第六章 物流課件

第六章電子商務(wù)基礎(chǔ)技術(shù)計算機網(wǎng)絡(luò)無線通信網(wǎng)絡(luò)

安全技術(shù)數(shù)據(jù)庫技術(shù)智能agent技術(shù)第六章物流電子商務(wù)安全威脅計算機安全網(wǎng)絡(luò)安全交易安全第三節(jié)安全技術(shù)第六章物流3網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者?！坝涗洝弊非笳?。低級失誤和偶然事件。第六章物流4網(wǎng)絡(luò)安全不單是技術(shù)問題機構(gòu)與管理法律與法規(guī)經(jīng)濟實力技術(shù)與人才第六章物流5安全性需要代價安全性與方便性安全性與性能安全性與成本第六章物流一、電子商務(wù)安全基本知識（1）電子商務(wù)中的信息安全通常包含以下幾方面的含義：1）主體真實性（Reality）：信息發(fā)送方或信息訪問者應(yīng)該具有發(fā)送信息或訪問信息的合法權(quán)利；2）保密性（Confidentiality）：只有授權(quán)的接收者才能解讀信息的內(nèi)容和含義，而非授權(quán)者則不能對信息進行訪問；3）完整性（Integrity）：由合法的發(fā)送者發(fā)送的信息內(nèi)容沒有被篡改或被替換；4）可用性/可獲得性（Availability）：確保授權(quán)用戶在需要時可以獲取正確的信息；5）不可否認(rèn)性（Non-repudiation）：信息發(fā)送者日后不可否認(rèn)已發(fā)出的信息及其內(nèi)容，或信息接收者日后不可否認(rèn)已接收的信息及其內(nèi)容；6）隱私性（Privacy）：個體能夠?qū)ζ鋫€人信息的發(fā)布和使用進行授權(quán)，以免非授權(quán)者惡意獲取和濫用他人的個人信息而侵害他人的隱私權(quán)。7）版權(quán)（Copyright）——主要針對文學(xué)藝術(shù)作品而言，通常具有娛樂和可欣賞的性質(zhì)。8）知識產(chǎn)權(quán)（IntellectualProperty）——思想的所有權(quán)、對思想的實際或虛擬表現(xiàn)的控制權(quán)，通常具有專業(yè)知識的性質(zhì)。第六章物流百度版權(quán)事件之一2005年9月16日，北京市海淀區(qū)法院對上海步升音樂文化傳播有限公司訴百度侵犯音樂著作權(quán)一案作出一審判決，被告百度公司敗訴。除步升公司之外，索尼、BMG、華納唱片、百代唱片以及環(huán)球唱片也于近日在中國提起訴訟，指控百度侵犯了它們數(shù)百首歌曲的版權(quán)。百度副總裁梁冬對于侵權(quán)指控予以否認(rèn)，因為百度并不提供音樂下載服務(wù)，而只是提供指向下載網(wǎng)站的鏈接。對知識產(chǎn)權(quán)的安全威脅第六章物流百度版權(quán)事件之二在百度案中，百度一直強調(diào)需要辨清ISP和ICP的身份和各自應(yīng)承擔(dān)的責(zé)任。百度認(rèn)為自己只是一個ISP，沒有責(zé)任為搜索出的內(nèi)容負(fù)責(zé)，而且唱片公司應(yīng)該按照先ICP后ISP的順序打擊盜版。百度從開始MP3搜索服務(wù)那天起就知道這必然冒有侵權(quán)的風(fēng)險，在其招股說明書中明確表示：“我們的服務(wù)器上并不存儲MP3音樂或者電影。為了用戶的搜索需求，我們?yōu)樵诘谌骄W(wǎng)站上的MP3音樂提供算法生成的鏈接，并為電影提供索引。我們已經(jīng)采取了一些手段用以減少侵犯版權(quán)的風(fēng)險。一旦我們知道某個鏈接指向含有侵權(quán)內(nèi)容的網(wǎng)頁，或者被版權(quán)擁有者告知某個鏈接指向侵犯它著作權(quán)的網(wǎng)頁，我們就會移除這些鏈接?！?/p>

對知識產(chǎn)權(quán)的安全威脅第六章物流百度版權(quán)事件之三電信和互聯(lián)網(wǎng)咨詢公司BDA的常務(wù)董事鄧肯-克拉克(DuncanClark)就百度面臨的困難與危機發(fā)表了自己的看法：“首次公開招股為百度帶來了更高的國際知名度和充足的現(xiàn)金。如果百度被看作是從盜版音樂下載中獲利的典型，即使并非通過直接的方式，也會成為音樂產(chǎn)業(yè)希望改變的目標(biāo)?！毙吕司W(wǎng)法務(wù)總監(jiān)謝國民指出，版權(quán)保護是應(yīng)當(dāng)?shù)?，但是懲罰應(yīng)當(dāng)針對最終責(zé)任人，也就是說真正的侵權(quán)行為人應(yīng)當(dāng)是那些非法音樂下載網(wǎng)站，而不是搜索網(wǎng)站。謝國民形象地將搜索網(wǎng)站比喻成賣刀人，而那些內(nèi)容提供商才是真正的殺人者。對知識產(chǎn)權(quán)的安全威脅第六章物流一、電子商務(wù)安全基本知識：常見威脅和攻擊類型

