【正文】 IP欺騙 （ 3）流氓軟件：強(qiáng)迫安裝、無(wú)法卸載 2. 硬件破壞 3. 交易抵賴 《 電子商務(wù)概論》 87 《 電子商務(wù)概論》 88 蠕蟲(chóng)病毒造成的危害 病毒名稱 持續(xù)時(shí)間 造成損失 莫里斯蠕蟲(chóng) 1988年 6000多臺(tái)電腦停機(jī)，經(jīng)濟(jì)損失達(dá) 9600萬(wàn)美元 美麗殺手 1999年 政府部門(mén)和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過(guò) 12億美元 ! 愛(ài)蟲(chóng)病毒 2022年 5月至今 眾多用戶電腦被感染，損失超過(guò) 100億美元以上 紅色代碼 2022年 7月 網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過(guò) 26億美元 求職信 2022年 12月至今 大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元 蠕蟲(chóng)王 2022年 1月 網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過(guò) 26億美元 沖擊波 2022年 7月 大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失 MyDoom 2022年 1月起 大量的垃圾郵件，攻擊 SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失 《 電子商務(wù)概論》 89 網(wǎng)銀安全問(wèn)題凸現(xiàn) 時(shí) 間 網(wǎng)上銀行事故 危 害 2022年 7月 一名中國(guó)黑客洗劫新加坡DBS網(wǎng)上銀行 損失 2022年 12月至 2022 年 2月初 湖南長(zhǎng)沙木馬病毒盜竊招商銀行和民生銀行網(wǎng)絡(luò)銀行資金案 損失 8萬(wàn)余元 2022年 3月 哈爾濱三名大學(xué)生假名開(kāi)戶非法支取網(wǎng)上銀行資金 損失 53萬(wàn) 2022年 12月 偽造中行 、 工行 、 農(nóng)行和銀聯(lián)的網(wǎng)站 竊取客戶賬號(hào)和密碼等信息 資料來(lái)源：根據(jù) 2022年 1月 6日中國(guó)計(jì)算機(jī)報(bào)整理。 4）防電磁泄漏發(fā)射 采取電磁屏蔽及良好接地等手段，使系統(tǒng)中的設(shè)備既不因外界和其他設(shè)備的電磁干擾而影響其正常工作，也不因自身的電磁輻射影響其他設(shè)備的正常工作。 安全性高，網(wǎng)絡(luò)效率降低，可通過(guò)數(shù)據(jù)范圍減小，會(huì)有一些安全的信息和服務(wù)被拒絕 。 客戶代理 服務(wù)器代理 訪問(wèn)控制 防火墻 客戶 服務(wù)器 請(qǐng)求 請(qǐng)求轉(zhuǎn)發(fā) 應(yīng)答 應(yīng)答轉(zhuǎn)發(fā) 《 電子商務(wù)概論》 824 防火墻技術(shù)的優(yōu)缺點(diǎn)比較 包過(guò)慮技術(shù) 應(yīng)用網(wǎng)關(guān) 代理服務(wù) 優(yōu)點(diǎn) 效率高 對(duì)應(yīng)用和協(xié)議是透明的和綜合的 安全系數(shù)高 屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu) 功能多 缺點(diǎn) 不太安全 維護(hù)、運(yùn)營(yíng)成本高 專用用戶程序和專用接口， 費(fèi)用高 為每個(gè)網(wǎng)絡(luò)專門(mén)開(kāi)發(fā)和設(shè) 計(jì)，工作量很大 《 電子商務(wù)概論》 825 信息加密技術(shù) ? 很久以前，分別有兩個(gè)國(guó)家的公主和王子，公主要通過(guò)一位信使送給王子一樣不愿被別人看見(jiàn)的信物，所以公主用加鎖的箱子放信物。 ? 解密的時(shí)候使用一項(xiàng)數(shù)據(jù)把密文轉(zhuǎn)換成明文，該數(shù)據(jù)就是 解密密鑰 。 ? 兒子收到電報(bào)“掄噌廟叵”后，根據(jù)相應(yīng)的電報(bào)碼手冊(cè)得到： 2241 0886 1680 0672，按照事先的約定，分別減去100（解密密鑰），就得到“拋售布匹”的信息。 CHINA HMNSF 每個(gè)字符后移 5位 明文 M 密鑰 K 密文 C 加密算法 E 加密過(guò)程可以表示為： C=EK(M) 解密過(guò)程可以表示為： M=DK(C) ? 由于英文字母為 26個(gè)，因此愷撒密碼僅有 26個(gè)可能的密鑰，非常不安全。 ? 缺點(diǎn)： ? ，發(fā)信方必須安全、妥善的把密鑰送到收信方，不能泄露其內(nèi)容，密鑰的傳輸必須安全，如何才能把密鑰安全送到收信方是對(duì)稱加密體制的突出問(wèn)題。 ? 其基本原理是：密鑰 64位的比特串，其中 56位密鑰， 8位是奇偶校驗(yàn)位。其中一個(gè)密鑰稱為私鑰，必須保密。 ? 優(yōu)點(diǎn)：不必考慮如何安全的傳輸密鑰 ? 