第四章 电子商务安全技术

2023/9/22第四章电子商务安全技术1第四章电子商务安全技术4.1电子商务安全概述4.1.1电子商务安全的概念和特点电子商务系统硬件安全：是指保护计算机系统中硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制

电子商务系统软件安全：是指保护软件和数据不被篡改、破坏和非法复制。根据计算机软件系统的组成，软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。2023/9/22第四章电子商务安全技术2电子商务系统运行安全：是指保护系统能连续和正常地运行电子商务安全立法：是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志2023/9/22第四章电子商务安全技术3电子商务安全是一个系统概念电子商务安全是发展、动态的电子商务安全是相对的电子商务安全是有代价的本章讨论的电子商务安全是以网络为基础的信息安全2023/9/22第四章电子商务安全技术44.1.2电子商务安全的需求保密性：信息在传输过程中不被他人窃取.数据加密和解密2023/9/22第四章电子商务安全技术5完整性1、存储的时候防止非法篡改和破坏。2、传输的时候发送和接收的应该一致。散列算法验证2023/9/22第四章电子商务安全技术6不可否认性信息的发送方不能否认自己发送的信息；信息的接收方也不能够否认自己接收的信息。CA中心仲裁2023/9/22第四章电子商务安全技术7交易者身份的真实性交易双方确实存在,而不是假冒的CA证书2023/9/22第四章电子商务安全技术8系统的可靠性防止计算机系统出现失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或者失效。管理,数据的备份和恢复2023/9/22第四章电子商务安全技术94.2电子商务安全技术4.2.1加密技术加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥加密和解密。加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式（也就是明文）1、基本概念2023/9/22第四章电子商务安全技术10

密钥的长度是指密钥的位数。密文的破译通常是黑客经过长时间的测试密钥，破获密钥后，解开密文。怎样才能使得加密系统牢固，让黑客位难以破获密钥呢？这就是要使用长密钥。例如一个16位的密钥有2的16次方（65536）种不同的密钥。顺序猜测65536种密钥对于计算机来说是很容易的。如果100位的密钥，计算机猜测密钥的时间需要好几个世纪了。因此，密钥的位数越长，加密系统就越牢固。2023/9/22第四章电子商务安全技术11mycardnumberissecretabcdefghijklmnopqrstuvwxyz

jvzxoakrjybofppbzobq单一字母表代换密钥是32023/9/22第四章电子商务安全技术122023/9/22第四章电子商务安全技术132、对称密钥系统迄今为止，对网络和通信全最重要的技术是加密。通常使用的加密方法分为两大类：对称加密和非对称加密。代表性算法:DESIDEA2023/9/22第四章电子商务安全技术142023/9/22第四章电子商务安全技术15对称密钥系统的特点1〉在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2〉当通信对象增多时，需要相应数量的密钥。例如一个拥有100个贸易伙伴的企业，必须要有100个密钥，这就使密钥管理和使用的难度增大。3〉对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。2023/9/22第四章电子商务安全技术163、公开密钥系统2023/9/22第四章电子商务安全技术17

公开密钥系统的特点（1）RSA算法的优点是：易于实现，使用灵活，密钥较少，在网络中容易实现密钥管理，便于进行数字签名，从而保证数据的不可抵赖性；（2）缺点是要取得较好的加密效果和强度，必须使用较长的密钥，从而加重系统的负担和减慢系统的吞吐速度，这使得非对称密钥技术不适合对数据量较大的报文进行加密。2023/9/22第四章电子商务安全技术18在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。在该系统中，用DES算法作为数据的加密算法对数据进行加密，用RSA算法作为DES密钥的加密算法，对DES密钥进行加密。这样的系统既能发挥DES算法加密速度快、安全性好的优点，又能发挥RSA算法密钥管理方便的优点，扬长避短。RSA和DES相结合的综合保密系统2023/9/22第四章电子商务安全技术19明文对称密钥密文明文对称密钥解密加密后的密钥加密公开密钥(B)私有密钥(B)2023/9/22第四章电子商务安全技术204、数字摘要——验证信息的完整性2023/9/22第四章电子商务安全技术215、数字签名——验证信息的不可否认性2023/9/22第四章电子商务安全技术22DigitalTime-stampService在书面合同文件中，日期和签名均是十分重要的防止被伪造和篡改的关键性内容。在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。6、数字时间戳——验证信息发送的时间2023/9/22第四章电子商务安全技术234.2.2认证技术2023/9/22第四章电子商务安全技术241数字证书：在因特网上，用来标志和证明网络通信双方身份的数字信息文件。2023/9/22第四章电子商务安全技术25①证书所有者的姓名②证书所有者的公钥③公钥的有效期④颁发数字证书的单位⑤颁发数字证书单位的数字签名⑥数字证书的序列号数字证书内容个人数字证书服务器证书软件数字证书安全邮件证书

数字证书种类2023/9/22第四章电子商务安全技术262023/9/22第四章电子商务安全技术27在电子商务中必须解决一下两个问题：身份验证；交易的不可抵赖。2023/9/22第四章电子商务安全技术28第三方机构数字证书作用4.2.2认证技术证书作用：向接收者证实某人或某个机构对公开密钥的拥有；

公钥分发。2023/9/22第四章电子商务安全技术292023/9/22第四章电子商务安全技术304.2.2认证技术2、认证中心（CA)：承担网上安全电子交易的认证服务。其主要任务是受理数字证书的申请、签发和管理数字证书。认证中心的功能（1）证书发放

（2）证书管理①证书更新②证书撤销③证书验证2023/9/22第四章电子商务安全技术31CA的层次结构2023/9/22第四章电子商务安全技术322023/9/22第四章电子商务安全技术33我国的认证中心我国的CA又可分为行业性CA和区域性CA两大类。行业性CA有中国金融认证中心（CFCA）、中国电信认证中心（CTCA）、中国邮政认证中心、外经贸部CA等。其中中国金融认证中心（CFCA）和中国电信认证中心（CTCA）是行业性CA中影响最大的两家。区域性CA大多以地方政府为背景，以公司机制来运作，如广东CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)等，各地还在继续建设。其中影响最大的是广东CA中心（CNCA）和上海CA中心(SHECA)。2023/9/22第四章电子商务安全技术342023/9/22第四章电子商务安全技术35CFCA是全国惟一的金融根认证中心，由中国人民银行负责统一规划管理，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设，由银行卡信息交换总中心承建，建立了SETCA和Non-SETCA两套系统，于2000年6月29日正式开始为全国的用户提供证书服务。中国金融认证中心（CFCA）2023/9/22第四章电子商务安全技术362023/9/22第四章电子商务安全技术372023/9/22第四章电子商务安全技术38针对这些技术的具体应用,国内外有许多不同的安全协议和整体解决方案,其中比较有名的就是VisaMasterCard联合推出的安全电子交易协议和有Netscape,Verisign推出的安全套接层协议。2023/9/22第四章电子商务安全技术392023/9/22第四章电子商务安全技术404.2.3电子商务安全协议SSL(securesocketslayer)是由NetscapeCommunication公司是由设计开发的，其目的是通过在收发