（1）非技術(shù)性攻擊非技術(shù)型攻擊(社會工程,socialengineering)是指用詭計或其他游說的形式騙取人們暴露敏感信息或執(zhí)行一個危及網(wǎng)絡(luò)安全的行為。這種攻擊主要是利用人們的一些心理因素，如好奇心、渴望得到幫助、恐懼、信任、貪便宜等，因此受害者能不能抵抗這些心理誘惑成為攻擊能否成功的關(guān)鍵。防范非技術(shù)性攻擊的策略是加強安全管理和安全意識培訓(xùn)。所有員工特別是敏感崗位的員工都要接受培訓(xùn)，告訴他們非技術(shù)性攻擊的風(fēng)險、技巧以及防范的方法。規(guī)范員工的行為，跟蹤、測試可能存在的安全管理漏洞。第六章物流一、電子商務(wù)安全基本知識：常見威脅和攻擊類型

（2）拒絕服務(wù)攻擊拒絕服務(wù)是一種技術(shù)攻擊。所謂技術(shù)攻擊就是指利用軟件和系統(tǒng)的知識或?qū)ｉT技術(shù)實施的攻擊。拒絕服務(wù)(DenialofService，DoS)攻擊是指攻擊者使用某特定軟件向目標(biāo)計算機發(fā)送大量的數(shù)據(jù)包使其資源過載而無法提供正常服務(wù)。分布式DoS(DDoS)攻擊是指攻擊者非法管理互聯(lián)網(wǎng)上大量的計算機并給他們裝上DDoS軟件，等到攻擊命令發(fā)出后，這些計算機同時向目標(biāo)計算機發(fā)送大量請求以達到癱瘓其服務(wù)的目的。第六章物流一、電子商務(wù)安全基本知識：常見威脅和攻擊類型

（3）惡意代碼攻擊也是一種技術(shù)攻擊。它是通過一定的傳播途徑將非法的、具有一定破壞性的程序安放在個人計算機或某個網(wǎng)絡(luò)服務(wù)器上，當(dāng)觸發(fā)該程序運行的條件滿足時，如果你打開個人計算機或訪問該網(wǎng)絡(luò)服務(wù)器，就會使該程序運行從而產(chǎn)生破壞性結(jié)果。主要有病毒、蠕蟲、特洛伊木馬等。病毒(virus)是附著于程序或文件中的一段計算機代碼，它可在計算機與計算機之間傳播，并在傳播途中感染計算機。病毒可破壞軟件、硬件和文件，它不能單獨運行，但激活方式多種多樣，也有許多病毒品種。第六章物流計算病毒類型引導(dǎo)區(qū)病毒。這類病毒隱藏在硬盤或軟盤的引導(dǎo)區(qū)，當(dāng)計算機從感染了引導(dǎo)區(qū)病毒的硬盤或軟盤啟動，或當(dāng)計算機從受感染的軟盤中讀取數(shù)據(jù)時，引導(dǎo)區(qū)病毒就開始發(fā)作。一旦它們將自己拷貝到機器的內(nèi)存中，馬上就會感染其他磁盤的引導(dǎo)區(qū)，或通過網(wǎng)絡(luò)傳播到其他計算機上。文件型病毒。文件型病毒寄生在其他文件中，常常通過對它們的編碼加密或使用其他技術(shù)來隱藏自己。文件型病毒劫奪用來啟動主程序的可執(zhí)行命令，用作它自身的運行命令。宏病毒。通常是指在包含有宏的應(yīng)用對象(如word文檔)被打開或執(zhí)行某個特定程序時而觸發(fā)的病毒。腳本病毒。腳本病毒依賴一種特殊的腳本語言(如VBScript、JavaScript等)起作用，同時需要主軟件或應(yīng)用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令。第六章物流一、電子商務(wù)安全基本知識：常見威脅和攻擊類型

（3）蠕蟲(worm)是一段以消耗主機資源維持其獨立運行，并能通過網(wǎng)絡(luò)在不同的計算機之間進行傳播的程序代碼，它是病毒的一個子類，但一般不破壞軟件、硬件和文件。蠕蟲病毒接管了計算機中傳輸文件或信息的功能，因此可自動完成復(fù)制過程。一旦計算機感染蠕蟲病毒，蠕蟲即可獨自傳播。蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成網(wǎng)絡(luò)通信負(fù)擔(dān)沉重，業(yè)務(wù)網(wǎng)絡(luò)和整個互聯(lián)網(wǎng)的速度都將減慢，使網(wǎng)絡(luò)堵塞。首個網(wǎng)絡(luò)“超級武器”，一種名為Stuxnet的計算機病毒。第六章物流特洛伊木馬特洛伊木馬(TrojanHorse)是指具有一定功能但卻隱含有安全風(fēng)險的代碼的計算機程序。特洛伊木馬常用來竊取別人的敏感信息、非法訪問或控制別人的計算機。①竊取敏感信息。攻擊者將特洛伊木馬程序置入被攻擊的計算機捕捉用戶敏感信息如用戶名和密碼，并通過電子郵件通知攻擊者這些信息。②非法訪問或控制。攻擊者將特洛伊木馬程序置入被攻擊的計算機使其成為服務(wù)器端，而攻擊者的計算機是客戶端，從而通過兩者內(nèi)部建立的聯(lián)系實現(xiàn)訪問或控制被攻擊的計算機的目的。特洛伊木馬程序主要通過電子郵件傳播，有時也通過網(wǎng)頁傳播。一、電子商務(wù)安全基本知識：常見威脅和攻擊類型

