【正文】 k11 k12 k13 P1 C2 = k21 k22 k23 P2 mod 26 或 C＝ KP mod 26 C3 k31 k32 k33 P3 ? 優(yōu)點(diǎn)： 完全隱藏了單字母的頻率。 ? 攻擊手段： ? 1. 算法簡(jiǎn)單，密鑰 K的數(shù)量?jī)H為 25個(gè)，強(qiáng)力攻擊（窮舉攻擊） ? 2. 明文單詞構(gòu)造有規(guī)律，可以根據(jù) 字母頻率 分析攻擊。 古典加密體制的兩種基本運(yùn)算 ? 替代 (Substitution ) ? 明文的字母由其他字母或數(shù)字或符號(hào)所代替。 哈格林（ Hagelin）密碼機(jī)C36，由 Aktiebolaget Cryptoeknid Stockholm于 1936年制造密鑰周期長(zhǎng)度為 3,900,255。英國(guó)人稱其為 “ tunny”，用于德國(guó)戰(zhàn)略級(jí)陸軍司令部。 20世紀(jì)早期密碼機(jī) 轉(zhuǎn)子機(jī)，由 Arthur Scherbius于 1919年發(fā)明，面板前有燈泡和插接板； 4輪轉(zhuǎn)子機(jī)在 1944年裝備德國(guó)海軍，使得英國(guó)從1942年 2月到 12月都沒能解讀德國(guó)潛艇的信號(hào)。 ? 1976年以后密碼學(xué)的新方向 —— 密鑰密碼學(xué)和公鑰密碼學(xué)共同發(fā)展 1949年之前的古典密碼的特點(diǎn) ? 密碼學(xué)不是科學(xué)，只是藝術(shù)。 ? 基于密鑰的（ keybased) 算法 ? 密碼的保密性基于對(duì)密鑰的保密。 密碼體制的五元組 ? P：明文的有限集（明文空間） ? C：密文的有限集（密文空間） ? K：密鑰的有限集（密鑰空間） ? E：加密算法的有限集 ? D：解密算法的有限集 ? 任意 k∈ K，加密算法 ek∈ E和相應(yīng)的解密算法 dk∈ D，使得 ek:P→C 和 dk:C→P 分別為加密和解密函數(shù)，滿足 d(ek(x))=x，這里 x∈ P。 ? 破譯密文的科學(xué)和技術(shù)叫做密碼分析學(xué)（ cryptanalysis），從事密碼分析的人員被稱為密碼分析者（ cryptanalyst）。 ? 密碼的基本目標(biāo)： ? 機(jī)密性、數(shù)據(jù)完整性、鑒別、抗否認(rèn) ? 基本的密碼工具： ? 加密算法、密鑰、隨機(jī)數(shù)生成器、單向函數(shù)（ Hash函數(shù)） 標(biāo)準(zhǔn) ASCII碼 (高位 0） 擴(kuò)展 ASCII碼 高位 1）密碼的基本概念 關(guān)于密碼工具的思考 ? 現(xiàn)代加密算法有哪兩大類？他們的各自特點(diǎn)和用途有哪些？ ? 密鑰在現(xiàn)代加密過程中的作用？密鑰與加密的安全性的關(guān)系？ ? 隨機(jī)函數(shù)在現(xiàn)代加密技術(shù)中的作用？ ? 什么是單向函數(shù)？單向函數(shù)的作用？ 專業(yè)術(shù)語(yǔ) ? 信息發(fā)送者和接收者 ? 假設(shè)發(fā)送者（ sender）想發(fā)送信息給接收者（ receiver），且想安全地發(fā)送信息：確認(rèn)竊聽者不能閱讀其發(fā)送的信息。密碼學(xué)以非常簡(jiǎn)單卻具有革命性的數(shù)學(xué)思想為基礎(chǔ)；將所有信息作為數(shù)字進(jìn)行處理，并且這些數(shù)字能夠進(jìn)行數(shù)學(xué)計(jì)算。譬如：使用超載消息來降低網(wǎng)絡(luò)的性能甚至造成網(wǎng)絡(luò)癱瘓。 ? 重放 ? 重放（ Reply）是指攻擊者使用被動(dòng)攻擊捕獲消息后，按照原來的順序重新發(fā)送，從而產(chǎn)生未經(jīng)授權(quán)進(jìn)入系統(tǒng)的效果。使用流量分析的攻擊者往往是在無法釋放消息內(nèi)容的情況下不得已的做法。 ? 主動(dòng)攻擊 ? 