电商安全及支付复习资料1课件

电商安全及支付复习资料电商安全及支付复习资料电商安全及支付复习资料第一章电子商务基础知识电子商务系统的组成与层次第二章电子商务安全知识（重点）电子商务安全法律法规建设安全问题、原因与现状电子商务的安全威胁和需求电子商务安全防治措施1、电子商务出现的安全问题网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫2、计算机系统面临的安全威胁（1）物理实体的安全（2）自然灾害的威胁（3）黑客的恶意攻击（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击3、电子商务面临的安全威胁（1）信息的截获和窃取（2）篡改交易信息（3）假冒商家或客户（4）商家抵赖交易4、电子商务的安全需求

5、电子商务基本安全技术安全技术认证技术虚拟专网技术电子交易协议反病毒技术加密技术防火墙技术6、管理措施人员管理制度保密制度跟踪、审计制度日常维护制度备份制度病毒防范制度应急措施7、法律法规建设中华人民共和国电子签名法一、传统签名

签名是指为了表示负责而在文件、单据上亲自写上姓名或画上记号。签名，一般是具有法律意义的行为，它首先是一种证明行为，签署者可借以证明物品、行为，或意思的归属；又以表明对其内容的同意。A．正确的名字。B．书面形式，在纸面上的签名永远固定地保存着。C．本人亲手书写，排除了打印名字或印章。因此,每个传统的手书签名，都是独特的、不可重复的，1、传统签名的法律要求它必须以纸面为介质，无论是书写还是传送，都较之电子通讯媒介的成本要高得多；它必须由个人亲笔书写，这虽然对于法律行为的发生具有证据法上的意义，但是从交易数量与频率上看，由于受书写人的精力、时间、及其行动空间的约束，不适合于大规模的交易行为的进行；传统签名存在着相当大的被信冒的可能性，一方面仿冒签名并不需要很高的技术或成本，另一方面对伪造签名的鉴定，却需要一不定期的前提条件和较专业的技术，并且其鉴定的准确性绝非万无一失。2、传统签名的的局限性及风险二、电子签名的百科名片

----指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。电子商务的安全要求：A信息的保密性B交易各方身份的认证C信息的防抵赖性D信息的完整性、防篡改性（一）电子签名的必要性广义的电子签名：是指包括各种电子手段在内的电子签名，通过签名，实现两个目的：鉴别数据电文发送人的身份；确认签署人与数据电文的内容具有法律联系。它是电子商务法“技术中立”原则和“功能等同”原则，在电子签名概念上的反映。狭义的电子签名即技术特定化意义上的数字签名。（二）电子签名的广义与狭义A．电子签名一般是通过在线签署的，是一种远离的认证方式。它不能像传统签名一样，保证签名人亲监交易现场，即便是生物特征法电子签名，也不能如此。B．电子签名本身是一种数据，它很难像纸面签名一样，将原件向法庭提交。因此，传统证据规则拒绝将电子签名与传统签名相等同。C．大多数人只有一种手书签名的样式，但一个人可能同时拥有许多个电子签名，每使用一个信息系统，就有可能配发一个。D．传统签名几乎不存在签署者完全忘记的情况，而电子签名则有可能被遗忘。E．传统手书签名可凭视觉比较，而电子签名一般需要计算机系统进行鉴别。3、电子签名与传统签名的差异三、中国《电子签名法》内容和特点

2005年4月1日起实施。第4章信息加密技术的应用古典密码（恺撒密码）现代密码（DES与RSA）加密技术的应用（四个“数字”）信息隐藏与数字水印4.2古典密码1、恺撒密码原理:恺撒大帝把26个拉丁字母写在内外两个圆盘的对应位置，然后转动内盘，移动一个角度。例：m—明文c—密文K—移位的距离恺撒加密算法：

c=m+kmod26,k=23

恺撒解密算法：

m=c+hmod26,h=3,h+k=0mod26K---加密密码h---解密密码

1、已知加密算法：字母＋3＝密文2、已知解密算法：密文－3＝字母3、问题：“ohw’vjrwrwkhwrjdsduwb!”解密后是什么？答案：let’sgotothetogaparty!

