搜索
第五章电子商务的安全机制主讲人:包杰机械化工楼309学习目标正确理解互联网安全的分类和风险管理模型了解常见的互联网安全破坏方式理解防火墙技术、数字信封技术以及数字水印技术的含义及特点理解加密算法的定义、分类及非对称加密系统的运作机制★电子商务安全概述TCP/IP的发明人VintonCerf有一句名言:“Internet的绝妙是由于它广泛的互联,而Internet的麻烦也是由于它广泛的互联。”所谓“成也萧何,败也萧何。”Internet当初不是为Web应用设计的,而Web当初也不是为电子商务做嫁衣的。那些年,我们一起经历的网络安全事件手机僵尸病毒手机僵尸病毒视频资料泄露年,躺着也中枪弱密码国外网民常用的25个弱密码包括:password、123456、12345678、qwerty、abc123、monkey、1234567、letmein、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football2011年度最差25个密码1.password(密码)(35)2.123456(30)3.12345678(45)4.Qwerty(电脑标准键盘)(30)5.abc123(42)6.Monkey(猴子)(30)7.1234567(30)8.Letmein(让我进)(30)9.trustno1(不信1)(47)10.Dragon(龙)(30)11.Baseball(棒球)(45)12.111111(30)13.Iloveyou(我爱你)(45)14.Master(主人)(30)15.Sunshine(阳光)(45)16.Ashley(人名)(30)17.Bailey(人名)(30)18.passw0rd(47)19.Shadow(影子)(30)20.123123(30)21.654321(30)22.Superman(超人)(45)23.Qazwsx(30)24.Michael(30)25.football(足球)(35)强密码强密码应该具有如下特征:强密码长度至少有8个字符,不包含全部或部分用户帐户名,至少包含以下四类字符中的三类:大写字母、小写字母、数字,以及键盘上的符号(如!、@、#)。字典中查不到。不是命令名。不是人名。不是用户名。不是计算机名。定期更改。与以前的密码明显不同。软件界的三大“乞丐”今天你打补丁了吗?“网络钓鱼”高速壮大十大震荡历史的病毒爬行者CreeperMyDoomCIH熊猫烧香ILoveYou又名爱虫冲击波Melissa梅丽莎又名辛普森一家尼姆达灰鸽子Stuxnet蠕虫超级工厂病毒电子商务中面临的危险分为两大部分:电子商务交易安全计算机系统安全电子商务的交易安全信息窃取信息篡改信息假冒交易抵赖计算机系统安全问题物理安全问题网络安全问题主机系统安全问题应用安全问题人员管理安全问题黑客攻击问题计算机病毒的问题计算机安全专家通常将计算机安全分为3大类:保密、完整和即需。保密:防止未经授权的数据暴露并确保数据源的可靠性;完整:防止未经授权的数据修改;即需:防止延迟或拒绝服务。风险管理模型概率高影响大(成本)概率低影响小(成本)预防控制不理会保险或备份计划ⅠⅡⅢⅣ常见的网络安全威胁任何可用的系统从安全上来说都是有“漏洞”的,这就犹如一个篮球,要想让它保持弹性就必须留有一个孔一样。客户机的安全CookiesCookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。会话cookie永久cookie第一方cookie第三方cookie网页窃听器网页活动内容插件插件通常都是有益的,用于执行一些特殊的任务,如播放音乐片段、显示电影片段或动画图形。功能型插件娱乐型插件间谍软件间谍软件主要包括:广告软件程序、击键监视程序、特洛伊木马等。感染间谍软件的特征:数量剧增的不断弹出的广告窗口、主页被转到某色情网站、一些奇怪的搜索栏、CPU和带宽莫名其妙耗用过大等。网络钓鱼网络钓鱼(Phising):攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者往往会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。视觉陷阱:网页背后的钓竿ahref=“”免费的wifi成钓鱼陷阱通过咖啡店提供的免费Wi-Fi,可以很容易地查看和拷贝使用该Wi-Fi上网的智能手机中的文件、照片和聊天记录等黑客老子云:故物或行或随,或载或随,或嘘或吹。指在任何一种文化结构中,只要有人以建立起了什么为能事,就一定会有人以破坏了什么为能事。Hack在20世纪早期MIT的校园俚语中是“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧,也可以理解为“干了一件非常漂亮的工作”。常见网络安全技术防火墙技术所谓防火墙技术是一种通过计算机硬件和软件的组合,在因特网与内部网之间建立起一个安全网关,把二者分开的一种隔离技术,从而保护内部网免受非法用户的侵入。从实现方式上可以分为:硬件防火墙和软件防火墙。从功能上可以分为:包过滤防火墙、代理防火墙和双穴主机防火墙如果大企业有多个网站,那么每个互联网连接处都要有防火墙,这样才能保证整个公司有一个安全边界。另外,公司的每个防火墙都需要遵守同样的安全策略。”防火墙之父“马尔科斯——”少吃点,多锻炼“防火墙应当去除所有非必需的软件。