第四章 電子商務的安全問題

第四章電子商務的安全問題教學目標：了解電子商務的不安全因素。了解網絡安全措施，包括防火墻、ＤＤＮ專線、病毒防治等。了解網上信息傳送的加密技術的原理，包括對稱加密、非對稱加密、混合加密。了解電子商務的認證技術，如數字摘要、數字簽名、數字信封、數字時間戳、數字證書、認證機構、安全套接層協議SSL、安全電子交易協議SET等。價值4億多美元的比特幣被盜(圖)價值4億多美元的比特幣被盜世界最大比特幣交易所申請破產保護85萬比特幣被黑客偷光

Mt.Gox首席執(zhí)行官馬克·卡爾普勒當天在東京舉行的新聞發(fā)布會上鞠躬致歉，稱“比特幣丟失是因為公司系統存在漏洞”?？柶绽照f，雖然Mt.Gox將就所遭到的黑客攻擊提起刑事訴訟，但此舉并沒有實際意義。

Mt.Gox一名律師稱，在該平臺交易的比特幣幾乎全部被盜，包括用戶交易賬號中約75萬比特幣，以及Mt.Gox自身賬號中約10萬比特幣。根據28日的交易行情，損失估計約4.67億美元。

律師稱，Mt.Gox目前總資產為38.4億日元（約合3760萬美元），而流動負債為65億日元（約合6360萬美元）。

據日本媒體報道，Mt.Gox交易平臺頂峰期間擁有超過100萬個賬戶，以日本以外的客戶為主，包括不少1萬美元以上數量級交易的用戶。

2月7日，因遭到網絡攻擊，Mt.Gox臨時停止比特幣提取業(yè)務，引發(fā)交易混亂和用戶不滿。2月25日午間起，用戶無法登陸Mt.Gox交易平臺。網站首頁隨后貼出“告顧客書”，稱為保護用戶和交易平臺，將暫停所有交易。

日財政大臣呼吁監(jiān)管

日本財政大臣麻生太郎28日表示，他一直對比特幣持懷疑態(tài)度，日本政府在Mt.Gox事件后應該采取行動。他說，沒有人承認比特幣是真正的貨幣，雖然他預料到比特幣會出現崩潰，但沒想到這么快。

日本現階段還沒有監(jiān)管諸如比特幣等虛擬貨幣交易的法規(guī)。麻生說，亟需政府各機構聯合調查和掌握事態(tài)，盡快就比特幣交易監(jiān)管拿出辦法。

美國聯邦儲備委員會主席珍妮特·耶倫27日在美參議院聽證會上說，比特幣作為一種創(chuàng)新的支付手段，完全獨立于銀行業(yè)，因此，美聯儲沒有監(jiān)管比特幣的權力。耶倫稱，美國財政部等其他機構可以監(jiān)管比特幣是否被用于洗錢和其他犯罪活動。但她承認，比特幣監(jiān)管并非易事，因為比特幣與傳統法幣不同，不在銀行系統之中，也沒有發(fā)行的中央機構。

說好的防偽防盜呢？

比特幣誕生于2009年，是一種由電腦數學運算“生成”的虛擬貨幣，“礦工們”可以通過大量復雜的運算獲得。它具備總量有限、不受傳統金融機構控制、不受政府監(jiān)管等性質。

這一虛擬貨幣誕生后獲得了媒體廣泛關注，但其中不乏投機者介入并導致比特幣價格大幅波動。去年12月，1個比特幣的價格達到歷史最高的1200美元，但在Mt.Gox25日暫停交易后，1個比特幣價格已經降至470美元。

