電子商務(wù)的安全威脅與安全技術(shù)

第三講電子商務(wù)的安全問題1、電子商務(wù)安全威脅概述2、電子商務(wù)常用安全技術(shù)主要內(nèi)容：電子商務(wù)安全問題賣方面臨問題買方面臨問題信息傳輸問題信用問題保密性（防止被竊取）認(rèn)證性（身份真實性）完整性（報文完整及防止被篡改）不可否認(rèn)性（不可抵賴性）網(wǎng)絡(luò)安全的基本要求（目標(biāo)）電子商務(wù)常用安全技術(shù)安全認(rèn)證技術(shù)數(shù)據(jù)加密安全協(xié)議明文：被隱蔽的信息的原來可讀的形式。密文：密碼將明文變換成另一種隱蔽的不可理解的形式。數(shù)據(jù)加密基本概念一加密和解密的規(guī)則(過程）稱為加密算法。這一過程中需要一串?dāng)?shù)字，這串?dāng)?shù)字稱為密鑰。字母

ABC…Z空格，./:?明文010203…26272829303132密文

…例：加密過程密鑰=1718192044434546474849明文密文信息Thisaissecret2008091927091927011905050318203725263644263644183622222035372744發(fā)送者密鑰接收者網(wǎng)絡(luò)被動攻擊非法竊聽主動攻擊非法接入加密系統(tǒng)運作示意圖加密算法明文密文解密算法明文密文密鑰數(shù)據(jù)加密技術(shù)對稱密鑰加密體制非對稱密鑰加密體制基本概念二加密算法解密算法發(fā)送者密鑰K1密鑰K2接收者對稱密碼加密體制K2=K1=K加密算法解密算法發(fā)送者密鑰K1密鑰K2接收者非對稱密碼加密體制K2不同于K1基本概念三計算機(jī)算法DES算法（數(shù)據(jù)加密標(biāo)準(zhǔn)）用于對稱密碼加密體制中RSA算法用于非對稱密碼加密體制中DSA算法是公開密鑰算法，不能用作加密分組密碼算法將明文分成多個組，然后獨立的對每個分組進(jìn)行操作。每組通常8—16bit流密碼算法一次將1bit的明文變成1bit的密文，按字符逐位地被加密對稱密鑰加密方式安全認(rèn)證技術(shù)數(shù)字信封數(shù)字摘要數(shù)字簽名數(shù)字時間戳數(shù)字證書認(rèn)證中心（CA）“數(shù)字信封”技術(shù)結(jié)合了對稱加密和非對稱加密的優(yōu)點，使用兩個層次的加密來獲得非對稱加密的靈活性和對稱加密的高效性。數(shù)字信封對稱密鑰用戶A明文密文加密用戶B的公鑰數(shù)字信封解密用戶B密文明文用戶B的私鑰對稱密鑰“數(shù)字摘要”:主要用于驗證通過網(wǎng)絡(luò)傳輸收到的文件是否是原始的、未被篡改的文件原文。它利用Hash函數(shù)也稱為數(shù)字指紋(FingerPrint).特性：任意大小的信息經(jīng)Hash函數(shù)變換后都能形成固定的長度的“摘要”，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。同時不可能通過數(shù)字摘要經(jīng)過逆運算生成源數(shù)據(jù)。單向HASH函數(shù)明文消息摘要散列單向HASH函數(shù)“數(shù)字簽名”與書面文件簽名有相同之處，作用如下：其一，信息是由簽名者發(fā)送的；其二，信息自簽發(fā)后到收到為止未曾作過任何修改。接收方數(shù)字簽名發(fā)送方Hash加密RSA加密發(fā)送RSA解密Hash加密原文摘要數(shù)字簽名摘要原文摘要原文數(shù)字簽名應(yīng)用過程數(shù)字時間戳DTS（DigitalTime-StampService）它是一個經(jīng)加密后形成的證書文件，由專門機(jī)構(gòu)提供。它包括1、相聯(lián)系文件的摘要2、DTS機(jī)構(gòu)收到文件的日期和時間3、DTS機(jī)構(gòu)的數(shù)字簽名數(shù)字時間戳的應(yīng)用過程證書的版本號數(shù)字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗證數(shù)字證書格式（X.509）X.509證書CA的簽名保證證書的真實性證書以一種可信方式將密鑰“捆綁”到唯一命名持有人:ZhangMin公開密鑰:9f0a34...