主動(dòng)攻擊與更改數(shù)據(jù)流或偽造假的數(shù)據(jù)流有關(guān)，主動(dòng)攻擊可以分為四類：偽裝（ Masquerade）、重放（ Reply）、更改消息內(nèi)容（ Modification）和拒絕服務(wù)（ Denial of service）。安全攻擊分為被動(dòng)攻擊（ Passive attack）和主動(dòng)攻擊（ Active attack）。比較著名的不對(duì)稱密碼算法有： RSA、背包密碼、McEliece密碼、 DiffeHellman、 Rabin、 OngFiatShamir、零知識(shí)證明的算法、橢園曲線、 EIGamal算法等等。比較著名的對(duì)稱密碼算法有：美國(guó)的 DES、 Triple DES、GDES、 New DES。各種電子商務(wù)安全策略必須相互配合才能真正起到保護(hù)作用，但網(wǎng)絡(luò)安全控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 ? 這些具體的問題能否歸納為有限的幾類？ 電子商務(wù)安全的特征 ? 保密性 ? 確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程 ? 完整性 ? 只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改 ? 不可否認(rèn)性 ? 防止通信或交易雙方對(duì)已進(jìn)行業(yè)務(wù)的否認(rèn) ? 認(rèn)證性 ? 信息發(fā)送者或系統(tǒng)登陸者身份的確認(rèn) 電子商務(wù)安全的特征（續(xù)） ? 可用（訪問）性 ? 得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作 ? 可控性 ? 可以控制授權(quán)范圍內(nèi)的信息流向及行為方式 ? 可審查性 ? 對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 ? 合法性 ? 各方的業(yè)務(wù)行為存在可適用的法律和法規(guī) 自身缺陷 + 網(wǎng)絡(luò)開放性 + 管理問題 電子商務(wù)安全問題的根源 ? 網(wǎng)絡(luò)傳輸安全 ? 信息被泄密、篡改或假冒 ? 網(wǎng)絡(luò)運(yùn)行安全（服務(wù)器或客戶機(jī)被攻擊等） ? 網(wǎng)絡(luò)的缺陷 ? 管理的欠缺 ? 黑客的攻擊 ? 系統(tǒng)安全 ? 系統(tǒng)軟件的漏洞和后門 ? 系統(tǒng)故障、崩潰 電子商務(wù)安全 電子商務(wù)安全特征與防御體系結(jié)構(gòu) 信息傳輸 系統(tǒng)安全 網(wǎng)絡(luò)運(yùn)行 安全防范技術(shù) 保密性 防止電磁泄漏、 加密技術(shù) 完整性 單向加密、備份 可控性 防火墻、監(jiān)測(cè)、權(quán)限、審計(jì) 認(rèn)證性 數(shù)字簽名、身份認(rèn)證 不可否認(rèn)性 數(shù)字簽名 可用性 容錯(cuò)、容災(zāi)、防攻擊 關(guān)于網(wǎng)絡(luò)安全的思考 ? 你家有幾個(gè)門？這些門是否已安裝了合適的鎖？這些鎖是否在必要的時(shí)候鎖好了？ ? 如何才能控制或不受限制的進(jìn)入互聯(lián)網(wǎng)上的一臺(tái)服務(wù)器？ ? 攻擊互聯(lián)網(wǎng)上計(jì)算機(jī)與攻擊所在局域網(wǎng)中的其它計(jì)算機(jī)在操作程序上可能會(huì)有哪些差別？ ? 獲取他人賬號(hào)和密碼的方法有哪些？ 通訊線路 網(wǎng)絡(luò)端口 用戶權(quán)限 數(shù)據(jù)庫(kù)安全 通訊協(xié)議 網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全體系結(jié)構(gòu) 用 戶非 用 戶級(jí) 訪 問外 部 資 源安全檢查/加解密規(guī) 則 集用 戶 認(rèn)證 模 塊合 法用 戶外 部 資 源訪 問 控 制內(nèi) 部資 源訪 問控 制用 戶 級(jí) 服務(wù) 資 源非 用 戶 級(jí)服 務(wù) 資 源系 統(tǒng) 資 源控 