美聯社認為，此次Mt.Gox事件將嚴重損害比特幣的形象，因為比特幣推廣者一直聲稱，比特幣憑借加密技術難以被偽造和盜竊。

世界最大規(guī)模的比特幣交易所運營商Mt.Gox2月28日宣布，因交易平臺的85萬個比特幣被盜一空，公司已經向日本東京地方法院申請破產保護。這一消息對于眾多投資者關注的比特幣來說，無疑是一枚重磅炸彈。電子商務安全案例2006年12月初，我國互聯網上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種。一只憨態(tài)可掬、頷首敬香的“熊貓”在互聯網上瘋狂“作案”。在病毒卡通化的外表下，隱藏著巨大的傳染潛力，短短三四個月，“燒香”潮波及上千萬個人用戶、網吧及企業(yè)局域網用戶，造成直接和間接損失超過1億元。2007年2月3日，“熊貓燒香”病毒的制造者李俊落網。李俊向警方交代，他曾將“熊貓燒香”病毒出售給120余人，而被抓獲的主要嫌疑人僅有6人，所以不斷會有“熊貓燒香”病毒的新變種出現。隨著中國首例利用網絡病毒盜號牟利的“熊貓燒香”案情被揭露，一個制“毒”、賣“毒”、傳“毒”、盜賬號、倒裝備、換錢幣的全新地下產業(yè)鏈浮出了水面。中了“熊貓燒香”病毒的電腦內部會生成帶有熊貓圖案的文件，盜號者追尋這些圖案，利用木馬等盜號軟件，盜取電腦里的游戲賬號密碼，取得虛擬貨幣進行買賣。李俊處于鏈條的上端，其在被抓捕前，不到一個月的時間至少獲利15萬元。而在鏈條下端的涉案人員張順目前已獲利數十萬了。一名涉案人員說，該產業(yè)的利潤率高于目前國內的房地產業(yè)。有了大量盜竊來的游戲裝備、賬號，并不能馬上兌換成人民幣。只有通過網上交易，這些虛擬貨幣才得以兌現。盜來的游戲裝備、賬號、QQ賬號甚至銀行卡號資料被中間批發(fā)商全部放在網上游戲交易平臺公開叫賣。一番討價還價后，網友們通過網上銀行將現金轉賬，就能獲得那些盜來的網絡貨幣。李俊以自己出售和由他人代賣的方式，每次要價500元至1000元不等，將該病毒銷售給120余人，非法獲利10萬余元。經病毒購買者進一步傳播，該病毒的各種變種在網上大面積傳播。據估算，被“熊貓燒香”病毒控制的電腦數以百萬計，它們訪問按流量付費的網站，一年下來可累計獲利上千萬元。有關法律專家稱，“熊貓燒香”病毒的制造者是典型的故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行的行為。根據刑法規(guī)定，犯此罪后果嚴重的，處5年以下有期徒刑或者拘役；后果特別嚴重的，處5年以上有期徒刑。通過上述案例可以看出隨著互聯網和電子商務的快速發(fā)展，利用網絡犯罪的行為會大量出現，為了保證電子商務的順利發(fā)展，法律保障是必不可少的。目前對我國的網絡立法明顯滯后，如何保障網絡虛擬財物還是個空白。除了下載補丁、升級殺毒軟件外，目前還沒有一部完善的法律來約束病毒制造和傳播，更無法來保護網絡虛擬錢幣的安全。根據法律，制造傳播病毒者，要以后果嚴重程度來量刑，但很難衡量“熊貓燒香”病毒所導致的后果。而病毒所盜取的是“虛擬財物”，就不構成“盜竊罪”，這可能導致李俊之外的很多嫌疑人量刑很輕或定罪困難。電子簽名法首次用于庭審北京市民楊某狀告韓某借錢不還，并將自己的手機交給法庭，以手機短信作為韓某借錢的證據。但手機短信能否成為法庭認定事實的依據？2005年6月3日，海淀法院3名法官合議審理了這起《電子簽名法》出臺后的第一案。2004年1月，楊先生結識了女孩韓某。同年8月27日，韓某發(fā)短信給楊先生，向他借錢應急，短信中說：“我需要5000，剛回北京做了眼睛手術，不能出門，你匯到我卡里”。楊先生隨即將錢匯給了韓某。一個多星期后，楊先生再次收到韓某的短信，又借給韓某6000元。因都是短信來往，兩次匯款楊先生都沒有索要借據。此后，因韓某一直沒提過借款的事，而且又再次向楊先生借款，楊先生產生了警惕，于是向韓某催要。但一直索要未果，于是起訴至海淀法院，要求韓某歸還其11000元錢，并提交了銀行匯款單存單兩張。但韓某卻稱這是楊先生歸還以前欠她的欠款。為此，在庭審中，楊先生在向法院提交的證據中，除了提供銀行匯款單存單兩張外，還提交了自己使用的號碼為“1391166XXXX”的飛利浦移動電話一部，其中記載了部分短信息內容。如：2004年8月27日15：05，“那就借點資金援助吧”。2004年8月27日15：13，“你怎么這么實在！我需要五千，這個數不大也不小，另外我昨天剛回北京做了個眼睛手術，現在根本出不了門口，見人都沒法見，你要是資助就得匯到我卡里！”等韓某發(fā)來的18條短信內容。韓某的代理人在聽完短信內容后，否認發(fā)送短信的手機號碼屬于韓某，并質疑短信的真實。法官提醒他，在前次開庭時，法官曾當著雙方撥打了該手機號碼，接聽者正是韓某本人。韓某也承認，自己從去年七八月份開始使用這個手機號碼。法院經審理認為，依據《最高人民法院關于民事訴訟證據的若干規(guī)定》中的關于承認的相關規(guī)定，1391173XXXX”的移動電話號碼是否由韓女士使用，韓女士在第一次庭審中明確表示承認，故法院確認該號碼系韓女士使用。依據2005年4月1日起施行的《中華人民共和國電子簽名法》中的規(guī)定，“電子簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。數據電文是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?！币苿与娫挾绦畔⒓捶想娮雍灻祿娢牡男问?。同時移動電話短信息能夠有效的表現所載內容并可供隨時調取查用；能夠識別數據電文的發(fā)件人、收件人以及發(fā)送、接收的時間。經本院對楊先生提供的移動電話短信息生成、儲存、傳遞數據電文方法的可靠性；保持內容完整性方法的可靠性；用以鑒別發(fā)件人方法的可靠性進行審查，可以認定該移動電話短信息內容作為證據的真實性。根據證據規(guī)則的相關規(guī)定，錄音錄像及數據電文可以作為證據使用，但數據電文可以直接作為認定事實的證據，還應有其它書面證據相佐證。

