第五章電子商務安全一、基本安全問題

電子商務安全有六個重要方面：完整性：指數(shù)據(jù)受到保護而不會在未經(jīng)授權(quán)或偶然的情況下被更改或破壞的能力。加密是保證數(shù)據(jù)在傳輸過程中的完整性的一種手段不可否認性：指的是確保電子商務參與者無法抵賴（或否認）其網(wǎng)上行為的能力。真實性：指的是確認通過Internet交易的雙方真實身份的能力?？赏ㄟ^認證、授權(quán)和審查來確認交易雙方的真實性。第五章電子商務安全一、基本安全問題1機密性或隱私性：隱私或敏感的信息不應該提供給未經(jīng)授權(quán)的個人、機構(gòu)或計算機軟件程序?？捎眯裕褐复_保電子商務網(wǎng)站繼續(xù)按照預期功能運行的能力。機密性或隱私性：隱私或敏感的信息不應該提供給未經(jīng)授權(quán)的個人、2二、電子商務安全涉及的內(nèi)容環(huán)境體系安全技術(shù)安全應用安全管理安全二、電子商務安全涉及的內(nèi)容31、環(huán)境體系安全法律體系信用體系隱私體系應急響應體系：指組織為了應對突發(fā)\重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。風險控制體系：風險識別、風險分析、風險應對、風險監(jiān)控1、環(huán)境體系安全4電子商務信用模式擔保人模式：交易雙方必須經(jīng)過網(wǎng)站審核成為會員后才可進行交易。網(wǎng)站僅憑借本身的信譽為雙方提供擔保。網(wǎng)站經(jīng)營模式中介人模式：網(wǎng)站作為交易中介人，達成交易協(xié)議后，購貨方的貨款、銷售方的貨物要分別交給網(wǎng)站設(shè)在各地的辦事機構(gòu)，當網(wǎng)站辦事機構(gòu)核對無誤后再將貨款及貨物交給對方。委托授權(quán)模式：網(wǎng)站與銀行進行合作。交易時，網(wǎng)站通過建立交易規(guī)則，要求參與交易的當事人按預設(shè)條件在協(xié)議銀行建立交易公共賬戶。購貨方將貨款匯入銀行指定賬戶，款到后，網(wǎng)站通知賣方發(fā)貨，買房在收到商品驗收無異議后，再通知網(wǎng)站將錢款付給賣方。電子商務信用模式5隱私是一種與公共利益、群體利益無關(guān)的，當事人不愿他人知道或他人不便知道的個人信息，當事人不愿他人干涉或他人不便干涉的個人私事和當事人不愿他人侵入或他人不便侵入的個人領(lǐng)域。網(wǎng)上隱私權(quán)是指公民在網(wǎng)上享有的私人生活安寧與私人信息依法受到保護，不被他人非法騷擾、知悉、搜集、復制、利用和公開的一種人格權(quán)。電子商務中的隱私問題：通信內(nèi)容的侵犯以不合理的用途或目的保存或收集個人數(shù)據(jù)經(jīng)營者的不正當泄露個人隱私的惡意傳播擅自篡改個人信息或披露錯誤信息為商業(yè)目的而使用隱私是一種與公共利益、群體利益無關(guān)的，當事人不愿他人知道或他62、電子商務安全技術(shù)——密碼學密碼技術(shù)是保障信息安全的核心技術(shù)，密碼技術(shù)不僅能夠保證機密性信息的加密，而且具有完成數(shù)字簽名、身份驗證、系統(tǒng)安全等功能。1）密碼學的形成公元前400年，斯巴達人就發(fā)明了“塞塔式密碼”，即把長條紙螺旋形地斜繞在一個多棱棒上，將文字沿棒的水平方向從左到右書寫，寫一個字旋轉(zhuǎn)一下，寫完一行再另起一行書寫，直到寫完，解下來后，紙條上的文字就是密文。這是最早的密碼技術(shù)。公元前60年，古羅馬統(tǒng)帥凱撒第一個用當時發(fā)明的“凱撒密碼”書寫軍事文書，凱撒密碼作為一種最為古老的對稱加密體制，在古羅馬的時候都已經(jīng)很流行，他的基本思想是：通過把字母移動一定的位數(shù)來實現(xiàn)加密和解密。明文中的所有字母都在字母表上向后（或向前）按照一個固定數(shù)目進行偏移后被替換成密文。例如，當偏移量是3的時候，所有的字母A將被替換成D，B變成E，以此類推X將變成A，Y變成B，Z變成C。由此可見，位數(shù)就是凱撒密碼加密和解密的密鑰。2、電子商務安全技術(shù)——密碼學72）經(jīng)典密碼方法與技術(shù)替代密碼技術(shù)：指先建立一個替代表，發(fā)送者根據(jù)替代表將明文中的每個字替換成密文中的另外一個字符。接收者根據(jù)替代表將密文進行逆替換恢復出明文。替代密碼的秘鑰就是其替代表。置換密碼：又稱換位密碼。通過執(zhí)行對明文字母的某種置換，取得一種類型完全不同的映射，密文與明文的字母保持相同，但順序被打亂了。轉(zhuǎn)輪機：20世紀20年代，人們發(fā)明各種機械加密設(shè)備用來自動處理加密，大多數(shù)是基于轉(zhuǎn)輪機的概念。簡單異或：直接將密鑰和明文進行異或操作一次一密亂碼本：每個密鑰僅對一個消息使用一次，發(fā)送方對所發(fā)的信息加密，然后銷毀亂碼本中用過的一頁或用過的磁帶部分。收方有一個同樣的亂碼本，并依次使用亂碼本上的每個密鑰去解密密文中的每個字符。2）經(jīng)典密碼方法與技術(shù)8機械密碼機械密碼91920年代，發(fā)明各種機械加密設(shè)備用來自動處理加密，這些設(shè)備多數(shù)是基于轉(zhuǎn)輪的概念，即將機械轉(zhuǎn)輪用線連起來完成通常的密碼替代轉(zhuǎn)輪機有鍵盤和一系列轉(zhuǎn)輪，它是Vigenère密碼的一種實現(xiàn)。每個轉(zhuǎn)輪是字母的任意組合，有26個位置，并且完成一種簡單替代。例如：一個轉(zhuǎn)輪可能被用線連起來以完成用“F”替代“A”，用“U”替代“B”，用“L”替代“C”等等，而且轉(zhuǎn)輪的輸出栓連接到相鄰的輸入栓最著名的轉(zhuǎn)輪裝置是恩尼格馬（Enigma），在第二次世界大戰(zhàn)期間由德國人使用并改進。1920年代，發(fā)明各種機械加密設(shè)備用來自動處理加密，這些設(shè)備10ENIGMA的組成三個部分組成鍵盤轉(zhuǎn)子顯示器ENIGMA的組成三個部分組成11異或算符的值為真僅當兩個運算元中恰有一個的值為真，而另外一個的值為非真異或運算的真值表：AB⊕FFFFTTTFTTTF