制 文 件用 戶 資 源控 制 文 件外 部 網(wǎng) 絡(luò) 訪 問 主 機(jī) 網(wǎng) 絡(luò) 安 全 層 系 統(tǒng) 資 源黑客攻擊流程 踩點(diǎn) Foot Printing 掃描 Scann ing 資源探查 Enumeration 竊取資源 Pilfer若 ing 清除痕跡 Covering tracks 創(chuàng)建后門 Creating back doors 提升權(quán)限 Escalating privilege Y 木馬 Trojan Horse 進(jìn)入系統(tǒng) Gaining Access 拒絕服務(wù)攻擊 （ DoS） N 第 2節(jié) 電子商務(wù)的安全保障 ? 電子商務(wù)安全的層次 ? 安全環(huán)境 ? 威嚴(yán)的法律 ? 先進(jìn)的技術(shù) ? 嚴(yán)格的管理 ? 安全策略 ? 物理安全策略 ? 網(wǎng)絡(luò)安全控制策略 ? 信息加密策略 ? 網(wǎng)絡(luò)安全管理策略 ? 安全實(shí)施 ? 安全攻擊與服務(wù) ? 安全技術(shù)與產(chǎn)品 ? 國(guó)家信息安全工作要點(diǎn) 物理層面 網(wǎng)絡(luò)層面 系統(tǒng)層面 應(yīng)用層面 安全管理 計(jì)算機(jī)場(chǎng)地 節(jié)點(diǎn)安全 操作系統(tǒng) 信息保密性 安全政策制度 防雷保安器 鏈路安全 數(shù)據(jù)庫(kù)系統(tǒng) 信息完整性 管理的權(quán)限和級(jí)別劃分 電磁泄漏 網(wǎng)絡(luò)協(xié)議安全 B/S開發(fā)平臺(tái) 身份確認(rèn) 電磁兼容 廣域網(wǎng)安全 中間件 資源的合理 配置和調(diào)度 電器安全 數(shù)據(jù)傳輸安全 路由安全 功能的實(shí)現(xiàn) 物理安全策略 的目的 ? 保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊； ? 防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。由此形成了包括預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念，即信息保障的 WPDRR模型。 ? 20世紀(jì) 90年代 —— 信息安全（ INFOSEC）時(shí)代 ? 數(shù)字化信息除了有保密性的需要外，還有信息的完整性、信息和信息系統(tǒng)的可用性需求。其中，發(fā)生 3次以上的占 23％。 ? 對(duì)電子商務(wù)安全的要求 ? 電子商務(wù)的安全環(huán) 對(duì)電子商務(wù)安全的要求 ? 從用戶角度 ? 他們關(guān)心的是涉及個(gè)人隱私或商業(yè)利益的信息存儲(chǔ)在計(jì)算機(jī)中或在網(wǎng)絡(luò)上傳輸是受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改和抵賴的手段對(duì)用戶的利益和隱私造成損害和侵犯。網(wǎng)絡(luò)安全與電子商務(wù) 主講：陸鑫 前導(dǎo)課程 ? 電子商務(wù)概論 ? 計(jì)算機(jī)網(wǎng)絡(luò) ? 操作系統(tǒng) 課程目標(biāo) ? 掌握密碼學(xué)的基本概念 ? 了解信息加密和數(shù)字簽名原理 ? 掌握信息加密和數(shù)字簽名的操作 ? 了解計(jì)算機(jī)網(wǎng)絡(luò)中的身份認(rèn)證技術(shù)和應(yīng)用 ? 熟悉互聯(lián)網(wǎng)基本技術(shù) —— TCP/IP和 WWW技術(shù)及其安全問題 ? 掌握保障網(wǎng)絡(luò)安全基本工具的使用方法 ? 了解網(wǎng)絡(luò)攻擊方式和防御措施 課程體系 ? 信息安全基礎(chǔ)知識(shí) ? 安全概念、安全特征、安全體系、安全策略、安全技術(shù)、安全現(xiàn)狀和趨勢(shì) ? 信息安全技術(shù) ? 