電子商務網(wǎng)絡安全

第5章電子商務網(wǎng)絡平安主講教師：XXXXXX1/12/2024第5章電子商務網(wǎng)絡平安學習要點電子商務對平安的根本要求防火墻的功能和原理電子商務加密技術電子商務平安認證體系SSL和SET的流程和工作原理計算機病毒和黑客的防范技術1/12/2024第5章電子商務網(wǎng)絡平安第一節(jié)電子商務的平安問題第二節(jié)防火墻技術第三節(jié)加密技術第五節(jié)電子商務交易過程第六節(jié)病毒與黑客的防范1/12/2024第一節(jié)電子商務的平安問題一、電子商務的網(wǎng)絡平安問題二、電子商務的信息平安要求1/12/2024一、電子商務的網(wǎng)絡平安問題1．信息泄漏在電子交易中商業(yè)機密被泄漏，主要包括兩個方面：交易雙方進行交易的內(nèi)容被第三方竊取；交易一方提供給另一方使用的文件被第三方非法使用。2．篡改電子的交易中信息在網(wǎng)絡上傳輸，可能被他人非法修改、刪除或重做，這樣就使信息失去了真實性和完整性。3．身份識別問題如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易。破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。進行身份識別后，交易雙方就可防止“相互猜疑〞。1/12/2024一、電子商務的網(wǎng)絡平安問題4．病毒問題病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒利用網(wǎng)絡作為自己的傳播途徑，很多病毒借助于網(wǎng)絡傳播變得更快，破壞性更大，造成經(jīng)濟損失動輒造成數(shù)百億美元的。5．黑客問題隨著各種應用工具的傳播，黑客已經(jīng)群眾化了，不像過去那樣非計算機高手不能成為黑客。曾經(jīng)大鬧雅虎網(wǎng)站的“黑手黨男孩〞就沒有受過專門訓練，只是向網(wǎng)友下載了幾個攻擊軟件并學會了如何使用，就在互聯(lián)網(wǎng)上大干了一場。1/12/2024二、電子商務的信息平安要求1．信息的保密性信息的保密性是指信息在傳輸或存儲過程中不被他人竊取。交易中的商務信息均有保密的需求。如信用卡的賬號、用戶名和密碼被人知曉，就可能被盜用，訂貨和付款的信息被競爭對手得悉，就可能喪失商機。因此，在電子商務的信息傳播均須要保密。2．信息的完整性信息的完整性是從信息傳輸和存儲兩個方面看。在存儲時，網(wǎng)站上的信息要防止非法篡改和破壞。在傳輸過程中，如果收到的信息與發(fā)送的信息一樣的話，說明在傳輸過程中信息沒有遭到破壞。盡管信息在傳輸過程中被加了密，能保證第三方看不到真正的信息，但并不能保證信息在傳輸過程中不被修改。3．身份確實定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家來說，要考慮客戶是不是騙子，而客戶也會擔憂網(wǎng)上的商店是不是一個黑店。因此，能方便而可靠確實認對方身份是交易的前提。1/12/2024二、電子商務的信息平安要求4．不可否認性信息的不可否認性是指信息的發(fā)送方不能否認已發(fā)送的信息，接受方不能否認已收到的信息。由于商情的千變?nèi)f化，交易一旦達成是不能否認，否那么，必然會損害一方的利益。例如，在定購商品的時候，商品價較低，但收到訂單后，商品漲價了，如供貨方否認發(fā)送訂單的實際時間，甚至還否認發(fā)送訂單的事實，那么訂貨方將會蒙受巨大的損失。因此，電子交易通信過程的各個環(huán)節(jié)都必須是不可被否認的。5．不可修改性交易的文件是不能被隨意修改的，例如，上例所舉的例子，如果供貨單位在收到訂單后，修改訂貨價，或者改動文件內(nèi)容，將定購數(shù)目改變，那么可以大幅收益，而訂貨單位卻會蒙受損失。因此，電子交易的文件必須做到不可修改，以保障交易的嚴肅和公正。6．系統(tǒng)的可靠性電子商務使用的是計算機系統(tǒng)，其可靠性是指防止計算機失效、程序錯誤、傳輸錯誤等而引起的計算機信息喪失或出錯。1/12/2024第二節(jié)防火墻技術所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取平安性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個平安網(wǎng)關〔SecurityGateway〕，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由效勞訪問規(guī)那么、驗證工具、包過濾和應用網(wǎng)關4個局部組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。防火墻英語為firewall《英漢證券投資詞典》的解釋為：金融機構內(nèi)部將銀行業(yè)務與證券業(yè)務嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。1/12/2024防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客平安，而同時還能讓司機繼續(xù)控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡中，所謂“防火墻〞，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意〞的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意〞的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。1/12/20241/12/2024作用防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的平安防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些效勞，如視頻流等，但至少這是你自己的保護選擇。1/12/2024根本特性一〕內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡不受侵害。根據(jù)美國國家平安局制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的平安保護設備。所謂網(wǎng)絡邊界即是采用不同平安策略的兩個網(wǎng)絡連接處，比方用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個平安控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的效勞和訪問的審計和控制。1/12/2024〔二〕只有符合平安策略的數(shù)據(jù)流才能通過防火墻防火墻最根本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機〞，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)那么和平安審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文那么予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的〔網(wǎng)絡接口>=2〕轉(zhuǎn)發(fā)設備，它跨接于多個別離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。1/12/2024三〕防火墻自身應具有非常強的抗攻擊免疫力這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡平安防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的平安性。其次就是防火墻自身具有非常低的效勞功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些平安性也只能說是相對的。1/12/2024優(yōu)點〔1〕防火墻能強化平安策略。〔2〕防火墻能有效地記錄Internet上的活動?！?〕防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播?！?〕防火墻是一個平安策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為平安問題的檢查點，使可疑的訪問被拒絕于門外。1/12/2024工作原理防火墻就是一種過濾塞〔目前你這么理解不算錯〕，你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。天下的防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護〔比方SMTP或者HTTP協(xié)議等〕。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入平安路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿?。所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定。1/12/2024同名電影根本信息《防火墻》：哈里森-福特重出江湖Firewall片名：Firewall譯名：防火墻/錯誤元素導演：理查德·朗克萊恩RichardLoncraine主演：哈里森·福特HarrisonFord弗吉尼亞·瑪?shù)蒙璙irginiaMadsen吉米·本內(nèi)特JimmyBennett保羅·貝坦尼PaulBettany類型：動作/劇情/犯罪/驚悚地區(qū)：美國語言：英語顏色：彩色片長：105分鐘級別：PG-13(令人緊張的暴力內(nèi)容)