（4）第六章物流靜態(tài)頁面：以標(biāo)準(zhǔn)的WWW頁面描述語言HTML編制的，其作用是顯示內(nèi)容并提供到其他頁面的鏈接。動態(tài)頁面：(1)動態(tài)網(wǎng)頁一般以數(shù)據(jù)庫技術(shù)為基礎(chǔ)，可以大大降低網(wǎng)站維護的工作量；采用動態(tài)網(wǎng)頁技術(shù)的網(wǎng)站可以實現(xiàn)更多的功能，如用戶注冊、用戶登錄、在線調(diào)查、用戶管理、訂單管理等等;

活動內(nèi)容（ActiveContent）：在頁面上嵌入的對用戶透明的程序，以支持WWW頁面完成一些特定的任務(wù)，從而將計算強度大的活動分布到多臺計算機上執(zhí)行，即將原來由服務(wù)器承擔(dān)的某些任務(wù)轉(zhuǎn)給客戶機來完成。如，動畫顯示下載和播放音樂實現(xiàn)基于WWW的電子表格程序使用購物車網(wǎng)頁類型說明第六章物流實現(xiàn)活動內(nèi)容的相關(guān)技術(shù)小應(yīng)用程序（Applet）ActiveX控件腳本：可執(zhí)行的程序，如JavaScript和VBScript。插件：用于解釋或執(zhí)行嵌入在圖形、聲音或其他對象中的計算機指令。第六章物流二、電子商務(wù)安全技術(shù)：計算機網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）入侵檢測技術(shù)第六章物流191．病毒防范技術(shù)網(wǎng)絡(luò)病毒的威脅

一是來自文件下載；二是網(wǎng)絡(luò)化趨勢。措施安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；加強數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等第六章物流20Packet-Switched

Leased

LineWorkgroup廣域網(wǎng)INTERNET局域網(wǎng)PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠程工作站網(wǎng)絡(luò)防毒手段第六章物流212．身份識別技術(shù)

