汽車電子商務(wù)安全體系

第八章

汽車電子商務(wù)平安體系汽車電子商務(wù)平安體系第一節(jié)電子商務(wù)系統(tǒng)平安概述第二節(jié)汽車電子商務(wù)的平安技術(shù)分類第三節(jié)電子商務(wù)的平安協(xié)議第四節(jié)汽車企業(yè)電子商務(wù)平安現(xiàn)狀據(jù)權(quán)威機(jī)構(gòu)調(diào)查說(shuō)明，目前國(guó)內(nèi)企業(yè)開展電子商務(wù)的最大顧慮是網(wǎng)上交易的平安問(wèn)題。美國(guó)每年因電子商務(wù)平安問(wèn)題所造成的經(jīng)濟(jì)損失達(dá)75億美元，企業(yè)的電腦平安受到侵犯的比例從1997年的49%升到1999年的54%。1997年美國(guó)出現(xiàn)了兩次大的企業(yè)網(wǎng)站癱瘓事件，美國(guó)中情局的效勞器在1999年也受到過(guò)黑客的攻擊。著名的美國(guó)聯(lián)機(jī)公司因人為操作和技術(shù)上的失誤，使其計(jì)算機(jī)系統(tǒng)的600萬(wàn)用戶陷入癱瘓10小時(shí)。另一家大公司網(wǎng)絡(luò)聯(lián)機(jī)通信效勞公司的主干網(wǎng)出現(xiàn)重大故障，40萬(wàn)用戶被迫中斷聯(lián)絡(luò)40小時(shí)。在中國(guó)，從1993年中科院高能物理所與互聯(lián)網(wǎng)聯(lián)網(wǎng)，首開國(guó)內(nèi)使用互聯(lián)網(wǎng)先河之日起，黑客在中國(guó)的活動(dòng)就沒(méi)有停止過(guò)。僅就中科院網(wǎng)絡(luò)中心而言，在1993年至1998年期間，屢次遭到中外“黑客〞的入侵，造成不同程度的影響。1997年以前，我國(guó)已發(fā)現(xiàn)的許多計(jì)算機(jī)犯罪案件主要集中在金融領(lǐng)域，損失金額小的有數(shù)千元，大的已超過(guò)數(shù)百萬(wàn)元。在1997年以后，黑客入侵活動(dòng)日益猖獗，逐步轉(zhuǎn)向電子商務(wù)領(lǐng)域，國(guó)內(nèi)各大網(wǎng)絡(luò)幾乎都不同程度地遭到黑客的攻擊。1997年7月，上海某證券系統(tǒng)被黑客人侵。同期西安某銀行系統(tǒng)被黑客入侵后，提走80.6萬(wàn)元現(xiàn)金。1997年9月，揚(yáng)州某銀行被黑客攻擊，利用虛存帳號(hào)提走26萬(wàn)元現(xiàn)金。1999年4月26日的CIH病毒的爆發(fā)，使我國(guó)4萬(wàn)多臺(tái)電腦不能正常運(yùn)行，大多數(shù)電腦的硬盤數(shù)據(jù)被毀，國(guó)內(nèi)很多企業(yè)的數(shù)據(jù)都或多或少地被破壞。中國(guó)民航的20多臺(tái)電腦曾被感染，其中在1999年下半年的航班時(shí)刻表的數(shù)據(jù)被毀，使工作人員4個(gè)多月的辛苦付之東流?？梢?jiàn)網(wǎng)絡(luò)黑客窮兇極惡、利欲熏心，為了到達(dá)他們的丑惡目的，真是不擇手段。電子商務(wù)系統(tǒng)平安包括：硬件平安、軟件平安、網(wǎng)絡(luò)平安、人員管理平安電子商務(wù)平安控制要求：有效性、保密性、完整性、交易者身份確實(shí)定性、不可否認(rèn)性、不可修改性2021年上半年網(wǎng)絡(luò)平安狀況2.17億1.21億3880萬(wàn)----CNNIC第一節(jié)電子商務(wù)的平安概述常見(jiàn)的電子商務(wù)的平安隱患〔平安問(wèn)題〕問(wèn)題數(shù)據(jù)被非法截獲、讀取或者修改冒名頂替和否認(rèn)行為一個(gè)網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問(wèn)了另一個(gè)網(wǎng)絡(luò)計(jì)算機(jī)病毒措施數(shù)據(jù)加密數(shù)字簽名、加密、認(rèn)證等防火墻計(jì)算機(jī)病毒防治措施平安威脅利用Internet的開放性非法入侵，造成商務(wù)信息被篡改、盜竊或喪失；〔入侵計(jì)算機(jī)系統(tǒng)〕利用TCP/IP的透明性得悉商業(yè)機(jī)密，甚至惡意竊取、篡改和破壞；〔傳輸過(guò)程中得悉〕利用操作系統(tǒng)漏洞植入病毒或黑客程序，破壞用戶計(jì)算機(jī)系統(tǒng)。利用電子化信息難以識(shí)別和鑒定使用虛假身份進(jìn)行交易。簽定虛假訂單、合同進(jìn)行詐騙；交易后抵賴等。由于計(jì)算機(jī)系統(tǒng)故障對(duì)交易過(guò)程和商業(yè)信息平安所造成的破壞?！蚕到y(tǒng)可靠性問(wèn)題〕危害電子商務(wù)系統(tǒng)平安的主要因素1、網(wǎng)絡(luò)硬件的不平安因素通信監(jiān)視非法終端注入非法信息線路干擾運(yùn)行中斷效勞干擾病毒入侵2、網(wǎng)絡(luò)軟件的不平安因素操作系統(tǒng)網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)軟件3、工作人員的不平安因素保密觀念不強(qiáng)/業(yè)務(wù)不熟練/規(guī)章制度不健全/非法訪問(wèn)/越權(quán)訪問(wèn)/利用硬件故障或軟件錯(cuò)誤非法訪問(wèn)/竊取系統(tǒng)或用戶信息4、交易信用的風(fēng)險(xiǎn)因素來(lái)自買方的信用風(fēng)險(xiǎn)來(lái)自賣方的信用買賣雙方都存在抵賴的情況5、計(jì)算機(jī)病毒和黑客攻擊6、法律方面的風(fēng)險(xiǎn)因素7、環(huán)境的不平安因素1信息的保密性2信息的完整性3信息的不可抵賴性4交易者身份的真實(shí)性5系統(tǒng)的可靠性6內(nèi)部網(wǎng)的嚴(yán)密性電子商務(wù)的平安性需求平安管理平安技術(shù)電子商務(wù)的平安性保障第二節(jié)電子商務(wù)平安技術(shù)的分類電子商務(wù)的平安技術(shù)1防火墻技術(shù)2加密技術(shù)3信息摘要4數(shù)字簽名5數(shù)字時(shí)間戳6數(shù)字證書與CA認(rèn)證1內(nèi)部網(wǎng)的嚴(yán)密性2信息的保密性3信息的完整性4信息的不可抵賴性5交易者身份的真實(shí)性6系統(tǒng)的可靠性1防火墻技術(shù)防火墻是指一個(gè)由軟件和硬件設(shè)備組合而成，在Intranet和Internet之間構(gòu)筑的一道屏障〔如下圖〕，用于加強(qiáng)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間平安防范的系統(tǒng)。防火墻的根本概念防火墻的構(gòu)成