出品：華納兄弟上映日期：2006年2月10日(美國)2006年4月11日(中國內(nèi)地)1/12/2024劇情簡介日益猖獗的計算機黑客經(jīng)常會在計算機網(wǎng)絡上想方設法盜取銀行的資產(chǎn)。然而，當今一種專門從事阻止黑客侵入銀行計算機系統(tǒng)的防護系統(tǒng)也正在和網(wǎng)絡上的這種違法行為進行著斗爭。計算機平安專家杰克·斯坦福(哈里森·福特)便是從事這一行業(yè)的人。他如今供職于美國西部西雅圖市一家國際金融機構太平洋銀行。杰克·斯坦福是一名備受股東們信賴的高級網(wǎng)絡平安主管，多年來負責設計最有效的防盜計算機系統(tǒng)和各種“防火墻〞式的軟件。然而，杰克的防盜系統(tǒng)卻有一個致命弱點，那就是他自己。因為，防火墻的密碼就由他來保管。這一點，似乎包括對銀行里的現(xiàn)金垂涎已久的罪犯們也心知肚明……1/12/2024第二節(jié)防火墻技術一、包過濾型防火墻二、代理效勞型防火墻三、應用網(wǎng)關型防火墻四、電路網(wǎng)關型防火墻五、復合型防火墻1/12/2024一、包過濾型防火墻包過濾型防火墻實質(zhì)上是一個過濾網(wǎng)關，它決定接收到的數(shù)據(jù)包的取舍。該防火墻逐一審查每個數(shù)據(jù)包以判斷它是否與其過濾規(guī)那么相匹配。如果找到一個匹配，且規(guī)那么允許這個包通過，這個包將根據(jù)路由表中的信息繼續(xù)前進。如果找不到一個匹配，那么規(guī)那么拒絕此包，也就是把這個包過濾掉了。包過濾一般是在OSI七層協(xié)議的網(wǎng)絡層下實現(xiàn)的，用戶一般不會覺察到防火墻的存在。此防火墻由較高的網(wǎng)絡性能，對應用程序具有較好的透明性，缺點是無法有效的區(qū)分同一IP地址下不同的用戶，所以平安性相對較低些。1/12/2024二、代理效勞型防火墻代理效勞型防火墻也是在OSI七層協(xié)議的應用層下實現(xiàn)的。代理使用一個客戶程序與特定的中間節(jié)點連接，然后中間節(jié)點與期望的效勞器進行實際連接。使用此防火墻時，外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間不存在直接連接，因此，即使防火墻發(fā)生了問題，外部網(wǎng)絡也無法與被保護的網(wǎng)絡連接。1/12/2024三、應用網(wǎng)關型防火墻應用網(wǎng)關防火墻的物理位置與包過濾防火墻一樣，但它卻工作在OSI七層協(xié)議的應用層上。應用網(wǎng)關防火墻執(zhí)行比包過濾防火墻更嚴格的平安策略。對于所轉(zhuǎn)發(fā)的每種應用，應用層網(wǎng)關都需要使用專用的程序代碼。每當一個新的需保護的應用參加網(wǎng)絡中時，必須為其編制專用的程序代碼，如果網(wǎng)絡過濾人員不對一種特別應用程序編制出相應的專用程序代碼，這種應用程序就不能通過防火墻。雖然編制程序比較復雜，但是，網(wǎng)絡的平安性得到了提高。1/12/2024四、電路網(wǎng)關型防火墻電路網(wǎng)關的物理位置在內(nèi)部與外部網(wǎng)之間，工作在OSI七層協(xié)議的網(wǎng)絡層，不過，電路網(wǎng)關在作為外部主機代理方面類似應用網(wǎng)關，但電路網(wǎng)關是在傳輸控制協(xié)議〔TCP〕這一級來完成控制的。它通過防火墻開了一個通孔，既根據(jù)用戶的要求，開通或封閉TCP/IP的連接。電路網(wǎng)關型防火墻向最終用戶提供較好的透明性，但它的代價是損失了某些平安性，即不能實施強制的驗證和協(xié)議過濾。1/12/2024五、復合型防火墻出于高平安性的需要，出現(xiàn)了把基于包過濾和基于代理訪問技術相結合的防火墻，即復合型防火墻。在復合型防火墻中，內(nèi)部網(wǎng)絡和外部網(wǎng)絡都可以訪問主機，稱為堡壘主機，它是一個被特別包裝的、用來防范各類攻擊的特殊系統(tǒng)。1/12/2024第三節(jié)加密技術一、密鑰加密算法二、數(shù)字摘要三、數(shù)字簽名四、數(shù)字時間戳1/12/2024一、密鑰加密算法1．對稱密鑰體制〔1〕根本原理對稱密鑰體制又稱常規(guī)密鑰密碼體制、私鑰密碼體制和單鑰密碼，就是加密和解密使用的是同一個密鑰和算法，如果不相同，也可以由一個密鑰來推導出另一個密鑰來。當A發(fā)送數(shù)據(jù)給B時，A用加密密鑰將明文進行加密后成為密文，而B在接收到密文后，必須用A的密鑰進行解密，復原成明文。1/12/20241/12/2024一、密鑰加密算法〔2〕DES算法數(shù)據(jù)加密標準〔dataEncryptionStandard，DES〕，是1977年美國國家標準局宣布用于非國家保密機關的數(shù)據(jù)保護。DES算法原是IBM公司于1971年至1972年研制成功的，ISO也已將DES作為數(shù)據(jù)加密標準。DES對64位二進制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰也64位，實際密鑰長度為56位。解密時的過程與加密時相似，但密鑰的順序正好相反?，F(xiàn)在DES可由軟件和硬件實現(xiàn)。美國AT&T首先用LSI芯片實現(xiàn)了DES的全部過程，該產(chǎn)品稱為數(shù)據(jù)加密處理機DEP。DES采用64位長的密鑰，能將原文的假設干個64位塊變換成加密的假設干個64位代碼塊。原文經(jīng)過一系列的排列與置換所產(chǎn)生的結果再與原文異或合并〔X/OR〕。該加密過程重復16次，每次所用的密鑰位排列不同。據(jù)說運行DES加密文件通過256種可能的密鑰，一個百萬次的系統(tǒng)也需7個小時。三倍編碼使DES更加平安，等價于具有112位長的代碼，同時，編碼與解碼時間也延長了三倍。1/12/2024一、密鑰加密算法〔3〕IDEA算法IDEA〔InternationalDataEncryptionAlgorithm〕是一種國際信息加密算法。它是1991年在瑞士ETHZurich由中國學者來學嘉和JamesMassey創(chuàng)造，于1992年正式公開，是一個分組為64位，密鑰128位。迭代八輪的密碼體制。此算法使用長達128位的密鑰，有效地消除了試圖用窮舉法搜索密碼的可能性。1/12/2024一、密鑰加密算法〔4〕對稱密鑰體制加密技術的優(yōu)缺點對稱加密技術具有加密速度快，保密度高等優(yōu)點。缺點是：①密鑰是保密平安的關鍵，發(fā)送方必須平安、可靠地把密鑰護送到接收方，一旦密鑰在網(wǎng)上被竊取，密文就會被解密，所以，對稱加密技術密鑰發(fā)送十分復雜，所花代價也十分高昂。②多人通信時使用的密鑰數(shù)會大幅度增加，n個人兩兩通信，需要的密鑰數(shù)為n〔n-1〕/2。1/12/2024一、密鑰加密算法2．非對稱密碼體制〔1〕根本原理非對稱密碼體制又稱公鑰密碼體制和雙鑰密碼等，為了改進對稱加密的密鑰傳遞的缺陷，于是出現(xiàn)了非對稱加密技術。這種密鑰技術中的密鑰都是成雙的，即有一對互補的鑰匙，一個稱為公鑰〔PublicKey〕，另一個稱為私鑰〔PrivateKey〕，其中公鑰是公開的，這個公鑰可以放在效勞器上供任何人下載，另一個私鑰必須自己保存。由于這兩個密鑰之間存在一定的數(shù)學關系，因此這兩個密鑰中的一個密鑰加密，只能被另一個密鑰解開。使用的時候，A用B的公鑰將明文加密成為密文，然后通過網(wǎng)絡傳送給B，B用自己的私鑰將密文解密，復原成明文。1/12/20241/12/2024一、密鑰加密算法〔2〕RSK算法非對稱密碼體制中最具代表性的，便是RSK算法。已被ISO/TC97的數(shù)據(jù)加密技術分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標準。該算法以創(chuàng)造者RonaldRivest、AdiShamir及LeonardAdleman三人名字的首字母命名。1/12/2024具體算法是：用戶選擇2個足夠大的秘密的素數(shù)p和q〔一般位100位以上的十進制數(shù)〕。令n=pq，n是公開的。實際上，從n分解除因子p和q是極其困難的。定義n的歐拉函數(shù)Φ〔n〕=〔p-1〕〔q-1〕，Φ〔n〕及小于等于n并于n互素的數(shù)的個數(shù)。選擇一個相對較大的整數(shù)e作為加密指數(shù)，Φ〔n〕互素。解同余方程ed=lmod。假設用整數(shù)X、Y分別表示明文、密文，那么以下二式可用于加密和解密〔X、Y均小于n〕：加密：Y=Xmodn解密：X=Ymodn每個用戶都有一組密鑰〔e，d、n〕。對這種體制，只有〔e，n〕是出現(xiàn)在公共手冊上的〔即PK〕，d那么是需要用戶保密的〔即SK〕。1/12/2024一、什么是“素數(shù)〞？