加密和密码体系基本概念和术语明文(plaintext):被隐藏的消息密文(ciphertext):隐藏后的消息加密(encryption):由明文到密文的变换过程解密(decryption):由密文恢复出原始明文的过程破译:非法接收者试图从密文分析出明文的过程基本概念和术语密码算法(cryptographyalgorithm)是用于加密和解密的数学函数。加密算法(encryptionalgorithm).对明文进行加密操作时所采用的数学函数解密算法(decryptionalgorithm)接收者对密文解密所采用的数学函数基本概念和术语加密算法和解密算法是在一组仅有合法用户知道的秘密信息,称为密钥的控制下进行的。加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。恺撒密码Caesar密码:公元前50年,由JuliusCaesar发明,最早用在军方。举例:将字母表中的每个字母,用它后面的第3个字母代替。加密:c=E(3,p)=(p+3)mod26解密:p=E(3,c)=(c-3)mod26ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC字母编码•明文:Systemmodels•密文:Vbvwhpprghov恺撒密码一般的恺撒密码加密:c=E(k,p)=(p+k)mod26解密:p=E(k,c)=(c-k)mod26其中1k25练习密文:HTRUZYJWXDXYJR算法:凯撒密码明文:?Computersystem一般的恺撒密码的破译分析已知加密和解密算法需要测试的密钥只有25个明文所用的语言是已知的,且其意义易于识别。因此:可以采用穷举攻击改进的恺撒密码改进:使用密钥词的恺撒密码使用密钥词控制字母表中的排列ABCDEFGHIJKLMNOPQRSTUVWXYZwordABCEFGHIJKLMNPQRSTUVXYZ字母编码密钥词为word密码学的发展史古代加密方法(手工阶段)古典密码(机械阶段)现代密码(计算机阶段)古代加密方法起源于公元前440年出现在古希腊战争中的隐写术(steganography):通过隐藏消息的存在来保护消息.是现今信息隐藏的始祖隐写术字符标记:印刷或打印的文本字母经选择用铅笔重写。该标记通常不可见,除非该纸以一定的角度对着亮光看。不可见墨水:使用一些物质来书写,但不留下任何可见痕迹,除非加热该纸或在该纸上涂上某种化学药品。扎小孔:在所选的字母上扎小孔,这些小孔通常不可见,除非把该纸放在光的前面。格孔密写卡:将它覆盖在一张纸上从格孔中写入密件,然后在纸上余下部分填入其它字句,使它像一般信件。例如:格孔密写卡密文:王先生:来信收悉,你的盛情难以报答。我已在昨天抵达广州。秋雨连绵,每天需备伞一把。大约本月中旬即可返回,再谈。弟:李明明文:情报在雨伞把中。古代加密方法斯巴达人用于加解密的一种军事设备(SpartanScytale,400B.C.)发送者把一条羊皮螺旋形地缠在一个圆柱形棒上古代加密方法205B.C.,古希腊人棋盘密码HELLO2315313134ABCDEFGHIJKLMNOPQRSTUVWXYZ1234512345古代加密方法Phaistos圆盘,一种直径约为160mm的粘土圆盘,始于公元前17世纪。表面有明显字间空格的字母,至今还没有破解。不可攻破的密码系统纳瓦霍语:1942至1945年太平洋战争期间,美国海军陆战队征召了420名纳瓦霍族人,让他们用自己的土著语言编制和传递密码,由于纳瓦霍语没有文字,语法和发音又极其复杂,当时与美军作战的日军一直无法破译,被称为“不可破译的密码”。-----《风语者》古典密码古典密码系统已经初步体现出近代密码系统的雏形,它比古代加密方法复杂,其变化较小。古典密码使用手工或机械变换的方式实现。两种基本加密技术代换(代替、替换)技术将明文字母替换成其它字母、数字或符号的方法。置换(换位)技术保持明文的所有字母不变,只是打乱明文字母的位置和次序。摩尔斯密码对明文字符或字符组的进行位置移动的密码例:设明文为:南理工泰州科技学院移位方式:S[1-9]={2,5,7,3,4,8,9,1,6}加密思想:第i个密文汉字就是第S[i]个明文汉字.则密文为理州技工泰学院南科移位密码现代密码按照密钥使用方法分对称密码体制(symmetriccipher)非对称密码体制(asymmetriccipher)密码体制加密解密明文P密文C明文P密钥(K)对称密码体制(symmetriccryptosystem)加密密钥和解密密钥是相同的C=E(K,P)P=D(K,C)密码体制加密解密明文P密文C明文P加密密钥Ke解密密钥KdC=E(Ke,P)P=D(Kd,C)非对称密码体制(asymmetriccryptosystem)加密密钥和解密密钥是成对出现加密过程和解密过程不同,使用的密钥也不同对称密码体制在这种技术中,加密方和解密方除必须保证使用同一种加密算法外、还需要共享同一个密钥(Key)。由于加密和解密使用同一个密钥,所以,通信双方需事先交换密钥。如果第三方获取该密钥就会造成失密。。原文密文加密解密密文原文网络keykey因此,网络中N个用户之间进行加密通信时,需要对密钥才能保证任意两方收发密文,第三方无法解密(N×(N—1))/2单钥密码体系私有密钥体系=对称密钥体系=最常用的两个对称加密算法一个是1977年美国指定的数据加密标准DES(DataEncryptionStandard)另一个是经过美国国家标准技术研究院(NIST)于1997至2000年公开在全球征集和评选出的高级加密标准AES(AdvancedEnc