电子商务概论第五章电子商务安全机制课件

1、 电子商务概论电子商务安全机制关系重大韩国2000万银行用户信息泄露 百万客户排队销户 近几年频频曝出用户信息泄露事件，这也使很多电商用户享受互联网时代的便利中心存隐忧。 2016年4月21日韩国金融监督院证实，多家商业银行及其关联信用卡公司19日被曝用户信息遭大规模泄露后，迄今已有超过115万用户办理银行卡的停用、注销业务。韩国国务总理郑烘原21日召集政府相关部门召开紧急会议，决定制定防止银行卡信息泄露的对策。 根据金融监督院的调查，韩国国民银行和农协银行等多家大型商业银行的大量用户信息遭泄露，内容涉及手机号码、个人地址、信用卡账号乃至部分银行交易记录等。在人口约5000万的韩国，遭泄露信息

2、的用户数量大约2000万，不免引起有关金融欺诈等不法行为大量发生的担忧。4月20日和21日两天，数以万计民众涌向事发银行、信用卡公司或客服中心，要求注销信息可能遭泄露的银行卡。为应对大量人潮，事发银行和信用卡公司增派数以千计员工到各网点和客服中心，处理用户投诉、办理销户手续。 （资料来源：中国青年网）第五章 电子商务安全机制第5章 电子商务安全机制知识目标 能力目标 了解：网络安全的概念、类型、目标和目前存在的 问题理解：电子商务系统安全的构建 掌握：加密技术、认证技术、防火墙技术以及SSL协议和SET协议第一节 网络安全 一、网络安全的概念 二、网络攻击的类型 （一）计算机病毒和黑客的定义和

3、特点 （二）网络攻击的具体形式 三、网络安全的目标 （一）网络隐患的原因 （二）网络安全的主要目标 四、网络安全存在的问题 第一节 网络安全 一、网络安全的概念随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾，随着 Internet 的飞速发展，计算机网络的资源共享程度进一步加强，

4、随之而来的信息安全问题便日益突出，网上的犯罪活动、网上的侵权纠纷加速增长。第一节 网络安全下面三个数据足以说明当前网络安全存在的挑战： (1)据悉，2012年美联储服务系统就曾遭到英国黑客Lauri Love的攻击，英国执法部门最终在2013年10月逮捕了这名黑客。而在2015年5月，美联储圣路易斯分行也曾被黑客入侵， 银行IT部门不得不要求所有客户重设密码。2016年2月5日，一伙黑客成功从孟加拉国央行(2)据美国金融时报报道，目前全球平均每20秒就发生一次Internet计算机入侵事件。在Internet上的网络防火墙，超过1/3被突破，一些银行、企业、机构都未能幸免。有调查报告指出，近7

5、8%的信息主管、信息安全官员及其他高级技术管理人员报告他们的企业已经因泄密受损失，其中超过 25%的企业损失高于 25 万美元。(3)有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。在个人信息泄露带来的不良影响上，82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。据前瞻产业研究院2016-2021年中国信息安全行业发展前景与投资战略规划分析报告显示，仅2015年，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约805亿元，人均约124元。Internet是

6、跨时空的，安全问题也是跨时空的，尽管我国的网络不购发达，但我们遭到的安全威胁也是客观存在的。我国的网络也曾被人入侵，多次发生过私设帐号和网络瘫痪的事故。攻击Internet的手段是多种多样的，攻击方法已超过计算机病毒种类，总数达数千种，而且很多都是致命的。围绕着信息与信息技术，建立在深刻的科学理论和高新技术基础上，国家与国家之间、集团与集团之间、甚至个人与个人之间均展开着尖锐激烈的斗争。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的实质是网络系统的程序、数据的安全性，它通过网络信息

7、的存储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或者设备，使其免受非授权使用或访问，它的保护内容包括：保护信息和资源、保护客户和用户及保证私有性。网络安全包括物理安全和逻辑安全。对物理安全，需要加强计算机机房管理，对逻辑安全则需要用口令字、文件许可和查帐等方法来实现。第一节 网络安全二、网络攻击的类型计算机病毒黑客攻击网络攻击类型第一节 网络安全（一）、计算机病毒的定义和特点（1）定义（2）特点 计算机病毒是目前网络中对计算机数据及系统最大的威胁之一。计算机病毒是指寄居于文件中，能进行自我复制，并传染其他文件的的程序指令。这些病毒攻击电脑文档，毁坏计算机数据，占用计算机空间，

