电子商务安全技术

第三章电子商务平安技术2023年3月，中国互联网络信息中心发布的《2023年中国网民网络信息平安状况调查报告》：2023年我国70%网民曾遭遇过网络平安事件；超过九成网民均碰到过网络钓鱼网站，77.5%是因为在网络下载或浏览时遭遇病毒或木马的攻击。黑客产业的攻击重心从2023年起逐渐转向社交和网购应用。其中，聊天、交友、微博等社交网络的好友列表成为木马和钓鱼网站的主力传播通道。2023年，钓鱼网站、木马等威胁已经给网络购物用户造成超过200亿元的损失电子商务平安现状网络平安主要威胁1.诈骗短信链接2.恶意软件泛滥3.日益诡诈的钓鱼网站4.即时通讯成为主要攻击对象5.网上银行攻击频繁6.骚扰钓鱼网站钓鱼网站是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的网址以及页面内容，或者利用真实网站效劳器程序上的漏洞在站点的某些网页中插入危险的网页代码，以此来骗取用户银行或信用卡账号、密码等私人资料。特点：1、本钱低：制作一个钓鱼网站本钱只有几十元，域名也大多可以免费申请2、周期短：3-5天，被识破后，又将网页内容切换到另一域名3、高伪装性4、病毒式推广：钓鱼网站制作者和病毒、木马以及流氓软件的传播者相互勾结，通过病毒、木马、流氓软件来弹出钓鱼网站的广告，针对特定目标的钓鱼网站会通过一些聊天工具、贴吧、论坛或网络游戏内置的聊天频道来推广。

现阶段使用过程中常遇到的平安问题1、假银行短信链接2、假公安局3、短信诈骗链接4、钓鱼网站5、QQ诈骗链接6、QQ、微信被盗号假借朋友名义发来的骗钱7、上网过程中的恶意链接8、木马9、银行卡被复制电子商务系统平安1、计算机网络平安2、电子商务交易平安计算机网络平安是根底，电子商务交易平安是目标，只有在计算机网络平安的前提下，电子商务交易平安才有可能。电子商务系统平安技术电子商务系统平安技术交易安全技术加密技术认证技术安全协议安全管理体系网络安全技术病毒防范技术防火墙技术

VAN（虚拟专用网技术）网络入侵检测安全监控网络扫描法律、法规、政策保密性认证性完整性不可抵赖性有效性访问控制性电子商务系统平安需求1、信息的保密性〔信息的局部或全部窃取〕2、信息的完整性〔发送方发送的信息和接收方收到的信息是完全一样的〕电子商务系统平安交易的需求3、身份的认证性〔伪造身份〕4、不可否认性(发送方发送了信息否认接收方收到了信息抵赖〕5、信息的可靠性〔信息中断、非法访问〕电子商务网络平安威胁1、物理实体的平安问题2、自然灾害、意外事故3、黑客的恶意攻击4、软件的漏洞和“后门〞5、网络协议的平安漏洞6、计算机病毒的攻击操作系统、数据库系统、防火墙、各种应用软件等的漏洞和“后门〞HTTP、FTP|、IP、UDP等大多数协议都存在漏洞信息的有效性访问的可控性电子商务系统平安1、计算机网络平安计算机网络设备平安、计算机网络系统平安、数据库平安、应用软件平安等。2、电子商务交易平安计算机网络平安与商务交易平安实际上是密不可分的，两者相辅相成，缺一不可加密的概念用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。加密技术的相关概念

明文：加密前的数据称为明文，用M表示。密文：加密后的数据称为密文，用C表示。

加密：把明文M经过加密算法E和加密密钥Ke

的计算后得到密文C的过程称为加密

解密：把密文C经过解密算法D和解密密钥Kd

的计算后得到明文M的过程称为解密

信息加密技术信息加密系统模型

加密方法的分类

●对称加密〔私钥加密〕●非对称加密(公钥加密)古代对称加密：

恺撒密码〔移位加密算法〕对于任意密钥k将明文的每个字母循环后移k位得到密文，例如：设k=3明文：securemessage

密文：古代对称加密：词组密钥密码密钥为２６字母的词组，置换规那么为：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：对称加密〔私钥加密〕：Ke=Kd优点对信息编码和解码的速度快，效率高。缺点如何将密钥平安地送给接收方密文和密钥的传送通常需采用不同的渠道如何对数量庞大的密钥进行分发、传输和存储。加密的平安性主要取决于密钥的长度。常用的现代对称加密算法：DES算法