通過韓女士向楊先生發(fā)送的移動電話短信息內容中可以看出：2004年8月27日韓女士提出借款5000元的請求并要求楊先生將款項匯入其卡中，2004年8月29日韓女士向楊先生詢問款項是否存入，2004年8月29日中國工商銀行個人業(yè)務憑證中顯示楊先生給韓女士匯款5000元；2004年9月7日韓女士提出借款6000元的請求，2004年8月29日韓女士向楊先生詢問款項是否匯入。2004年9月8日中國工商銀行個人業(yè)務憑證中顯示楊先生給韓女士匯款6000元。2004年9月15日至2005年1月韓女士屢次向楊先生承諾還款。楊先生提供的通過韓女士使用的號碼發(fā)送的移動電話短信息內容中載明的款項往來金額、時間與中國工商銀行個人業(yè)務憑證中體現的楊先生給韓女士匯款的金額、時間相符，且移動電話短信息內容中亦載明了韓女士償還借款的意思表示，兩份證據之間相互印證，可以認定韓女士向楊先生借款的事實。據此，楊先生所提供的手機短信息可以認定為真實有效的證據，證明事實真相，本院對此予以采納，對楊先生要求韓女士償還借款的訴訟請求予以支持。本案是我國電子簽名法實施后，法院依據電子簽名法裁判的第一起案例，意義重大，意味著我國的電子簽名法真正開始走入司法程序，數據電文、電子簽名、電子認證的法律效力得到了根本的保障，通過電子簽名法的實施，基本上所有與信息化有關的活動在法律的層面都有了自己相應的判斷標準。在本案中，針對主要證據—手機短信息，法官根據電子簽名法第八條的規(guī)定及相關規(guī)定審查了該證據的真實性，在確定能夠確認信息來源、發(fā)送時間以及傳輸系統基本可靠的情況、文件內容基本完整的情況下，同時又沒有相反的證據足以否定這些證據的證明力的情況下，認可了這些手機短信息的證據力。在電子簽名法出臺之前，可以說有很多類似的案例，主要是針對電子郵件能否作為證據的，由于缺乏直接的法律規(guī)定，為此上海高院還專門出臺了相關的解釋，這種情況隨著電子簽名法的出臺得到了根本的改變。第一節(jié)電子商務的安全要求和不安全因素一、電子商務的安全要求