8、传播违法信息，甚至干扰电脑的运行。（1）寄生性与隐蔽性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，除了能够进行传染之外，基本上不会有任何毁坏行为。计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（2）传染性计算机病毒有害性核心之一是其具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。网络的发展也为病

9、毒的传染创造了极好的条件，很多病毒寄居在网页中，并通过更名来吸引他人进行复制、下载。（3）潜伏性病毒本身是程序代码，很多病毒本身设置了一定的条件，当条件成熟时就开始进行破坏，条件不成熟时，病毒只是潜伏在文档或网页中。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。第一节 网络安全2、黑客的定义及特点（1）定义(2)特点 黑客一词本来指拥有高水平的电脑编成专家，在今天，黑客一词已被用于泛指那些专门利用电脑网络不经授权获取数据、盗取信息、传播病毒、或者毁坏他人计算机的人员。有许多黑客工具(如：BACK orifice，net bus)可以远程控

10、制、检查、监控目标用户的所有信息。它们能够使用目标设备（PC）像合法用户一样向网络发送信息，因而有很大的欺骗性，往往能够得逞而不被发现。有一些商业性的工具（如：cucme，vncviewer）也具有这种功能。黑客可以从一些网站上免费下载这些木马程序，当然它也有好的一面，系统管理员使用这些工具远程控制众多的工作站，因而也成为系统管理员管理众多工作站的有力工具。它的不利的一方面是一些人把它用于邪恶的目的，如：欺骗，修改数据，窃听等。（1）黑客行为需要高难度的编程技术 因此，黑客群体中有很多高学历、高智商的科技人员。他们有的利用黑客身份从事正当的工作，有的则进行数据窃取、系统破坏等违法行为，出现了正

11、派黑客与非邪派黑客之分。正派黑客利用程序漏洞，进行网络修复，邪派黑客则利用程序漏洞开展破坏活动。（2）黑客信息一般伪装能力强 黑客人员的对网络的熟知程度为其伪装提供了经验。由于黑客的一举一动都会被服务器记录下来，所以黑客必须伪装自己使对方和网络监管者无法辨别其真实身份，这需要有熟练的技巧，用来伪装自己的地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。第一节 网络安全（二）网络攻击的具体形式 电脑病毒(Virus)的散布阻绝服务后门或特洛伊木马程序窃听(Sniffer)伪装(Masquerade)数据篡改网络攻击具体形式网络攻击具体形式否认(Repudiation)网络钓鱼(Ph

12、ishing)双面恶魔(Evil Twins)网址转嫁链接点击诈欺(Click Fraud)Rootkits第一节 网络安全三、网络安全的目标 （一）网络隐患的原因当你坐在电脑前面，安装一个输入法，也许，你就打开了一道“恶魔之门”当你坐在电脑前面，安装一个输入法，也许，你就打开了一道“恶魔之门”。网络威胁沿着你的电脑，潜入到企业的网络，资金被盗、DOWN机、泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这样的案例随时可能发生。随着信息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安全问题变得异常严峻的事实，由于自身开放性大等原因，PC端和移动端已成为攻防双

13、方争夺的新焦点。网络威胁沿着你的电脑，潜入到企业的网络，资金被盗、DOWN机、泄密等等纷纷随之而来。这不是危言耸听，也不是科幻故事，互联网时代，这样的案例随时可能发生。随着信息技术与日常生活深度融合，网络安全问题也变得日益严峻。这是网络信息安全问题变得异常严峻的事实，由于自身开放性大等原因，PC端和移动端已成为攻防双方争夺的新焦点。1、Internet是一个开放的、无控制机构的网络，黑客(Hacker)经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。2、Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程

14、中的信息不被窃取的安全措施。3、Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名

15、FTP文件传送、也可以通过邮件和邮件的附加文件传播。第一节 网络的安全（二）网络安全的主要目标 信息的存储安全信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调用等，一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对“外部”的访问、调用而言的访问控制技术是解决信息存储安全的主要途径用等，一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对“外部”的访问、调用而言的访问控制技术是解决信息存储安全的主要途径信息的传输安全信息的传输安全主要指信息在动态传输过程中的安全。在网络系统中，无论是任何调用命令的指

