电子商务理论与实务谭课件习题答案章

第7章电子商务安全管理第七章电子商务安全管理本章知识结构框架电子商务安全管理防火墙技术数据加密技术认证技术电子商务安全技术协议对称密钥加密技术数字签名数字时间戳数字信封数字证书和CA认证SSL协议SET

协议电子商务安全管理对称密钥加密技术电子商务安全的法律保障我国电子商务法律制度建设电子商务安全制度第七章电子商务安全管理第一节电子商务的安全问题一、电子商务面临的安全威胁从整个电子商务系统着手分析，可以将电子商务的安全问题划分为四类风险：1.信息传输风险2.信用风险3.管理风险4.法律风险第七章电子商务安全管理二、电子商务的安全管理要求与思路1.电子商务的安全要求①系统有效性。②授权合法性。③信息保密性。④信息完整性。⑤真实性和不可抵赖性。第七章电子商务安全管理2.电子商务的安全管理思路网上交易安全管理，应当跳出单纯从技术角度寻求解决办法的圈子，采用综合防范的思路，从技术、管理、法律等方面去思考。建立一个完整的网络交易安全体系，至少从三个方面考虑，并且三者缺一不可。（1）技术方面（2）加强安全制度管理（3）法律制度

第七章电子商务安全管理第二节防火墙技术一、防火墙的原理防火墙是一种隔离控制技术，通过在内部网络（可信任网络）和外部网络（不可信任网络）之间设置一个或多个电子屏障来保护内部网络的安全。因此，设置防火墙的实质就是在企业内部网与外部网之间建立一个控制地带，检查网络服务请求分组是否合法，网络中传送的数据是否对网络的安全构成威胁。实现防火墙的网络安全策略时，有两条遵循的规则：①未被明确允许的都将被禁止。②未被明确禁止的都将被允许。第七章电子商务安全管理二、防火墙的主要技术1.包过滤（PacketFilter）技术（1）包过滤技术的主要优点①方便有效。②简单易行。（2）包过滤技术的缺陷①仅在网络层和传输层实现。②缺乏可审核性。③定义包过滤器比较复杂。第七章电子商务安全管理2.代理服务（ProxyServer）技术（1）代理服务技术的主要优点①屏蔽被保护的内部网。②对数据流的监控。（2）代理服务技术的主要缺点①实施时较困难。②需要特定的硬件支持。第七章电子商务安全管理三、防火墙的实现方式1.网络级（包过滤型）防火墙2.应用级的防火墙（1）双穴主机网关（2）屏蔽主机网关（3）屏蔽子网网关（ScreenedSubnetGateway）第七章电子商务安全管理四、防火墙的局限性①防火墙不能阻止来自内部的破坏。②防火墙不能保护绕过它的连接。③防火墙无法完全防止新出现的网络威胁。④防火墙不能防止病毒。第七章电子商务安全管理第三节数据加密技术一、数据加密的原理数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性。所谓加密，就是将有关信息进行编码，使它成为一种不可理解的形式。用来加密（解密）的算法为一数学函数，在加密或解密的过程中使用的可变参数称为密钥。加密后的内容叫做密文。加密技术能避免各种存储介质上的或通过Internet传送的敏感数据被侵袭者窃取。这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。第七章电子商务安全管理二、对称密钥加密技术对称密钥加密技术对称密钥加密技术利用一个密钥对数据进行加密，对方接收到数据后，需要用同一密钥来进行解密。对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES算法。DES主要是利用交乘加解密器的设计原理。数据加密的技巧，就是将原始数据打散打乱，让别人很难组合起原始数据，相对也就能提高保密的效果。DES方法的加密过程可分为16回合，每一回合都将上一回合打散的数据再打散一次；每一回合相当于在原始数据上加了一把锁，最后总共加了16把锁。锁加得越多，相对的保密性就越高。DES实现容易，使用方便，最主要优点在于加解密速度快，其主要弱点在于密钥数量大，管理困难，密钥的传输过程必须绝对地安全，一旦密钥泄露则直接影响到信息的安全性。第七章电子商务安全管理三、非对称密钥加密技术对称密码技术的缺陷之一是通信双方在进行通信之前需通过一个安全信道事先交换密钥。这在实际应用中通常是非常困难的。如果事先约定密钥，则进行网络通信的每个人都要保留其他所有人的密钥，这就给密钥的管理和更新带来了困难。针对这些问题，1976