1．信息的真實性、有效性。

2．信息機密性。

3．信息完整性。

4．信息可靠性和不可抵賴性。

2023/6/2125常見的信息安全問題網絡系統感染計算機病毒，導致存儲在計算機中的信息被竊取或破壞，即病毒防護問題網絡系統被黑客等惡意入侵，導致存儲在計算機中的信息被竊取或破壞，即訪問控制問題信息在傳輸過程中被泄漏、泄密，即信息的機密（保密）性問題2023/6/2126常見的信息安全問題信息在傳輸過程中被篡改，即信息的完整（完好）性問題信息發(fā)送方抵賴，否認發(fā)送過信息，即信息的不可否認（抵賴）性問題確認信息收發(fā)雙方的身份，防止冒名頂替,即交易者身份的真實性問題二、電子商務的不安全因素1．信息有效性、完整性易受破壞2．機密信息外泄3．可靠性和不可抵賴性難以保證（1）貨不對板。（2）拖延發(fā)貨時間。（3）請你柜員機轉賬劃走你的錢（4）以相似的郵件地址冒充公司（5）網站隨意取消訂單2023/6/2128安全問題安全技術病毒防護、訪問控制反病毒技術、防火墻技術保密性加密技術完整性數字摘要、數字簽名技術不可否認性數字簽名技術身份真實性數字認證技術2023/6/2129

黑客（Hacker）源于英語動詞Hack，意為“劈、砍”，引申的意思是“干了一件非常漂亮的事”。黑客則有“惡作劇”之意，尤其是指手法巧妙、技術高明的惡作劇。

今天的黑客可分為兩類：一類是駭客，他們想引人注目，千方百計入侵計算機網絡系統，輕則做一些無傷大雅的惡作劇，重則刪除、修改網頁及摧毀網站；

另一類是竊客，他們的行為帶有強烈的目的性，這些竊客的目標往往瞄準了銀行的漏洞和電子交易的賬號，試圖盜竊他人的資金和虛擬財產。2023/6/2130網絡攻擊的常用方法

1）系統穿透

2）中斷

3）通信監(jiān)聽

4）植入

5）篡改和偽造

6）轟炸第二節(jié)網絡安全措施一、防火墻（Firewall）1.Windows防火墻2．局域網防火墻局域網中防火墻通常設置在局域網的控制網關或代理服務器中，又可分為:網絡級防火墻應用級防火墻。防火墻技術：(1)包過濾技術：(2)代理服務技術：(3)狀態(tài)監(jiān)控技術：2023/6/2132防火墻的基本安全策略一切未被允許的訪問服務都是禁止的

基于該準則，防火墻應封鎖所有信息流，然后對希望提供的服務逐項開放 優(yōu)點：安全性高 缺點：方便性低一切未被禁止的訪問服務都是允許的 基于該準則，防火墻應轉發(fā)所有信息流，然后逐項屏蔽可能有害的服務 優(yōu)點：方便性高 缺點：安全性低FortiGate-3600A防火墻外觀傳統防火墻的不足之處：無法發(fā)現內部網絡中的攻擊行為不能防范內部用戶的誤操作產生的威脅不能防范因口令、賬號等泄密被外部用戶攻擊不能防止病毒的傳播防火墻難以識別復雜的網絡攻擊二、入侵檢測系統(IDS-IntrusionDetectionSystem）它通過檢測、分析網絡中的數據流量，從中發(fā)現網絡系統中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權網絡流量并實時報警。缺點：檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網絡癱瘓，IDS無能為力。三、入侵防護系統(IPS-IntrusionPreventionSystem)IPS部署位置在防火墻和WEB服務器群之間，對WEB服務器群的出入流量進行有效監(jiān)控，提供主動的、實時的防護。自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷。四、ＤＤＮ專線或虛擬專用網ＤＤＮ(DigitalDadaNetwork)專用線路虛擬專用網（VirtualPrivateNetwork，VPN）用加密/解密功能的路由器通過互聯網連接一些特定的局域網組成。2023/6/2138計算機網絡病毒：（1）蠕蟲它是一種短小的程序，這個程序使用未定義過的處理器來自行完成運行處理。它通過在網絡中連續(xù)高速地復制自己，長時間的占用系統資源，使系統因負擔過重而癱瘓。如震蕩波、沖擊波、尼姆達、惡郵差等。（2）特洛伊木馬它是一種未經授權的程序，它提供了一些用戶不知道的功能。當使用者通過網絡引入自己的計算機后，它能將系統的私有信息泄露給程序的制造者，以便他能夠控制該系統。如Ortyc.Trojan木馬病毒，木馬Backdoor.Palukka，酷狼，IE梟雄，騰訊QQ木馬病毒。五、病毒防治金山毒霸、瑞星、360等（1）預防病毒技術（2）檢測病毒技術（3）消除病毒技術2023/6/21402）計算機病毒的防范措施