16、令，还是任何信息反馈均是通过网络传输实现的，所以网络信息传输上的安全就显得特别重要。为确保信息的传输安全，尤其需要防止如下问题：对网络上的信息的监听、对用户身份的仿冒、对网络上的信息的篡改、对发出的信息予以否认、对信息进行重发。第一节 网络的安全 四、网络安全存在的问题（一）法律法规的制定与网络技术的迅猛发展步调不一致（二）我国的信息安全技术和产品与世界不同步（三）安全建设考虑不全面（四）安全管理外紧内松 （五）高层的网络安全人才短缺 （六）人们思想麻痹，网络安全意识淡薄 面对网络发展中出现的信息窃取和盗用、信息攻击和破坏、信息污染和滥用、软件盗版的猖獗、色情信息的泛滥人们呼吁加强网络立法，网

17、络的发展需要法律的支持和保障。世界各国纷纷制定相关的法律法规。我国的信息安全技术和产品约有 66%是进口的，防火墙几乎都是国外的产品，且许多都是早己淘汰的过时货，这给我国的网络安全留下了严重隐患。国内建网、联网的速度很快，但网络安全技术和产品的应用却很慢。目前，对于我国大多数中小型企业来讲，防火墙是唯一的防止外部非法入侵的手段，但它只是一种整体安全防范策略的一部分。他们忽略了所在操作系统、网络系统、应用系统等软件的安全缺陷，忽略了合理地建立、设置、维护防火墙，忽略了周密地制订应强制执行的安全政策，忽略了全面地考虑、实施安全策略。 在安全管理方面存在的问题主要有:（1）轻视安全管理（2）缺乏安全

18、审计(3)内部人员引起的不安全我国专门从事计算机安全问题研究的部门、单位和高校很少，这造成了我国信息安全方面的技术人才十分缺乏，计算机人员以及计算机管理人员缺少必备的安全知识。在落实网络安全基本措施中有一条：一旦发现安全漏洞，就应在防火墙中安装最新的安全修补程序，这是极为关键的。但由于人才缺乏导致大多数管理人员甚至还不知道什么是安全修补程序。 黑客的攻击之所以能经常得逞，有一个主要原因就是人们思想麻痹，没有正视黑客入侵所造成的严重后果，人们经常在有意无意之中就泄露了信息。当人们访问 Web 站点时，会无意留下访问的痕迹。当人们在网上购物时，不经意地泄露了许多私人信息。这些不经意的行为和思想为黑

19、客进行数据收集或数据挖掘大开方便之门。第二节 电子商务网络安全一、电子商务安全要求的背景二、电子商务安全问题（一）电子商务面临的安全威胁（二）电子商务的安全要求三、电子商务系统安全的构建 四、国内外电子商务安全研究现状（一）国际电子商务安全研究现状 （二）我国电子商务安全研究现状 第二节 电子商务网络安全一、电子商务安全要求的背景根据中国互联网络信息中心截至2014年6月的统计，我国通过网络进行购物的用户数量达到3.32亿，与2013年12月相比，比例从48.9%提升至52.5%。同时，随着移动电子商务的发展，手机购物的规模达到了2.05 亿，大大超过了传统电子商务的增长速度。购物比例达到了3

20、8.9%。与此同时，网络支付用户遭遇支付不安全事件比例为3.2%，网络犯罪率也较往年有较大提升。作为电子商务的先驱，eBay和 A早在10年前就开展电子商务业务，将互联网变成了一个永久的商务世界。但是，即使是更多的消费者加入到这当中来，还是有很多人担心泄漏个人隐私和个人资料，而成为受害者。美国调查机构Pew Internet和American Life Project 公布的一份调查显示，91%的人已经开始改变网上购物的方式，尽量避免这些问题。调查同时还发现，81%的人表示已经不再打开电子邮件，除非他们确定这些文件资料是安全的；48%的人已经不再访问网站，因为他们害怕在电脑上留下有害的程序；2

