件国内：2022/12/10123防火墙技术防火墙：防火墙（Firewall），也称防护墙。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙主要包括：1.限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯；2.限制内部网对外部网的访问，主要针对不健康信息及敏感信息的访问。2022/12/830防火墙技术2022/12/10124防火墙五大基本功能：1.过滤进出网络的数据包2.管理进出网络的访问行为3.封堵某些禁止的访问行为4.记录通过防火墙的信息内容和活动5.对网络攻击进行检测和警告防火墙的安全策略：1.凡未列为允许访问都是被禁止的。2.凡未列为禁止访问都是被允许的。2022/12/831防火墙五大基本功能：2022/12/10125按软硬件形式分类：软件防火墙硬件防火墙按技术分类：包过滤防火墙应用层防火墙按结构形式分类：单一主机防火墙路由器集成式防火墙分布式防火墙2022/12/832按软硬件形式分类：防火墙在网络中的位置

安装防火墙以前的网络

防火墙在网络中的位置安装防火墙以前的网络安装防火墙后的网络

安装防火墙后的网络硬件防火墙硬件防火墙2022/12/10129软件防火墙2022/12/836软件防火墙密码学历史Phaistos(费斯托斯圆盘)圆盘，一种直径约为160mm的Cretan-Mnoan粘土圆盘，始于公元前17世纪。表面有明显字间空格的字母，至今还没有破解。5.2信息加密技术密码学历史Phaistos(费斯托斯圆盘)圆盘，一种直径约为密码学历史（续）希腊密码二维字母编码查表公元前2世纪例：ZhejiangUniversity552315242411332254332451154243244454密码学历史（续）希腊密码二维字母编码查表公元前2世纪例密码学历史（续）恺撒密码：将字母循环前移k位明文：ZhejiangUniversity密文：EmjonfslZsnajwxnyd例如k=5时对应关系如下：密码学历史（续）恺撒密码：将字母循环前移k位明文：Zheji2022/12/10133ILOVEYOU

LORYHBRX后移3位前移3位ILOVEYOUEg:2022/12/840LORYHBRX后移3位前移3位密码学历史（续）二战中美国陆军和海军使用的条形密码设备M-138-T4。根据1914年ParkerHitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用，主要用于低级的军事通信。密码学历史（续）二战中美国陆军和海军使用的条形密码设备M-1电子商务安全培训课件

密码学概念密码编码学（cryptography）：使消息保密的技术和科学密码分析学（cryptanalysis）：破译密文的技术和科学密码学（cryptology）密码学=密码编码学+密码分析学密码学概念密码编码学（cryptography）：密

密码学的发展1949年之前(基于算法的保密)密码学是一门艺术古典密码1949～1975年(基于密钥保密)密码学成为科学Shannon1976年以后密码学的新方向——公钥密码学

加密和解密钥分开Diffie、Hellman

三个阶段：对称密钥的管理要求高数字签名,证书公开密码学的发展1949年之前(基于算法的保密)单向函数质数因子分解单向函数

5.2信息加密技术

为保证数据和交易的安全、防止欺骗，确认交易双方的真实身份，电子商务必须采用加密技术，加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文，明文经过某种加密算法作用后，转换成密文，我们将明文转换为密文的这一过程称为加密，将密文经解密算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥，密钥长度越长，密钥的空间就越大，遍历密钥空间所花的时间就越多，破译的可能性就越小。以密钥类型划分，可将密钥系统分为对称密钥系统和非对称密钥系统。

5.2信息加密技术

为保证数据和交易的安全、防止欺骗，

5.2信息加密技术

5.2.1密码学概述

一般的数据加密模型如图5-1所示，它是采用数学方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字（密文），而对于合法的接收者，由于掌握正确的密钥，可以通过访问解密过程得到原始数据。密码学分为两类：密码编码学和密码分析学。

5.2信息加密技术

5.2.1密码学概述5.2信息加密技术5.2.1密码学概述图5-1数据加密模型5.2信息加密技术5.2.1密码学概述图5-1数据加密5.2信息加密技术对称密钥系统对称密钥系统，又称单钥密钥系统或密钥系统，是指在对信息的加密和解密过程中使用相同的密钥。也就是说，私钥密钥就是将加密密钥和解密密钥作为一把密钥。对称加密、解密的过程如图5-2所示。图5-2对称加密、解密过程5.2信息加密技术对称密钥系统图5-2对称加密、解密过5.2信息加密技术对称密钥系统对称密钥系统的安全性依赖于两个因素：第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。密码学的一个原则是“一切秘密寓于密钥之中”，算法可以公开，因此，我们没有必要确保算法的秘密性，而需要保证密钥的秘密性。对称密钥系统的这些特点使其有着广泛的应用。对称密钥加密的特点是加密和解密使用的是同一个密钥，其典型的代表是美国国家安全局的DES。5.2信息加密技术对称密钥系统对称加密的要求：（1）需要强大的加密算法。（2）发送方和接收方必须用安全的方式来获得保密密钥的副本，必须保证密钥的安全。如果有人发现了密匙，并知道了算法，则使用此密匙的所有通信便都是可读取的。2022/12/10144对称加