第8章-电子商务安全技术

第八章电子商务安全技术主要内容8.1电子商务安全概述8.2电子商务安全技术8.3安全技术协议8.4电子商务安全解决方案8.1电子商务安全概述

一个安全的电子商务系统，首先要有一个安全、可靠的通信网络，以保证各种信息安全、迅速地传递；其次要保证各种服务器安全，如WWW服务器、应用服务器和数据库服务器，防止非授权者入侵破坏、盗取信息；

最后，要保证商务交易安全，使交易的参与者为自己的行为负责，从而建立良好的电子商务秩序。8.1.1电子商务安全威胁Internet是一个高度开放的信息交换媒介，商务信息通过计算机网络进行传输，安全问题在电子商务的发展和应用中显得越来越突出。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够安全的保护，已经成为商家和用户都十分关心的话题。

电子商务环境安全隐患计算机硬件系统的安全隐患计算机软件系统的安全隐患电子商务网络系统的安全隐患数据安全隐患8.1.1电子商务安全威胁电子商务交易安全隐患交易信息的安全隐患电子支付的安全隐患电子商务管理安全隐患8.1.1电子商务安全威胁保密性完整性不可抵赖性真实性8.1.2电子商务安全要素信息不被泄露给非授权用户、实体和过程，或供其利用的特性。信息未授权不能进行改变。参与者不可能否认或抵赖曾经完成的操作和承诺。交易各方能正确识别对方并能互相证明身份。数据加密策略访问权限控制策略防火墙控制安全的操作系统入侵检测保护策略防病毒策略8.1.3电子商务网络安全策略主要内容8.18.28.38.4电子商务安全概述电子商务安全技术安全技术协议电子商务安全解决方案8.2电子商务安全技术一个安全的电子商务系统，主要是由电子商务安全技术来实现和保证的。

电子商务安全技术主要有：防火墙技术、加密技术、认证技术等。

防火墙是一种用来保护本地系统或网络的设备，以防止网络攻击破坏系统或网络。通常位于被保护的网络和外部网络的边界，根据防火墙所配置的安全策略监控和过滤内部网络和外部网络之间的所有通信量。8.2.1防火墙技术1.包过滤型防火墙8.2.1防火墙技术数据包过滤技术是根据每个数据包头内的标志来确定是否允许该数据包通过防火墙，其中过滤的依据是系统内设置的过滤规则。

优点：简单易行、网络性能和透明性好

缺点：需要设置相当详细的过滤规则，且随着过滤规则数据的增加，出错概率增大，系统性能也会受到很大影响。2.应用代理型防火墙8.2.1防火墙技术应用代理型防火墙能够为应用软件解释协议流，并且根据协议内部可见部分控制数据流通过防火墙的行为，从而使得应用软件只接受正常的活动请求。优点：可以防应用层攻击

缺点：实现较为复杂，处理速度较慢，有处理延迟

加密：使用数学方法将原始消息（明文）重新组织、变换成只有授权用户才能解读的密码形式（密文）。加密技术是计算机网络安全很重要的一部分。

由于Internet本身的不安全，为了确保安全，不仅要对口令进行加密，有时也对在网上传输的文件进行加密。8.2.2加密技术

又称私有密钥加密。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。8.2.2加密技术1.对称加密8.2.2加密技术1.对称加密对称式密钥技术加解密过程

又称公开密钥加密，加密和解密使用不同的密钥。每个用户都有一对密钥，公开密钥（公钥）和私有密钥（私钥）。公钥存放在公共区域；私钥存放在安全保密的地方。如果用公钥对数据加密，则只有用对应的私钥才能解密，反之亦然。8.2.2加密技术2.非对称加密8.2.2加密技术2.非对称加密非对称式密钥技术加解密过程8.2.2加密技术2.非对称加密数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术。数字信封既发挥了对称加密算法速度快、安全性好的优点，又发挥了非对称加密算法密钥管理方便的优点。8.2.2加密技术3.加密技术应用

安全认证是电子商务运行的第一道防线，也是非常重要的一道防线，建立一套完善的安全认证体系是电子商务大规模商业化运行的基础。

随着网络以及网络安全技术的发展，出现了各种各样的认证技术：身份认证、报文摘要、数字签名、公钥基础设施及电子商务认证中心等。8.2.3认证技术基本思想：通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。电子商务中的身份认证方案：

基于口令的身份认证方案

基于智能卡的身份认证方案

基于生物特征的身份认证方案8.2.3认证技术1.身份认证报文摘要(Message

Digest)，也称消息摘要，根据报文推导出来的能反映报文特征，且具有固定长度的特定信息。

由明文推导出报文摘要是由哈希函数完成的，输入变长的信息，该函数能够产生定长的输出。对于任意两个不同的输人报文，其报文摘要值也会不同。8.2.3认证技术2.报文摘要作用：验证报文是否被修改过，即报文的完整性。3.数字签名

