電子商務(wù)實踐與互聯(lián)網(wǎng)應(yīng)用

1、1 電子商務(wù)實踐與互聯(lián)網(wǎng)應(yīng)用電子商務(wù)實踐與互聯(lián)網(wǎng)應(yīng)用 2 （六）加密與解密技術(shù) 1.基本概念 （1）加密：將數(shù)據(jù)進(jìn)行編碼，使它成 為按常規(guī)不可理解的形式（密文）的方 法。 （2）解密：將密文還原為原來的可理 解的形式（明文）的方式。 （3）加密算法：既將明文加密成密文 的具體實現(xiàn)方法，通常為一加密程序。 注：（1）一明文經(jīng)過不同的算法或密鑰 后形成了不同的密文。 （2）數(shù)據(jù)加密技術(shù)的關(guān)鍵是加密算法 和密鑰。 3 2.常用加密技術(shù) (1)替換加密：使用對照表將明文中 的字符替換成對照表中的字符。 (2)置換加密：調(diào)整字母排列順序?qū)?現(xiàn)加密的方法. (3)對稱加密:加密和解密使用同一 密鑰. 包括

2、對稱密碼算法、對稱密鑰兩要素。 優(yōu)點：加密速度快，得到密文緊湊， 大小幾乎與明文相等。 缺點：密鑰與密文同傳，易被截獲， 安全性差，且只能使用一次。 4 5 (4)非對稱加密技術(shù)(公開密碼體制):指加密和解 密的密鑰不同，且不能由一個密鑰導(dǎo)出另一個 密鑰。 6 非對稱加密技術(shù)特點： 公鑰公開，可以適應(yīng)網(wǎng)絡(luò)開放性 要求； 密鑰的分配和管理比較容易。 可以實現(xiàn)數(shù)字簽名和數(shù)據(jù)鑒別。 運(yùn)行效率比較低，因此用對稱加 密加密信息，用非對稱加密傳遞 會話密鑰。 7 (七)數(shù)字簽名技術(shù) 1.主要目的：防止篡改，確定發(fā)信 人身份。 2.基本原理： 8 3.數(shù)字簽名原理： 發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換

3、成報文摘要。發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報文摘要。 發(fā)送方采用自己的私有密鑰對報文摘要進(jìn)行加密，形成數(shù)字發(fā)送方采用自己的私有密鑰對報文摘要進(jìn)行加密，形成數(shù)字 簽字。簽字。 發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞 給接收方。給接收方。 接收方使用發(fā)送方的公有密鑰對數(shù)字簽字進(jìn)行解密，得到發(fā)接收方使用發(fā)送方的公有密鑰對數(shù)字簽字進(jìn)行解密，得到發(fā) 送方形成的報文摘要。送方形成的報文摘要。 接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要，與發(fā)送接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要，與發(fā)送 方形成的報文摘要相比較，若相同，

4、說明文件在傳輸過程中方形成的報文摘要相比較，若相同，說明文件在傳輸過程中 沒有被破壞。沒有被破壞。 9 4.數(shù)字簽名功能： 接受人可確定發(fā)送人的真實身份； 發(fā)送者事后不能否認(rèn)發(fā)送過該報文； 保證報文準(zhǔn)確性和完整性。 5.數(shù)字時間戳 數(shù)字時間戳服務(wù)（DTS)是網(wǎng)上電子商務(wù)安全 服務(wù)項目之一，它能提供電子文件的日期和 時間信息的安全保護(hù)。時間戳是一個經(jīng)加密 后形成的憑證文檔，它包括需加時間戳的文 件的摘要、 DTS收到文件的日期和時間、 DTS的數(shù)字簽字三個部分。 6.數(shù)字信封： 對稱加密信息，對稱密鑰用非對稱密鑰加密 后形成信封，再傳給接收方。 10 （八）認(rèn)證技術(shù) 1.客戶端認(rèn)證：基于客戶端I

