网络安全及相关技术.pdf

网络安全及相关技术 张武梅 管理学系 2012.11 知识点提要 知识重点： 电子商务对于安全的要求； 常用的安全技术； SSL和SET的流程和工作原理 ； 知识难点： 电子商务常用的加密技术；SSL和SET的流程和工作 原理； 学时安排：4 “远离危险的状态或特性” “为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施” 引申： 网络平台的安全是指网络操作系统 防火墙技术、网络入侵检 对抗网络攻击、病毒，使网络系统连 测技术、网络防毒技术。 续稳定的运行。 数据加密、数字签名、数 交易信息的安全是指保护交易双方 字证书、ssl、set安全协 的不被破坏、不泄密，和交易双方身 议 份的确认。 一、电子商务安全性问题 信息的截获和窃取： 攻击者可能通过互联网、公共电话网在电磁波辐射范围内安装 截获装置或在数据包通过的网关和路由器上截获数据，获取传 输的机密信息。 信息的篡改： 当攻击者熟悉了网络信息格式以后，通过各种技术方法和手 段对网络传输的信息进行中途修改，并发往目的地，从而破 坏信息的完整性。 信息假冒： 当攻击者掌握了网络信息数据规律或解密了商务信息以后，可 以假冒合法用户或发送假冒信息来欺骗其他用户。 交易抵赖 乐行网错标0元鞋 网友拍下承认成交 1、机密性。防止非法的信息存取和信息在传输过程中被非法窃 二、电子商务对安全的基本要求 取。 2、完整性。要预防对信息的随意生成、修改和删除，同时要防 止数据传送过程中信息的丢失和重复并保证信息传送次序的统 一。 3、认证性。由于网络电子商务交易系统的特殊性，企业或个人 的交易通常都是在虚拟的网络环境中进行，所以对个人或企业 实体进行身份确认成了电子商务中十分重要的一环。 4、不可抵赖性。因此，要在交易信息的传输过程中，为参与交 易的个人、企业或国家提供可靠的标识。 5、有效性。电子商务以电子形式取代了纸张，那么如何保证这 种电子形式的贸易信息的有效性则是开展电子商务的前提。 三、电子商务安全措施 鉴别服务： 是对贸易方的身份进行鉴别，为身份的真实性提供保证； 访问控制服务： 通过授权对使用资源的方式进行控制，防止非授权使用资源 或控制资源，有助于贸易信息的机密性、完整性和可控性； 机密性服务： 为EC参与者信息在存储、处理和传输过程中提供机密性保 证，防止信息被泄露给非授权信息获得者； 不可否认服务： 针对合法用户的威胁，为交易的双方提供不可否认的证据， 来解决因否认而产生的争议提供支持。 “如果把一封信所在保险柜中，把保险柜藏在纽约的某个地方…，然后告诉 你去看这封信，这并不是安全，而是隐藏。相反，如果 把一封信锁在保险柜里，然后把保险柜及其设计规范和许多同样的保险柜给 你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是无 法打开保险柜去读这封信，这才是安全的概念。” 一、加密技术 1、主要元素：加密算法和密钥 首先选择加密算法，即打算如何将明文进行转换成不可理 解的密文。 其次选择密钥，利用加密算法对明文进行转换，其原理类 似于： Y=x+b，其中b相当于密钥，x是明文，y是密文。——》加 密过程 X＝y－b，所以如果掌握了加密算法和密钥就可以——》解 密过程。 2、加密的分类 1）对称加密——秘密密钥加密 过程：发送方用密钥加密明文，传送给接收方，接收方 用同一密钥解密。其特点是加密和解密使用的是同一个 密钥。（配两把钥匙开一把锁） 2、加密的分类 1）对称加密——秘密密钥加密 （1）优点：这种方法使用简单，加密解密速度快，适合 于大量信息的加密。 （2）缺点： •第一，不能保证也无法知道密钥在传输中的安全。 •第二，假设每对交易方用不同的密钥，N对交易方需要 N*(N-1)/2个密钥，难于管理。