数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(如接收者)伪造。8.2.3认证技术3.数字签名8.2.3认证技术数字签名过程示意图4.公钥基础设施及电子商务认证中心

要想让交易在公平公正的环境下进行，必须要有第三方仲裁机构参与，该机构可以为用户颁发“身份标志”，即数字证书，数字证书是所有参与电子交易用户的“身份证”，它将用户的身份与密钥绑定在一起。8.2.3认证技术(1)数字证书

是标识网络用户身份信息的一系列数据，用来在网络通信中识别通信对象的身份。数字证书由认证中心CA发放并经CA数字签名，是包含公钥拥有者以及公钥相关信息的一种电子文件。8.2.3认证技术目前，最常用的数字证书是x.509证书。8.2.3认证技术(1)数字证书8.2.3认证技术8.2.3认证技术8.2.3认证技术(2)公钥基础设施PKI公钥基础设施是利用公共密钥理论和技术建立的，能提供安全服务的基础设施。PKI体系结构采用证书管理公钥，通过第三方的可信认证中心CA，把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，以方便网络中通信对象之间验证彼此的身份。8.2.3认证技术(3)电子商务认证中心CA

以CA为核心的PKI安全体系结构是电子商务的基础设施，它为电子商务的参与方提供了安全保障的应用环境。

作为PKI的核心组件CA，是具有公正性、权威性的第三方认证中心，完善的电子商务系统必须有一套完整合理的CA系统支撑。8.2.3认证技术主要内容8.18.28.38.4电子商务安全概述电子商务安全技术安全技术协议电子商务安全解决方案8.3安全技术协议电子商务的运行需要一套完整的安全协议。目前，比较成熟的协议：SSL（Secure

Sockets

Layer）SET(Secure

Electronic

Transaction)安全超文本传输协议(S-HTTP)等。8.3.1安全套接层SSL协议SSL是提供Internet上的通信隐私性的安全协议。

该协议允许客户端／服务器端进行防窃听、防消息篡改，以及消息伪造的安全的通信。

SSL协议是位于TCP／IP和各种应用层协议之间的一种数据安全协议，它可以有效的避免网上信息的偷听、篡改以及伪造。(1)SSL提供的服务认证用户和服务器，确保数据发送到正确的客户机和服务器上加密数据以防止数据中途被窃取维护数据的完整性，确保数据在传输过程中不被改变8.3.1安全套接层SSL协议(2)SSL工作过程8.3.1安全套接层SSL协议

SET主要是为了解决商家、用户和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。

安全电子交易协议实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。8.3.2安全电子交易SET协议(1)SET安全协议主要服务机密性数据完整性身份验证防抵赖性8.3.2安全电子交易SET协议(2）SET的主要参与者8.3.2安全电子交易SET协议持卡人商家发卡银行收单银行支付网关认证中心(3）SET的系统组成8.3.2安全电子交易SET协议持卡人电子钱包商家系统支付网关系统证书授权系统（4）基于SET的网上信用卡安全交易8.3.2安全电子交易SET协议（5）SSL协议与SET协议的比较SSL协议实现简单、使用方便、成本较低。SET协议实施成本较高，要依赖于可信赖第三方认证机构，运行机制复杂。

SSL协议是一个面向连接的协议，可以通过数字签名和数字证书来实现浏览器和Web服务器双方的身份验证，不能实现多方认证。而SET协议能够对所有参与成员进行身份认证。8.3.2安全电子交易SET协议

SET协议规范了整个商务活动的流程，对各个参与者之间的信息流必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了安全性、商务性、服务性、协调性和集成性。而SSL只对客户端与服务器之间的信息交换进行加密保护，可以看做是用于传输的技术规范。（5）SSL协议与SET协议的比较8.3.2安全电子交易SET协议SSL协议和SET协议处在网络协议的不同层次位置。SET网络和计算机处理要求较高，所以使得其性能不及SSL协议。SSL配置简单，传输性能较高。在应用领域方面，SSL协议主要是应用在Web应用上，能够胜任只是通过Web或电子邮件就可完成的电子商务应用。SET协议能够为信用卡交易提供安全，应用更为广泛。（5）SSL协议与SET协议的比较8.3.2安全电子交易SET协议S-HTTP是超文本传输协议(HTTP)的一个扩展，扩充了HTTP的安全性，增加了报文的安全性。它的设计目的是实现在互联网上进行文件的安全交换。该协议能够为互联网的应用提供完整性、不可否认性及机密性等安全措施。8.3.3安全超文本传输协议(S-HTTP)主要内容8.18.28.38.4电子商务安全概述电子商务安全技术安全技术协议电子商务安全解决方案8.4电子商务安全解决方案

电子商务解决方案是指用于特定类型的电子商务系统的全套技术方案，是一整套计算机应用技术的有机结合，它以实现一定的商业经营活