口令標(biāo)記方法生物特征法第六章物流口令識別法口令識別是應(yīng)用最為廣泛的身份認(rèn)證技術(shù)?？诹铋L度：通常長度為5-8的字符串。選擇原則：易記、難猜、抗分析能力強?？诹畹拇嗳觞c網(wǎng)絡(luò)竊聽重放攻擊字典攻擊暴力攻擊社交工程驗證協(xié)議變換口令法、一次性口令法第六章物流233．防火墻技術(shù)（1）防火墻(Firewall)是一個由硬件和軟件兩部分組成的網(wǎng)絡(luò)結(jié)點，用以將內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離，用以保護內(nèi)部網(wǎng)中的信息、資源等不受來自互聯(lián)網(wǎng)中非法用戶的侵犯。它控制內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的所有數(shù)據(jù)流量，控制和防止內(nèi)部網(wǎng)中的有價值數(shù)據(jù)流入互聯(lián)網(wǎng)，也控制和防止來自互聯(lián)網(wǎng)的無用垃圾和有害數(shù)據(jù)流入內(nèi)部網(wǎng)。簡單地說，防火墻成為一個進入內(nèi)部網(wǎng)的信息都必須經(jīng)過的限制點，它只允許授權(quán)信息通過，而其本身不能被滲透。其目標(biāo)是使入侵者要么無法進入內(nèi)部系統(tǒng)，要么即使進入也帶不走有價值的東西。防火墻應(yīng)具備的條件：內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻第六章物流防火墻具有以下功能：保護那些易受攻擊的服務(wù)。防火墻能過濾那些不安全的服務(wù)。只有預(yù)先被允許的服務(wù)才能通過防火墻，這樣就降低了受到非法攻擊的風(fēng)險，大大地提高了網(wǎng)絡(luò)的安全性?？刂茖μ厥庹军c的訪問。防火墻能控制對特殊站點的訪問。如有些主機能被外部網(wǎng)絡(luò)訪問，而有些則要被保護起來，防止不必要的訪問。通常會有這樣一種情況，在內(nèi)部網(wǎng)中只有Mail服務(wù)器、FTP服務(wù)器和Web服務(wù)器能被外部網(wǎng)訪問，其他訪問則被主機禁止。集中化的安全管理。對于一個企業(yè)而言，使用防火墻比不使用防火墻可能更加經(jīng)濟一些。這是因為如果使用了防火墻，就可以將所有修改過的軟件和附加的安全軟件都放在防火墻上集中管理；而不使用防火墻，就必須將所有軟件分散到各個主機上。對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計。如果所有對Internet的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能夠報警并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。3．防火墻技術(shù)（2）第六章物流為網(wǎng)絡(luò)建立防火墻，首先需決定此防火墻將采取何種安全控制模型。通常有兩種模型可供選擇：沒有被列為允許訪問的服務(wù)都是被禁止的。采用該控制模型時，需要確定所有可以被提供的服務(wù)以及它們的安全特性，然后開放這些服務(wù)，并將所有其他未被列入的服務(wù)排除在外，禁止訪問。該模型安全、可靠，但缺乏靈活性、很難排除所有的非法服務(wù)。沒有被列為禁止訪問的服務(wù)都是被允許的。采用該控制模型需要確定哪些被認(rèn)為是不安全的服務(wù)，禁止其訪問；而其他服務(wù)則被認(rèn)為是安全的，允許訪問。該模型靈活、方便，但安全性稍差，但在實際應(yīng)用中這種模型被采納的更多，特別是一些安全性要求不是很高的普通網(wǎng)絡(luò)3．防火墻技術(shù)（3）第六章物流防火墻的分類包過濾防火墻（Packet-FilterFirewall）代理服務(wù)器（ProxyServer）復(fù)合型防火墻（Hybrid）3．防火墻技術(shù)（4）第六章物流包過濾型基本思想對于每個進來的包使用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或丟棄該包。如何過濾過濾的規(guī)則以IP層和運輸層的頭中字段為基礎(chǔ)過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定：如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄如果所有規(guī)則都不匹配，則根據(jù)缺省策略第六章物流包過濾路由器示意圖第六章物流第六章物流包過濾型判斷依據(jù)數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口：FTP、、TELNETHTTP等IP選項：源路由、記錄路由等TCP選項：SYN、ACK、FIN、RST等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0，eth1第六章物流包過濾路由器設(shè)置實例按地址按服務(wù)第六章物流包過濾型防火墻的特點優(yōu)點：邏輯簡單，對網(wǎng)絡(luò)性能的影響較??；與應(yīng)用層無關(guān)，無須改動任何客戶機和主機上的應(yīng)用程序，易于安裝和使用。缺點：配置基于包過濾方式的防火墻，需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解；允許外部客戶和內(nèi)部主機的直接連接；不提供用戶的鑒別機制。第六章物流代理服務(wù)器型基本思想代理服務(wù)是運行在防火墻主機上的一些特定的應(yīng)用程序或者服務(wù)器程序。這些程序?qū)⒂脩魧ヂ?lián)網(wǎng)絡(luò)的服務(wù)請求依據(jù)已制定的安全規(guī)則向外提交，代理服務(wù)替代了用戶與互聯(lián)網(wǎng)絡(luò)的直接連接。代理服務(wù)器也稱為應(yīng)用層網(wǎng)關(guān)。第六章物流應(yīng)用層網(wǎng)關(guān)示意圖第六章物流第六章物流代理服務(wù)器的特點優(yōu)點易于配置，界面友好透明性——“直接”訪問Internet的假象不允許內(nèi)外網(wǎng)主機的直接連接可以實現(xiàn)基于用戶的認(rèn)證可以提供比包過濾更詳細的日志記錄可以隱藏內(nèi)部IP地址可以與認(rèn)證、授權(quán)等安全手段方便的集成第六章物流代理服務(wù)器的特點缺點：代理速度比包過濾慢新的服務(wù)不能及時地被代理每個被代理地服務(wù)要求專門的代理軟件有些服務(wù)要求建立直接連接，無法使用代理代理服務(wù)不能避免協(xié)議本身的缺陷第六章物流二、電子商務(wù)安全技術(shù)：計算機網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）入侵檢測技術(shù)第六章物流4．虛擬專用網(wǎng)技術(shù)（1）虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)是指使用公共網(wǎng)絡(luò)傳遞信息，但通過加密、認(rèn)證和訪問控制等安全措施以維持信息的保密性、完整性和訪問限制。“虛擬”的概念是相對傳統(tǒng)私有專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號和專線連接來實現(xiàn)的，而VPN是利用網(wǎng)絡(luò)服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴。協(xié)議隧道(protocoltunneling)是構(gòu)建VPN的關(guān)鍵技術(shù)。網(wǎng)絡(luò)服務(wù)提供商在公共網(wǎng)絡(luò)中建立專用的隧道，讓數(shù)據(jù)包通過這條隧道傳輸，為用戶模仿點對點連接。具體的隧道技術(shù)主要有IP層加密標(biāo)準(zhǔn)協(xié)議IPSec協(xié)議、點對點隧道協(xié)議和二層轉(zhuǎn)發(fā)協(xié)議。第六章物流二、電子商務(wù)安全技術(shù)：計算機網(wǎng)絡(luò)安全技術(shù)病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）入侵檢測技術(shù)第六章物流415.入侵檢測技術(shù)（1）入侵者常用的手段1、收集信息：目的是構(gòu)造目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫并收集駐留在網(wǎng)絡(luò)上的各個主機的有關(guān)信息。2、探測系統(tǒng)安全弱點：黑客發(fā)現(xiàn)“補丁”程序的接口后自己編寫程序，通過該接口進入目標(biāo)系統(tǒng)。3、實施攻擊第六章物流42常用的黑客工具掃描器：使用目標(biāo)的TCP端口與服務(wù)，通過記錄目標(biāo)的回答來獲得相關(guān)的信息。網(wǎng)絡(luò)嗅探器：用來截獲網(wǎng)絡(luò)中傳輸信息的工具。特洛伊木馬程序：那些提供了隱藏的、用戶不希望的功能程序，可以泄漏系統(tǒng)的私有信息或控制該系統(tǒng)。口令入侵工具：采用仿真對比，利用與原口令程序相同的方法，通過對比分析用不同的加密口令去匹配原口令。郵件炸彈與病毒程序5.入侵檢測技術(shù)（2）第六章物流十大黑客事件回顧20世紀(jì)90年代早期