DES加密算法是由IBM公司在1970年研制的，1977年1月15日由美国国家标准局和美国国家标准协会对外宣布，作为非机密机构〔军事机构〕的加密标准，用于绝大多数非绝密数据的加密。是典型的对称加密算法DES算法在ATM、磁卡及智能卡、加油站、高速公路收费站等领域被广泛应用。现代加密算法：公钥加密体制又称非对称加密或双钥加密，它的概念是由美国Stanford大学的Diffie与ellman于1976年提出的。公钥技术是二十世纪最伟大的思想之一改变了密钥分发的方式可以广泛用于数字签名和身份认证效劳公钥加密体制每个用户都拥有一对密钥：公开密钥和私有密钥。公开密钥是公开信息，而私有密钥是保密的，需要由用户自己保密。如某企业的一对密钥：

公开密钥：ddrtiogkd315ssfg

私有密钥：aq54677gfkgffghh公钥加密体制公开密钥体制特点：1、没有任何两个私有或公开密钥是相同的；2、一个信息如果用A的私有密钥加密，只能用A的公开密钥才能解密；如果一个信息用A的公开密钥加密，那么只能用A的私有密钥才能解密。3、公开密钥，不可能推算出私有密钥。4、公开密钥就象个人或企业名称一样，可以从公共机构得知；私有密钥必须保密，否那么后果自负。5、如果一个人的私有密钥泄漏，那么其公开密钥也作废．电子交易中公钥加密应用实例A〕用接收方公钥加密信息保密信息如：银行有很多客户，每个客户都用银行的公钥加密，而银行那么用私有密钥解密。电子交易中公钥加密应用实例B〕用自己的私钥加密信息使发送者无法抵赖电子交易中公钥加密应用实例非对称密钥系统〔公钥加密〕：Ke<>Kd优点N个人彼此之间传输保密信息只需N对密钥，而且由于公钥是公开的，所以公钥的发布也不成问题。缺点加密和解密的速度相对慢一些常用加密算法RSA算法，根本原理：基于数论中一个大数很难分解为两个素数之积。加密技术的应用1、数字摘要采用单向Hash函数对文件进行变换运算得到一串字符，称为数字指纹或数字摘要。HASH算法特征：1〕数字摘要是一串无意义的某个长度的字符串〔128、160、256、512位等〕。2〕单向性：从数字摘要推算不出原文3〕唯一性：只有完全相同的两个信息进行单向Hash函数算法后得到的数字摘要是相同的，两个信息只要有一点差异，形成的数字摘要都完全不同；4〕单向Hash函数算法是一种公开的算法。数字摘要的作用：判断信息在传送过程中是否被修改，也即信息的完整性二、数字信封数字信封：信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密〔这局部称为数字信封〕之后，将它和信息一起发送给接收方，接收方先用自已的私有密钥翻开数字信封，得到对称密钥，然后使用对称密钥解开信息。数字信封作用：信息保密、完整性

123123对称加密

用乙方公开密钥加密私有密钥原文密文1对称密码123123密文2乙方接收密文2得到对称加密密码123123密文1原文用123123解密信息信息信息比较相同？不同？信息发送方信息接收方数字签名实现原理作用：1、对信息发送方身份认证，即签名，发送方发送了信息的不可否认性。2、确认信息是否被修改，信息的完整性

数字时间戳技术

什么是数字时间戳〔DTS〕在交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳就是用来证明信息的收发时间的。它对电子文件提供发表时间的平安保护。该效劳由专门的网络效劳机构提供。

数字时间戳技术数字签名CA认证机构CA〔CertificateAuthority〕：身份认证机构，也称数字认证中心，是由权威的、公正的第三方机构来担任，为各类用户签发数字证书的机构。CA的职能证书发放

证书查询证书更新证书撤消

知名认证中心

①美国的Verisign公司〔微软、网景、工行等〕②中国电信CTCA系统③中国金融认证中心CFCA④上海市电子商务平安证书管理中心⑤北京数字证书认证中心⑥广东省电子商务认证中心⑦中国数字认证网我国CA建设现状1、缺乏统筹和协调，没有建立一个全国性根CA〔如美国的邮政CA〕，各地区都建成自己的一套CA体系2、交叉认证的不兼容在2005年4月1日实施的电子签名法中明确推荐使用第三方证书，这样就排除了商业银行即当运发动又当裁判员时可能存在的各种风险。

