第五章 电子商务安全

31
1. RSA算法的理论基础
“大数分解” “素数检测” 将两个大素数相乘十分容易，但是想要对其乘积进 行因式分解却极其困难，因此可以将乘积公开作为 加密密钥。
2. RSA算法的实施
密钥对的生成 加密过程 解密过程
32
RSA详细描述
RSA算法原理描述如下： 第一步：找到两个互异质数p和q（通常512十进 制）， n = pq，n 是模数。 第二步：比 n 小的数 e，与 (p - 1)(q - 1) 互质 第三步：找到另一个数 d，使 ed=1 mod(p1)(q-1)，即d使得ed除以(p-1)(q-1)的余数为 1 第四步：公开密钥为(e, n)；私有密钥为(d, n) 第五步：加密过程为 c = me ( mod n) 第六步：解密过程为m = cd (mod n)
20
课程提纲
电子商务安全概述
数据加密技术
防火墙技术 消息摘要 数字签名 数字时间戳
数字证书
认证中心
21
数据加密技术
数据加密模型 古典加密技术 现代加密技术
22
数据加密模型
23
古典加密技术
古典加密技术针对的对象是字符。主要 有两种基本算法： 替代算法 臵换移位法
24
替代算法
恺撒密码(单字母替换 ) 明文：a b c d e f g h i j k l m n o p q 密文：d e f g h i j k l m n o p q r s t
33
例子： 取p=7和q＝11，则n ＝ pq ＝7×11＝77 则：（p－1）×（q－1）＝ 6×10 ＝ 60 e与60 互质，取 e＝7 d ＝ 7－1mod（（7－1）×（11－1）） 即 7×d ＝ 1 mod 60 7×d ＝ 60K ＋ 1 （k＝1，2，3…….） 结果d = 43，因为： 7×43 ＝ 301 ＝ 60×5＋1 ＝ 1 mod 60 得到：公开密钥（e，n）＝（7，77）和私有 密钥 （d，n）＝（43，77）
• 7.IE和Mozilla等浏览器发现cookie漏洞
• 8.Firefox和电子邮件客户端出现三个安全漏洞 • 9.黑客可以利用PHP“危急”漏洞控制Web服务器
• 10.Java插件安全漏洞可能致使Windows和Linux受攻击
5
蠕虫病毒
蠕虫主要是利用系统的漏洞进行自动传播复 制，由于传播过程中产生巨大的扫描或其他 攻击流量，从而使网络流量急剧上升，造成 网络访问速度变慢甚至瘫痪
（4）规则检查防火墙
45
包过滤防火墙（1）
一般是基于源地址和目的地址，应用协议（ TCP/IP）以及每个IP包的端口来作出通过与否的判 断。 一个路由器便是一个“传统”的包过滤防火墙 ，大多数的路由器都能通过检查这些信息(如目的 网络,主机地址,目的传输点)来决定是否将所收到 的数据包进行转发。
46
第5章 电子商务安全
课程提纲
电子商务安全概述
数据加密技术
防火墙技术 虚拟专用网
消息摘要
数字签名 数字时间戳
数字证书
认证中心
2
网络应用面临常见问题
漏洞 病毒
黑客攻击
1.网页篡改
2.僵尸网络
网络仿冒
3
网络漏洞（单位：个）
4500 4000 3500 3000 2500 2000 1500 1000 500 0 4129 3784 3780
6
黑客攻击
主页篡改
7
2004年主页篡改情况
400 350 300 250 200 150 100 50 0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 128 96 150 117 67 105 235 201 182 206 194 378
8
黑客攻击
僵尸网络
38
非对称加密和对称加密比较
对称密钥加密 密钥长度短 运算速度快 密钥个数一个 密钥分配困难 可用于数据加密和消息 的认证 无法满足互不相识的人 之间进行私人谈话时的 保密性需求 不对称密钥加密 密钥长度长 运算速度慢 密钥个数两个 密钥分配简单 可以完成数字签名和实 现保密通信 可满足互不相识的人之 间进行私人谈话时的保 密性需求
50
哈希函数
HASH函数的数学表述为：h = H(M) ，其中H( )--单 向散列函数，M--任意长度明文，h--固定长度的散 列值。 消息中的任何一位或多位的变化都将导致该散列值 的变化，从散列值不可能推导出消息M ，也很难通 过伪造消息M’来生成相同的散列值。 Hash函数具有以下特性：
第一是单向性(one-way) 第二是抗冲突性(collision-resistant)
密钥deceptive被重复使用 维吉尼亚密码仍旧能够用统计字母频度技术分析
26
现代加密技术
对称加密技术 非对称加密技术
