第5章 电子商务安全

第5章电子商务安全技术5.1

电子商务安全概述5.2

防火墙5.3

电子商务通信安全5.4

电子商务认证技术15.1电子商务安全概述

5.1.1电子商务安全含义1.硬件安全硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。2、软件安全软件安全是指保护软件和数据不被篡改、破坏和非法复制。3、运行安全运行安全是指保护系统能连续和正常地运行。4、安全立法电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。2常见的病毒（1）蠕虫它是一种短小的程序，它通过在网络中连续高速地复制自己，长时间的占用系统资源，使系统因负担过重而瘫痪。如震荡波、冲击波、尼姆达、恶邮差等。（2）逻辑炸弹这是一个由满足某些条件（如时间、地点、特定名字的出现等）时，受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的，它有一个定时器，由编写程序的人安装，不到时间不爆炸，一旦爆炸，将造成致命性的破坏。如欢乐时光，时间逻辑炸弹。3常见的病毒（3）特洛伊木马它是一种未经授权的程序，它提供了一些用户不知道的功能。当使用者通过网络引入自己的计算机后，它能将系统的私有信息泄露给程序的制造者，他能够控制该系统。如Ortyc.Trojan木马病毒，木马Backdoor.Palukka，酷狼，IE枭雄，腾讯QQ木马病毒。（4）陷阱入口陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时，放入计算机中，实际运行后只有他自己掌握操作的秘密，使程序能正常完成某种事情，而别人则往往会进入死循环或其他歧路。45.1.2电子商务安全威胁51、信息传输风险信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而导致网上交易的不必要损失。2、信用风险信用风险主要来自三个方面。1.来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时产生恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团购买者来说，存在拖延货款的可能，卖方需要为此承担风险。2.来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。3.买卖双方都存在抵赖的情况。信息传输风险65.1.2电子商务安全威胁73、管理风险网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。4、法律风险一方面，在网上交易可能还承担由于法律滞后而无法保证合法交易的权益所造成的风险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险，即在原来法律条文没有明确规定下进行的网上交易，在后来颁布新的法律条文下属于违法经营所造成的损失。1.有效性对网络故障、操作错误、应用程序作物、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。2.保密性电子商务是建立在一个较为开放的网络环境中的，维护商业机密是电子商务全面推广应用的重要保障。保密性一般是通过密码技术对传输的信息进行加密处理来实现。3.完整性

贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。完整性一般可通过提取信息的摘要的方式来获得。85.1.3电子商务安全需求4.认证性在交易开始之前，买卖双方能够认证对方的身份，即可以识别对方的身份是真实的。认证性一般通过CA及其发放的数字证书来实现。5.不可抵赖性主要指交易的双方不能否认彼此之间所进行的信息交流。发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到某条信息或内容；不可抵赖性一般通过对发送的消息进行数字签名来获取。6.即需性即需性是防止延迟或拒绝服务，即需安全危险就在于破坏正常的计算机处理或完全拒绝服务。95.1.3电子商务安全需求山东考生徐玉玉案2016年8月21日，因被诈骗电话骗走上大学的费用9900元，伤心欲绝，郁结于心，最终导致心脏骤停，虽经医院全力抢救，但仍不幸离世。以诈骗罪判处被告人陈文辉无期徒刑，剥夺政治权利终身，并处没收个人全部财产，以诈骗罪判处被告人郑金锋有期徒刑十五年，并处罚金人民币六十万元；以诈骗罪判处被告人黄进春有期徒刑十二年，并处罚金人民币四十万元；杜天禹非法获取2016年山东省高考考生个人信息64万余条，并向陈文辉出售考生信息10万余条,非法获取公民个人信息罪被判有期徒刑6年，并处罚金6万元。105.2防火墙5.2.1定义：防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙主要由服务访问规则、验证工具、包过滤、应用网关组成。通过过滤不安全的服务而降低风险，可以强化网络安全策略，对网络存取和访问进行监控审计，防止内部信息的外泄；111213正常情况下，所有互联网的分组数据都应经过防火墙的过滤，这将造成网络交通的瓶颈，例如在攻击性分组出现时，攻击者会不时寄出分组，让防火墙疲于过滤分组，而使一些合法分组软件，亦无法正常进出防火墙。防火墙虽然可以过滤互联网的分组，但却无法过滤内部网络的分组，因此若有人从内部网络攻击时，防火墙是毫无用武之地的。电脑自身操作系统存在的系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。防火墙无法有效阻挡病毒的攻击，尤其是隐藏在数据中的病毒。145.2防火墙5.3电子商务通信安全加密技术是利用技术手段把原始信息变为乱码（加密）后再传输，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加密后的信息通常称为“密文”。15加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。常用的现代加密技术有两种：对称加密和非对称加密。165.3电子商务通信安全对称加密技术是指发送方和接收方使用同样密钥的密码体制，即文件加密和解密使用相同的密钥。这类算法要求发送者和接收者在安全通信之前，商定一个密钥。由于对称算法的安全性依赖于密钥，密钥必须保密。175.3电子商务通信安全比较常用的对称密钥算法有DES（DataEncryptionStandard，数据加密标准）。DES算法是一个对称的分组加密算法。简单的DES算法是以64位为分组进行明文输入，在密钥的控制下产生64位的密文；反之输入64位的密文，输出64位的明文。185.3电子商务通信安全非对称加密技术使用的是密钥对，即加密密钥和解密密钥不同。公钥（publickey）是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心；私钥（privatekey）由用户自己保存，只有自己才能知道。通常用公钥加密，私钥解密来保证信息的机密性；用私钥加密，公钥解密来保证身份认证。195.3电子商务通信安全非对称加密技术的算法使用最多的是RSA。RSA算法是1978年由美国麻省理工学院的三位学者R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（prettygoodprivacy）就是将RSA作为传送会话密钥和数字签名的标准算法。205.3电子商务通信安全5.3电子商务通信安全