素數(shù)是這樣的整數(shù)，它除了能表示為它自己和1的乘積以外，不能表示為任何其它兩個整數(shù)的乘積。例如，15＝3＊5，所以15不是素數(shù)；又如，12＝6＊2＝4＊3，所以12也不是素數(shù)。另一方面，13除了等于13＊1以外，不能表示為其它任何兩個整數(shù)的乘積，所以13是一個素數(shù)。素數(shù)也稱為“質(zhì)數(shù)〞。

二、什么是“互質(zhì)數(shù)〞〔或“互素數(shù)〞〕？

小學數(shù)學教材對互質(zhì)數(shù)是這樣定義的：“公約數(shù)只有1的兩個數(shù)，叫做互質(zhì)數(shù)。〞這里所說的“兩個數(shù)〞是指自然數(shù)。

判別方法主要有以下幾種〔不限于此〕：

〔1〕兩個質(zhì)數(shù)一定是互質(zhì)數(shù)。例如，2與7、13與19。

〔2〕一個質(zhì)數(shù)如果不能整除另一個合數(shù)，這兩個數(shù)為互質(zhì)數(shù)。例如，3與10、5與26。

〔3〕1不是質(zhì)數(shù)也不是合數(shù)，它和任何一個自然數(shù)在一起都是互質(zhì)數(shù)。如1和9908。

〔4〕相鄰的兩個自然數(shù)是互質(zhì)數(shù)。如15與16。

〔5〕相鄰的兩個奇數(shù)是互質(zhì)數(shù)。如49與51。

〔6〕大數(shù)是質(zhì)數(shù)的兩個數(shù)是互質(zhì)數(shù)。如97與88。

〔7〕小數(shù)是質(zhì)數(shù)，大數(shù)不是小數(shù)的倍數(shù)的兩個數(shù)是互質(zhì)數(shù)。如7和16。

〔8〕兩個數(shù)都是合數(shù)〔二數(shù)差又較大〕，小數(shù)所有的質(zhì)因數(shù)，都不是大數(shù)的約數(shù)，這兩個數(shù)是互質(zhì)數(shù)。如357與715，357=3×7×17，而3、7和17都不是715的約數(shù)，這兩個數(shù)為互質(zhì)數(shù)。等等。

1/12/2024〔1〕設計公私密鑰(e,n)和(d,n)。

令p=3，q=11，得出n=p×q=3×11=33；f(n)=(p-1)(q-1)=2×10=20；取e=3，〔3與20互質(zhì)〕那么e×d≡1modf(n)，即3×d≡1mod20。

d怎樣取值呢？可以用試算的方法來尋找。試算結果見下表：通過試算我們找到，當d=7時，e×d≡1modf(n)同余等式成立。因此，可令d=7。從而我們可以設計出一對公私密鑰，加密密鑰〔公鑰〕為：KU=(e,n)=(3,33)，解密密鑰〔私鑰〕為：KR=(d,n)=(7,33)。

〔2〕英文數(shù)字化。

將明文信息數(shù)字化，并將每塊兩個數(shù)字分組。假定明文英文字母編碼表為按字母順序排列數(shù)值，即：

那么得到分組后的key的明文信息為：11，05，25。

1/12/2024〔3〕明文加密

用戶加密密鑰(3,33)將數(shù)字化明文分組信息加密成密文。由加密解密的運算方式：明文M=Cd(modn)密文C=Me(modn)得：因此，得到相應的密文信息為：11，26，16。