密碼學(xué)、對(duì)稱密鑰密碼、非對(duì)稱密鑰密碼、密鑰管理、數(shù)字簽名、 PKI、身份認(rèn)證、訪問控制 ? TCP/IP與 WWW網(wǎng)站安全 ? TCP/IP協(xié)議安全、 Web網(wǎng)站安全 ? 系統(tǒng)的攻擊與防御 ? 攻擊方法和工具、系統(tǒng)安全策略、防火墻技術(shù)、檢測(cè)和掃描、病毒防止 網(wǎng)絡(luò)安全與電子商務(wù) 第 1章 電子商務(wù)安全基礎(chǔ)知識(shí) 第 2章 信息加密技術(shù)與應(yīng)用 第 3章 數(shù)字簽名技術(shù)與應(yīng)用 第 4章 數(shù)字證書與公鑰基礎(chǔ)設(shè)施 第 5章 身份認(rèn)證與訪問控制 第 6章 TCP/IP與 WWW安全 第 7章 防火墻的構(gòu)造與選擇 第 8章 計(jì)算機(jī)病毒及其防治技術(shù) 第 9章 系統(tǒng)入侵的鑒別與防御 第 1章 電子商務(wù)安全基礎(chǔ)知識(shí) 第 1節(jié) 電子商務(wù)安全概述 第 2節(jié) 電子商務(wù)的安全保障 第 1節(jié) 電子商務(wù)安全概述 ? 電子商務(wù)安全的概念 ? 電子商務(wù)安全的特征 ? 網(wǎng)絡(luò)安全體系與黑客攻擊 概念 ? 電子商務(wù)是利用計(jì)算機(jī)網(wǎng)絡(luò)所進(jìn)行的商務(wù)活動(dòng)。因此，電子商務(wù)的安全性問題的關(guān)鍵是計(jì)算機(jī)信息的安全性 ? 信息的價(jià)值（ = 使用信息所獲得的收益 ─ 獲取信息所用成本）決定了信息被竊取或篡改的可能性和頻率，因此，信息具備了安全的保護(hù)特性。 2022年 10月 7日，公安部公布的 2022年全國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示，在被調(diào)查的 7072家政府、金融證券、教育科研、電信、廣電、能源交通、國(guó)防和商貿(mào)企業(yè)等部門和行業(yè)的重要信息網(wǎng)絡(luò)、信息系統(tǒng)使用單位中，發(fā)生網(wǎng)絡(luò)安全事件的比例為 58％。 ? 20世紀(jì) 90年代以前 —— 通信保密（ COMSEC）時(shí)代 ? 該時(shí)代采用的信息安全保障措施就是加密和基于計(jì)算機(jī)規(guī)則的訪問控制。并且需要對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力。 關(guān)于電子商務(wù)安全的思考 ? 電子商務(wù)活動(dòng)中存在或可能存在的安全問題有哪些？試列舉具體的問題。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 ? 對(duì)稱密碼 ? 信息的接收者和發(fā)送者使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。 ? 非對(duì)稱密碼 ? 收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。 安全攻擊 ? 安全攻擊是一種針對(duì)電子商務(wù)系統(tǒng)的故意的威脅行為，它致力于避開安全服務(wù)并且侵犯系統(tǒng)的安全策略。被動(dòng)攻擊有釋放消息內(nèi)容和流量分析兩種類型。 ? 流量分析 ? 流量分析（ Traffic analysis）是攻擊者分析信息傳輸?shù)哪Ｊ?，包括分析發(fā)收雙方、交換信息的頻率和信息的長(zhǎng)度等數(shù)據(jù)來獲取有用的信息。譬如：一個(gè)假冒工商銀行的網(wǎng)站向網(wǎng)民發(fā)送網(wǎng)頁(yè)內(nèi)容，誘騙網(wǎng)民輸入銀行賬戶信息。 ? 拒絕服務(wù) ? 拒絕服務(wù)（ Denial of service）是指攻擊者阻止或禁止他人對(duì)系統(tǒng)的正常使用或管理，這種攻擊通常具有明確的攻擊目標(biāo)。 國(guó)家信息安全保障工作要點(diǎn) ? 實(shí)行信息安全等級(jí)保護(hù)制度 ? 風(fēng)