第9讲商务网站安全管理.ppt

1、第八讲是关于商业网站的安全管理。电子商务安全概述2。电子商务安全机制。电子商务安全认证。电子商务安全协议1。电子商务安全概述。据权威机构调查，目前国内企业发展电子商务最大的担忧是网上交易的安全性。电子商务安全概述1.1电子商务安全问题(1)提出的问题，1.1电子商务安全问题(2)电子商务安全风险(安全问题)，问题，非法截取，读取或修改数据，假冒和拒绝，用户未经授权访问一个网络到另一个网络，计算机病毒，1.2电子商务安全要求电子商务的安全要求包括两个方面：电子交易的安全要求，计算机网络系统的安全要求，电子商务的安全要求，以及电子交易的安全要求。(1)身份的可认证性在双方进行交易之前，他们必须首先

2、能够确认对方的身份，要求双方的身份不能被伪造或伪装。(2)信息的保密性敏感和重要的业务信息应加密。即使有人截获或窃取数据，也无法识别信息的真实内容，从而防止机密业务信息泄露。1.2电子商务的安全要求，1。电子交易的安全要求，以及(3)信息完整性。交易各方可以验证接收到的信息是否完整，即信息是否被篡改，或者在数据传输过程中是否存在信息丢失和信息重复等错误。1.2电子商务的安全要求，1。电子交易的安全要求(4)不可否认性必须在电子交易通信过程的每个环节都是不可否认的，即一旦交易结束，发送者不能否认他发送的信息，接收者也不能否认他接收的信息。(5)难忘的电子交易文件也应该是不可修改的，1.2电子商务

3、安全要求，2。计算机网络系统安全，一般计算机网络系统普遍面临的安全问题：(1)物理实体安全，(2)自然灾害威胁，(3)黑客恶意攻击，(4)网络协议安全漏洞，(5)计算机病毒攻击，以及1.2电子商务安全要求。2.计算机网络系统的安全性，(1)物理实体的安全设备故障，电源故障，电磁泄漏引起的信息泄漏，窃听，1.2电子商务的安全要求，2。计算机网络系统的安全，(2)自然灾害的威胁各种自然灾害，风暴，泥石流，建筑损坏，火灾，洪水，空气污染等。对计算机网络系统构成了强大的威胁。1.2电子商务的安全要求，2。计算机网络系统的安全性。黑客的恶意攻击，现在一般指非法入侵计算机信息系统。黑客有各种各样的攻击手段

4、和方法，大致可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，即在不影响网络正常运行的情况下截获、窃取和破译重要的机密信息。1.2电子商务的安全要求，2。计算机网络系统的安全。网络协议的安全漏洞，以及5。“计算机病毒攻击”是指一组计算机指令或程序代码，这些指令或代码被编译或插入到计算机程序中，破坏计算机功能或数据，影响计算机的使用，并能自我复制中华人民共和国计算机信息系统安全保护条例，1.2电子商务安全要求，2。计算机网络系统的安全性，(6)计算机病毒的攻击，计算机病毒的目标和攻击：对系统数据区的攻击，对文件的攻击，对内存的攻击，对系统运行的干扰

5、，对计算机速度的降低，对磁盘的攻击，对屏幕显示的干扰和对键盘操作的干扰，使计算机发出喇叭声和对互补金属氧化物半导体干扰打印机的攻击，1.3电子商务的基本安全技术，1。加密技术、认证技术、安全电子交易协议、4 .黑客防范技术、反病毒技术、1.3电子商务基本安全技术、1。加密技术，我简而言之，“加密”就是将原始信息(明文)重组并转换成只有授权用户才能解读的密码形式(密文)。“解密”是将密文还原成明文。1.3电子商务的基本安全技术，1 .加密技术，对称密码系统，非对称密码系统，加密密钥和解密密钥是相同的。密钥必须以安全可靠的方式传输。由于密钥管理已经成为影响系统安全的关键因素，很难满足系统开放性的要