〔4〕密文解密。

用戶B收到密文，假設將其解密，只需要計算，即：

用戶B得到明文信息為：11，05，25。根據(jù)上面的編碼表將其轉(zhuǎn)換為英文，我們又得到了恢復后的原文“key〞。1/12/2024一、密鑰加密算法〔3〕公開密鑰的優(yōu)缺點公開密鑰的優(yōu)點：①密鑰少便于管理，網(wǎng)絡中用戶只需可靠保存自己的解密密鑰，那么n個用戶只需保存好n個解密密鑰即可。②加密密鑰分配簡單，用戶可以在效勞器上下載。缺點是加密、解密速度慢，不易對數(shù)據(jù)塊大的數(shù)據(jù)進行加密。1/12/2024一、密鑰加密算法3．組合加密算法組合加密算法〔PrettyGoodPrivacy，PGP〕是由美國的PhilZimmermann創(chuàng)造的，它結合了RSA公鑰的平安和對稱DES/IDEA加密的快速的優(yōu)點，即對網(wǎng)絡中傳遞的明文用DES/IDEA加密，而加密的密鑰那么用RSA加密傳遞，對方收到密文和加密的密鑰后，先用RSA解開密鑰，再用密鑰解開密文。因此，PGP成為了世界上最流行的加密軟件包。PGP目前有運行于MS-DOS、Unix、Windows2000、WindowsXP、Windows2003等各種不同操作系統(tǒng)上的版本，可以用它來對文件進行加密，或者使用它來在文件上進行數(shù)字簽名。1/12/2024一、密鑰加密算法PGP加密不僅速度快，而且強度足夠大。如果想用窮舉法來破解PGP密碼，并使用10億臺每秒鐘能試探10億個密鑰的計算機〔目前還不存在每秒能試探10億個密碼的計算機，計算機總量也沒有10億臺〕，那么做完所有的試探所需要的時間至少要100億年。目前能得到的PGP是PGPi，PGPi是PGP的國際版，它是在PGP的根底上修改而成的，因為PGP是功能強大的加密系統(tǒng)，而美國對加密系統(tǒng)的出口是有限制的，這就是你無法在正常的渠道中獲得PGP的原因。1/12/2024二、數(shù)字摘要數(shù)字摘要又稱為平安Hash編碼法或MDS編碼法，是RonRivest在70年代設計的。該編碼采用了單向Hash函數(shù)，它將明文直接“摘要〞成一串128Bit的密文，這一串密文就稱為數(shù)字摘要。它具有固定的長度，不同的明文的摘要，其結果是決對不會相同的，而同樣的明文其摘要卻必定是一致的。因此，這串摘要便成為了驗證明文是否是“真身〞的依據(jù)，明文好似被附上了的數(shù)字“指紋〞，所以，數(shù)字摘要又稱為數(shù)字指紋〔FingerPrint〕。1/12/20241/12/2024三、數(shù)字簽名數(shù)字簽名〔digitalsignatures〕是公開密鑰加密技術的一種應用。使用方式是：報文的發(fā)送方從報文文本中生成一個128Bit的數(shù)字摘要，發(fā)送方再用自己的密鑰對數(shù)字摘要進行加密形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。收方首先從接收到的報文中計算出128Bit的數(shù)字摘要，再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果這兩個數(shù)字摘要相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的，而且還可以確定此報文沒有被第三方修改正。1/12/20241/12/2024三、數(shù)字簽名但采用公開密鑰算法更容易實現(xiàn)。發(fā)送者A用自己的私鑰SKA對數(shù)字摘要X進行運算，將結果DSKA〔X〕傳送給接收者B。B用A的公鑰得出EPKA〔DSKA〔X〕〕=X。因為除A外沒有別人能具有A的私鑰SKA，所以除A外沒有別人能產(chǎn)生密文DSKA〔X〕。這樣，數(shù)字摘要X就被簽名了。假假設A要抵賴曾發(fā)送給B。B可將X及DSKA〔X〕出示給第三者。第三者很容易用PKA去證實A確實發(fā)送消息X給B。反之，如果是B將X偽造成X’，那么B不能再第三者面前出示DSKA〔X’〕。這樣就證明B偽造了數(shù)字摘要。1/12/2024三、數(shù)字簽名要說明的是，數(shù)字簽名不同于手寫簽字，數(shù)字簽名會隨文本的變化而變化，而手寫簽名只是反映了某個人的個性特征，是不變的；數(shù)字簽名與文本信息是不可分割的，而數(shù)字簽名是附加在文本之后的，與文本信息是別離的。1/12/2024四、數(shù)字時間戳在電子交易中，同樣需對交易文件的日期和時間信息采取平安措施，而數(shù)字時間戳效勞〔DigitalTime-StampService，DTS〕就能提供電子文件發(fā)表時間的平安保護。數(shù)字時間戳效勞是網(wǎng)上平安效勞工程，由專門機構提供，數(shù)字時間戳是一個經(jīng)加密后形成的證書文件，它包含三個局部：①需要加數(shù)字時間戳的文件的摘要；②數(shù)字時間戳效勞機構收到文件的日期和時間；③數(shù)字時間戳效勞機構的數(shù)字簽名。數(shù)字時間戳產(chǎn)生的過程為：用戶首先將需要加數(shù)字時間戳的文件用Hash形成摘要，然后將摘要發(fā)送到數(shù)字時間戳效勞機構，該機構在參加了收到文件摘要的日期和時間信息后再對該文件進行數(shù)字簽名，然后送回用戶。要注意的是，書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳那么不然，它是由數(shù)字時間戳效勞機構來加的，以其收到文件的時間為依據(jù)。1/12/2024第四節(jié)數(shù)字證書一、數(shù)字證書二、CA認證中心三、數(shù)字證書類型四、數(shù)字證書的申請、獲取和使用1/12/2024一、數(shù)字證書數(shù)字證書又稱為數(shù)字憑證〔DigitalCertificate，DigitalID〕，是用電子手段來證實一個用戶的身份。在網(wǎng)上進行電子交易時，如果雙方都出示了數(shù)字證書，并用它來進行交易操作，那么雙方就不必為對方身份的真?zhèn)味鴵鷳n了。數(shù)字證書可廣泛用于電子郵件、電子商務、電子基金轉(zhuǎn)移等。數(shù)字證書的內(nèi)部格式是由CCITTX.509國際標準所規(guī)定的，它包含了以下幾點：①證書擁有者的姓名；②證書擁有者的公共密鑰；③公共密鑰的有效期；④頒發(fā)數(shù)字證書的單位；⑤數(shù)字證書的序列號；⑥頒發(fā)數(shù)字證書單位的數(shù)字簽名。1/12/2024二、CA認證中心在電子交易中，無論是數(shù)字時間戳效勞還是數(shù)字證書的發(fā)放，都需要有一個具有權威性和公正性的第三方來完成。認證中心〔CA〕就是承擔網(wǎng)上平安電子交易認證效勞、簽發(fā)數(shù)字證書、并確認用戶身份的效勞機構。認證中心統(tǒng)稱是奇特性的效勞機構，主要任務是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。使用者在生成自己的密鑰后，直接把公共密鑰和身份信息送到認證中心去認證，通過后，認證中心就會將簽核過的憑證放到憑證數(shù)據(jù)庫，供其他人查詢及下載，所以，交易雙方都能在認證中心取得對方的憑證，以證明公共密鑰和身份的相關性。除了簽發(fā)憑證的業(yè)務外，認證中心也要負責維護憑證的平安性與完整性，萬一交易過程發(fā)生糾紛，認證中心按照和用戶之間的協(xié)議，應負舉證的責任，將雙方的注冊信息和憑證送交司法單位。1/12/2024二、CA認證中心當前，Internet上提供認證效勞的國外公司有Verisign、IBM、AT&T、BBN等。上海電子商務平安證書管理中心〔://〕，是國內(nèi)提供認證效勞較早的機構，也是上海市從事電子商務平安證書制作、頒發(fā)和管理業(yè)務的權威性機構。參加電子商務的主體，必須獲得SHECA頒發(fā)的數(shù)字證書。SHECA提供電子商務效勞的平安平臺，為網(wǎng)上平安交易保駕護航。1/12/2024三、數(shù)字證書類型①個人證書〔PersonalDigitalID〕：僅僅為某一個用戶提供證書，以幫助個人在網(wǎng)上進行平安交易操作。個人身份的數(shù)字證書通常是安裝在客戶端的Web瀏覽器內(nèi)，并收發(fā)平安的電子郵件等。②企業(yè)〔效勞器〕證書〔ServerID〕：為網(wǎng)上的某個Web效勞器提供的證書，擁有Web效勞器的企業(yè)就可以對具有證書能力的網(wǎng)站來進行平安的電子交易。有證書的Web效勞器會自動地與客戶端Web瀏覽器通信的信息進行加密。③軟件〔開發(fā)者〕證書〔DeveloperID〕：為Internet中被下載的軟件提供證書，該證書用于和微軟公司Authenticode技術相結合的軟件，以使用戶在下載軟件時能獲得相應的信息。1/12/2024四、數(shù)字證書的申請、獲取和使用1．個人數(shù)字證書的申請、獲得和使用個人數(shù)字證書的申請可以在用戶瀏覽器上進行，個人數(shù)字證書分為兩個級別，第一級數(shù)字證書僅僅提供個人電子郵件地址的認證。當個人獲得一級數(shù)字證書后，認證中心會將郵件地址證書列于公共目錄。第二級數(shù)字證書提供對個人姓名、身份等信息的認證。當獲得二級數(shù)字證書后，認證中心也會將認證信息列入公共目錄。1/12/2024四、數(shù)字證書的申請、獲取和使用當個人數(shù)字證書申請后，認證中心對申請者的電子郵件地址、個人身份及信用卡號等信息進行核實，通常需要3-5天，核實后即可頒發(fā)數(shù)字證書。