两种加密技术对比21基本的加密算法

替换法22明文：今晚9点发动总攻JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ235.4电子商务认证技术24用户的特征

用户所拥有的

用户所知道的

指纹虹膜DNA声音用户的行为身份证护照密钥盘

密码口令

身份认证技术（补充）1数字摘要

数字指纹

验证文件是否被非法篡改校验2数字信封

确保特定的收件人3数字签名

鉴别特定的发件人4数字时间戳

电子文件发表时间的安全保护与证明

包含：1.文件摘要2.机构收到文件的日期和时间3.数字时间戳机构的数字签名255.4电子商务认证技术在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。认证中心的功能（1）证书的颁发。（2）证书的更新。（3）证书的查询。（4）证书的作废（5）证书的归档。目前，我国CA认证市场主要由行业或地方政府部门建立的认证中心构成。265.4.2证书机构275.4.2证书机构最高管理机构：CFCACFCA是全国惟一的金融根认证中心，由中国人民银行负责统一规划管理。自2009年启动战略转型以来，已逐步由单一的电子认证服务机构转变为综合的信息安全服务提供商。CFCA证书主要应用领域：银行领域证券领域基金领域企业集团和财务公司285.4.2证书机构在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一般脱机进行。品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。295.4.2证书机构305.4.2证书机构5.4.3数字证书数字证书是由CA证书授权中心发行，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以用它来证明自己在互联网中的身份或识别对方的身份。数字证书包含以下内容。（1）证书拥有者的姓名。（2）证书的版本信息。（3）证书的序列号，同一身份验证机构签发的证书序列号唯一。

31（4）证书所使用的签名算法。（5）证书发行机构的名称。（6）证书的有效期限。（7）证书所有人的公开密钥。（8）证书发行者对证书的签名325.4.3数字证书数字证书的分类从数字证书的应用角度来看，数字证书可以分为服务器证书、电子邮件证书和客户端证书。一般来说，用户要携带有关证件到各地的证书受理点，或者直接到证书发放机构填写申请表并进行身份审核，审核通过后交纳一定费用就可以得到装有证书的相关介质（U盾或Key）。用户在需要使用证书的网上进行操作时，必须准备好装有证书的存储介质。335.4.3数字证书34支付宝数字证书5.4.3数字证书3.4.5数字证书35企业数字证书

用来表明和验证企业用户在网络上身份的证书，它确保了企业网上交易和作业的安全性和可靠性。用途:1.用于安全WEB站点访问；2.安全电子邮件：3.网上银行等电子商务系统；4.网上报税等电子政务系统。存储介质：软盘、硬盘、IC卡、USB均可。企业高级证书--适用于企业作金额较大时的B2B网上交易，安全级别较高，可用于数字签名和信息加密。企业普通证书--适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别较低，建议用于金额较小的网上交易。5.4.3数字证书电子交易安全协议

1．SSL安全协议SSL（SecureSocketsLayer）安全协议最初由NetscapeCommunication公司设计开发，又称“安全套接层协议”，是通信双方在通信前约定使用的一种协议方法，该方法能够在双方计算机之间建立一个秘密信道，凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输，不用担心数据会被别人偷窃。37电子交易安全协议1．SSL安全协议SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。SSL协议只负责端到端的安全连接，只保证信息传输过程中不被窃取、篡改，但不提供其他安全保证，因而SSL实质上仅仅提供对浏览器和服务器的鉴别，不能细化到对商家和客户的身份认证，这个缺陷会导致交易的假冒欺诈行为出现，又由于