电子商务概论（第二版）-第四章电子商务安全技术

电子商务概论引导案例：2007初中国互联网平安大事件

------“Nimaya〔熊猫烧香〕〞1.熊猫烧香病毒会感染计算机上的EXE可执行文件，被该病毒感染的文件图标会变成一只熊猫手捧三炷香的样子。2.翻开“我的电脑〞，用鼠标右键点击“C盘〞、“D盘〞等图标，在弹出的菜单中会出现名为“Auto〞的工程。3.用一些辅助工具，如WinRAR等，可以看到根目录下有名为“setup.exe〞和“autorun.inf〞的文件，其中“setup.exe〞的图标为“熊猫烧香〞。第一节电子商务的平安问题电子商务的主要平安问题表现系统中断〔Interruption〕窃取信息〔Interception)篡改信息〔Modification〕伪造信息〔Fabrication〕交易抵赖〔Thetransactiondenies〕

电子商务平安要求系统的可靠性信息的保密性信息的完整性交易者身份的真实性不可抵赖性系统的可靠性

防止计算机系统出现失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或者失效。

信息在传输过程中不被他人窃取。系统的保密性

信息在存储和传输的过程中不被非法篡改和破坏。发送和接收的信息前后一致。系统的完整性交易双方身份真实,

而不是假冒的。交易者身份的真实性

不可否认性

信息的发送方不能否认自己发送的信息；信息的接收方也不能够否认自己接收的信息。电子商务平安体系商业组织系统平安保护措施的制定需基于电子商务“复合型〞的性质什么是病毒？

病毒：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。在没有人员操作的情况下，病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动，它可能损坏硬件、软件和信息。什么是特洛伊木马？

特洛伊木马〔简称木马)，英文叫做“Trojanhorse〞，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。什么是蠕虫？蠕虫(n.)：病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整副本〔可能有改动〕。蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。屏蔽路由器代理效劳过滤路由器内部网络Internet网关代理效劳器网关Internet内部网络Internet…内部网防火墙双宿网关主机双宿网关主机体系结构过滤路由器堡垒主机Internet内部网络Internet防火墙路由器…内部网堡垒主机屏蔽主机体系结构

外部过滤路由器堡垒主机Internet内部网络内部过滤路由器Internet周边网络外部路由器内部路由器堡垒主机防火墙屏蔽子网体系结构VPN设备路由器VPN设备路由器VPN设备路由器VPN设备路由器公共网隧道隧道隧道隧道专网1专网4专网3专网2

VPN分类：内部网虚拟专用网远程访问虚拟专用网外部网虚拟专用网伪装前的信息称为明文，伪装后的信息称为密文，将信息伪装的过程称为加密，将密文再复原为明文的过程称为解密，解密是在解密密钥〔key〕的控制下进行的，用于解密的这组数学变换称为加解密算法。1、明文和密文

2、加解密算法

3、加、解密密钥〔key〕

用移位加解密算法说明一个加解密的过程，明密文对照关系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9点发动总攻 JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要发送一个军事命令给前线，明文为“今晚9点发动总攻〞。加密算法是将明文字母后移3位，解密就是将密文字母前移3位，3就是加解密的密钥，由它控制加解密过程。

现在广泛应用的两种密码体制：

1、对称密钥密码体制

2、非对称密钥密码体制

对称密钥密码体系对称密钥密码体系(SymmetricCryptography)又称单密钥密码体制〔One-keySystem〕。在对数据加密的过程中，使用同样的密匙进行加密和解密。 常见密匙算法：DES、IDEA明文消息密匙A加密加密消息明文消息密匙A解密

优点：

缺点：1、平安性能差；2、密钥难于管理；对称密钥密码体系加密、解密速度很快(高效)。非对称密钥密码体系非对称密钥密码体系(AsymmetricCryptography)也称双密钥密码体制〔Two-keySystem〕。数据加密的过程中，使用两把钥匙：一个是可以公开的密钥〔常称公钥〕；另一个那么是秘密保存的密钥〔常称私钥〕。常见密匙算法：RSA老张

小李密文老张的私有密匙老张的公开密匙

优点：

缺点：非对称密钥密码体系平安性能高，使用方便灵活。加密、解密速度慢。数字摘要是采用单向Hash函数对文件中假设干重要元素进行某种加密变换运算得到固定长度〔128字节〕的摘要码〔数字指纹〕，并在传输信息时将之参加文件一同传送给接收方，接收方收到文件后，用相同的方法进行变换运算，假设得到的结果与发送来的摘要码相同，那么可断定文件未被篡改，反之亦然。信息摘要摘要信息摘要发送方Hash算法一起发送接收方摘要比照Hash算法数字签名运作步骤如下：

〔1〕发送方用哈希函数，将需要传送的消息转换成报文摘要。〔2〕发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。〔3〕发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。〔4〕接受方使用发送方的公有密钥对数字签字进行解密，得到发送方形成的报文摘要。〔5〕接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，假设相同，说明文件在传输过程中没有被破坏。信息摘要数字签名数字签名信息摘要数字签名摘要比照签名过程传输过程接收、验证过程一起发送私钥加密发送方接收方公钥解密Hash算法Hash算法数字证书〔digitalcertificate,digitalID〕又称数字凭证，是网络通讯中标识通讯各方身份信息，并由一个可信任的、公正的权威机构〔即认证机构CA〕经审核颁发的电子文书。数字证书数字证书的特征1、是一种在Internet上验证身份的方式。2、由特定证书授权中心颁发的电子文书。3、证书的格式遵循ITUX.509国际标准。

一个标准的X.509数字证书内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规那么一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规那么一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的数字签名。数字证书的组成

数字证书的三种类型个人证书它仅仅为某一个用户提供数字证书。企业〔效劳器〕数字证书它通常为网上的某个企业获Web效劳器提供数字证书。软件〔开发者〕数字证书它通常为因特网中被下载的软件提供数字证书。认证机构〔certificateauthority，CA〕也称认证中心，是数字证书的签发机构，它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，并将相关内容列入发放的证书域内，使用户属性的客观真实性与证书的真实性一致。

认证机构CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。CA主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的平安。

认证机构的特征证书的树形验证结构在双方通信时，如果对签发证书的CA本身不信任，那么可通过根CA来验证身份。

认证中心的作用

证书的颁发证书的更新证书的查询证书的作废证书的归档我国电子商务认证中心我国的CA又可分为行业性CA和区域性CA两大类。行业性CA：中国金融认证中心〔CFCA〕、中国电信认证中心〔CTCA〕、中国邮政认证中心、外经贸部CA等。其中中国金融认证中心〔CFCA〕