數(shù)字證書的頒發(fā)時由認證中心發(fā)回給用戶一個確認郵件，在郵件中通知用戶有關證書中的信息，同時將該證書安裝在用戶所用的WWW瀏覽器或電子郵件系統(tǒng)中。1/12/2024四、數(shù)字證書的申請、獲取和使用個人使用獲得的數(shù)字證書，也就是說在他所用的WWW瀏覽器上安裝了數(shù)字證書后，當他要發(fā)送一個郵件的時候，在WWW瀏覽器中就可設置以下三種狀態(tài)：①普通發(fā)送，不使用數(shù)字證書；②簽發(fā)文件，在發(fā)送信息的同時，系統(tǒng)會自動將信息和發(fā)送者的數(shù)字簽名一起發(fā)送給對方，但用此方法發(fā)送的信息本身并未被加密；③加密文件，除了擁有上面簽發(fā)文件功能外，在發(fā)送時還會自動用接收者的公共密鑰加密信息，并會注明此信息是加密的。1/12/2024四、數(shù)字證書的申請、獲取和使用2．效勞器數(shù)字證書的申請、獲得和使用效勞器數(shù)字證書幫助企業(yè)建立一個虛擬交易環(huán)境中的信任度。在現(xiàn)實生活中，一個大超市或大商場能給人們產(chǎn)生一種可信度。而在網(wǎng)上交易的虛擬環(huán)境中，人們無法和商家面對面的接觸，而需要依靠數(shù)字證書來增強信任度。1/12/2024四、數(shù)字證書的申請、獲取和使用效勞器數(shù)字證書的申請驗證要比個人身份的驗證復雜，需要把調(diào)查表文件填寫后用電傳或電子郵件發(fā)送到認證中心，調(diào)查文件的內(nèi)容包括：①企業(yè)或組織的情況介紹；②合作伙伴的情況；③營業(yè)執(zhí)照；④納稅證明。1/12/2024四、數(shù)字證書的申請、獲取和使用當一個效勞器證書生效后，它就能以被驗證的身份與外界通信，數(shù)字證書依靠與之綁定的一對密鑰來表示自己確實定性。用該對密鑰來加密，從而保證該效勞器身份。當一個認證的客戶與一個認證的效勞器進行通訊的時候，客戶端的軟件會自動的驗證效勞器端的數(shù)字證書，而效勞器綁定的這對密鑰又被用來加密一個會話密鑰。會話密鑰是用來對效勞器和客戶機的會話進行加密的。每個效勞器和客戶機的會話均會使用不同的會話密鑰。每個會話密鑰只有12-24小時的有效期，所以，要在被認證的效勞器和客戶機通信時進行信息竊聽是十分困難的。1/12/2024第五節(jié)電子商務交易過程一、平安套接層SLL協(xié)議二、平安電子交易SET協(xié)議1/12/2024一、平安套接層SSL協(xié)議SSL平安協(xié)議最初是由NetscapeCommunication公司設計開發(fā)的，又叫平安套接層〔SecureSocketsLayer，SSL〕協(xié)議，主要用于提高應用數(shù)據(jù)的平安。SSL協(xié)議的概念可以被認為：一個保證任何安裝了平安套接層的客戶和效勞器間事務平安的協(xié)議，它涉及所有的TCP/IP應用程序。1/12/2024一、平安套接層SSL協(xié)議SSL平安協(xié)議主要提供三方面的效勞：①認證用戶和效勞器，使得數(shù)據(jù)將被發(fā)送到正確的客戶機和效勞器上；②加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；③維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不能被改變。1/12/2024一、平安套接層SSL協(xié)議SSL平安協(xié)議的運行步驟包括六步：①接通：客戶通過網(wǎng)絡向效勞商連接，效勞商回應；②密碼交換：客戶與效勞商之間交換雙方認可的密碼，一般選用RSA密碼算法；③會談密碼：客戶與效勞商間產(chǎn)生彼此交談的會談密碼；④驗證：檢驗效勞商取得的密碼；⑤客戶認證：驗證客戶的可信度；⑥結束：客戶與效勞商之間相互交換結束的信息。1/12/2024一、平安套接層SSL協(xié)議當上述動作結束后，兩者間的資料傳送就會被加密，等到另外一端接收到資料后，再將資料復原。即使盜竊者在網(wǎng)絡上取得的加密資料，如果沒有密鑰和算法，就不能獲得可讀的原文資料。SSL平安協(xié)議是國際上最早應用于電子商務的一種網(wǎng)絡平安協(xié)議，它運行的根本點是商家對客戶信息保密的承諾，如全球最大的網(wǎng)上書店—亞馬遜〔Amazon〕，它在給用戶的購置說明中明確表示：“當你在亞馬遜公司購書時，受到‘亞馬遜公司平安購置保證’保護，所以，你永遠不用為你的信用卡平安擔憂〞。1/12/2024一、平安套接層SSL協(xié)議SSL平安協(xié)議利于了商家卻不利于客戶，客戶的信息首先被傳到商家，商家閱讀后再傳到銀行，這樣，客戶資料的平安性就受到了威脅。商家認證客戶是必要的，但整個過程中缺少了客戶對商家的認證。由于在電子商務的開始階段，參與電子商務的公司大都是一些大公司，信譽度較高，這個問題沒有引起人們足夠的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協(xié)議的缺點完全暴露出來，所以SSL協(xié)議正在逐漸的被SET協(xié)議取代。1/12/2024二、平安電子交易SET協(xié)議為了克服SSL平安協(xié)議的缺點，兩大信用卡組織Visa和MasterCard，聯(lián)合開發(fā)了平安電子交易協(xié)議〔SecureElectronicTransaction，SET〕。這是一個為了在Internet上進行在線交易而設立的一個開放的以電子貨幣為根底的電子付款系統(tǒng)。SET在保存對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關重要的。由于設計合理，SET協(xié)議得到了IBM、HP、Microsoft、Netscape、GTE等許多大公司的支持，已成為工業(yè)標準。目前，它已經(jīng)獲得了IETF標準的認可。1/12/2024二、平安電子交易SET協(xié)議SET是一種以信用卡為根底的、在Internet上交易的付款協(xié)議，是授權業(yè)務信息傳輸?shù)钠桨矘藴?，它采用RSA密碼算法，利用公鑰體系對通信雙方進行認證，用DES等標準加密算法對信息加密傳輸，并用Hash算法來鑒別信息有無被篡改。1/12/2024二、平安電子交易SET協(xié)議1．SET平安協(xié)議運行的目標①保證信息在Internet上平安傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；②保證電子商務參與者信息的相互隔離?？蛻舻馁Y料會加密打包后通過商家傳輸?shù)姐y行，但是商家卻不能直接看到客戶的賬戶和密碼；③解決多方認證的問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行之間的認證；④保證網(wǎng)上交易的實時性，使所有的支付過程都是在線的；⑤效仿EDI貿(mào)易形式，標準協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作性，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。1/12/2024二、平安電子交易SET協(xié)議2．SET平安協(xié)議涉及的范圍①消費者：包括個人消費者和團體消費者，按照在線商店的要求填寫訂貨單，通過發(fā)卡銀行發(fā)行的信用卡進行付費；②在線商店：提供商品或效勞，具備相應電子貨幣使用的條件；③收單銀行：通過支付網(wǎng)關處理消費者和在線商店之間的交易付款問題；④電子貨幣公司和兼有電子貨幣發(fā)行的銀行：負責處理電子貨幣的審核和支付工作；⑤認證中心：負責對交易雙方的身份確認，對廠商的信譽度和消費者的支付手段和支付能力進行認證。1/12/20241/12/2024二、平安電子交易SET協(xié)議3．SET平安協(xié)議的缺陷①協(xié)議沒有說明收單銀行給在線商店付款前，是否必須收到消費者的貨物接受證書，否那么的話，在線商店提供的貨物不符合質(zhì)量標準，消費者提出疑義或要求退貨，那責任由誰來承擔；②協(xié)議沒有擔?！胺蔷芙^行為〞，這意味著在線商店沒有方法證明定購是不是由簽署證書的消費者發(fā)出的；③SET技術標準沒有提及在事務處理完成后，如何平安的保存或銷毀此類證據(jù)，是否應當將數(shù)據(jù)保存在消費者、在線商店或收單銀行的計算機里。這種漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊；④SET平安協(xié)議大局部操作依賴CA認證中心的認證，但SET無法確認認證中心是否被攻擊、被假冒，也無法確認認證中心的密鑰是否已經(jīng)泄漏或被修改。1/12/2024第六節(jié)病毒與黑客的防范計算機病毒〔computervirus〕是帶有一段惡意指令的程序，一旦用戶運行了被病毒感染的程序，它就會隱藏在系統(tǒng)中不斷感染內(nèi)存或硬盤上的程序，只要滿足病毒設計者預定的條件，病毒就會發(fā)作，其后果輕那么只是和用戶開個玩笑，在屏幕上顯示幾行文字或圖片；重那么會破壞硬盤數(shù)據(jù)，甚至擦除主板BIOS芯片內(nèi)容，使機器不能繼續(xù)使用。黑客程序〔hackerprogram〕實際上也是人們編寫的程序，它能夠控制和操縱遠程計算機，一般由本地和遠程兩局部程序組成。