異或算符的值為真僅當兩個運算元中恰有一個的值為真，而另外一個12非對稱密碼學（公鑰密碼學）

1976年美國學者Diffie和Hellman根據(jù)單向函數(shù)的概念提出了非對稱加密體制，引起了密碼學的一場革命。公鑰密碼學中的兩個基本的概念就是公鑰和私鑰。公鑰是要對外發(fā)布的，而私鑰需要進行絕對的保密，就像對稱密碼學中的密鑰一樣。而公鑰和私鑰都能用來加密和解密，但這種加解密都建立在以下的事實上：首先，加解密操作是在一個公私鑰對之間進行的，即用一對公私鑰對中的任何一個加密的密文，其它的公私鑰對都不能對其進行解密；其次，在一對公私鑰對之間，用一個密鑰加密的東西不能用另一個密鑰解密；再次，一個密鑰（無論是公鑰還是私鑰）都無法加密用它自己加密的東西。最后，在未知陷門的情況下想由公鑰推出私鑰在計算上是不可行的。非對稱密碼學（公鑰密碼學）133）電子商務技術(shù)安全——認證技術(shù)所謂認證，就是對某個實體提供確保聲明，表明其身份或所擁有的權(quán)限。a.網(wǎng)絡(luò)系統(tǒng)中常用的身份認證方式：口令識別、生物特征識別b.認證機構(gòu)——CACA機構(gòu)，又稱為證書授證中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。A中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。3）電子商務技術(shù)安全——認證技術(shù)14c.口令識別法口令識別是最簡單應用最廣泛的認證機制。靜態(tài)口令識別用戶在注冊階段生成用戶名和初始口令，因此，每個合法用戶都持有一個身份標識（用戶名）和相應的通行口令，被訪問的系統(tǒng)將所有合法用戶名和口令保存在口令文件或數(shù)據(jù)庫中。靜態(tài)口令認證機制安全性分析網(wǎng)絡(luò)竊聽截取\重放字典攻擊窮舉攻擊偽造服務器攻擊口令泄露c.口令識別法15動態(tài)口令識別動態(tài)口令也叫一次性口令，它的基本原理是：在用戶登錄過程中，基于用戶口令加入不確定因子，對用戶口令和不確定因子進行變換，所得的結(jié)果作為認證數(shù)據(jù)提交給認證服務器。認證服務器接收到用戶的認證數(shù)據(jù)后，把用戶的認證數(shù)據(jù)和自己用同樣的算法計算出的數(shù)值進行對比，從而實現(xiàn)對用戶身份的認證。動態(tài)口令識別16d.指紋識別技術(shù)指紋識別技術(shù)把一個人同他的指紋對應起來，通過比較他的指紋和預先保存的指紋進行比較，就可以驗證他的真實身份。每個人（包括指紋在內(nèi)）皮膚紋路在圖案、斷點和交叉點上各不相同，也就是說，是唯一的，并且終生不變。依靠這種唯一性和穩(wěn)定性，才能創(chuàng)造指紋識別技術(shù)。指紋識別系統(tǒng)在電子商務中的應用指紋門禁系統(tǒng)和指紋考勤系統(tǒng)Windows登錄和計算機信息安全密碼銀行d.指紋識別技術(shù)17e.人臉識別技術(shù)人臉識別技術(shù)是基于人的臉部特征，對輸入的人臉圖象或者視頻流

