项目九 电子商务安全技术

1、电子商务实务项目教程案例1：2000年，Yahoo、eBay、Amazon等网站被黑客攻击，直接和简介损失10亿美元。2003年，Yahoo、eBay、Amazon再次受到黑客攻击，一度瘫痪，攻击方式是控制第三方计算机，并通过它不断向网站服务器发送大量信息请求，导致正常用户无法访问。2007年，黑客入侵eBay服务器，短时间内部分用户无法登陆。此后eBay官方发言人通过一封电邮表示：“在造成永久性损失之前，迅速扫除了黑客，也绝没有财政商务信息和其他重要数据泄漏”。而黑客在eBay论坛公布了1200份eBay会员姓名和联系信息，甚至包括信用卡号。这次黑客事件引起了用户恐慌。案例2：Bibliof

2、ind公司成立于1996年，是第一家专门销售绝版书的网站。注册客户可以按照书名、价格和版次进行检索。访问者也可以登记书单，到货后会发电子邮件通知。该公司有庞大客户群、良好口碑和绝版书供应网。2001年，黑客入侵该公司服务器，更换了主页。公司不得不关闭网站。在技术人员审查服务器日志时，发现黑客其实已经入侵四个月之久，更糟糕的是，有些黑客能够通过www服务器进入存储客户信息的计算机，这些客户信息是以文本格式存储在公司的交易服务器上的。该公司立即报告州和联邦执法机构调查这次黑客事件，并向9.8万名客户发出了电子邮件，提醒客户信息可能已被黑客获取。官方没有逮捕责任人，也没有发现嫌犯。一个月后，Bibl

3、iofind被关闭了。一家成功的企业，因为不能保存客户信息，毁于一旦。网络安全性日益重要。互联网环境中开展电子商务，所有参与者都担心自身利益能否得到真正保障。只有保证了电子商务的安全，才能够吸引更多的公众投身电子商务、应用电子商务、发展电子商务，才能使电子商务健康生存、高速发展。电子商务安全现状电子商务安全的要素：可靠性、真实性、机密性、完整性、有效性、不可抵赖性、内部网的严密性电子商务安全协议 1、分类：加密协议；身份验证协议；密钥管理协议；数据验证协议；安全审计协议；防护协议。 2、国际通用电子商务安全协议：安全套接层协议SSL；安全电子交易协议SET；S-HTTP安全协议。加密技术 加密

4、包括两个元素：加密算法和密钥。 加密算法：用基于数学计算方法与一串数字（密钥）对普通文本（信息）进行编码，产生不可理解的密文的一系列步骤。 密钥：用来对文本进行编码和解码的数字。 加密程序：将明文转成密文的程序。加密的分类 1、散列编码：用散列算法求出某个消息的散列值得过程。2、对称加密（私有密钥加密）：用且只用一个密钥对信息进行加密和解密。3、非对称加密（公开密钥加密）：用两个数学相关的密钥进行编码。数字签名技术 数字签名：将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 数字签名可以确定：信息来源；未做过修改。 数字签名可以防止：电子商务信息

5、作伪；冒用他人名义发送信息；发出或收到信件后又加以否认。 数字签名的其他优点：易更换、难伪造、可进行远程线路传递 数字签名的使用方法：只有加入数字签名及验证，才能真正实现在公开网络上的安全传输。认证技术 第三方认证中心：电子商务认证授权机构，也称为电子商务认证中心（CA），承担网上安全电子交易的认证服务，能签发数字证书，并能确认用户身份的服务机构。 认证中心的职能：证书发放；证书更新；证书撤消；证书验证。数字证书 数字证书：一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档。 类型：客户证书；服务器证书（站点证书）；安全邮件证书；CA机构证书 内容：证书格式由ITU标准来定义，证书包括

6、申请证书个体的信息（证书数据）和发行证书CA的信息（CA签名）。 有效性：证书没有过期+密钥没有修改+用户有权使用这个密钥 国内外认证中心：美国Verisign，中国数字认证网等数字时间戳 数字时间戳服务（DTSS），用来证明消息的收发时间。 产生过程：用户将文件用Hash编码加密形成摘要，然后将该摘要发送到DTSS认证单位。DTSS在加入了时间信息后再对文件加密，然后送回用户。 作用：数据文件加盖的时间戳与存储数据的物理媒介无关；对已加盖时间戳的文件不可能做丝毫改动；要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的公开密钥基础设施 公开密钥基础设施（PKI），以公钥加密技术为基础技术

7、手段实现安全性的技术。能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，并支持SET、SSL协议。 组成部分：认证机构（PKI的核心）、证书库（网上的公共信息库）、密钥生成和管理系统、证书管理系统、PKI应用接口系统 公开密钥基础设施的优点：透明性和易用性；可扩展性；可操作性强；支持多应用；支持多平台防火墙技术 防火墙的构成：安全操作系统、过滤器、网管、域名服务、电子邮件处理 防火墙的功能：保护易受攻击的服务；控制对特殊站点的访问；集中化的安全管理；集成了入侵检测功能，提供了监视互联网安全和预警的方便端点；对网络访问进行日志记录和统计 防火墙的体系结构：双重宿主主机体系；屏蔽主机体系；屏蔽子网体系 防火墙的类型：数据包过滤；应用级网关（代理服务器）；复合型防火墙网络计算机病毒防范技术 病毒类型：蠕虫、逻辑炸弹、特洛伊木马、陷阱入口 病毒危害：对网络的危害；对计算机的危害 网络反病毒技术：预防；检测；消除 方法措施：安装防病毒软件；定期清理；控制权限；高度警惕网络陷阱；不打开陌生地址的电子邮件数字证书的安装和使用数字签名系统的安装和使用电子商务安全是一个非常重要的问题只有网上交易做到了安全可靠，客户才能接受和使用电子商务的安全技术是基于电子商务交易中的安全需求产生的电子