黑客〔hacker〕通過E-mail或冒充可供下載的文件把程序暗中發(fā)送到遠程機器上，如果該程序被遠程機器不經(jīng)意運行，該用戶機器中的啟動文件或注冊表就會被自動修改，以后只要這臺機器上了Internet，黑客就可以通過網(wǎng)絡找到它，并對它進行遠程控制，隨意拷貝、修改、刪除遠程機器上的文件，甚至能自動關閉或重新啟動機器?？紤]到黑客程序的危害性，不妨把黑客程序也歸于計算機病毒類，如果按傳播方式劃分，可以把病毒分為單機病毒和網(wǎng)絡病毒。1/12/2024第六節(jié)病毒與黑客的防范一、單機病毒二、網(wǎng)絡病毒及其防范三、網(wǎng)上炸彈及其防范1/12/2024一、單機病毒1．單機病毒的種類單機病毒包括DOS病毒、Windows病毒和能在多操作系統(tǒng)下運行的宏病毒。DOS病毒是在MS-DOS及其兼容操作系統(tǒng)上編寫的病毒程序，例如“黑色星期五〞、“DIR〞等病毒，它們運行在DOS平臺上，由于Win3.x/Win9x依然采用或含有DOS內(nèi)核，所以這類病毒仍然能夠攻擊Windows系統(tǒng)，在Windows平臺上發(fā)作，感染硬盤上的文件。Windows病毒是在Win3.x/Win9x上編寫的純32位病毒程序，例如4月26號危害全球的CIH病毒等，這類病毒運行于Windows平臺，發(fā)作時破壞硬盤引導區(qū)、感染系統(tǒng)文件和可執(zhí)行文件、破壞用戶資料，甚至擦除主板BIOS，造成主板損壞。1/12/2024一、單機病毒宏病毒是利用Office特有的“宏〞〔Macro〕編寫的病毒，它專門攻擊微軟Office系列Word和Excel文件。這種病毒不僅能運行在Windows環(huán)境，還能運行在OS/2或MACOS上的微軟Office軟件中，因為Office軟件有Windows、OS/2或MACOS的多種版本，而所有版本中“宏〞的定義都相同，所以只要在這些操作系統(tǒng)上翻開Office文檔，宏病毒就開始發(fā)作，感染其他Office文檔、改變文件屬性，甚至刪除文件。1/12/2024一、單機病毒2．單機病毒的防范考慮到每種殺毒產(chǎn)品都有局限性，所以最好準備幾套殺毒軟件，用它們來交叉殺毒，殺毒軟件還要及時升級；定期用殺毒軟件檢查硬盤，如果用的是Win9x〔CIH病毒對WinNT和Win2000不起作用〕，每月的26號前一定要檢查是否有CIH病毒，或者將系統(tǒng)日期跳過26號；在系統(tǒng)中最好安裝病毒實時監(jiān)控軟件〔一般殺毒軟件都帶〕；所有準備上機的光盤和軟盤都要先進行查毒才可使用；用工具軟件將系統(tǒng)分區(qū)備份成一個文件，存放在其他分區(qū)上，一旦系統(tǒng)被病毒破壞，幾分鐘就可恢復，但備份前一定要對硬盤殺毒；最好將硬盤分成多個邏輯盤，例如C、D上，每個盤最好是FAT32格式，把C盤作為系統(tǒng)盤，容量當然要設大些，C盤最好是FAT32格式，容量應大于2G，這樣設置的好處是，有利于提高系統(tǒng)運行速度，此外如果C盤被CIH病毒破壞了，只要它是FAT32格式，且容量大于2G，用一般殺毒軟件就可以將C盤上的數(shù)據(jù)恢復98％。1/12/2024二、網(wǎng)絡病毒及其防范1．特洛伊木馬及其防范特洛伊木馬是一種黑客程序，從它對被感染計算機的危害性方面考慮，不妨也稱之為病毒，但它與病毒有區(qū)別，特洛伊木馬本身一般并不破壞硬盤上的數(shù)據(jù)，它只是悄悄地潛伏在被感染的計算機里，一旦這臺計算機上網(wǎng)，黑客就可以通過Internet找到這臺機器，并在遠程操縱它，竊取用戶的上網(wǎng)賬號和密碼、隨意修改或刪除文件，想怎么干就怎么干。特洛伊木馬的防范方法是：不要輕易泄露IP地址，下載來歷不明的軟件，要警惕其中是否隱藏了特洛伊木馬，使用下載軟件前一定要用特洛伊木馬檢測工具進行檢查。對付特洛伊木馬除了手工去除方法外，也可用專門的反特洛伊木馬軟件來去除，還可以用來檢測機器上是否有特洛伊木馬程序，實時監(jiān)視計算機端口上是否有“異?；顒莹暋?/12/2024二、網(wǎng)絡病毒及其防范2．郵件病毒及其防范郵件病毒和普通病毒是一樣的，只不過是通過電子郵件傳播，所以才稱為“郵件病毒〞，一般通過郵件中的“附件〞進行擴散，一旦收到這類E-mail，運行了附件中的病毒程序，就能使計算機染毒。這類病毒本身的代碼并不復雜，大都是一些腳本語言，比方Iloveyou病毒，就是一個用VBScript編寫的僅十幾kb的腳本文件，只要收到該病毒的E-mail并翻開附件后，病毒就會按照腳本指令，將瀏覽器自動連接上一個網(wǎng)址，下載特洛伊木馬程序，更改一些文件后綴為.vbs，最后再把病毒自動發(fā)給Outlook通訊簿中的每個人。1/12/2024二、網(wǎng)絡病毒及其防范郵件病毒的防范方法是：不要翻開陌生人來信中的附件，特別是“.exe〞等可執(zhí)行文件；養(yǎng)成用最新殺毒軟件及時查毒的好習慣，對附件中的文件不要翻開，先保存在特定目錄中，然后用殺毒軟件進行檢查；收到自認為有趣的郵件時，不要盲目轉(zhuǎn)發(fā)，因為這樣會幫助病毒的傳播；對于通過腳本“工作〞的病毒，可以采用在瀏覽器中禁止Java或ActiveX運行的方法來阻止病毒的發(fā)作。1/12/2024三、網(wǎng)上炸彈及其防范1．IP炸彈的防范IP炸彈一般是指用專用的攻擊軟件〔WinNuke、IGMPNuke等〕，發(fā)送大量的特殊數(shù)據(jù)，對遠程機器中Windows系統(tǒng)的漏洞進行攻擊，造成對方Windows的藍屏死機。當用ICQ、QICQ或在聊天室中聊天時，IP地址很容易被別人查到，如果對方要攻擊，只要用專用軟件攻擊IP就可以了。防范方法是：為Win9x安裝網(wǎng)絡平安補丁程序或者安裝一套個人防火墻系統(tǒng)。對付IP炸彈最好的方法是安裝個人防火墻。個人防火墻實際上是一套程序，能對進出計算機的所有數(shù)據(jù)進行分析，攔截炸彈攻擊，切斷非法連接。使用個人防火墻前一般要進行系統(tǒng)設置，進行“平安規(guī)那么設置〞，如果對TCP/IP協(xié)議很熟，可以自己設置規(guī)那么，軟件一般都設置好了，啟動軟件就能完成防火墻功能。個人防火墻工作時，如果有人攻擊，在系統(tǒng)托盤〔系統(tǒng)工具條右端〕上會有小圖標閃動，還會自動生成“攻擊日志〞，記錄攻擊情況，這樣只要用IP查詢工具，就可以查到誰在攻擊。1/12/2024三、網(wǎng)上炸彈及其防范2．郵件炸彈的防范如果信箱突然出現(xiàn)無數(shù)封莫名其妙的郵件，或者出現(xiàn)體積超過郵箱容量的E-mail，這些E-mail撐破了郵箱，就說明已受到郵件炸彈的攻擊。郵件炸彈的原理是向有限容量的信箱投入足夠多或者足夠大的郵件，使郵箱崩潰。這類炸彈很多，例如Nimingxin、Quickfyre、Amail、Emailbomb、Upyours系列、雪崩等，它們都能發(fā)送匿名郵件，連續(xù)發(fā)送郵件。炸彈的使用也很簡單，和平時書寫郵件相同，填上收信人的E-mail地址、輸入要發(fā)送的次數(shù)、選擇SMTP主機、隨意填上地址，按“發(fā)信〞就開始發(fā)送炸彈了。1/12/2024三、網(wǎng)上炸彈及其防范3．ICQ/QICQ炸彈的防范如果ICQ/QICQ突然收到大量的重復垃圾信息，就說明遭受了ICQ/QICQ炸彈的攻擊。以前向別人發(fā)QICQ炸彈時會暴露自己的QICQ號碼，現(xiàn)在的QICQ炸彈完全不會，甚至沒有QICQ也可以發(fā)QICQ炸彈。例如QIC-Qbomb使用時只要填上對方的IP地址和QICQ號碼，點去“開始〞就可以向?qū)Ψ桨l(fā)QICQ炸彈。防范方法是：一般的防火墻對ICQ/QICQ炸彈是不起作用的，因為這些炸彈有自己的協(xié)議和端口，攻擊的是操作系統(tǒng)的表層，而防火墻是防范對操作系統(tǒng)底層的攻擊。對付這類攻擊，可用ICQ/QICQ專門的垃圾信息過濾器，它們不僅能阻擋攻擊，還能隱藏自己的IP地址，黑客查不到IP地址，也就無法發(fā)送ICQ/QICQ炸彈了。1/12/2024本章小結1．電子商務面臨的平安威脅歸納起來主要有以下幾個方面：在網(wǎng)絡的傳輸過程中被截獲、傳輸?shù)奈募赡鼙淮鄹?、偽造電子郵件，假冒他人身份、不成認或抵賴已作過的交易。從而提出電子商務平安問題的六項根本要求：授權合法性、不可抵賴性、不密性、身份的真實性、信息的完整性、儲存信息的平安性。2．常用的電子商務平安技術主要有：防火墻、加密技術、身份認證技術等。防火墻的作用是保護內(nèi)部網(wǎng)絡免受外部的非法入侵，主要有三種類型：包過濾型、應用網(wǎng)關型和電路網(wǎng)關型等。3．常見的加密方法有：一種是加密和解密同采用一把密鑰，且通信雙方必須都要獲得這把密鑰，叫對稱密鑰；另一種是公私成對的兩把密鑰，即加密使用一把密鑰〔一般是公鑰〕，收到秘文后用私鑰解密。1/12/2024本章小結4．認證技術是為了解決身份驗證、交易的不可抵賴。通常采用以下幾種方法：數(shù)字簽名、身份認證、數(shù)字時間戳和數(shù)字證書。5．為了保證交易過程中數(shù)據(jù)來源可靠、傳輸平安、不被篡改并且能為交易各方的行為提供無可抵賴等，許多公司提出了不同的標準，其中比較有名的是SET平安電子交易協(xié)議和SSL平安套層協(xié)議。6．計算機病毒是帶有一段惡意指令的程序，一旦運行了被病毒感染的程序，它就會隱藏在系統(tǒng)中不斷感染內(nèi)存或硬盤上的程序，條件成熟就立即發(fā)作；黑客程序是人們編寫的程序，它能夠控制和操縱遠程計算機，隨意拷貝、修改、刪除遠程機器上的文件。我們要對病毒與黑客用不同的方法進行防范。1/12/20241．網(wǎng)上零售商遭受比網(wǎng)上消費者更大的在線信用卡欺詐的危險?！病?/p>