6、求。加密过程和解密过程以不同的方式设计。当算法是开放的时，在计算上不可能从加密密钥获得解密密钥，因此加密密钥可以是开放的，并且只有解密密钥需要被秘密保存。1.3电子商务的基本安全技术，2。认证技术可以直接满足身份认证、信息完整性、不可否认性和不可更改性等许多在线交易的安全需求，更好地避免在线交易面临的各种威胁，如伪造、篡改、拒绝和伪造。认证功能、1.3电子商务的基本安全技术、2 .认证技术、用户已知的一些秘密信息(硬件)、用户拥有的一些生物特征、身份认证：用于识别用户、消息认证：用于确保双方的不可否认性和信息完整性、实现方式、验证内容、确认消息是由指定的发送方生成的。确认消息的序列号和时间正确

7、。1.3电子商务的基本安全技术，2。认证技术，数字签名，数字摘要，数字证书认证中心安全认证系统，广泛使用的认证技术，1.3电子商务基本安全技术，3。安全电子交易协议。目前，有两种广泛使用的安全在线支付协议：安全套接层协议、安全电子交易协议、1.3电子商务基本安全技术、4黑客防范技术和(1)安全评估技术，通过扫描发现远程或本地主机的安全问题。扫描器的一般功能：发现主机或网络的能力，发现主机上运行的服务的能力，通过测试这些服务发现漏洞的能力，基于服务器的扫描器类型，基于网络的扫描器，1.3电子商务的基本安全技术，4。(2)防火墙防火墙是一种特殊的网络设备，用于加强网络之间的访问控制，根据一定的安全

8、策略检查两个或多个网络之间传输的数据包和连接模式，从而决定网络之间的通信。防火墙可以有效地控制内部网络和外部网络之间的访问和数据传输，从而保护内部网络的信息免受外部未授权用户的攻击，过滤不良信息。1.3电子商务的基本安全技术，4。黑客防范技术，以及3。入侵检测系统(IDS)可以定义为识别和处理恶意使用计算机和网络资源的系统。包括系统外部的入侵行为和内部用户的未授权行为。它从计算机网络系统的几个关键点收集信息，并对信息进行分析，以查看网络中是否存在违反安全策略的情况和攻击迹象。发现入侵后，会及时响应，包括切断网络连接、记录事件和报警等。1.3电子商务的基本安全技术，6。防病毒技术，主要包括防病毒

9、、病毒检测和消毒三项技术：防病毒技术，优先通过驻留在系统内存中的内存来控制系统，监控和判断系统中是否有病毒，进而防止计算机病毒进入计算机系统并破坏系统。这种技术包括加密可执行程序、引导区保护、系统监控和读写控制(如防病毒卡)等病毒检测技术，这是一种判断计算机病毒特征的技术，如自我验证、关键字、文件长度变化等。消毒技术通过分析计算机病毒，开发出可以删除病毒程序和恢复原始文件的软件。2。电子商务安全机制、2.1数据完整性机制、2.2加密机制、2.3数字签名机制、2.4访问控制机制、2.1数据完整性机制，数据在传输过程中可能被篡改，因此需要采取相应的措施来保证数据的完整性和真实性。虽然加密可以在一定

10、程度上保证数据安全，但加密本身可能会受到比特交换的攻击，不能保证数据的真实性和完整性，因此有必要结合其他的完整性机制。2.1数据完整性机制、数字摘要技术、数字摘要技术是利用哈希函数将任意长度的输入映射到固定长度的输出。这种固定长度的输出称为消息摘要。散列函数是将任意长输入串x改变为固定长输出串y的函数，并且满足以下条件：1)当已知y=散列(x)时，很难求解散列函数的输入；2)给定x1，很难计算y1=散列(x1)并构造x2，使得散列(x2)=y1；3) Y=散列(X)，Y的每个比特与X的每个比特相关，并且具有高灵敏度。也就是说，x的每一位都发生了变化，这将对Y产生重大影响.2.1数据完整性机制、

11、数字摘要技术、消息摘要、2.1数据完整性机制、数字摘要技术、消息验证、2.2加密机制，数据加密是通过某种功能将正常的数据消息(称为明文或明码)转换成密文(也称为密码)。凯撒算法是一种古老而简单的加密技术，中国，HMNSF，每个字符向后移动5位，加密过程可以表示为：C=EK(M)，解密过程可以表示为：M=DK(C)，2.2加密机制，本质上有两种加密机制：对称加密机制，公钥加密机制，2.2加密机制，1 .对称加密机制EK(M)=C，DK(C)=M注：由于加密和解密密钥是相同的，它们必须妥善保存，以防止除发送者和接收者以外的其他人2.2加密机制，1 .对称加密机制，DES(数据加密标准)是一种块加密