防火墻主要包括平安操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名效勞和E-Mail處理5局部過(guò)濾器執(zhí)行由防火墻管理機(jī)構(gòu)制訂的—組規(guī)那么，檢驗(yàn)各數(shù)據(jù)組決定是否允許放行。這些規(guī)那么按IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。防火墻的主要功能

(1)保護(hù)那些易受攻擊的效勞?！矓?shù)據(jù)庫(kù)效勞、支付效勞等〕(2)控制對(duì)特殊站點(diǎn)的訪問(wèn)〔軍事/公安/政府/銀行/游戲/黃色/反動(dòng)〕(3)集中化的平安管理。(4)對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)。所謂加密技術(shù)，就是采用數(shù)學(xué)方法對(duì)原始信息(通常稱為“明文〞)進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對(duì)于非法接收者來(lái)說(shuō)成為無(wú)意義的文字(加密后的信息通常稱為“密文〞)。而對(duì)于合法的接收者，因?yàn)槠湔莆照_的密鑰，可以通過(guò)解密過(guò)程得到原始數(shù)據(jù)(即“明文〞)。2加密技術(shù)加密技術(shù)的根本概念E-Encrypt，加密D-Decrypt，解密K-Key，密鑰C-Cryptograph，密文明文不安全信道加密算法E解密算法D加密密鑰KE竊聽(tīng)、入侵解密密鑰KD明文數(shù)據(jù)加密的一般模型密文C加密和解密必須依賴兩個(gè)要素：就是算法和密鑰。算法是加密和解密的計(jì)算方法；密鑰是加密和加密所需的一串?dāng)?shù)字。例如：采用移位加密算法，使移動(dòng)3位后的英文字母表示原來(lái)的英文字母，對(duì)應(yīng)關(guān)系如下：例：KRZGRBRXGR——HOWDOYOUDOKEY密鑰按加密解密是否使用相同密鑰劃分