缺點(diǎn)：實(shí)現(xiàn)速度比 DES慢 《 電子商務(wù)概論》 844 非對(duì)稱加密體制的優(yōu)缺點(diǎn) ? 缺點(diǎn)： 加密算法復(fù)雜，加密和解密的速度比較慢。密鑰的有效期決定了密鑰的長(zhǎng)度大小，以及對(duì)預(yù)期中攻擊者的能力估計(jì)。這個(gè)固定長(zhǎng)度的輸出就叫做消息摘要。 ? 數(shù)字簽名的英文： Digital Signature ? 基于非對(duì)稱加密體制基礎(chǔ)上，將非對(duì)稱加密技術(shù)和數(shù)字摘要技術(shù)結(jié)合。加密是一個(gè) 多對(duì)一的關(guān)系 ： 任何知道接受方公開(kāi)密鑰的人都可以向接收方發(fā)送加密信息，只有擁有接收方私有密鑰的人才能對(duì)信息解密。 《 電子商務(wù)概論》 857 電子商務(wù)認(rèn)證機(jī)構(gòu) ? CA（認(rèn)證中心）就是提供交易雙方身份認(rèn)證并保證交易安全進(jìn)行的受信任的、權(quán)威的、可信賴的、公正的第三方服務(wù)機(jī)構(gòu)，它承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)、并能確認(rèn)用戶身份。所有證書(shū)鏈均終止于根 CA。 ? 數(shù)字證書(shū)實(shí)質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。 《 電子商務(wù)概論》 863 數(shù)字證書(shū)的內(nèi)容和驗(yàn)證 數(shù)字證書(shū)包括證書(shū)申請(qǐng)者的信息和發(fā)放證書(shū) CA的信息。 其主要目的是解決 Web上信息傳輸?shù)陌踩檻]。另一方面，對(duì)收到的數(shù)據(jù)進(jìn)行解密、檢 驗(yàn)、解壓等操作后，把數(shù)據(jù)產(chǎn)給上層協(xié)議。 ? 主要目的 是解決通過(guò)互聯(lián)網(wǎng)使用信用卡付款結(jié)算的安全保障性問(wèn)題 。 ? 保證網(wǎng)上交易的實(shí)時(shí)性。 ②缺少客戶對(duì)商家的認(rèn)證。為避免操作系統(tǒng)的不安全性，智能卡提供了一種簡(jiǎn)便方 法，用它存儲(chǔ)私鑰和證書(shū)，不僅安全，而且容易攜帶。 ②要求必須給各方發(fā)放證書(shū)，不便客戶隨意使用。 SET是一個(gè)多方的消息報(bào)文協(xié)議，它定義了銀行、商家、 持卡人之間必須符合的報(bào)文規(guī)范，各方之間的報(bào)文交換不要求 是實(shí)時(shí)的。 ? 保證交易參與者信息的相互隔離。 銀行驗(yàn)證客戶信息合法性后，通知商家付款成功。 《 電子商務(wù)概論》 870 安全套接層協(xié)議 記錄層用于封裝上層協(xié)議數(shù)據(jù)。任何獲得這個(gè)證書(shū)的用戶只要通過(guò) CA的簽名就可以驗(yàn)證公鑰的有效性。如果對(duì)簽發(fā)證書(shū)的認(rèn)證中心不信任，則可以驗(yàn)證這個(gè)認(rèn)證中心的身份，依次類推，一直到公認(rèn)的權(quán)威認(rèn)證中心（根認(rèn)證中心），就可以確認(rèn)這個(gè)證書(shū)的有效性。 ? 客戶證書(shū)（持卡認(rèn)證書(shū)）又稱瀏覽器證書(shū)，是指由 CA認(rèn)證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個(gè)人或企業(yè)證書(shū)。上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶。 ? 數(shù)字時(shí)間戳的內(nèi)容： （ 1）需加時(shí)間戳的文件的數(shù)字摘要； （ 2） DTS機(jī)構(gòu)收到文件的日期和時(shí)間； （ 3） DTS機(jī)構(gòu)的數(shù)字簽名 《 電子商務(wù)概論》 854 數(shù)字時(shí)間戳 ? 時(shí)間戳的產(chǎn)生過(guò)程： （ 1）用戶將需要加時(shí)間戳的文件用 HASH 編碼加密形成摘要； （ 2）摘要送到 DTS， DTS加入該文件摘要的收到日期和時(shí)間信息后再對(duì)該文件加密，即進(jìn)行數(shù)字簽名； （ 3）送回用戶。 ? 數(shù)字簽名 使用的是發(fā)送方的密鑰對(duì)發(fā)送方用自己的私有密鑰進(jìn)行加密，接收方用發(fā)送方的公開(kāi)密鑰進(jìn)行解密。即每改變 x的一比特，都將對(duì) y產(chǎn)生明顯影響。 《 電子商務(wù)概論》 846 數(shù)據(jù)完整性機(jī)制 ? 數(shù)據(jù)在傳輸?shù)倪^(guò)程中，有可能被篡改，為保證數(shù)據(jù)的完整性和真實(shí)性，需要采取相應(yīng)的措施。 ，加密密鑰分發(fā)給用戶，而解密密鑰由用戶自己保留。 ? 若以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰，則可實(shí)現(xiàn)多個(gè)用戶加密的消息