（1）給自己的電腦安裝防病毒軟件

（2）認真執(zhí)行病毒定期清理制度

（3）高度警惕網絡陷阱（4）不打開陌生地址的電子郵件（5）定期進行系統備份與恢復第三節(jié)數據加密技術明文

密文加密包含兩個元素：加密算法和密鑰。

加密算法就是用基于數學計算方法與一串數字（密鑰）對普通的文本（信息）進行編碼，產生不可理解的密文的一系列步驟。

密鑰是用來對文本進行編碼和解碼的數字。將這些文字（稱為明文）轉成密文的程序稱作加密程序。

2023/6/2142加密和解密的示例注:把英文字母按字母表順序編號作為明文字母ABC…Z空格，./：？明文010203…26272829303132字母對照表2023/6/2143加密示例例如，將英文信息“Thisisasecret.”加密后得到密文。密鑰：17加密算法：將明文加上密鑰，得到密文。2023/6/21441、按照字母對照表，把原始信息轉換成數字明文：信息Thisisasecret明文200809192709192701271905031805202023/6/2145以明文為X，密文為Y，則得到密文用于加密的數學函數加密算法Y=X+17用于加密的數字加密密鑰17明文20080919270919270127190503180520密文372526364426364418443622203522372023/6/2146解密解密算法 將密文轉化為明文所使用的數學函數密鑰 用于解密的數字* 密鑰是用于加密和解密的數字用于解密的數學函數解密算法X=Y-17用于解密的數字解密密鑰172023/6/2147練習：問:將英文信息“ElectronicBusiness”進行加密密鑰：3

加密算法：將明文乘以密鑰，得到密文。字母ABC…Z空格，./：？明文010203…262728293031322023/6/2148加密的分類按密鑰類型劃分 對稱加密和非對稱加密對稱加密

信息發(fā)送者和接收者用且只用一個密鑰對信息進行加密和解密 由于加密和解密使用同一個密鑰，所以發(fā)送方和接收方都必須知道密鑰2023/6/2149對稱加密示意圖發(fā)送方加密接收方解密明文密文密文明文同一密鑰2023/6/2150對稱加密的優(yōu)點 加解密的速度快、效率高，適用于數據量大的信息2023/6/2151對稱加密的缺點1.密鑰規(guī)模龐大

進行保密通信的每對用戶都需要一個密鑰，當n個人進行保密通信時，需要的密鑰個數為：n(n-1)/22.密鑰分發(fā)要求高 如果發(fā)送/接收雙方處在不同地點，就必須當面或在公共傳送系統（電話、郵政）中在無人偷聽偷看的情況下交換密鑰3.密鑰保管要求高 如果發(fā)送/接收雙方中任一方將密鑰泄露，則以前所有的信息都失去保密性，以后進行通信時必須使用新的密鑰2023/6/2152非對稱加密（公開密鑰加密）

發(fā)送方加密和接收方解密使用的是兩個不同的密鑰，倆密鑰成對出現 每個用戶擁有一對密鑰：公開密鑰（公鑰）和私有密鑰（私鑰），對外公開，給別人用的叫公鑰，由自己嚴密保管的叫私鑰2023/6/2153公鑰和私鑰的關系公鑰加密的信息只能由相對應的私鑰解密，不能由其自身解密私鑰加密的信息只能由相對應的公鑰解密，不能由其自身解密由公鑰不能推算出相對應的私鑰由私鑰不能推算出相對應的公鑰2023/6/2154非對稱加密示意圖發(fā)送方加密接收方解密明文密文密文明文接收方公鑰接收方私鑰2023/6/2155非對稱加密的優(yōu)點1.密鑰規(guī)模較小 進行保密通信的每個用戶只需擁有屬于自己的一對密鑰，當n個人進行保密通信時，需要的密鑰對數為：n2.密鑰易于分發(fā) 用戶只需將自己的公開密鑰發(fā)布出去，無需任何保密3.密鑰易于保管 用戶只需保管好自己的私有密鑰，而公鑰則是對外公開的非對稱加密的缺點 由于加/解密使用不同的密鑰且算法復雜，速度較慢，效率較低，適用于數據量小的信息2023/6/2156常用非對稱加密算法RSA：Rivest、Shamir、AdlemanDSA：DigitalSignatureAlgorithmECC：EllipticCurvesCryptography2023/6/2157RSA的算法如下：①