21、5%的人已经停止从对等网络下载音乐和视频文件，以避免间谍软件。由美国经济咨商局(The Conference Board)公布的另外一份调查显示，网上一半以上的消费者表示他们在过去的几年中，忧虑加剧，很多已经改变了上网方式，并减少了网上购物。该调查同时显示，近 70%的用户已经在电脑上安装安全软件；54%选择特价优惠；41%的人网上购物已经变少了。Gartner 调查公司，在对5000名美国成年人的调查显示，人们对“网络钓鱼”(Phishing，Fishing & Phone)更加担心，含虚假信息的电子邮件会伪装成银行或者信用卡公司的合法请求，以盗取用户资料。随着计算机网络技术的发展，电子设备

22、与人们生活和工作联系得越来越紧密，传统的商品交易也从线下交易形成了如今广泛使用且规模越来越大的电子商务市场。通过政府的大力支持,电子商务也成为一项重要发展产业，如今，电子商务通过信息技术手段经历了从简单的电子数据交换到现在电子商务安全交易准则，然而，电子商务并不是绝对安全，它正面临着严峻的信息安全挑战。在信息爆炸的今天，人们对数据的态度也发生了质的飞跃。数据几乎成为一种商业资本，成为重要经济投资的选择对象，这一切都源于科技的进步、存储成本的降低、数据通讯方式的改变。电子存储设备最初作为辅助记忆的角色也发生了天翻地覆的变化，数据由记录事物状态发展变化的基本依据提升为可预测事物未来发展趋势的重要支

23、撑。数据中隐藏的价值正逐渐被揭露出来，人们迫切想通过挖掘数据中蕴藏的能量来增加对大自然以及人类社会的认识。数据挖掘等技术的产生为认识数据，了解数据提供了有效的方法，了解数据就是了解事物的属性，事物的性质及事物间联系。第二节 电子商务网络安全二、电子商务安全问题电子商务安全计算机安全：商务交易安全计算机计算机网络安全和商务交易安全是一个整体，缺一不可。没有安全的计算机网络环境作为基础，商务交易安全只是一句空话；没有商务交易安全的保障，即便具备了绝对安全的网络环境，也不能达到电子商务自身安全要求。网络安全和商务交易安全是一个整体，缺一不可。没有安全的计算机网络环境作为基础，商务交易安全只是一句空话

24、；没有商务交易安全的保障，即便具备了绝对安全的网络环境，也不能达到电子商务自身安全要求。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。商务交易安全指的是在计算机网络安全的基础上，保障电子交易和电子支付等商务活动顺利进行。第二节 电子商务网络安全（一）电子商务面临的安全威胁1、网络安全隐患（网络安全的实质是网络上信息的安全）2、商务交易安全因素(商务交易安全是在电子商务活动中商品交易过程中的安全问题)（1）网络硬件系统安全（2）网络软件系统安全（3）网络协议的安全漏洞（4）网络管理的安全（5）病毒和黑客攻击（1）信息泄露（2）信息篡改（3）身份识别（4）交易抵赖

25、 1.假订单 2.付款后不能收到商品 3.以次充好 4.电子货币丢失。可能是物理破坏，或 者偷窃。第二节 电子商务网络安全（二）电子商务的安全要求电子商务所面临的安全威胁来自网络和商务交易两方面，为了实现真正安全的电子商务，保证交易安全可靠地进行，要求电子商务具有认证性、机密性、完整性、有效性、不可抵赖性和审查能力。1、认证性认证性是指的是在交易开始之前，交易双方能够认证对方的身份，即可以识别对方的身份是否是真实的。电子商务是在网络上进行的电子交易，交易双方是在虚拟的“面对面”交流。在现实社会中，尚且无法避免商务活动的欺诈行为，更何况在互联网上连接的用户没有地域的限制。在这种情况下，如何确定正

