第5章,电子商务安全

第5章

电子商务的安全5.1电子商务安全概述电子商务的安全威胁电子商务网络系统安全威胁交易安全威胁1、计算机软件系统的潜在安全问题2、安全产品使用不当3、缺少严格的网络安全管理制度1、交易者可能在交易过程中被竞争对手盗取各种资料2、交易伙伴有企图抵赖或欺诈的行为3、交易的各方存在被冒名顶替的风险电子商务的安全要求电子商务交易方电子商务交易方在网络基础设施上开展的电子交易Internet或其他网络设施电子商务的基本安全要素：有效性，完整性，机密性，可靠性/不可抵赖性/可鉴别性,审察能力1、电子商务交易方自身网络安全硬件资源的安全软件和数据库资源的安全内部系统的门户安全2、电子交易数据的传输安全交易数据和信息的保密性要求交易数据和信息的完整性要求交易各方身份的可认证性要求交易本身的不可抵赖性要求3、电子商务的支付安全电子支付是电子商务中的重要环节，涉及用户与银行等金融部门的交互接口，其安全形势整个电子商务安全中重要方面。网上金融服务电子商务安全保障体系1、管理上的安全措施2、法律上的安全措施3、技术上的安全保障（1）有关电子商务交易各方合法身份认证的法律（2）有关保护交易者个人及交易数据的法律（3）有关电子商务中电子合同合法性及如何进行认证的法律（4）有关网络知识产权保护的法律安全技术病毒及黑客防范技术防火墙技术加密算法基于公钥体系的数字证书认证技术安全电子交易SET协议订单和付款指令进行数字签名，双重签名保证商家看不到帐号信息电子商务安全交易体系结构如下图：电子商务应用系统电子商务支付系统

安全应用协议，如SSL、SET、HTTPS、PGP等安全认证手段，如数字摘要、数字签名、数字信封、CA（认证中心）体系等基本的加密算法,如非对称密钥加密算法、对称密钥加密算法等网络隐患扫描,网络安全监控,内容识别,访问控制,防火墙0网络服务层1加密技术层2安全认证层3交易协议层4商务系统层5.2电子商务交易方自身网络安全保障技术用户账号管理和网络杀毒技术用户账号管理技术网络杀毒技术1、用户分级管理是很多操作系统都支持的用户管理方法2、单一登录密码制度保证用户在企业计算机网路里任何地方都使用同一个用户名和密码3、用户身份确认方法对用户登录方法进行限制1、预防病毒技术2、监测病毒技术3、消除病毒技术防火墙技术防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。1、防火墙基本概念2、防火墙的主要作用功能

能做什么？安全把关网络活动统计内部隔离不能做什么？不能防范内部入侵不能防范新的威胁控制粒度粗

防火墙的功能保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类；保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源；保护数据的机密性。加密敏感数据。3、防火墙类型包过滤型防火墙应用级网关代理服务器Internet客户1客户nIntranet不安全网络包过滤防火墙安全网络图包过滤型防火墙的工作原理示意图代理服务：代理服务是运行在防火墙主机上的应用程序或服务器程序。它在幕后处理所有Internet用户和内部网之间的通讯以代替直接交谈。代理服务选用和建立合适的防火墙系统防火墙并不能对企业内部网络进行全面的保护必须与企业整体安全防护措施、其他网络安全技术相结合才能更好地发挥作用5.3电子商务数据传输安全保障技术数据加密采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接受者来说是无意义的文字(密文),对于合法接收者,因为掌握正确地密钥,可以通过解密过程得到原始数据(明文)加密解密密钥