選取兩個足夠大的質數P和Q；②

計算P和Q相乘所產生的乘積n

＝

P×Q；③

找出一個小于n的數e

，使其符合與（P－1）×（Q－1）互為質數；另找一個數d，使其滿足（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）為相除取余；（n，e）即為公鑰；（n，d）為私鑰。加密和解密的運算方式為：明文M＝Cd（MODn）密文C＝Me（MODn

）2023/6/2158

舉例：假定P

＝3，Q

＝11，則n=P×Q

＝33，計算（P－1）×（Q－1）＝20

選擇e=3，因為3和20沒有公共因子。（3×d）MOD（20）＝1，得出d＝7。從而得到（33，3）為公鑰；（33，7）為私鑰。加密過程為將明文M的3次方模33得到密文C，解密過程為將密文C的7次方模33得到明文。2023/6/2159實用的非對稱加密法2023/6/2161混合加密（數字信封技術）數字信封技術

數字信封技術結合了對稱加密技術和非對稱加密技術優(yōu)點（前者加解密速度快，后者密鑰管理容易）的一種加密技術。工作原理

發(fā)送方：使用對稱密鑰來加密信息得到信息密文，然后將此對稱密鑰用接收者的公鑰加密，形成密鑰密文，將兩個密文一起發(fā)送給接收者。

接收者：接收后先用自己的私鑰解密密鑰密文，得到對稱密鑰，然后用對稱密鑰解密信息密文2023/6/2162數字信封技術示意圖明文信息密文信息密文明文對稱密鑰密鑰密文密鑰密文對稱密鑰接收方公鑰接收方私鑰發(fā)送方接收方加密1加密2解密1解密2第四節(jié)認證技術數字摘要(digitaldigest)發(fā)文方用一個稱為ＨＡＳＨ的函數對待發(fā)文件進行處理，產生一個位數不長（如１２８位）的與所要發(fā)送的文件內容相關的“濃縮”了的文件信息，稱為“數字摘要”或“文件摘要”。數字簽名(DigitalSignature)把文件摘要用私鑰加密后稱為數字簽名（也稱電子簽名）2023/6/2164電子簽名技術1）電子簽名的概念

電子簽名技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。目前的電子簽名建立在公鑰加密體制基礎上，是非對稱加密技術的另一類應用。電子簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。

2023/6/2165附：HASH函數的特點一個單向散列函數對于單向函數y=f(x)，當給定一個值x,很容易求出y的值，但是如果給定y，則不可能求出相應的x值對于散列函數y=f(x)，當給定兩個不同的x值時，不可能求出相同的y值2023/6/2166Hash簽名技術工作原理發(fā)送方對原文使用HASH函數（單向散列函數）得到一個長度固定為128位的數字摘要1發(fā)送方將數字摘要1與原文一起發(fā)送給接收方接收方對接收到的原文應用HASH函數生成數字摘要2將接收方生成的數字摘要2與發(fā)送方發(fā)來的數字摘要1進行對比，若兩者相同則表明原文在傳輸過程中沒有被篡改，否則就說明原文被篡改過注：由數字摘要無法反推出原文，不同的原文得到的摘要不同。當摘要被改動，該摘要會無法讀取2023/6/2167數字簽名文件在公開網絡上的加密傳輸過程圖示解密3解密2解密1加密3加密2數字摘要1信息密文原文數字簽名HASH函數對稱密鑰密鑰密文接收方公鑰發(fā)送方私鑰接收方私鑰密鑰密文信息密文對稱密鑰原文數字簽名摘要2摘要1HASH函數發(fā)送方公鑰發(fā)送方接收方加密12023/6/2168