KevinMitnick，一位在世界范圍內(nèi)舉重若輕的黑客。世界上最強大的科技和電信公司——諾基亞(Nokia)，富士通(Fujitsu)，摩托羅拉(Motorola)，和SunMicrosystems等的電腦系統(tǒng)都曾被他光顧過。1995年他被FBI逮捕，于2000年獲得假釋。他從來不把自己的這種入侵行為稱為黑客行為，按照他的解釋，應(yīng)為“社會工程(socialengineering)”2002年11月倫敦人GaryMcKinnon于2002年11月間在英國被指控非法侵入美國軍方90多個電腦系統(tǒng)。第六章物流十大黑客事件回顧1995年來自俄羅斯的黑客VladimirLevin在互連網(wǎng)上上演了精彩的“偷天換日”。他是歷史上第一個通過入侵銀行電腦系統(tǒng)來獲利的黑客。1995年，他侵入美國花旗銀行并盜走1000萬。他于1995年在英國被國際刑警逮捕。之后，他把帳戶里的錢轉(zhuǎn)移至美國，芬蘭，荷蘭，德國，愛爾蘭等地。1990年為了獲得在洛杉磯地區(qū)kiis-fm電臺第102個呼入者的獎勵——保時捷944s2跑車，KevinPoulsen控制了整個地區(qū)的電話系統(tǒng)，以確保他是第102個呼入者。最終，他如愿以償獲得跑車并為此入獄三年。他現(xiàn)在是WiredNews的高級編輯。1983年當(dāng)KevinPoulsen還是一名學(xué)生的時候，他就曾成功入侵Arpanet(我們現(xiàn)在使用的Internet的前身)。KevinPoulsen當(dāng)時利用了Arpanet的一個漏洞，能夠暫時控制美國地區(qū)的Arpanet。第六章物流著名中國黑客事件１９９７年，印尼排華事件中，印尼政府網(wǎng)站被中國黑客攻破，被黑后的頁面文字為：血債要用血來還。１９９９年５月８日，中國黑客回應(yīng)美國轟炸中國駐南使館，包括美國海軍、空軍、內(nèi)政部在內(nèi)的大批美國政府網(wǎng)站被黑。１９９９年９月，李登輝制造兩國論，大陸黑客入侵了臺灣“行政院”、“國民大會”、“監(jiān)察院”等二十幾個政府網(wǎng)站；２０００年２月，釣魚島事件，日本科技廳，總務(wù)省，審計署等政府網(wǎng)站均被中國黑客攻破。２０００年６月，最大網(wǎng)絡(luò)安全公司ＩＳＳ總裁克勞斯正在中國作網(wǎng)絡(luò)安全演講，ＩＳＳ公司中國網(wǎng)站被黑，黑客留言：我們要大力發(fā)展民族網(wǎng)絡(luò)安全產(chǎn)業(yè)。第六章物流46入侵檢測技術(shù)的應(yīng)用1、入侵檢測與漏洞檢測系統(tǒng)入侵檢測系統(tǒng)：具有監(jiān)測分析用戶與系統(tǒng)的行為、審計系統(tǒng)配置與漏洞、評估敏感系統(tǒng)與數(shù)據(jù)跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以有效地監(jiān)視、審計、評估自己的系統(tǒng)。漏洞檢測系統(tǒng)：對計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可以被黑客利用的漏洞。