26、在与自己交易的贸易方正是所期望的贸易方，其发布的信息是真实的可靠的，就显得尤为重要了。为了解决认证性问题，在电子商务中，引入了“第三方”的概念。“第三方”由交易各方都信任的、具有认证资质的机构来担任，一般是通过数字证书来进行身份验证。2、机密性机密性也被称为隐私性，是指交易双方的信息在网络传输和存储中不被他人窃取。电子商务是建立在开发的互联网基础上的，保证商业机密、个人信息不泄露是广泛开展电子商务的前提条件，以此，要防止非法的信息存取和信息传输过程中的窃取。机密性一般通过密码技术对网络上传输的信息进行加密来保证的。3、完整性完整性是指交易的数据在传输过程中不被恶意或意外的改变和损坏。商务交易的

27、开展需要大量的信息，贸易各方信息的完整性将影响到贸易各方的交易和经营策略，信息完整性保证了交易各方得到的信息是一致的、正确的，避免了信息不对称造成的交易无法完成的情况发生。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。第二节 电子商务网络安全。4、有效性4、有效性有效性就是要求电子商务系统可以对交易信息、交易各方身份的有效性进行鉴别。作为一种商务形式，电子商务的最终目标是商务交易顺利完成，在这个过程中，信息的真实有效性尤为重要，否则，可以导致交易失败，而且会影响到个人、企业或国家的经济利益和声誉。因此，要对影响电子商务安全的因素，

28、如计算机硬件系统故障、软件系统错误、网络故障，人员操作错误、计算机病毒和黑客攻击等所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。4、有效性5、不可抵赖性不可抵赖性指的是交易的双方不能否认彼此之间所进行的信息交流。在传统的商务活动中，为了防止在交易中出现抵赖等行为，交易各方会签订合同、协议等纸质材料作为交易的证据。而以网络为基础的电子商务是无纸的商务活动，不能“白纸黑字”地签订合同，如果也没有相应的手段来保证交易的不可抵赖，确实很难完成。电子商务的不可抵赖性可以通过数字签名来保证。综上所述，电子商务的实现存在着多种多样的不安全因素的威胁，为了顺利开展商务活动，有

29、必要采用各种安全技术来保证电子商务的认证性、密性、完整性、有效性和不可抵赖性等的安全要求。4、有效性6、审查能力根据机密性和完整性的要求，能利用电子商务交易系统日志文件对数据结果进行审查、追踪。第二节 电子商务网络安全 三、电子商务系统安全的构建电子商务系统的安全策略主要是为了解决两个问题：1.保护商务网络和它内部系统的完整性；2.保障客户和商家之间安全的完成商务交易。商家用来保护内部系统的主要工具是防火墙。防火强是一种硬件和软件相结合的系统，它只允许符合安全规则的外部用户访问内部网络。防火墙最初设计的目的是Internet和内部网之间的一些具体的服务内容(如：e-mail,网页访问)。现在防

30、火墙成为商务安全构架中主要的防御工具。然而，防火墙还仅仅是商务安全基础设施中的一小部分。黑客使用一些工具很容易通过系统允许的(开放的)端口进入内部系统，从而使防火墙形同虚设。一些病毒(如：红色代码，NIMDA蠕虫病毒)也能够通过防火墙。因为它们是通过服务器系统的标准端口访问系统的。因而防火墙的防护能力是有限的。 交易的安全是增强消费者对电子商务消费信心的关键因素。交易安全取决于企业保护隐私、信息的真实性、完整性、有效性和处理信息阻塞等的能力。交易的个人隐私信息容易受到一种软件工具称为嗅探器的程序的网络监听，这种监听工具通常被用在网络连接的终端。 有许多对付这种威胁的技术例如对信息进行加密，改变

31、网络拓扑结构等。交易的机密性要求交易的真实信息在所经过的每一个中间点不被窃取。至于它的传递经过的记录就是另一回事了，可以用来证明交易的确发生了。网络的中间点不应保留经过它而传递的信息。加密是确保所传递信息机密性的最一般的方法。交易数据的完整性要保证来自客户或发给客户的信息在传递过程中不被做任何修改。如误码校验。 加密技术如密钥、公钥和数字签名等是确保交易隐私，机密性，完整性最一般的方法。这些技术共同的弱点是它们都取决于系统端点的安全。确保密钥在系统终端不被修改和滥用。第二节 电子商务网络安全四、国内外电子商务安全研究现状（一）国际电子商务安全研究现状 随着网络系统安全问题研究的深入，网络系统的