電子簽名與書面文件簽名有相同相通之處，它能確認：①信息是由簽名者發(fā)送的；②信息自簽發(fā)后到收到為止未曾作過任何修改。

這樣電子簽名就可用來防止：①電子商務信息作偽；②冒用他人名義發(fā)送信息；③發(fā)出（收到）信件后又加以否認。電子簽名是用數個字符串來代替書寫簽名或印章，并起到同樣的法律效用。數字時間戳（digitaltime-stamp）在經過數字簽名的交易文件上打上一個可信賴的時間戳，稱為數字時間戳。由權威的第三方來提供可信賴的且不可抵賴的時間戳服務，以證明事件所發(fā)生的時間。權威的第三方的數字時間戳服務（DTS－digitaltime-stampservice）提供的數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分：（1）需加時間戳的文件的摘要；（2）DTS收到文件的日期和時間；（3）DTS的數字簽名。2023/6/21702023/6/21713）數字時間戳的作用（1）數據文件加蓋的時間戳與存儲數據的物理媒體無關。（2）對已加蓋時間戳的文件不可能做絲毫改動（即使僅lbit）。（3）要想對某個文件加蓋與當前日期和時間不同的時間戳是不可能的。數字證書（DigitalCertification）數字證書又稱為數字標識（DigitalID），是用來確證一個網絡通信方身份的數字信息文件。數字證書是一個經證書授權中心數字簽名的包含私有密鑰擁有者基本信息及其公開密鑰的文件。數字證書包含的內容有：證書的版本信息；證書的序列號，每個證書都有一個唯一的證書序列號；證書所使用的簽名算法；證書的發(fā)行機構名稱及其用私鑰的簽名；證書的有效期；證書使用者的名稱及其公鑰的信息。由權威的認證機構－證書授權（CertificateAuthority－CA）中心發(fā)行。例:廣東省電子商務認證有限公司的數字證書信息

頒發(fā)給：頒發(fā)者：NETCAServerClassACA有效起始日期：2007－11－16到2012－11－16詳細信息：版本：V3序列號：01

00簽名算法：ShalRSA頒發(fā)者：NETCAServerClassACA有效起始日期：2007年11月16日0：00：00有效起終止日期：2012年11月16日0：00：00主題：webmaster@,廣東省電子商務認證有限公司,廣州市天河區(qū)廣州大道北138號7－8樓公鈅：RSA（1024Bits）頒發(fā)機構密鈅標識符：KeyID=baf34a0524e6f824c8e657da788d0c59e44364ca主題密鈅標識符：0f8608c84efba5c1f81150a45c5e9b7e2d15e7d0密鈅用法：DigitalSignature,KeyEncipherment,DataEncipherment(bo)基本限制：SubjectType=EndEntity,PathLengthConstraint=None電子密匙是一外形象U盤的安全存儲體，有PIN（PersonalIdentifierNumber）碼保護，具有相當強的安全性。用于數字證書保存。網證通的電子密匙外形：數字證書安裝數字證書要先正確安裝其驅動程序發(fā)證機構在簽發(fā)數字證書時會給你驅動程序和安裝指南如何確認您的數字證書已正確安裝？有兩種方法：方法一：打開IE瀏覽器，點擊工具→Internet選項→內容→證書，雙擊您的證書，點擊“常規(guī)”按鈕，系統顯示證書詳細信息，表明您的證書已正確安裝。方法二：雙擊證書的驅動，查看是否顯示數字證書的信息。若正常顯示，則表示已正確安裝。根證書證書頒發(fā)機構及其再上級機構－如果有的話－的證書，即“祖先”證書，也稱證書鏈安裝了某個CA認證中心的根證書就表示你信任這個CA認證中心頒發(fā)的所有證書，即你認為這些人的身份是可靠的，然后才能進行各種交易和操作。通過執(zhí)行瀏覽器的“工具”－“Internet選項”－“內容”－“證書”－“受信任的根證書頒發(fā)機構”可以看到你的計算機安裝了的所有CA根證書。數字證書分類數字證書分為個人證書、機構證書、機構員工證書、設備證書、全球服務器證書和代碼簽名證書（即軟件證書）等（1）個人證書。用戶使用此證書向對方表明個人的身份，進行合法的數字簽名（2）機構證書。頒發(fā)給獨立的單位、組織，在網上證明該單位、組織的身份，進行合法的電子簽名。（3）機構員工證書。頒發(fā)給獨立的機構員工，在網上證明機構中個人的身份（4）設備證書。主要頒發(fā)給Web站點或其他需要安全鑒別的服務器，證明服務器的身份信息。（5）全球服務器證書。全球服務器證書是發(fā)放給全球范圍網站的數字證書，支持業(yè)界所有主流的瀏覽器和Web服務器，能夠輕松地實現網站服務器的身份認證數字證書頒發(fā)過程用戶（或在認證中心幫助下）首先產生自己的密鑰對，并將公共密鑰及用戶基本身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由該用戶發(fā)送而來，并在完成繳費手續(xù)后認證中心將發(fā)給用戶一個數字證書