被動式策略：基于主機的檢測，對系統(tǒng)不合適的設(shè)置、脆弱的口令以及與安全規(guī)則相抵觸的對象進行檢查。

主動式策略：基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行安全攻擊，記錄它的反應(yīng)以便發(fā)現(xiàn)其中存在的漏洞。5.入侵檢測技術(shù)（3）第六章物流加密技術(shù)數(shù)字簽名認(rèn)證技術(shù)PKI技術(shù)電子商務(wù)安全交易協(xié)議二、電子商務(wù)安全技術(shù)：交易安全技術(shù)第六章物流48什么是加密？加密：加密是指對數(shù)據(jù)進行編碼使其看起來毫無意義，同時仍保持可恢復(fù)的形式。第六章物流密碼學(xué)歷史第六章物流密碼學(xué)歷史希臘密碼二維字母編碼查表公元前2世紀(jì)例：YanshanUniversity54113343113345332451154243424454第六章物流愷撒密碼：將字母循環(huán)前移k位例如K＝5時對應(yīng)關(guān)系如下：明文：YanshanUniversity密文：？密碼學(xué)歷史第六章物流密碼學(xué)歷史二戰(zhàn)中美國陸軍和海軍使用的條形密碼設(shè)備M-138-T4。根據(jù)1914年P(guān)arkerHitt的提議而設(shè)計。25個可選取的紙條按照預(yù)先編排的順序編號和使用，主要用于低級的軍事通信。第六章物流1．加密技術(shù)（1）基本概念保密性（Confidentiality）：只有授權(quán)的接收者才能解讀信息的內(nèi)容和含義，而非授權(quán)者則不能對信息進行訪問。加密（Encryption）：用基于數(shù)學(xué)算法的程序以及保密的密鑰對信息進行編碼，以生成難以理解的字符串。加密的目的：將信息轉(zhuǎn)化為即使可見、但看不出意義的字符串，以便只有發(fā)信人和收信人才能讀懂信息。加密程序（EncryptionProgram）和加密算法（EncryptionAlgorithm）：將明文（ClearText）轉(zhuǎn)換為密文（CipherText）。解密（Decryption）：加密過程的逆過程。第六章物流加解密過程加密算法E解密算法D明文mi密文ci=Eki(mi)明文mi=Dki(ci)密鑰ki密鑰ki1．加密技術(shù)（2）第六章物流即使知道加密程序（算法）的細節(jié)，但如果沒有與加密密鑰匹配的解密密鑰，仍然無法（或很難）解開被加密的信息。密鑰（Key）：位數(shù)較多的二進制串。它和特定的加密（解密）算法一起使用可以實現(xiàn)信息的保密性。密鑰位數(shù)越多，加密的效果就越好。1．加密技術(shù)（2）第六章物流加密方法的分類散列編碼（HashCoding）（嚴(yán)格說，不是加密技術(shù)）對稱加密（SymmetricEncryption）/私有密鑰加密（PrivateKeyEncryption）非對稱加密（AsymmetricEncryption）/公開密鑰加密（PublicKeyEncryption）1．加密技術(shù)（3）第六章物流對稱加密（私有密鑰加密）：使用同一把密鑰（私有密鑰）對信息進行加密和解密。信息的發(fā)送者和接收者必須事先持有相同的密鑰；同一把密鑰既被用于加密，又被用于解密；1．加密技術(shù)（3）—對稱加密第六章物流明文加密解密明文密文在互聯(lián)網(wǎng)中傳輸收信人發(fā)信人使用相同的密鑰工作原理1．加密技術(shù)（3）—對稱加密第六章物流特點在保密通信前，發(fā)送者和接收者必須事先擁有私有密鑰；發(fā)送者/接收者雙方都必須細心保存私有密鑰；在多人保密通信的情況中，需要準(zhǔn)備數(shù)量龐大的私有密鑰。N個人彼此之間進行保密通訊需要多少個私有密鑰？12341234答案：1/2N（N-1）1．加密技術(shù)（3）—對稱加密第六章物流非對稱加密（公開密鑰加密）：使用兩個數(shù)學(xué)相關(guān)的密鑰對信息進行加密和解密。（這兩個密鑰由同一個密鑰持有者保管）公開密鑰（PublicKey）：可隨意發(fā)給期望同密鑰持有者進行安全通訊的人。私有密鑰（PrivateKey）：由密鑰持有者自己使用。1．加密技術(shù)（4）—非對稱加密第六章物流明文加密解密明文密文在互聯(lián)網(wǎng)中傳輸收信人發(fā)信人收信人的公開密鑰收信人的私有密鑰非對稱加密的作用之一——

保密信息1．加密技術(shù)（4）—非對稱加密第六章物流收信人是公開密鑰/私有密鑰對的持有者。多個人使用收信人的（同一個）公開密鑰對信息加密。密鑰持有者使用私有密鑰對密文進行解密。只有私有密鑰才能打開用配對的公開密鑰加密的密文。密鑰持有者負(fù)責(zé)著非對稱加密工作的有效性。在多人保密通信的情況中，密鑰對組合數(shù)很小。N個人彼此之間進行保密通訊需要多少個公開密鑰/私有密鑰對？非對稱加密的作用之一——