32、脆弱性和研发技术成果的滞后性使电子商务安全问题日益严重和突出。网络的脆弱性有两个原因：（二）我国电子商务安全研究现状 中国于1995年起发展电子商务安全产业，电子商务安全科研、生产与应用同时起步，科研与生产从无到有，市场从小到大进逐步发展起来，到目前为止已初具规模。 与国际电子商务发展情况相似，目前中国的电子商务发展现状要制定完备的有关互联网发展和电子商务的法律时机尚不成熟。但是，在研究国际先进经验的同时，结合中国的国情，对现有法规进行修改(如刑法、合同法和版权法等)，以加强对互联网犯罪、版权保护和电子商务身份认定的法律规范，在立法方面进行了积极有益的探索，初步制定了一套有中国特色的电子商务法

33、规（相关法规内容在本书第七章有详细介绍）。 总之，中国的网络信息安全事业得到了很大的发展，但是面临的困难和需要解决的问题依然很多。1、网络系统自身的漏洞和缺陷；2、个别国家出于别有用心的目的在网络的关键部件内部设置后门或预制逻辑炸弹等。第三节 电子商务安全技术.加密技术AB认证技术三大主流技术防火墙技术C第三节 电子商务安全技术一、加密技术 为保证数据和交易的安全、防止欺骗，确认交易双方的真实身份，电子商务必须采用加密技术，加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文，明文经过某种加密算法作用后，转换成密文，我们将明文转换为密文的这一过程称为加密，将密文经解密算法作用

34、后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥。密钥长度越长，密钥的空间就越大，遍历密钥空间所花的时间就越多，破译的可能性就越小。以密钥为标准，可将密钥系统分为对称密钥系统和非对称密钥系统。 （一）密码学概述 一般的数据加密模型如图5-1所示，它是采用数学方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字（密文），而对于合法的接收者，因为掌握正确的密钥，可以通过解密过程得到原始数据。（二）对称密钥系统 对称密钥系统，又称单钥密钥系统或私钥密钥系统。对称密钥系统是指在对信息的加密和解密过程中使用相同的密钥。也就是说，一把钥匙开一把锁，

35、专用密钥就是将加密密钥和解密密钥作为一把密钥。（三）非对称密钥系统 针对对称密钥系统的缺点，在1976年提出了非对称密钥加密法，又称双钥密钥系统或公钥密钥系统。非对称密钥加密法是指在对信息的加密和解密过程中使用不同的密钥。每个用户保留两个不同的密钥：一个是公钥PK，一个是私钥IK，如果甲要给乙发送一个明文，甲用乙的公钥将明文加密成密文后发出，乙收到甲发送的密文后用乙的私钥将其解密，别人即使中途截取了密文也无法解密。非对称加密法的优点是：密钥较少、灵活、易实现。在一个有n个贸易方参与的系统内，采用非对称密钥加密法密钥总数需要求2n个，采用对称密钥加密法密钥总数则需要n(n-1)/2个。缺点是要得

36、到较好的加密效果，必须使用较长的密钥，从而加重系统负担和减缓系统吞吐速度。因此，非对称密钥加密法不适宜于对数据量较大的报文进行加密。非对称密钥系统主要用于数字签名和密钥分配。第三节 电子商务安全技术二、认证技术 在电子商务中，由于参与的各方往往是素未谋面的，身份认证成了必须解决的问题。即在电子商务中，必须解决不可抵赖性问题。交易抵赖包括多个方面，如发言者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。电子商务关系到贸易双发的商业交易，如何确定要进行交易的贸易方正是所期望的贸易伙伴这一问题则是保证电子商

37、务顺利进行的关键。（一）身份认证身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。而我们的生活从现实世界到一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。（二）数字签名在传统的交易中，我们是用书面签名来确定身份的。在书面文件上签名的作用有两点

38、，一是确定为自己所签署难以否认；二是因为签名不易仿冒，从而判断文件是否为非伪造签署文件。随着电子商务的应用，为了确保数据传输的安全性，不得不采取一系列的安全技术，如加密技术、数字签名、身份认证、密钥管理、防火墙、安全协议等。人们希望通过数字通信网络迅速传递贸易合同，这就出现了合同真实性认证的问题，数字签名就应运而生了。数字签名是实现网上交易安全的核心技术之一，它可以保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性等。第三节 电子商务安全技术1、数字签名的含义 数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证。在电子商务中安全、方便的实现在线支付