認證機構（ＣＡ－CertificationAuthority）為了使收方得以保證發(fā)方確是客觀存在的合法的有法律責任能力的單位，可設立權威的第三方機構負責確認收發(fā)雙方均是合法存在的法人單位的機構，這第三方權威機構稱為認證機構或認證中心。CA自己也擁有一個證書（內含公鑰）和私鑰。網上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發(fā)的其它證書的權威性、合法性。CA認證系統組成：1.KMC（KeyManagementCentre，密鑰管理中心）：提供加密證書密鑰對進行全過程管理的功能，包括密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰備份、密鑰更新、密鑰撤銷、密鑰歸檔、密鑰恢復以及安全管理等；2.CA（證書簽發(fā)管理系統）：提供用戶數字證書的簽發(fā)和管理；3.RA（證書注冊管理系統）：提供用戶數字證書的申請、身份審核、證書下載與證書管理等服務。案例2－1國內電子商務認證機構實例1．廣東省電子商務認證有限公司（簡稱網證通，網址

）受理點一：地址：廣州市廣州大道中938號1樓名稱：廣東省電子商務認證有限公司中心營業(yè)廳電話：800-830-1330受理點二：地址：深圳市福田區(qū)景田東路9號財政大廈附樓一樓大廳名稱：深圳政府采購中心營業(yè)廳電話15994777520除發(fā)放數字證書外，還提供許多其它電子商務安全產品：文件保密柜、密碼服務器、電子印章等。2．北京開敏科技有限公司公司地址：北京市海淀區(qū)知春路西五道口2號1603網址：（中國數字認證網）電話：01301102279Email：ca365@

有下載并安裝根CA證書等，特別是有免費證書、試用的測試證書申請3．北京數字證書認證中心有限公司（簡稱BJCA）地址：北京市海淀區(qū)北四環(huán)西路68號雙橋大廈15層（左岸工社）郵編：100080電話：(010)58045600網址：提供全面的數字證書申請、審核等服務4．GlobalSignGlobalSignChina環(huán)璽信息科技（上海）有限公司：上海市普陀區(qū)西康路1255號普陀科技大廈18樓C座.電話：21-60762537網址：電子郵件：marketing-china@能簽發(fā)SSL數字證書2023/6/2185（4）數字證書的有效性只有下列條件為真時，數字證書才有效。①證書沒有過期所有的證書都有一個有效期，只有在有效期限以內證書才有效。②密鑰沒有修改如果密鑰被修改，就不應該再使用。密鑰對應的證書就應當收回。③用戶有權使用這個密鑰例如雇員離開了某家公司，雇員就不能再使用公司的密鑰，密鑰對應的證書就需要收回。④證書必須不在無效證書清單中

認證中心負責回收證書，發(fā)行無效證書清單。

2023/6/2186電子商務安全協議分類1）加密協議2）身份驗證協議3）密鑰管理協議4）數據驗證協議5）安全審計協議6）防護協議第五節(jié)安全套接層和安全電子交易協議一、安全套接層協議（SSL-SecureSocketsLayer）是Internet主要的安全協議。主要用于提高應用程序之間傳輸數據的安全系數保證客戶機和服務器間通信安全的協議采用混合加密法：當兩臺計算機發(fā)起安全會話時，一臺計算機創(chuàng)建一個對稱密鑰，并使用對方公鑰加密將其發(fā)送給對方計算機，然后這兩臺計算機使用對稱密鑰加密進行通信。