年，两位美国计算机学家WhitfieldDiffie和MartinHellman提出一种新的密钥交换协议，这就是“公开密钥系统”。这种算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。因为加密和解密使用的是两个不同的密钥，所以这种算法也叫做非对称加密算法。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开，而另一把则作为专用密钥加以保存。公开密钥用于对机密性的加密；专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的交易方掌握，公开密钥可广泛发布，但它只对应于该密钥的交易方有用。第七章电子商务安全管理交易双方利用该方案实现机密信息交换的基本过程如下：①交易方乙生成一对密钥，将其中的一把作为公开密钥向其他交易方公开。②得到了该公开密钥的交易方甲使用该密钥对机密信息进行加密后再发送给交易方乙。③交易方乙再用自己保存的另一把专用密钥对加密后的信息进行解密。④交易方乙只能用其专用密钥解密由其公开密钥加密后的任何信息。第七章电子商务安全管理非对称密钥加密技术的主要算法是

RSA（由

Rivest、Shamir和Adleman

研究发明，1997

年进入市场），该算法的思想是基于大数因子分解的难度基础上，即用两个很大的质数相乘所产生的积来加密。这两个质数无论用哪一个先与原文编码相乘，对文件进行加密，均可用另一个质数再相乘来解密。但要用其中的一个质数来求出另外一个质数，则几乎是不可能的事。非对称密钥加密技术使密钥分配非常方便，对于网上的大量用户，可以将加密密钥用电话簿的方式印出。如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。对方收到信息后，用仅为自己所知的解密密钥将信息解密，了解报文的内容。这种算法克服了对称密钥加密技术的弱点。缺点是：产生密钥很麻烦，速度较慢，最快的情况也比DES慢上100倍，一般只用于对少量信息加密。第七章电子商务安全管理第四节认证技术一、信息认证的目的信息认证是安全性的很重要的一个方面，信息认证的目的包括以下几个方面：①可信性。②完整性。③不可抵赖性。④访问控制。第七章电子商务安全管理二、数字签名数字签名实际上是公开密钥加密技术的一类应用，是通过哈希函数（hashfunction）即Hash编码法来实现的。用安全Hash编码法（SecureHashAlgorithm，SHA）对明文中若干重要元素进行某种运算，得到一串128位的密文，叫做报文摘要（数字摘要），其特点是有固定长度，代表了文件的特征，不同的明文摘要成的密文是不同的，而同样的明文其摘要必定是一致的，所以也称为数字指纹。第七章电子商务安全管理三、数字时间戳在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DigitalTimeStampService，DTS）是网上电子商务安全服务项目之—，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS

收到文件的日期和时间，DTS的数字签名。第七章电子商务安全管理四、数字信封数字信封是数据加密技术的又一类应用，包括对称密钥加密技术及非对称密钥加密技术的两种应用，将两类加密技术的优点结合起来。信息发送端用接收端的公钥，将一个通信密钥加密后传送到接收端，只有指定的接收端才能打开信封，取得秘密密钥，用它来解开传送来的信息。第七章电子商务安全管理具体过程如下：①发送者将要传输的信息经哈希函数运算得到一个报文摘要。②用发送者的私钥对报文摘要加密后得到一个数字签名。③发送者将信息明文、数字签名及数字证书上的公钥三项信息通过对称加密算法，用加密密钥进行加密得到加密信息。④在传送信息之前，发送方必须先得到接收方的证书公开密钥，用其公钥对秘密密钥进行加密，形成一个数字信封。⑤发送方将加密信息和数字信封一起向接收方传送。⑥接收方以自己的私有密钥解开所收到的数字信封，从中解出发送方加密信息所用过的秘密密钥。⑦接收方用秘密密钥将信息密文还原成信息明文、数字签名和发送方的证书公开密钥。⑧将数字签名用发送方证书中的公开密钥解密，将数字签名还原成报文摘要。⑨接收方以收到的信息明文，用