39、。同时，对于数据传输的安全性、完整性、身份验证机制以及交易的不可抵赖性问题通过安全性认证手段加以解决。数字签名进一步方便企业和消费者在网上做生意，使企业和消费者双发获利。数字签名是目前电子商务，电子政务中应用最普遍、技术最成熟的、可靠性最强的一种电子签名方法。2.数字签名的过程目前基于非对称加密算法的数字签名过程如下： （1）被发送文件散列算法加密产生信息摘要； （2）发送方用自己的私有密钥对摘要再加密，这就形成了数字签名； （3）将原文和加密的摘要同时传给对方； （4）对方用发送方的公共密钥对摘要解密，同时对收到的文件用散列算法加密产生又一摘要； （5）将解密后的摘要和收到的文件在接收方重新

40、加密产生的摘要进行对比，如两者一致，则说明传送过程中信息没有被破坏或篡改过，否则不然。 从数字签名的过程可以看出，签名是建立在私有密钥与签名者唯一对应的基础上的，在验证过程中，是用与该私有密钥对应的公开密钥来验证的。所以，数字签名必须通过一家可信赖的认证中心（CA）颁发签名的数字证书（根证书）、私钥，从而确保签名的有效性。第三节 电子商务安全技术三、防火墙技术 （一）防火墙的基本准则1、一切未被允许的就是禁止的 基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使

41、用的方便性，用户所能使用的服务范围受限制。2、一切未被禁止的就是允许的 基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。其弊病是，在日益增多的网络服务面前，网管人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。防火墙的位置第三节 电子商务安全技术.（二）防火墙的功能1、隔离风险区域 2、强化网络安全策略3、限制访问内部信息 4、进行监控审计（三）防火墙的体系结构1、多宿主主机体系结构2、被屏蔽主机体系结构 3、被屏蔽子网体系结构 .被屏蔽子网体系结构示意图.被屏蔽主机体系结构示意图（四）防火墙的分类

42、防火墙的分类数据包过滤防火墙AB应用级网关状态监视器C第四节 电子商务安全协议 一、电子商务安全协议的概念（一）对通信信道的要求不同（二）安全目标和攻击者类型不同（三）协议构成不同二、电子商务安全协议（一）SSL协议 （二）SET 协议 (三)SSL与SET协议的比较（四）Netbill协议第四节 电子商务安全协议 一、电子商务安全协议的概念 电子商务活动基于开放的互联网，必然面临各种安全风险，如欺诈、抵赖、信息泄漏或被篡改等等。而电子商务安全协议是解决电子商务活动中所面临的安全问题最有效的手段之一。 电子商务安全协议是面向电子商务的密码协议，是为了完成电子商务活动的而设计的安全协议，是两个或

43、两个以上的电子商务参与者为完成某项特定电子商务活动任务而釆取的一系列特定步骤。区别主要体现在以下几个方面：（一）对通信信道的要求不同（二）安全目标和攻击者类型不同（三）协议构成不同第四节 电子商务安全协议二、电子商务安全协议 （一）SSL协议 1.定义：SSL协议的最初设计是为了提高应用程序之间数据的安全性,在对电子商务的安全支付的研究中发现采用协议可实现客户机和服务器之间传输数据的加密通信,从此协议在电子商务中的应用得到了迅速发展。SSL协议主要提供对会话的保护,它提供的与服务器和客户机会话有关的安全服务如表51所示。一个密码算法要有效、合理、安全的用于保护信息安全,一个信息系统要满足信息化的应用,都需要协议的支持。所谓协议,就是信息交换、传输、处理、存储、认证、加密等等过程中的一组约定的规则。电子商务中最关键的是电子支付系统,为保证数据的安全传输,可采用标准电子支付安全协议。第四节 电子商务安全协议2、SSL协议的工作流程3.SET 协议主要目标 （1）防止数据被非法用户窃取，保证信息在互联网上安全传输。 （2）SET中使用了一种双签名技术保证电子商务参与者信息的相互隔离。客户的资料加密后通过商家到达银行，但是商家不能