對(duì)稱加密技術(shù)非對(duì)稱加密技術(shù)加密技術(shù)的種類加密和解密使用相同的密鑰。發(fā)送者和接收者擁有相同的密鑰。該技術(shù)最具有代表性的算法是IBM公司提出的DES算法(DataEncryptionStandard數(shù)據(jù)加密標(biāo)準(zhǔn))，是目前廣泛采用的對(duì)稱加密方式之一。它的根本思想是將二進(jìn)制序列的明文分成每64位一組，用長(zhǎng)為64位的密鑰對(duì)這些明文進(jìn)行16輪代換和置換加密。最后形成密文。目前主要使用128bits密鑰。優(yōu)點(diǎn)：實(shí)現(xiàn)容易，使用方便，加密、解密速度快，可以用硬件實(shí)現(xiàn)?！?〕對(duì)稱加密技術(shù)存在的問(wèn)題：1〕在首次通信前，雙方必須通過(guò)除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。2〕當(dāng)通信對(duì)象增多時(shí)，需要相應(yīng)數(shù)量的密鑰。n(n-1)/23〕對(duì)稱加密是建立在共同保守秘密的根底之上的，在管理和分發(fā)密鑰過(guò)程中，任何一方的泄密都會(huì)造成密鑰的失效，存在著潛在的危險(xiǎn)和復(fù)雜的管理難度?！?〕非對(duì)稱加密技術(shù)非對(duì)稱加密技術(shù)中，加密和解密使用不同的密鑰，一把稱公鑰，另一把稱私鑰。各貿(mào)易方每人都擁有一對(duì)這樣的密鑰。兩把密鑰實(shí)際上是兩個(gè)數(shù)字串。非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法是RSA(Rivest，Shanir，Adleman)算法,建立在數(shù)論中大數(shù)分解和素?cái)?shù)檢測(cè)的理論根底上。兩個(gè)大素?cái)?shù)相乘在計(jì)算上是容易實(shí)現(xiàn)的，但將該乘數(shù)分解為兩個(gè)大素?cái)?shù)因子的計(jì)算量很大，大到甚至計(jì)算機(jī)上也不可能實(shí)現(xiàn)。兩個(gè)很大的素?cái)?shù)即為密鑰，用其中的一個(gè)素?cái)?shù)與明文相乘，可以加密得到密文；用另一個(gè)質(zhì)數(shù)與密文相乘可以解密。用于加密的數(shù)為公鑰，用于解密的數(shù)為私鑰。私鑰絕對(duì)私有，公鑰可以公開。公－私鑰對(duì)必須成對(duì)使用。公－私鑰對(duì)使用原那么：A公鑰B公鑰A私鑰B私鑰例B公鑰密鑰對(duì)的不同使用方法，用途不同3信息摘要

信息摘要指從原文中通過(guò)Hash算法〔一種單向的加密算法〕而得到的一個(gè)固定長(zhǎng)度〔128位〕的散列值，不同的原文所產(chǎn)生的信息摘要必不相同，相同原文產(chǎn)生的信息摘要必定相同。用信息摘要技術(shù)來(lái)保證信息的完整性。信息摘要過(guò)程4數(shù)字簽名

數(shù)字簽名過(guò)程數(shù)字簽名(DigitalSignature)：即是只有信息發(fā)送者才能產(chǎn)生的、別人無(wú)法偽造的一段數(shù)字串。這段數(shù)字串同時(shí)也是對(duì)發(fā)送者發(fā)送的信息的真實(shí)性的一個(gè)證明?！餐暾?，認(rèn)證性〕5數(shù)字時(shí)間戳