練習與思考

一、判斷題

√2．數(shù)字簽名是指通過Internet傳送的“網(wǎng)絡簽名〞的密文?！病场?．認證中心是發(fā)放數(shù)字證書的受信任的第三方?！病场?．防火墻是一種在企業(yè)的專用網(wǎng)絡與Internet間起過濾作用的軟件?！病场?/12/20245．數(shù)字時間戳是電子商務企業(yè)向消費者進行時間不過期的一種數(shù)字憑證?！病尘毩暸c思考

一、判斷題

×6．安裝了防病毒軟件的電腦就可以對病毒產(chǎn)生免疫了。〔〕×7．黑客是企圖在未經(jīng)授權的情況下進入計算機系統(tǒng)的人。〔〕√8．計算機病毒又分為單機病毒和網(wǎng)絡病毒兩大類?！病场?/12/2024練習與思考

二、選擇題

1．〔〕是確保電子商務參與者無法抵賴其網(wǎng)上行為的能力。A．不可否認性B．真實性C．機密性D．完整性A2．〔〕是確認與你在Internet上交易的個人身份的能力。A．不可否認性B．真實性C．機密性D．完整性B1/12/2024練習與思考3．〔〕是確保信息和數(shù)據(jù)只能被得到授權的人讀取的能力。A．不可否認性B．真實性C．機密性D．完整性

二、選擇題

C4．SET是指〔〕。A．平安電子交易B．平安套接層協(xié)議C．平安HTTPD．平安電子技術A1/12/2024練習與思考5．〔〕是可以組織遠程客戶機登錄到你的內(nèi)部網(wǎng)絡。A．代理效勞器B．防病毒軟件C．操作系統(tǒng)控制D．防火墻

二、選擇題

6．〔〕可以監(jiān)視通過網(wǎng)絡傳遞的信息，從網(wǎng)絡上任何地方盜取企業(yè)的專有信息。A．惡意代碼B．電子欺騙C．網(wǎng)絡竊聽D．內(nèi)部人行為DC1/12/2024練習與思考8．〔〕很可能成為電子商務中最典型的犯罪行為。A．網(wǎng)上信用卡詐騙B．電子欺騙C．網(wǎng)絡竊聽D．惡意代碼7．〔〕是用來保護信道平安的常用的方式。A．平安超文本傳輸協(xié)議B．平安套接層協(xié)議C．虛擬專用網(wǎng)D．公共網(wǎng)絡

二、選擇題

BA1/12/2024練習與思考9．〔〕通常感染可執(zhí)行文件。A．宏病毒B．腳本病毒C．文件感染型病毒D．特洛伊木馬

二、選擇題

10．〔〕向網(wǎng)站大量發(fā)送無用的通信流量從而淹沒網(wǎng)絡并使網(wǎng)絡癱瘓。A．拒絕效勞進攻B．阻止效勞進攻C．分布式拒絕效勞進攻D．分散式拒絕效勞進攻CA1/12/20241．電子商務網(wǎng)絡平安問題一般會遇到以下問題：、、、，以及。練習與思考三、填空題信息泄漏