保密信息加密解密多個人使用同一個公開密鑰持有者一個人使用私有密鑰答案：N對1．加密技術(shù)（4）—非對稱加密第六章物流明文加密解密明文密文在互聯(lián)網(wǎng)中傳輸收信人發(fā)信人發(fā)信人的私有密鑰發(fā)信人的公開密鑰非對稱加密的作用之二——驗證發(fā)信人身份發(fā)信人是公開密鑰/私有密鑰對的持有者。因此，只有密鑰持有者擁有私有密鑰。使用公開/私有密鑰對，可以幫助收信人確定發(fā)信人確為其所聲稱的那個人（幫助收信人驗證發(fā)信人的身份）。1．加密技術(shù)（4）—非對稱加密第六章物流作用一：使用收信人的公開密鑰對信息進行加密，能夠保證只有收信人能夠解密（因為只有收信人才持有私有密鑰），從而保證了信息的保密性。作用二：使用發(fā)信人的私有密鑰對信息加密，可以幫助收信人驗證發(fā)信人的身份。因此發(fā)信人是私有密鑰的唯一持有者。1．加密技術(shù)（4）—非對稱加密第六章物流65公開密匙/私有密匙加密老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息第六章物流非對稱加密技術(shù)的優(yōu)/缺點非對稱加密技術(shù)的優(yōu)點：在信息保密性方面，非對稱加密優(yōu)于對稱加密。在多人之間進行保密信息傳輸所需的密鑰組合數(shù)量較小?？梢酝ㄟ^認(rèn)證機構(gòu)公開發(fā)布公開密鑰。非對稱加密技術(shù)的缺點：非對稱加密的效率不如對稱加密；在互聯(lián)網(wǎng)上傳輸大量敏感信息時，大都使用私有密鑰（對稱）加密方法。如果把非對稱加密技術(shù)和對稱加密技術(shù)結(jié)合起來使用，會更有效、更安全。1．加密技術(shù)（4）—非對稱加密第六章物流1．加密技術(shù)（5）—散列函數(shù)完整性（Integrity）：由合法的發(fā)送者發(fā)送的信息內(nèi)容沒有被篡改或被替換；破壞完整性：信息在發(fā)送者和接收者之間傳輸時被改變了。散列編碼：使用散列算法求出某消息的散列值（消息摘要）的過程。如果散列算法設(shè)計得好，由兩個不同消息計算得出同一散列值的概率是很小的。56mod111=56 78mod111=78散列編碼對于判別信息是否在傳輸時被改變非常方便。第六章物流明文計算散列值收信人發(fā)信人使用相同的散列算法對明文和散列值加密對明文和散列值解密傳送密文（散列值）計算散列值預(yù)期的散列值比較預(yù)期的散列值和被傳送的散列值判斷信息的完整性1．加密技術(shù)（5）—散列函數(shù)第六章物流散列算法：不是對信息進行加密，而是根據(jù)整個信息計算出一個長度固定的數(shù)字（消息摘要）。摘要能夠讓信息接收者確認(rèn)信息在傳輸中是否被修改過。散列算法是單向函數(shù)，即無法根據(jù)散列值得到原消息。一個散列值只能用于同另一個散列值的比較。UNIX使用散列算法對口令進行“加密”——生成散列值，并將用戶名和散列值存放在固定文件中。以明文形式保存用戶名，而用“加密”方式來保存“口令”（散列值）。特征：①不需要密鑰；②根據(jù)散列值（消息摘要）無法還原成原始消息；③算法可以是公開的；④很少發(fā)生散列值沖突；⑤散列值（摘要）反映了消息本身的某種性質(zhì)。1．加密技術(shù)（5）—散列函數(shù)第六章物流加密技術(shù)數(shù)字簽名認(rèn)證技術(shù)PKI技術(shù)電子商務(wù)安全交易協(xié)議二、電子商務(wù)安全技術(shù)：交易安全技術(shù)第六章物流2．?dāng)?shù)字簽名（1）不可否認(rèn)性（Non-repudiation）：信息發(fā)送者日后不可否認(rèn)已發(fā)出的信息及其內(nèi)容，或信息接收者日后不可否認(rèn)已接收的信息及其內(nèi)容。數(shù)字簽名（DigitalSignature）：使用非對稱加密技術(shù)和私有密鑰對散列值（消息摘要）進行加密——發(fā)信人首先使用散列函數(shù)生成散列值，然后使用私有密鑰對散列值進行非對稱加密。數(shù)字簽名能夠把消息的作者和消息的確切內(nèi)容聯(lián)系起來。數(shù)字簽名的作用：確認(rèn)消息發(fā)送者的身份（不可否認(rèn)性）并確定消息是否被修改過（消息的完整性）。第六章物流訂單散列函數(shù)消息摘要數(shù)字簽名私有密鑰數(shù)字簽名訂單發(fā)送方傳給商家散列函數(shù)消息摘要比較兩個消息摘要公開密鑰數(shù)字簽名訂單商家接收消息摘要接收方2．?dāng)?shù)字簽名（1）第六章物流數(shù)字簽名過程發(fā)送者撰寫包含原文件(如一份合同文檔)的原始消息，如帶有附件的電子郵件；使用專門軟件，對原始消息執(zhí)行hash算法，產(chǎn)生消息摘要，并用發(fā)送者的私鑰對消息摘要加密，形成數(shù)字簽名；使用接收方的公開密鑰對原始消息和數(shù)字簽名加密形成數(shù)字信封(密文)；借助通信網(wǎng)絡(luò)發(fā)送數(shù)字信封；在接收方，當(dāng)接收到數(shù)字信封后，用接收方的私鑰解密數(shù)字信封形成原始信息和數(shù)字簽名；對原始消息執(zhí)行hash算法，產(chǎn)生新的消息摘要；同時用發(fā)送者的公開密鑰對數(shù)字簽名解密，恢復(fù)發(fā)送方的消息摘要；對比(6)、(7)兩步產(chǎn)生的消息摘要，若匹配則消息具有完整性且身份正確，否則拒絕接收。2．?dāng)?shù)字簽名（1）第六章物流加密技術(shù)數(shù)字簽名認(rèn)證技術(shù)PKI技術(shù)電子商務(wù)安全交易協(xié)議二、電子商務(wù)安全技術(shù)：交易安全技術(shù)第六章物流使用公鑰加密體制面臨兩個問題：一、雖然公鑰/私鑰提供了一種認(rèn)證用戶的方法，但它并不保證公鑰實際上屬于所聲稱的擁有者。如何確定該公鑰擁有者的真實身份？二、在哪里能夠找到對方的公鑰？解決這兩個問題就需要有一個可信的第三方認(rèn)證機構(gòu)。這就像我們在現(xiàn)實世界中的交易一樣，企業(yè)的有效身份必須由工商管理部門認(rèn)證。電子商務(wù)認(rèn)證授權(quán)機構(gòu)也稱為電子商務(wù)認(rèn)證中心(CertificateAuthority，CA)。CA承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)。它能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份。CA是一個服務(wù)機構(gòu)，主要受理數(shù)字證書的申請、簽發(fā)及管理數(shù)字證書。認(rèn)證中心的職能：證書發(fā)放、證書更新、證書撤消、證書驗證。