獲得數(shù)字時(shí)間戳的過(guò)程數(shù)字時(shí)間戳(DigitalTimeStamp-DTS)：文件簽署日期與簽名一樣都是防止合同文件等被偽造和篡改的關(guān)鍵性標(biāo)記，在電子商務(wù)中，數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔。包括需蓋戳的文件摘要，DTS機(jī)構(gòu)收到文件的時(shí)間以及DTS機(jī)構(gòu)的數(shù)字簽名三項(xiàng)內(nèi)容。6數(shù)字證書與CA認(rèn)證 數(shù)字證書根本概念〔DigitalID〕是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)應(yīng)用中識(shí)別通信各方的身份。數(shù)字證書由第三方權(quán)威機(jī)構(gòu)簽發(fā)，可以實(shí)現(xiàn)網(wǎng)絡(luò)上傳輸?shù)男畔⒌募用芎徒饷?、?shù)字簽名和簽名驗(yàn)證，確保傳遞信息的機(jī)密性、完整性、不可否認(rèn)性、交易實(shí)體的真實(shí)性。數(shù)字證書采用公－私鑰密碼體制，每個(gè)用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時(shí)擁有一把公鑰，并可以對(duì)外公開，用于信息加密和簽名驗(yàn)證。數(shù)字證書可用于：發(fā)送平安電子郵件、訪問(wèn)平安站點(diǎn)、網(wǎng)上簽約和網(wǎng)上銀行等平安電子事務(wù)處理和平安電子交易活動(dòng)。數(shù)字證書的內(nèi)容證書擁有者的姓名；證書擁有者的公鑰；公鑰的有限期；頒發(fā)數(shù)字證書的單位；頒發(fā)數(shù)字證書單位的數(shù)字簽名；數(shù)字證書的序列號(hào)等。查看證書內(nèi)容〔1〕查看證書內(nèi)容〔2〕查看證書內(nèi)容〔3〕〔1〕個(gè)人數(shù)字證書個(gè)人平安電子郵件證書、個(gè)人身份證書〔2〕企業(yè)證書企業(yè)〔客戶端〕數(shù)字證書、企業(yè)〔效勞器〕數(shù)字證書〔3〕軟件數(shù)字證書數(shù)字證書的種類CA認(rèn)證中心〔CertificateAuthority〕〔1〕認(rèn)證中心的功能：核發(fā)證書、管理證書、搜索證書、驗(yàn)證證書〔2〕CA的樹形驗(yàn)證結(jié)構(gòu)(如下圖〕數(shù)字證書的頒發(fā)機(jī)構(gòu)CA的樹形結(jié)構(gòu)A：RootCAB：CAC：DigitalID證書的樹形驗(yàn)證結(jié)構(gòu)〔3〕國(guó)內(nèi)外CA中心簡(jiǎn)介國(guó)外常見(jiàn)的CA有VeriSign、GTECyberTrust、Thawte等。國(guó)內(nèi)常見(jiàn)的CA有l(wèi)中國(guó)數(shù)字認(rèn)證網(wǎng)〔〕，數(shù)字認(rèn)證，數(shù)字簽名，CA認(rèn)證，CA證書，數(shù)字證書，平安電子商務(wù)。l北京數(shù)字證書認(rèn)證中心〔〕，為網(wǎng)上電子政務(wù)和電子商務(wù)活動(dòng)提供數(shù)字證書效勞。l安徽數(shù)字證書認(rèn)證中心〔1〕下載并安裝根證書〔2〕填交證書申請(qǐng)書〔3〕CA進(jìn)行身份審核〔4〕下載或領(lǐng)取證書〔5〕安裝證書返回本章首頁(yè)數(shù)字證書的申領(lǐng)及安裝1、工商年檢一路通〔年檢通〕答：申領(lǐng)電子簽名認(rèn)證證書需攜帶相關(guān)證件個(gè)人用戶需攜帶身份證/軍官證/士兵證/護(hù)照；企業(yè)用戶需攜帶工商營(yíng)業(yè)執(zhí)照、機(jī)構(gòu)代碼證及法人代表身份證復(fù)印件到浙江省數(shù)字認(rèn)證中心授權(quán)指定的受理點(diǎn)辦理。目前我省企業(yè)用戶可在各級(jí)工商行政管理部門辦理證書申請(qǐng)業(yè)務(wù)。怎樣申領(lǐng)電子簽名認(rèn)證證書(數(shù)字證書)1、工商年檢一路通〔年檢通〕2、地稅網(wǎng)上納稅通〔報(bào)稅通〕3、網(wǎng)上招標(biāo)采購(gòu)?fù)ā膊少?gòu)?fù)ā?、證書執(zhí)照即時(shí)通〔證照通〕5、企業(yè)網(wǎng)上經(jīng)營(yíng)身份通〔身份通〕6、網(wǎng)上信用查詢通〔查詢通〕7、網(wǎng)上審批政務(wù)通〔政務(wù)通〕8、交叉認(rèn)證互認(rèn)通〔互認(rèn)通〕9、電子交易商務(wù)通〔商務(wù)通〕浙江數(shù)字證書功能現(xiàn)狀電子身份證“一證九通〞浙江加快企業(yè)數(shù)字證書應(yīng)用第三節(jié)電子商務(wù)的平安協(xié)議SSL叫平安套接層協(xié)議，是國(guó)際上最早用的，已成工業(yè)標(biāo)準(zhǔn)，但它的基點(diǎn)是商家對(duì)客戶信息保密的承諾，因此有利于商家而不利于客戶。SET叫平安電子交易協(xié)議，是為了在互聯(lián)網(wǎng)上進(jìn)行在線交易時(shí)保證信用卡支付的平安而設(shè)立的一個(gè)開放的標(biāo)準(zhǔn)。因它的對(duì)象包括消費(fèi)者、商家、發(fā)卡銀行、收單銀行、支付網(wǎng)關(guān)、認(rèn)證中心，所以對(duì)消費(fèi)者與商家同樣有利。它越來(lái)越得到眾人認(rèn)同，將會(huì)成為未來(lái)電子商務(wù)的標(biāo)準(zhǔn)兩種都是應(yīng)用于電子商務(wù)用的網(wǎng)絡(luò)平安協(xié)議。都能保證交易數(shù)據(jù)的平安性、保密性和完整性。