序列號:123465有效期:2/9/1997-1/9/1998發(fā)布人:CA-名簽名:CA數(shù)字簽名證書可能存放到文件、軟盤、智能卡、數(shù)據(jù)庫認(rèn)證中心的作用頒發(fā)證書更新證書證書的作廢證書的管理完整的數(shù)據(jù)加密及身份認(rèn)證流程對稱密鑰明文密文用戶B用戶A明文摘要簽名簽名A證書B證書加密用戶B的公鑰用戶A的私鑰用戶B的私鑰對稱密鑰密文解密明文簽名A證書簽名用戶A的公鑰摘要解密數(shù)字信封安全協(xié)議：安全套接層協(xié)議（SecureSocketsLayer），主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議。（1）安全套接層協(xié)議SSL秘密通道SSL好比在開放的Internet世界中使消費者和商家之間建立了一個秘密通道SSL安全套接層協(xié)議SSL的體系結(jié)構(gòu)應(yīng)用層表示層會話層傳輸層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層7654321OSI參考模型安全子層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層應(yīng)用層物理層數(shù)據(jù)鏈路層IPTCPSSl（2）SET（SecureElectronicTransferprotocol）安全數(shù)據(jù)交換協(xié)議不僅對客戶信用卡認(rèn)證，還對商家身份認(rèn)證。安全協(xié)議：發(fā)卡行商家銀行商家用戶開戶認(rèn)證SET協(xié)議SET協(xié)議認(rèn)證信用卡認(rèn)證認(rèn)證機(jī)構(gòu)（CA）訂單、支付指令（數(shù)字簽名、加密）SET交易流程馬來西亞1997年制定了《數(shù)字簽名法》意大利，1997年，《數(shù)字簽名法》德國，1997，《數(shù)字簽名法》、《數(shù)字簽名條例》新加坡，1998，《電子交易法》；1999，《新加坡認(rèn)證機(jī)構(gòu)安全方針》、《新加坡電子交易（認(rèn)證機(jī)構(gòu)）規(guī)則》加拿大，1999，《統(tǒng)一電子商務(wù)法》韓國，1999，《電子商務(wù)基本法》澳大利亞，1999，《電子交易法》歐盟，1999，《歐盟電子簽名統(tǒng)一框架指令》電子商務(wù)立法現(xiàn)狀西班牙，2000，《電子簽名與認(rèn)證服務(wù)法》日本，2000，《數(shù)字化日本發(fā)展行動綱領(lǐng)》印度，2000，《電子簽名和電子交易法》香港，2000，《電子交易條例》德國，2001，《電子簽名法》波蘭，2001，《電子簽名法》荷蘭，2003，《電子簽章法》中國大陸，2004年通過《電子簽名法》，2005年4月1日實施電子商務(wù)立法現(xiàn)狀電子商務(wù)對合同法電子合同的法律承認(rèn)問題EDI合同電子合同的生效時間、地點及撤回問題電子錯誤對合同效力的影響電子商務(wù)對傳統(tǒng)法律的挑戰(zhàn)被告景榮實業(yè)有限公司利用已注冊的郵箱給原告衡陽木制品加工廠在1999年3月5日商務(wù)發(fā)出要求購買其廠生產(chǎn)的辦公家具的電子郵件一份，電子郵件中明確了相關(guān)交易條件。當(dāng)天下午3：35，衡陽木制品加工場也以電郵回復(fù)，表示對其全部要求認(rèn)可。為對景榮公司負(fù)責(zé)起見，3月6號衡陽木制廠還專門派人到景榮公司作了確認(rèn)，但雙方?jīng)]簽暑任何書面文件。3月11日，衡陽木制廠將貨物送至景榮公司。但由于景榮公司已于此前購買了該商品，便以雙方?jīng)]簽定書面合同為由拒收貨物。CASE法院審理：4月15日法院判定，衡陽木制場和景榮公司購銷合同法律關(guān)系成立。只要衡陽木制廠交付的貨物沒有質(zhì)量問題就完全履行了自己的合同義務(wù)，不存在違約。僅就沒有簽定書面合同而拒收貨物屬于違約行為。電子商務(wù)對金融法交易各方的權(quán)利義務(wù)問題電子貨幣的法律性質(zhì)問題：發(fā)行權(quán)、監(jiān)