12、算法。它加密64位数据块。如果要加密的数据较长，必须将其分成64位数据块。最后一个数据块可能比64位短。在这种情况下，最后一个数据块通常用0填充。DES加密的结果仍然是一个64位的数据块。密钥长度为64位(包括8个校验位)。特点：相对安全，硬件实现效率高。2.2加密机制，2.2公钥加密机制，公钥密码体制的思想，2.2加密机制，2.2公钥加密机制。在公钥密码系统中，加密密钥不同于解密密钥，很难从其中推导出另一个密钥。其中一个密钥称为私钥，必须保密。另一个密钥称为公钥，应该公开。这消除了考虑如何安全传输密钥的需要。epuk (m)=c朝鲜(c)=朝鲜(epuk (m)=m(注：puk代表公钥，pr

13、k代表私钥)加密、解密，2.2加密机制，2 .公钥加密机制，根据不同用途有两种基本模型：(1)加密模型：集合2.2加密机制，2 .公钥加密机制，根据不同用途有两种基本模型：(2)认证模型：发送方私钥加密，发送方公钥解密，数字签名原理，2.2加密机制，2 .公钥RSA的原理是数论中的欧拉定理：很容易找到两个大素数，但求解它们的乘法和积分却极其困难。，整数N的十进制数因式分解运算次数所需的计算时间(每微秒一次)50 1.41010 3.9小时75 9.01012 104天100 2.31015 74年200 1.21023 3 3.8109年300 1.51029 4.01015年500 1.31

14、039 4.21025年，天河一号为每秒2566万亿次，1.1RSA算法(1)秘密选择两个100位的十进制素数P和q (2)计算出N=pq，并公开了N (3)计算出的欧拉函数N (N)=(P-1)根据以下公式计算(N)-1和(N)互质e (5)中的任何一个的个数：ed=1模(N)，从而生成一对密钥：公钥PK=(e，N)，私钥SK=(d，N)如果X表示明文，Y表示密文， 加密和解密过程如下：加密：Y=示例：(1)生成一对密钥以选择两个质数，例如p=7，q=17，计算n=pq d=7717=119(n)=(p-1)(q-1)=616=96，并根据5d=1 mod 96 2.2加密机制选择0，95之

15、一作为质数96，e=5，2。 公钥加密机制，例如：(2)使用这对密钥将明文加密和解密成组，使每组明文的二进制值不超过N，即不超过119。现在让明文为X=19，并用公钥PK=(5，119)加密。首先计算xe=195=2476099除以119，商是20807，余数是66。密文是66，用私钥SK=(77，119)解密。首先计算Yd=6677=127除以119，余数是19。明文是19，2.2加密机制，2。公钥加密机制。RSA的安全性取决于大复数分解的难度。优点：无需考虑如何安全转移钥匙。缺点：实现速度慢于DES 2.3数字签名机制，其目的是使人们能够签署数字文件。数字签名与签名和发送的消息都相关。因此

16、，数字签名可以实现以下功能：1)接收者可以确认发送者的真实身份；2)发送者事后不能拒绝发送的消息；3)接收者或非法人员不能伪造或篡改信息。2.3数字签名机制。数字签名技术是以加密技术为基础的，其核心是利用加密和解密算法系统来实现消息的数字签名。2.3数字签名机制，RSA是最常用的数字签名机制，签名算法：s=d (h (m)=h (m) d mod n验证签名算法：需要知道M和s，签名者的公钥(e，n)和所用的哈希函数，然后判断h(M)=Se mod n是否有效。已建立且签名有效；不，签名无效。2.3数字签名机制，RSA是最常用的数字签名机制，以及2.4访问控制机制。并非所有参与者(请求者)对所有资源(对象)都有相同的访问权限。因此，必须为参与者分配直接或隐式访问对象的权限。通常以访问控制矩阵的形式表示：(3)电子商务安全认证，(3.1)数字证书，即各种终端实体和终端用户在互联网上进行