电子商务-第4章 电子商务安全

*

4.1电子商务安全概述

*

4.2电子商务风险与安全隐患*

4.3电子商务安全技术第4章电子商务安全14.1.1电子商务安全内涵电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。24.1.2电子商务安全的基本原则安全是一个系统的概念。安全是相对的。安全是有成本和代价的。安全是发展的、动态的。安全隐患有大有小，应分轻重缓急。34.1.3电子商务安全的发展概况通信保密阶段（20世纪40～70年代）计算机系统安全阶段（20世纪70～80年代）网络信息系统安全阶段（20世纪90年代以后）44.2.1电子商务安全面临的风险（1）信息传输风险：指进行网上交易时，因传输的信息失真或者信息被非法窃取篡改或丢失，所造成网上交易的不必要损失。（2）信用风险对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物行为；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。来自卖方的信用风险：卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。（3）管理风险：交易流程管理风险人员管理风险网络交易技术管理的漏洞54.2.2电子商务安全隐患伪装未进行安全配置未进行CGI程序审计使用安全产品不当缺少安全制度黑客攻击计算机病毒拒绝服务网络钓鱼搭线窃听电子商务安全隐患6信息的保密性：电子商务系统应该对主要信息进行保护，阻止非法用户获取和理解原始数据。2.

数据完整性：电子商务系统应该提供对数据进行完整性认证的手段，确保网络上的数据在传输过程中没有被篡改。3.用户身份验证：电子商务系统应该提供通讯双方进行身份鉴别的机制。4.授权：电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。4.2.3

电子商务安全要求75.数据原发者鉴别：电子商务系统应能提供对数据原发者的鉴别，确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。6.数据原发者的不可抵赖和不可否认性：电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。7.合法用户的安全性：合法用户的安全性是指合法用户的安全性不受到危害和侵犯，电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密匙和口令的有效保护、对非法攻击的有效防范等。8.网络和数据的安全性：电子商务系统应能提供网络和数据的安全，保护硬件资源不被非法占有，软件资源免受病毒的侵害。4.2.3

电子商务安全要求8电子商务安全构架交易安全技术安全应用协议SET、SSL安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全管理体系网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务等法律、法规、政策4.3.1

电子商务安全技术91、病毒防范技术2、身份识别技术3、防火墙技术4、虚拟专用网技术（VirtualPrivateNetwork，VPN）4.3.2计算机网络安全技术(常用技术)101．病毒防范技术网络病毒的威胁

一是来自文件下载；二是网络化趋势。措施安装防病毒软件，加强内部网的整体防病毒措施；加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施等11Packet-Switched

Leased

LineWorkgroup广域网INTERNET局域网PC杀毒软件SERVER杀毒软件杀毒防火墙PC杀毒软件远程工作站网络防毒手段122．身份识别技术口令标记方法生物特征法13

对用户拥有的东西进行鉴别，如IC卡等对用户的生物特征进行鉴别，如指纹、视网膜血管分布等对用户所知道的进行鉴别，如口令等2．身份识别技术143．防火墙技术1.基本概念防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。15防火墙：在被保护网络和Internet之间，或者和其它网络之间限制访问的软件和硬件的组合。防火墙3．防火墙技术164．虚拟专用网技术(VPN)

虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。在虚拟专用网中交易双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以提高电子商务的安全性。

VPN可以支持数据、语音及图像业务，其优点是经济、便于管理、方便快捷地适应变化，但也存在安全性低，容易受到攻击等问题。17什么是加密？加密：加密是指对数据进行编码使其看起来毫无意义，同时仍保持可恢复的形式。4.3.3交易安全技术-加密技术18单字母加密方法例：明文（记做m）为“important”，Key=3，则密文（记做C）则为“LPSRUWDQW”。19例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。单字母加密方法20对称加密技术（私钥加密）对称密钥在对数据加密的过程中，使用同样的密匙进行加密和解密。常见密匙算法：DES、IDEA非对称加密技术（公钥加密）公开密匙/私有密匙与对称密匙不同，公开密匙/私有密匙使用相互关联的一对算法对数据进行加密和解密。常见密匙算法：RSA4.3.3交易安全技术-加密技术分类211．对称密钥加密体制对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。1）在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2）当通信对象增多时，需要相应数量的密钥。

3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。4.3.3交易安全技术-加密技术222．非对称密钥加密体制

非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

4.3.3交易安全技术-加密技术23公开密匙/私有密匙加密老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息4.3.3交易安全技术-加密技术24对称与非对称加密体制对比特

性对

称非

对

称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用4.3.3交易安全技术-加密技术25数字证书（DigitalCertificate或DigitalID）

数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

4.3.3交易安全技术-数字证书与CA认证26认证中心CA（CertificationAuthority）（1）认证中心的功能：核发证书、管理证书、搜索证书、验证证书（2）CA的树形验证结构(如图所示）4.3.3交易安全技术-数字证书与CA认证27国内外CA中心简介国外常见的CA有VeriSign、GTECyberTrust、Thawte等。国内常见的CA有

中国商务在线l中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。l