5、P地址 的認(rèn)證機(jī)制。主要包括身份認(rèn)證、 通過認(rèn)證機(jī)構(gòu)進(jìn)行的信息認(rèn)證。前 者鑒別用戶身份，后者保證雙方不 可抵賴性和信息完整性。 2.身份認(rèn)證：是判明和確認(rèn)交易雙 方真實身份的必要環(huán)節(jié)。主要方式 包括： 用戶所知的某個秘密信息（用戶口令） 用戶持有的某個秘密信息（硬件、隨身攜 帶） 用戶具有的某些生物學(xué)特征（指紋等） 11 3.數(shù)字證書：由可信任、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。 是網(wǎng)上交易雙方真實身份證明的依據(jù)。 (1)分類： 個人數(shù)字證書 單位數(shù)字證書 單位員工數(shù)字證書 服務(wù)器證書等 (2)證書的作用： 保證信息除發(fā)送方和接受方外不被其他人 竊取； 保證信息在傳輸過程中不被篡改； 接收方能夠通過數(shù)字

6、證書來確認(rèn)發(fā)送方的 身份； 發(fā)送方對于自己發(fā)送的信息不能抵賴。 12 （3）數(shù)字證書的組成： 一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容： 證書的版本信息； 證書的序列號，每個證書都有一個唯一的證書序列號； 證書所使用的簽名算法； 證書的發(fā)行機(jī)構(gòu)名稱（命名規(guī)則一般采用X.500格式）及其 用私鑰的簽名； 證書的有效期； 證書使用者的名稱及其公鑰的信息。 13 (4)證書的獲得： 在網(wǎng)上填寫數(shù)字證書申請資料 認(rèn)證中心對申請人的身份進(jìn)行審核后 制作證書 將證書發(fā)送給申請人或者是申請人在 網(wǎng)上下載自己的證書。 （5）數(shù)字證書數(shù)字證書 用途 發(fā)送安全電子郵件、訪問安全站點、 網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上簽約、

7、網(wǎng)上訂購、 安全網(wǎng)上公文傳送、網(wǎng)上繳費(fèi)、網(wǎng)上 繳稅、網(wǎng)上炒股、網(wǎng)上購物和網(wǎng)上報 關(guān)等。 14 4.認(rèn)證機(jī)構(gòu)（CA）認(rèn)證： 認(rèn)證機(jī)構(gòu)主要服務(wù)： 制作、簽發(fā)、管理電子簽名認(rèn)證證書。 確認(rèn)簽發(fā)的電子簽名認(rèn)證證書的真實性。 提供電子簽名認(rèn)證證書目錄信息查詢服務(wù)。 提供電子簽名認(rèn)證證書狀態(tài)信息查詢服務(wù)。 持卡人 商家 CA 15 認(rèn)證機(jī)構(gòu)層次結(jié)構(gòu)： 一級為根CA，負(fù)責(zé)總政策 二級為政策CA（品牌），負(fù)責(zé)制定具體認(rèn)證策略 三級為操作CA（區(qū)域），負(fù)責(zé)證書簽發(fā)、管理。 16 5.帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng) 安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有 數(shù)字簽字和數(shù)字證書

8、，其基本流程如圖所示。數(shù)字簽字和數(shù)字證書，其基本流程如圖所示。 原信息 Alice 的證書 Bob 的證書 Alice 的證書 信息摘要 Alice的 簽字私鑰 數(shù)字簽字 (1)(2) (3) 發(fā)送者 Alice 加密 加密 Bob的公鑰 (4) 加密 加密信息 數(shù)字信封 (5) 加密信息 因特網(wǎng) 數(shù)字信封 數(shù)字信封Bob的私鑰 (6) 接收者 Bob 對稱密鑰 加密信息 數(shù)字簽字 解密 解密 解密 Alice的 簽字公鑰 信息摘要M1 信息摘要M2 (7) (8) (10) (9) 對稱密鑰比較 17 電子商務(wù)標(biāo)準(zhǔn)制定 重要性 制訂原則：全面性、系統(tǒng)性、先進(jìn)性、預(yù)見性、可擴(kuò) 充性。 標(biāo)準(zhǔn)體系