電子商務(wù)的平安協(xié)議 發(fā)出客戶機(jī)證書和加密的專用會(huì)話密鑰（對(duì)稱加密密鑰，或稱單鑰）SSL客戶機(jī)SSL服務(wù)器1.客戶機(jī)的招呼3.客戶機(jī)的響應(yīng)2.服務(wù)器的招呼服務(wù)器客戶機(jī)確定安全級(jí)別并約定加密算法發(fā)出包含有服務(wù)器公鑰（非對(duì)稱加密機(jī)制）的服務(wù)器證書4.服務(wù)器的響應(yīng)用專用會(huì)話密鑰在客戶機(jī)、服務(wù)器之間發(fā)送保密的數(shù)據(jù)公鑰單鑰5.會(huì)話6.會(huì)話結(jié)束，丟棄本次會(huì)話的專用密鑰SSL協(xié)議與SET比較第四節(jié)汽車企業(yè)電子商務(wù)平安現(xiàn)狀電子商務(wù)平安的現(xiàn)狀法律法規(guī)建設(shè)1.電腦犯罪立法2.有關(guān)計(jì)算機(jī)平安的法律法規(guī)3.有關(guān)保護(hù)個(gè)人隱私的法律法規(guī)4.有關(guān)網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)的法律法規(guī)5.有關(guān)電子合同的法律法規(guī)理論研究和技術(shù)開發(fā)53法律法規(guī)建設(shè)1.電腦犯罪立法54法律法規(guī)建設(shè)2.有關(guān)計(jì)算機(jī)平安的法律法規(guī)55法律法規(guī)建設(shè)3.有關(guān)保護(hù)個(gè)人隱私的法律法規(guī)56法律法規(guī)建設(shè)4.有關(guān)網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)的法律法規(guī)57法律法規(guī)建設(shè)5.有關(guān)電子合同的法律法規(guī)我國(guó)2005年4月1日出臺(tái)的?中華人民共和國(guó)電子簽名法?成認(rèn)了電子簽名的法律效力，它是我國(guó)電子商務(wù)領(lǐng)域的第一部國(guó)家法，具有劃時(shí)代的意義。58理論研究和技術(shù)開發(fā)在提供保密性的加密算法里，有基于分組加密的DES算法，有基于大數(shù)因子分解的RSA算法，還有基于NP完全理論的背包加密算法，基于離散對(duì)數(shù)的ElGamal加密算法等等；在提供完整性和不可否認(rèn)性的數(shù)字簽名里，不僅有RSA簽名和ElGamal簽名，還有盲簽名、多重簽名和定向簽名、代理簽名等；在提供認(rèn)證性領(lǐng)域里，有目前流行的公鑰根底設(shè)施〔PKI〕；更有防火墻、授權(quán)效勞器等產(chǎn)品來(lái)提供可控性。59電子商務(wù)平安防治措施技術(shù)措施管理措施60技術(shù)措施1.網(wǎng)絡(luò)平安檢測(cè)設(shè)備2.訪問(wèn)設(shè)備3.防火墻4.瀏覽器/效勞器軟件5.端口保護(hù)6.訪問(wèn)控制7.數(shù)據(jù)加密8.數(shù)字證書9.保護(hù)傳輸線路平安10.路由選擇