数字证书，就是用电子手段来证实一个用户的身份，由可信任的、权威的、公正的认证机构CA签发的电子文件。具有信息可靠真实、防篡改的特点。其作用类似于现实生活中的身份证。证书中一般有如下几项：数字证书1〕证书拥有者的信息；2〕证书拥有者的公开密钥；3〕办理数字证书的单位；4〕数字证书的有效期；5〕证书的版本号；6〕数字证书的序列号；7〕签名算法认证机构对数字证书的内容进行审查核实后，对它数字签名见阿里巴巴数字证书数字证书类型1、个人证书〔客户证书〕1〕个人身份证书：2〕个人电子邮件证书：3〕个人网上银行卡证书：数字证书类型2、企业数字证书：用于证实一个企业的真实身份，以便企业在网上进行各类电子商务活动3、设备数字证书：1〕WEB效劳器证书2〕网关证书4、代码签名数字证书：用于软件开发人员对其开发的软件代码进行数字签名，以防止软件代码被篡改，以防病毒或黑客数字证书的存储1、硬盘2、USBKEY3、智能卡安全协议SSL协议、SET协议、网际邮件扩充协议〔S/MIME〕平安超文本传输协议〔S-HTTP〕PGP协议等SSL协议1．平安套接层〔SSL〕协议由Netscape公司1994年设计开发，是国际上最早应用于电子商务的一种平安协议,现在绝大局部的网络效劳器和浏览器都支持SSL协议已成为信息保密通信的工业标准SSL的优点、缺点优点：1、能确保信息在互联上平安传输。2、所有浏览器、效劳器都支持SSL，加、解密速度较快。缺点：1、无法保证商家不看持卡人的支付信息了，对客户的身份认证不是必须的2、双方不对信息做数字签名，不能确保不可否认性。只适合小金额的交易。由VISA和MasterCard两大信用卡公司于1997年5月联合开发主要用以对信用卡支付时的平安加密具有信息保密性、完整性、不可否认性、认证性等特征SET已成为国际上所公认的在Internet上使用信息卡平安支付的标准已得到IBM、HP、微软等绝大多数公司以及绝大多数银行的支持。平安电子交易〔SET〕协议SET平安协议SET协议的特点保证信息的机密性保证支付信息的完整性多方认证使用本钱较高，操作较复杂，加解密时间较长计算机网络平安技术1、防火墙技术2、VAN〔虚拟专用网技术〕3、网络入侵检测4、漏洞扫描5、防病毒技术防火墙防火墙定义：是设置在被保护网络〔本地网络〕和外界网络〔主要指互联网〕之间的软件或硬件设备的组合，是两个网络之间的唯一通道，它对两个网络之间的通信进行控制，通过强制实施统一的平安策略，如允许或拒绝访问，防止对重要信息资源的非法存取和访问，以到达保护本地网络平安的目的。防火墙例如图内部网FTP效劳器WWW效劳器防火墙外部内部12Internet路由器防火墙防火墙例如图可以是二层及假设干层防火墙关键技术分组过滤型〔包过滤型〕代理效劳器型

状态检测技术防火墙技术

1、分组过滤型防火墙1〕主要通过路由器及包过滤器来完成对外界计算机访问内部网络的限制2〕它根据IP数据包头源地址，目的地址、端口号、协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包那么被从数据流中丢弃；也可以指定或限制内部网络访问因特网。3〕包过滤器是运行在路由器上的一个软件，它能阻止IP包通过路由器。大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；端口：信息出入的通道，如果把IP地址比为一间房子，端口那么是出入房子的许多门，如TCP：21，:80，通过不同的端口号，可以使信息快速地到达不同的效劳器分组过滤型防火墙优点：路由器都集成包过滤功能，费用少，效率高缺点：1、平安性差：不能防止对IP地址欺骗式攻击，而伪装IP地址是很容易的2、不识别应用层协议：假设内网用户提出这样一个需求，只允许内网员工访问外网的网页〔使用HTTP协议〕，不允许去外网下载电影〔一般使用FTP协议〕。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议〔FTP、HTTP属于应用层协议)3、不能记录用户访问状态信息,致使对攻击无法追踪应用型防火墙应用代理型防火墙是工作在应用层。内外网之间的信息都通过代理效劳器完成，完全"阻隔"了网络通信流，通过对每种应用效劳编制专门的代理程序，实现监视和控制应用层通信