認(rèn)證體系呈樹型結(jié)構(gòu)，根據(jù)功能的不同，認(rèn)證中心劃分成不同的等級。不同等級的認(rèn)證中心負(fù)責(zé)發(fā)放不同的證書。持卡人證書、商戶證書、支付網(wǎng)關(guān)證書分別由持卡人認(rèn)證中心、商戶認(rèn)證中心、支付網(wǎng)關(guān)認(rèn)證中心頒發(fā)。而持卡人認(rèn)證中心證書、商戶認(rèn)證中心證書和支付網(wǎng)關(guān)認(rèn)證中心證書則由品牌認(rèn)證中心或區(qū)域性認(rèn)證中心頒發(fā)。品牌認(rèn)證中心或區(qū)域性認(rèn)證中心的證書由根認(rèn)證中心頒發(fā)。3．認(rèn)證技術(shù)（1）第六章物流CA認(rèn)證體系示意圖

…

根CA品牌CA地域CA支付網(wǎng)關(guān)CA商戶CA持卡人CA支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書商戶證書商戶證書持卡人證書EDI通信網(wǎng)絡(luò)…

…3．認(rèn)證技術(shù)（2）第六章物流3．認(rèn)證技術(shù)（3）數(shù)字證書格式ITU（InternationalTelecommunicationsUnion，國際電信聯(lián)盟）ITUX.509ISO/IEC9594-8版本號：數(shù)字證書的版本號；數(shù)字證書序列號（SerialNumber）：由認(rèn)證中心（CA）發(fā)放的代表該數(shù)字證書的唯一標(biāo)志號；簽名算法標(biāo)志符：認(rèn)證中心用來對數(shù)字證書進行簽名所使用的數(shù)字簽名算法；數(shù)字證書發(fā)放者（Issuer）：發(fā)放數(shù)字證書的認(rèn)證中心；有效期（ValidFrom&Validto）：數(shù)字證書的起始和終止的日期；主體：證書持有者，即與相應(yīng)的被驗證公鑰所對應(yīng)的私鑰持有者；主體的公鑰：主體的公鑰值以及該公鑰被使用時所用的（非對稱加密）算法標(biāo)志符；第六章物流數(shù)字證書是—個擔(dān)保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。例如，用戶證書證實用戶擁有一個特別的公鑰，服務(wù)器證書證實某一特定的公鑰屬于這個服務(wù)器。證書由社會上公認(rèn)的認(rèn)證中心發(fā)行。應(yīng)用程序能識別的證書類型如下：客戶證書、服務(wù)器證書（站點證書）、安全郵件證書、CA機構(gòu)證書。只有下列條件均為真時，數(shù)字證書才有效。證書沒有過期密鑰沒有修改用戶有權(quán)使用這個密鑰證書必須不在無效證書清單內(nèi)3．認(rèn)證技術(shù)（4）第六章物流SHECA簡介

上海市電子商務(wù)安全證書管理有限公司(簡稱上海市CA中心，SHECA)，是由上海市信息投資股份有限公司、上海郵電、上海銀行卡網(wǎng)絡(luò)服務(wù)中心、上海聯(lián)合投資公司聯(lián)合出資組建，經(jīng)上海市政府批準(zhǔn)，上海市唯一從事數(shù)字證書的簽發(fā)和管理業(yè)務(wù)的權(quán)威性認(rèn)證中心。作為可信賴的第三方從四方面保證了交易的安全：信息傳輸?shù)臋C密性信息的不可篡改性身份的認(rèn)證交易的不可抵賴

國內(nèi)典型CA數(shù)字證書申請與使用

——以SHECA為例第六章物流SHECA的數(shù)字證書（SET證書、通用證書）SHECA數(shù)字證書的格式遵循ITU-TX.509標(biāo)準(zhǔn)，包含：公鑰名稱SHECA的數(shù)字簽名密鑰的有效時間證書序列號S