9、結(jié)構(gòu)：基礎(chǔ)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)、交易標(biāo)準(zhǔn)、服 務(wù)標(biāo)準(zhǔn)、EDI信息交換標(biāo)準(zhǔn)。 網(wǎng)絡(luò)交易系統(tǒng)安全管理 人員管理制度 保密制度 跟蹤、審計、稽核制度 系統(tǒng)維護(hù)制度 數(shù)據(jù)備份與應(yīng)急措施（瞬時恢復(fù)、遠(yuǎn)程鏡像、數(shù) 據(jù)庫恢復(fù)） 抗病毒 18 （一）.國際電子商務(wù)立法的主要內(nèi)容 市場準(zhǔn)入 稅收 電子商務(wù)合同 電子支付 安全與保密 知識產(chǎn)權(quán) 隱私權(quán)保護(hù) 19 （二）.我國電子簽名法 2004年8月通過； 可靠電子簽名與手寫簽名具有同等法律效率； 可靠電子簽名的四個基本條件(同時滿足)： (1) 電子簽名制作數(shù)據(jù)用于電子簽名時，屬于 電子簽名人專有； (2) 簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人 控制； (3) 簽署后

10、對電子簽名的任何改動能夠被發(fā)現(xiàn)； (4) 簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動 能夠被發(fā)現(xiàn)。 20 （三）.我國電子合同法 合同，亦稱契約。是當(dāng)事人之間設(shè)立、變更、終止民事關(guān)系 的協(xié)議。依法成立的合同，受法律保護(hù)。 我國新合同法將傳統(tǒng)的書面合同形式擴(kuò)大到數(shù)據(jù)電文形 式。 電子合同的訂立： 當(dāng)事人所在地當(dāng)事人所在地 要約與邀請要約要約與邀請要約 接受要約接受要約 發(fā)出和收到時間發(fā)出和收到時間 自動交易自動交易 形式要求形式要求 21 （四）.我國電子商務(wù)交易安全的法律保護(hù) 我國現(xiàn)行的涉及交易安全的法律法規(guī)主要有四類： (1) 綜合性法律，主要是民法通則和刑法中有關(guān)保護(hù)交易安全的條綜合性法律，主要

11、是民法通則和刑法中有關(guān)保護(hù)交易安全的條 文。文。 (2) 規(guī)范交易主體的有關(guān)法律，如公司法、國有企業(yè)法、集體企業(yè)規(guī)范交易主體的有關(guān)法律，如公司法、國有企業(yè)法、集體企業(yè) 法、合伙企業(yè)法、私營企業(yè)法、外資企業(yè)法等。法、合伙企業(yè)法、私營企業(yè)法、外資企業(yè)法等。 (3) 規(guī)范交易行為的有關(guān)法律，包括經(jīng)濟(jì)合同法、產(chǎn)品質(zhì)量法、財規(guī)范交易行為的有關(guān)法律，包括經(jīng)濟(jì)合同法、產(chǎn)品質(zhì)量法、財 產(chǎn)保險法、價格法、消費(fèi)者權(quán)益保護(hù)法、廣告法、反不正當(dāng)競爭產(chǎn)保險法、價格法、消費(fèi)者權(quán)益保護(hù)法、廣告法、反不正當(dāng)競爭 法等。法等。 (4) 監(jiān)督交易行為的有關(guān)法律，如會計法、審計法、票據(jù)法、銀行監(jiān)督交易行為的有關(guān)法律，如會計法、審計法、票據(jù)法、銀行 法等法等 。 22 （五）我國涉及計算機(jī)安全的法律法規(guī) 1986年4月開始草擬中華人民共和國計算機(jī)信息