.首先判斷其是否存在人臉,如果存在人臉，則進一步的給出每個臉的位置、大小和各個主要面部器官的位置信息。并依據(jù)這些信息，進一步提取每個人臉中所蘊涵的身份特征，并將其與已知的人臉進行對比，從而識別每個人臉的身份。人臉識別關(guān)鍵問題光照問題姿態(tài)問題人眼定位問題提取特征特征對比e.人臉識別技術(shù)183、電子商務應用安全（一）網(wǎng)絡(luò)銀行安全：防火墻、安全和證書服務器、系統(tǒng)備份和數(shù)備份、身份認證技術(shù)（二）網(wǎng)絡(luò)支付安全：密碼技術(shù)、身份認證技術(shù)、防火墻、入侵檢測（三）網(wǎng)絡(luò)營銷安全：竊取信息、信用風險、管理風險（四）網(wǎng)絡(luò)購物安全：質(zhì)量安全、交易安全、隱私安全、支付安全、售后服務安全3、電子商務應用安全19黑客鬼才--凱文·米特尼克

黑客鬼才--凱文·米特尼克2015歲闖入“北美空中防務指揮系統(tǒng)”1980年，米特尼克闖入了“北美空中防務指揮系統(tǒng)”的計算機主機內(nèi)，他和另外一些朋友翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料，然后又悄無聲息地溜了出來。15歲闖入“北美空中防務指揮系統(tǒng)”1980年，米特尼克闖入了21破譯“太平洋電話公司”的“改戶密碼”開始隨意更改這家公司的電腦用戶，特別是知名人士的電話號碼和通訊地址。太平洋公司也不得不連連道歉。最后意識到是有人破譯了密碼，故意搗亂。當時他們惟一的措施是修改密碼，可這在米特尼克面前實在是雕蟲小技。破譯“太平洋電話公司”的“改戶密碼”開始隨意更改這家公司的電22破譯了聯(lián)邦調(diào)查局的“中央電腦系統(tǒng)”的密碼發(fā)現(xiàn)特工們正調(diào)查一名“電腦黑客”竟然是他自己！破譯了聯(lián)邦調(diào)查局的“中央電腦系統(tǒng)”的密碼，開始每天認真地查閱“案情進展情況的報告”。嘲笑，并惡作劇式地將幾個負責調(diào)查的特工的檔案調(diào)出，將他們?nèi)纪扛某闪耸愕淖锓?。破譯了聯(lián)邦調(diào)查局的“中央電腦系統(tǒng)”的密碼發(fā)現(xiàn)特工們正調(diào)查一名231988年，DEC指控盜取100萬美元的軟件從公司網(wǎng)絡(luò)上盜取了價值100萬美元的軟件，并造成了400萬美元損失。米特尼克被判處一年徒刑。出獄后，他試圖找一份安定的工作。1988年，DEC指控盜取100萬美元的軟件從公司網(wǎng)絡(luò)上盜取241993聯(lián)邦調(diào)查局的內(nèi)部網(wǎng)聯(lián)邦調(diào)查局收買黑客同伙，誘使米特尼克進監(jiān)獄。米特尼克輕易就上了鉤，非法侵入了一家電話網(wǎng)。他打入了聯(lián)邦調(diào)查局的內(nèi)部網(wǎng)，發(fā)現(xiàn)了他們設(shè)下的圈套，然后在逮捕令發(fā)出之前就跑了。1993聯(lián)邦調(diào)查局的內(nèi)部網(wǎng)聯(lián)邦調(diào)查局收買黑客同伙，