例1：请用恺撒密码方法解密C语言程序4.3现代密码1、对称加密体制2、非对称加密体制RSA算法DES算法1、DES原理DES采用传统的换位和转换的方法进行加密，在56位密钥控制下，将64位明文块变换到64位密文块，加密过程包括16轮加密迭代，每轮都采用一种乘积密码方式。

公式：

DES(m)=IP-1.T16.T15.…T2.T1.IP(m)

是指用于加密的密钥和用于解密的密钥是不一样的，每个参与信息交换的人都拥有一对密钥，这一对密钥是以一定的算法同时生成的，相互配合才能使用，用其中的一个密钥加密的信息，只有用与其配对的另一个密钥才能解密，并且从其中一个密钥无法推导出另一个密钥，所以可以将其中一个密钥公开(公开的密钥称为“公钥”)，只要妥善保管另一个密钥(称为“私钥”)，是不会影响安全的。2、公开密钥密码体制原理RSA加密算法是一种非对称加密算法。是1977年由罗纳德·李维斯特（RonRivest）、阿迪·萨莫尔（AdiShamir）和伦纳德·阿德曼（LeonardAdleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。主要应用在数据加密与数字签名中。3、第一个成熟的，理论上最成功的公钥加密算法---RSA

RSA算法运用了数论中的Euler定理，即a、r是两个互素的正整数，则az≡1（modr），其中z为与r互素且不大于r的正整数的个数（即Euler函数）。取用两个大素数的乘积，而不取用一个大素数来作为模数r。

大数分解与素数检测欧拉定理思考？什么是素数？RSA算法的数学基础4.4加密技术的应用1、数字签名2、数字摘要3、数字信封4、数字时间戳

数字签名的基本原理:

发送方首先用HASH函数对原文件生成数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方的电子签名,附在文件后.然后用一个对称密钥对带有电子签名的原文件加密,再用接收方的公钥给对称密钥加密,然后把加密后的密钥文件传送给接受方.接收方用自己的私钥对密钥密文解密,得到对称密钥,用对称密钥对原文件密文进行解密,同时得到原文件的电子签名,再用发送方的公钥对电子签名解密,得到电子签名的HASH值,然后用HASH函数对得到的原文件重新计算HASH值,并与解密电子签名得到的HASH值进行对比.

它用来保证信息的不可抵赖性和完整性.

一、数字签名（四）数字签名原理示意图数字信封技术——对称加密与非对称加密的结合

----数字信封（也称电子信封）技术是一种结合了对称加密和非对称加密的优点的技术，它使用两个层次的加密来获得非对称密钥技术的灵活性和对称密钥技术的高效性。二、数字信封

数字信封的基本原理:

发送端使用对称密钥来加密数据,然后将此对称密钥用接收者的公钥加密,称为加密数据的”数字信封”,将其和加密数据一起发送给接受者,接受者先用自己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据.

它用来保证信息的保密性.

数字信封基本原理加密(非对称加密)对称密钥接收方的公钥接收方的私钥解密(非对称解密)对称密钥公开信道(Internet)加密后密钥信息加密后密钥信息加密(对明文对称加密)解密(对密文对称解密)公开信道(Internet)密文密文明文明文发送方接收方原理(如图所示)

数字时间戳是用来证明信息的收发时间的。它是一个凭证文档,它能够保证信息文件加上去的时间戳与储存信息的物理媒介无关；它对已加上的数字时间戳的信息文件不能作任何改动和伪造；在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的。数字时间戳在签名时加上一个时间标记三、数字时间戳

P132

---时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要（digest）；②DTS收到文件的日期和时间；③DTS的数字签名。问题：什么是时间戳？三、数字水印它有哪些特性？第5章网络安全知识与安全组网技术网络安全问题概述防火墙技术入侵检测技术网络常见的攻防技术1、计算机网络通信面临的危险截获、中断、篡改、伪造1、防火墙基本概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。通常是指由软件和硬件设备组合而成的一个系统，并且通过这个系统在Internet与Intranet之间建立了一个安全网关，以控制对受保护网络的非法访问。防火墙是一种由计算机软件与硬件的组合。防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息外泄向客户发布信息防火墙的抗攻击能力2、防火墙的基本功能防火墙不能完成的工作：1、源于内部的攻击2、不通过防火墙的连接3、完全新的攻击手段4、不能防病毒3、防火墙是万能的吗？？4、防火墙常见体系结构

基本概念：非军事区、堡垒主机防火墙在网络中的放置方式（拓朴位置）。二、

网络入侵检测

入侵检测（intrusiondetection）是对入侵行为的发觉。通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测基本工作原理见图5-22下图所示是一个通用的入侵检测系统结构数据数据采集数据数据预处理事件数据分析事件结果处理数据事件三、网络常见的攻防技术