27
对称加密技术
1977年1月，美国政府采纳IBM公司设计的方案作 为数据加密标准。这就是DES标准。 DES也称对称加密算法。加密密钥＝解密密钥 DES的保密性仅取决于对密钥的保密，而算法是公 开的。 DES算法具有极高安全性。 三重DES或3DES系统：用3个不同的密钥多次加密
某包过滤防火墙的访问控制规则：
(1)允许网络123.1.0使用FTP(21口)访问主机 150.0.0.1； (2) 允许IP地址为202.103.1.18和202.103.1.14的 用户Telnet(23口)到主机150.0.0.2上； (3)允许任何地址的E-mail(25口)进入主机150.0.0.3； (4)允许任何WWW数据（80口）通过； (5)不允许其他数据包进入。
39
课程提纲
电子商务安全概述
数据加密技术
防火墙技术 消息摘要 数字签名 数字时间戳
数字证书
认证中心
40
防火墙技术
防火墙是什么 防火墙的安全策略 防火墙的分类
41
防火墙是什么
防火墙技术是由软件系统和硬件设备组成的在内 部网和外部网之间的界面上构造的保护层，是保护 计算机网络安全的隔离控制技术。 防火墙的作用就是隔离系统可能遭到伤害的危险 。防火墙作为网络安全的一种防护手段，已经得到 了广泛的应用。
28
29
分析
优点：算法过程简单，速度快 缺点：密钥的分发和管理不方便
30
非对称加密技术
于1977年由美国麻省理工学院的三位教授Ronald Rivest、Adi Shamir、Leonard Adleman 联合发 明 加/解密用一对密钥： Public key / Private key （公钥/私钥） 如果用公钥加密，则用私钥解密 如果用私钥加密，则用公钥解密 私钥不发布，公钥发布
34
假定明文 m=9，求密文c c ＝ me mod n ＝ 97 mod 77 ＝ 37 假定密文c =37，求明文m m = cd mod n = 3743 mod 77 =9
35
大整数分解发展情况
年度 1983 被分解因子十进位长 度 47 机器形式 HP迷你电脑 时间 3天
1983
1988 1989 1989
42
43
防火墙安全策略
（1） 一切未被允许的访问服务都是禁止的。 基于该准则，防火墙应封锁所有信息流，然 后对希望提供的服务逐项开放。
（2）一切未被禁止的访问服务都是允许的。 基于该准则，防火墙应转发所有信息流，然 后逐项屏蔽可能有害的服务。
44
防火墙的类型
（1）包过滤防火墙 （2）应用级防火墙 （3）电路级防火墙
47
（2）应用级防火墙
应用级防火墙指运行代理服务器软件的一个计算 机主机。此时，Intranet与Internet间不存在直接 的物理连接，而是通过代理服务器连接的。
可以提供对HTTP、FTP、SMTP等应用的内容过滤 ，做到了防止外部网络不安全的信息流入内部网络 和限制内部网络的重要信息流到外部网络。
2437
1090 171 345 311 262 417
19 95 年
19 96 年
19 97 年
19 98 年
19 99 年
20 00 年
20 01 年
20 02 年
20 03 年
20 04 年
4
典型的安全漏洞 • 1.Windows惊现高危漏洞，新图片病毒能攻击所有用户 • 2.WinXP SP2发现迄今最严重的安全漏洞 • 3.采用SP2的系统发现10个严重安全漏洞。 • 4.苹果的漏洞补丁程序不起作用 • 5.Solaris现致命漏洞，补丁迟迟不发布 • 6.IE惊现最新地址欺骗漏洞
69
90 95 106
Croy超级电脑
25个SUN工作站 1MZP处理器 80个工作站以上
32小时
几星期 1个月 几星期
1993
1994
110
129
128×128处理器（0.2MIPS）
1600部电脑
1个月
8个月
36

分析
优点： 可以保证机密性 密钥空间大 缺点： 产生密钥麻烦，难以做到一次一密 过程复杂，速度慢
11
网络攻击技术和形态的发展
多种攻击技术的融合 攻击工具体系化 攻击速度提升很快 大规模的协作 攻击技术发展，更新换代很快
12
有能力成为攻击者的人数增加
13
多种攻击技术的融合
14
攻击速度提升很快
极短时间内（Flash worms-30s），利 用优化扫描的方法，感染近十万个有漏 洞的系统，可以确定并记录是否被击中 （4－5分钟，感染近百万台系统）
此时密钥为3，即每个字母顺序推后3个 若明文为student，对应的密文则为vwxghqw 解密使用相同的方法，密钥为-3 由于英文字母为26个，因此恺撒密码仅有26个可能 的密钥，非常不安全