Hash

函数运算得到一个新的信息摘要。⑩比较收到已还原的报文摘要和新产生的报文摘要是否相等，相等无误即可确认，否则不接收。第七章电子商务安全管理六、数字证书和CA认证1.数字证书数字证书也称公开密钥证书，是在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它主要包含用户身份信息、用户公钥信息以及身份验证机构数字签名等数据，是经认证中心发行的文件，是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明。第七章电子商务安全管理2.认证中心认证中心就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的具有权威性、公正性的第三方服务机构。主要任务是受理数字证书的申请，签发并管理数字证书。（1）认证中心主要功能①颁发证书。②查询证书。③更新证书。④撤销证书。⑤证书的归档。⑥密钥托管和密钥恢复。第七章电子商务安全管理（2）认证中心的分级结构对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。（3）我国CA认证体系的建设情况自上海

CA

中心成立以来，全国已经有超过30家CA中心，目前规模较大的包括上海CA中心（SHECA）、中国金融认证中心（CFCA）、中国电信在长沙启动的电信（CTCA）及包括其他部委和地方性的

CA

中心（如北京市电子商务认证中心、天津市电子商务认证中心等），甚至还包括德达创新和天威诚信等纯粹的民间

CA

中心。第七章电子商务安全管理第五节电子商务安全技术协议一、SSL协议安全套接层（SecureSocketsLayer）协议由Netscape（网景公司）设计开发的基于Web应用的安全协议，主要用于提高应用程序之间数据的安全性。该安全协议主要提供对用户和服务器的认证，对传送的数据进行加密，确保数据在传送中不被篡改，能使客户与服务器之间的通信不被攻击者窃听。1.

SSL

协议规范SSL

协议由

SSL

记录协议和SSL握手协议两部分组成。第七章电子商务安全管理2.

SSL

提供的安全服务（1）SSL协议的功能①信息加密。②信息完整件。③身份认证。（2）SSL协议的优点①机密性。②完整性。③身份认证。第七章电子商务安全管理二、SET

协议SET（安全电子交易协议）向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由

Visa

国际组织和

Mastercard

组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。由于设计较为合理，得到了诸如微软公司、IBM

公司、Netscape

公司等大公司的支持，已成为事实上的工业标准。第七章电子商务安全管理1.

SET

协议中的角色①持卡者。②网上商家。③支付网关。④发卡银行。⑤收单银行。⑥

CA

认证中心第七章电子商务安全管理2.

SET

协议要达到的安全目标SET

协议在安全性方面主要体现在以下四个方面：①保证电子商务参与者信息的相互隔离，客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。②保证信息在

Internet

上安全传输，防止数据被黑客或内部人员窃取。在实现SET的数据保密性时，报文数据通过使用随机生成的对称密钥加密，对称密钥又通过使用报文接收者的公开密钥加密，接收者使用其私有密钥解密数字信封得到对称密钥，并使用它解密报文数据。③解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。④仿效

EDI

贸易的形式，规范协议和消息格式，促使不同厂家按照一定的规范开发软件，使其具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。第七章电子商务安全管理3.

SET

协议的工作原理SET

协议的支付流程分为下面八个步骤：①持卡者向商家发出购买初始化请求，该消息中包括持卡者的信息和证书。②商家接收到该请求后验证持卡人的身份，将商家和支付网关的有关信息和证书生成购买初始化响应消息，发给持卡者。③持卡者接收到该响应消息后，验证商家和支付网关的身份，然后，持卡者利用自己的支付信息，生成购买请求信息，并发给商家。④商家接收到购买请求后，连同自己的信息生成授权请求消息发给支付网关，请求支付网关授权该交易。⑤支付网关接收到授权请求消息后，取出支付信息，通过银行内部网络连接收单行和发卡行，对该交易进行授权。授权完成后，支付网关产生授权响应消息发给商家。⑥商家接收到授权响应消息，定期向支付网关发出转账请求消息，请求进行转账。⑦支付网关接收到转账请求消息，通过银行内部网连接收单行和发卡行，将资金从持卡人账户转到商家账户中，然后向商家发出转账响应消息。⑧商家接收到转账响应消息后，知道已经完成转账，然后产生购买响应消息，发送给持卡者，持卡者收到后，知道该交易已经完成。第七章电子商务安全管理三、SSL协议与SET协议比较