5-5-1缓冲区溢出5-5-2蠕虫5-5-3IP欺骗5-5-4拒绝服务DoS攻击5-5-5网络侦听Sniffer攻击5-5-6端口扫描技术5-5-7特洛伊木马5-5-8口令破译1、缓冲区溢出P168

－－－指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量，溢出的数据覆盖到了合法数据上。那应如何预防缓冲区溢出呢？P174－175传播性隐蔽性破坏极大不利用文件寄生易与黑客技术相结合2、蠕虫病毒Worm蠕虫是一种通过网络传播的恶性病毒。（一）特征：3、计算机病毒计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的预防1、管理方法上防范2、从技术方法上防范4、

IP欺骗---IP欺骗就是通过伪造其他系统的IP地址，使得攻击者能够获得未被授权访问的信息。IP欺骗是利用了主机间的信任关系发动的。5、拒绝服务攻击

（DenialofService）---拒绝服务DoS指任何对服务的干涉并且使得其可用性降低或者失去可用性均称为拒绝服务。6、

网络侦听Sniffer攻击及防范P190---网络侦听Sniffer攻击是一种威胁性极大的被动攻击。通过它可以监视网络的状态、数据流动情况以及网络上传输的信息。---在向内网入侵渗透时，经常会用到嗅探手法，也就是利用嗅探器来截获网络上传输的口令。7、端口扫描技术端口扫描是黑客搜集信息的几种常用手法之一，黑客一般先使用扫描工具扫描待入侵主机，掌握目标主机的端口打开情况，然后采取相应的入侵措施。哪些端口是开放？8、

特洛伊木马（TrojanHorse）---简称木马，其名称来源于希腊神话。一种恶意程序，一旦侵入用户的计算机，就悄悄地在用户计算机上运行，在用户毫无察觉的情况下攻击者便获得了远程访问和控制系统的权限。第6章

电子商务的认证机制

主要内容：网上认证与认证体系数字证书认证机构PKI(公钥基础设施)1、基于你所知道的（Whatyouknow）----口令、密码2、基于你所拥有的（Whatyouhave）

-----身份证、信用卡、钥匙、智能卡、令牌等3、基于你的个人生物特征（Whatyouare）

-----指纹，笔迹，声音，手型，脸型，视网膜，虹膜一、身份认证方法P212图6-1数字证书示意图二、

数字证书

数字证书又称数字凭证，用电子手段来证实一个用户的身份和对网络资源的访问权限，是一种数字标识，提供的是网络身份证明。X.509证书结构与内容P215X．509版本号证书序列号：用于标识证书数字签名算法算法规定的参数证书发行机构名称的ID超始时间终止时间

证书持有者即主体的名称签名用的公钥算法算法的参数验证签名用的公钥证书发行机构对该证书的签名数字签名算法的标识符证书的有效期证书持有者的公钥信息图6-2X.509的证书结构三

认证机构CA

电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定，维护交易活动的安全，从根本上保障电子商务交易活动顺利进行而设立的机构，负责发放和管理数字证书。CertificateAuthorityCA系统的组成

注册服务器注册机构RA数据库服务器CA系统主要由三部分组成：注册服务器、安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器。（图6-4）安全服务器CA服务器LDAP服务器数据库服务器LDAP服务器四、PKIPKI(Publickeyinfrastructure)---是一套为电子商务的开展提供安全基础平台的技术和规范。一个包括硬件、软件、人员、政策和手续的集合，用来实现基于公钥密码体制的公钥身份证书产生、管理存储、发行和作废等功能。PKI的基本组成

---图6-5(1)认证中心CA(CertificationAuthority)(2)注册机构RA(RegistrationAuthority)(3)证书库(4)密钥备份及恢复系统P223(5)证书撤销列表CRL(CertificateRevocationList)

(6)PKI应用(7)安全策略第7章电子商务安全协议技术7.1安全套接层协议SSL7.2安全电子交易协议SET7.3SSL和SET协议的比较

7.1安全套接层协议SSL

（SecuritySocketLayer

）SSL协议是网景公司1994年推出在网络传输层之上提供的一种基于RSA的用于浏览器和Web服务器之间的安全通信协议，它能够对信用卡和个人信息提供较强的保护。