数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。

两种不同的加密算法加密技术的主要分类

对称密匙在对数据加密的过程中，使用同样的密匙进行加密和解密。常见密匙算法：DES、IDEA公开密匙/私有密匙

与对称密匙不同，公开密匙/私有密匙使用相互关联的一对算法对数据进行加密和解密。常见密匙算法：RSA(1)对称加密体制(2)非对称加密体制公开密匙/私有密匙加密老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息(3)公钥密钥与对称密钥技术的综合应用AB如何管理密钥对称密钥管理公开密钥管理/数字证书(4)密钥管理与自动分配1分发密钥2验证密钥密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来。如果需要，密钥可被重传。接收端也可以验证接收的密钥是否正确。3更新密钥4存储密钥通过密钥分配中心(KDC,有A和B的公钥)来管理和分配公开密钥也是一种公认的有效方法。安全认证技术---数字摘要

数字摘要(Digital

Digest)：对需要加密的信息原文通过特定的变换后，将其“摘要”成一串128比特的密文，这串密文又称为数字指纹(Finger

Print)。于是，利用这段摘要，就可以验证通过网络传输收到的文件是否是未被非法篡改的文件原文了。数字摘要过程

数字摘要过程安全认证技术---数字签名数字签名技术的原理利用数字签名发送信息的流程数字签名技术必须保证：接收者能够核实发送者的报文签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名解决数据传输完整性问题数字签名的算法

应用最为广泛的签名算法是RSA算法、DSS算法以及Hash算法，这三种算法可以单独使用，也可以混合使用。

Hash签名是最主要的数字签名方法，又称为数字摘要法（digitaldigest）或数字指纹法(digitalfingerprint)。数字签名过程

数字签名过程发送方接收方数字签名1对原文实施哈希过程得到数字签名非对称加密2对数字签名利用自己的私钥进行加密发送3把原文和加密的数字签名发送到接收方非对称加密4对加密的数字签名利用自己的公钥进行解密重新实现数字签名5利用哈希函数和受到的明文重新获得数字签名比较数字签名6比较解密的数字签名和重新计算获得的数字签名，若一致，说明文件在传输过程中未遭到破坏利用数字签名发送信息流程示意图数据加密和认证技术在电子商务中的综合应用

——虚拟私人网（VPN技术）1、虚拟私人网2、VPN应用平台3、VPN的特点用来传输加密数据的网络（1）纯软件平台VPN（2）专用硬件平台VPN（3）辅助硬件平台的VPN5.4电子商务交易用户身份识别与认证技术认证中心CA（CertificationAuthority）受信任的第三方机构，负责数字证书的发放、验证等。认证中心的功能：核发证书、管理证书、搜索证书、验证证书对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构,CA的树形验证结构(如图所示）

根CA中间CACA认证的过程电子商务交易的各方向CA中心提交自己的公开密钥和其他代表自己身份的信息。CA中心在验证了用户的有效身份后，向用户颁发一个附有自己签名的证书，该数字证书用CA的私有密钥进行加密。参与电子商务交易的各方如果从同一个CA处获得证书或相互信任为对方签发证书的CA，他们就可以通过交换数字证书来获得对方的公钥。利用CA的公开密钥验证其数字签名。当用户的私有密钥泄露或由于证书的有效期已到，CA中心就需要将该用户的数字证书作废，并要向外界公布作废证书的信息。数字证书的内容和验证定义：由CA认证中心发放的一个数字文件，数字证书也称公开密钥证书，在网络通信中标志通信各方身份信息的一系列数据。数字证书的内容：一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途数字证书的种类数字证书的管理和验证中国金融认证中心中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。北京数字证书认证中心

（），为网上电子政务和电子商务活动提供数字证书服务。互联网困境公钥体系---PKI-公钥基础设施为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI-公钥基础设施PKI（publickeyinfrastructure）:是一种遵循既定标准的密钥管理平台，为网络应用提供加密和数字签名等密码服务及所需密钥和证书的管理体系是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术PKI的基础技术:加密、数字签名、数据完整性机制、数字信封、双重数字签名等组成：公钥密码技术，数字证书，认证机构(CA)，有关公钥的安全策略核心元素:数字证书核心执行者:CA认证机构公钥体系---PKI-公钥基础设施典型P