篡改

身份識別問題

病毒問題黑客問題2．信息在存儲時，網(wǎng)站上的信息要防止

和

。在傳輸過程中，如果收到的信息與發(fā)送的信息

的話，說明在傳輸過程中信息

。非法篡改

破壞

一樣

沒有遭到破壞

3．對明文進行所采用的稱作加密算法，對密文進行所采用的一組規(guī)那么稱作。加密

一組規(guī)那么解密

解密算法1/12/2024練習與思考三、填空題4．數(shù)字摘要具有

，不同的明文的摘要，其結果是

，而同樣的明文其摘要

。固定長度

不相同必須相同5．數(shù)字證書是用電子手段來證實一個。在網(wǎng)上進行時，如果雙方都出示了，那么雙方就不必為而擔憂了。用戶身份

電子交易數(shù)字證書對方身份真?zhèn)?．黑客程序是人們，它能夠控制和操縱，一般由和兩局部程序組成。編寫的程序

遠程計算機本地遠程7．如果信箱突然出現(xiàn)

，或者出現(xiàn)

的E-mail，這些E-mail撐破了郵箱，就說明已受到

的攻擊。無數(shù)莫名其妙的郵件體積超過郵箱容量郵件炸彈1/12/2024練習與思考四、思考題1．防火墻的主要作用是什么？它有哪些類型？各有什么局限性？答：防火墻主要作用是，在內(nèi)部網(wǎng)與外部網(wǎng)之間形成一定的隔離。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過此，并在此進行檢查和連接，只有被授權的信息才能通過此屏障，防止非法入侵、非法盜用系統(tǒng)資源。主要有包過濾型、代理效勞型、應用網(wǎng)關型、電路網(wǎng)關型，以及復合型防火墻。包過濾型防火墻缺陷是無法有效的區(qū)分同一IP地址下不同的用戶，所以平安性相對較低些；代理效勞型防火墻每一個新的需保護的應用參加時，必須為其編制專用的程序代碼，編制程序比較復雜；電路網(wǎng)關型防火墻向最終用戶提供較好的透明性，但它的代價是損失了某些平安性，即不能實施強制的驗證和協(xié)議過濾；復合型防火墻結構比較復雜。造價也比較高。2．常用的密碼體制有哪些？它們的工作原理是什么？答：對稱密鑰體制和非對稱密碼體制兩種。對稱密鑰體制是加密和解密使用的是同一個密鑰和算法，如果不相同，也可以由一個密鑰來推導出另一個密鑰來。當A發(fā)送數(shù)據(jù)給B時，A用加密密鑰將明文進行加密后成為密文，而B在接收到密文后，必須用A的密鑰進行解密，復原成明文。非對稱密碼體制有一對互補的鑰匙，一個稱為公鑰，另一個稱為私鑰，由于這兩個密鑰之間存在一定的數(shù)學關系，因此這兩個密鑰中的一個密鑰加密，只能被另一個密鑰解開。使用的時候，A用B的公鑰將明文加密成為密文，然后通過網(wǎng)絡傳送給B，B用自己的私鑰將密文解密，復原成明文。3．數(shù)字簽名的原理是什么？它使用的是什么技術？

答：報文的發(fā)送方從報文文本中生成一個128Bit的數(shù)字摘要，發(fā)送方再用自己的密鑰對數(shù)字摘要進行加密形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。收方首先從接收到的報文中計算出128Bit的數(shù)字摘要，再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果這兩個數(shù)字摘要相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。主要使用的數(shù)字摘要和非對稱加密技術。1/12/2024練習與思考4．計算機病毒和黑客程序有什么不同？為什么本書將黑客程序歸類為計算機病毒？答：計算機病毒是帶有一段惡意指令的程序，只要滿足病毒發(fā)作條件，病毒就會發(fā)作，其后果輕那么開個玩笑，在屏幕上顯示幾行文字或圖片；重那么會破壞硬盤數(shù)據(jù)，擦除主板BIOS芯片。黑客程序?qū)嶋H上也是黑客編寫的程序，它能夠控制和操縱遠程計算機?？紤]到黑客程序和計算機病毒具有同樣的危害性，就把黑客程序歸于計算機病毒類了。四、思考題5．按傳播方式可以把病毒分為哪兩類？如何進行防范？

答：按傳播方式劃分，可以把病毒分為單機病毒和網(wǎng)絡病毒。殺毒軟件還要及時升級；定期用殺毒軟件檢查硬盤，在系統(tǒng)中最好安裝病毒實時監(jiān)控軟件；備份系統(tǒng)。不要輕易泄露IP地址，下載來歷不明的軟件，實時監(jiān)視計算機端口上是否有“異?；顒莹暋２灰_陌生人來信中的附件，收到自認為有趣的郵件時，不要盲目轉(zhuǎn)發(fā)，因為這樣會幫助病毒的傳播。1/12/2024本章案例K公司電子商務網(wǎng)絡平安解決方案K公司是一家跨國石化企業(yè)，1998年8月開通了石化產(chǎn)品銷售和物資采購供給的B2B電子商務系統(tǒng)。石化產(chǎn)品銷售系統(tǒng)網(wǎng)上客戶1700余家。該系統(tǒng)的主要功能包括：在線交易、會員管理、產(chǎn)品信息管理、銷售系統(tǒng)數(shù)據(jù)交換、綜合查詢分析、客戶信息反響、信息發(fā)布、以及其他輔助功能；物資采購供給系統(tǒng)網(wǎng)上供給商1200家左右，物資12萬余種，預計最終上網(wǎng)供給商將到達1900家，物資38萬種，年交易額900億元。該系統(tǒng)功能包括供給商管理、采購方案和訂單管理、采購管理、統(tǒng)計報表管理、信息發(fā)布、物資信息查詢、采購績效分析等。1/12/2024本章案例一、K公司電子商務系統(tǒng)的平安需求該系統(tǒng)的平安需求可分為兩個層次和一個方面，一個是網(wǎng)絡層的平安需求；一個是應用層的平安需求。一個方面是后臺管理的平安需求?！?〕網(wǎng)絡層風險①網(wǎng)絡中心連通Internet之后，可能遭受到來自Internet的不分國籍、不分地域的惡意攻擊；②在Internet上廣為傳播的網(wǎng)絡病毒將通過Web訪問、郵件、新聞組、網(wǎng)絡聊天以及下載軟件、信息等傳播，感染企業(yè)網(wǎng)內(nèi)部的效勞器；更有一些黑客程序也將通過這種方式進入企業(yè)網(wǎng)，為黑客和競爭對手獲取企業(yè)數(shù)據(jù)創(chuàng)造條件；③該系統(tǒng)內(nèi)部注冊連接的會員用戶很多，很難保證沒有用戶會攻擊B2B電子商務的效勞器。目標主要是獲取其他會員企業(yè)的機密信息，如產(chǎn)品的價格、訂貨數(shù)據(jù)等。1/12/2024本章案例〔2〕網(wǎng)絡層平安需求基于以上風險，網(wǎng)絡層平安主要解決企業(yè)網(wǎng)絡互聯(lián)時和在網(wǎng)絡通信層面平安問題，需要解決的問題有：B2B電子商務網(wǎng)絡進出口控制〔IP過濾〕；網(wǎng)絡和鏈路層數(shù)據(jù)加密；平安檢測和報警、防殺病毒?！?〕應用層的平安需求應用系統(tǒng)平安風險分為兩類：如果由于攻擊者對網(wǎng)絡結構和系統(tǒng)應用模式不了解，通過對Web應用效勞器進行系統(tǒng)攻擊，破壞操作系統(tǒng)或獲取操作