第四章 電子商務(wù)安全技術(shù)

2023/9/22第四章電子商務(wù)安全技術(shù)1第四章電子商務(wù)安全技術(shù)4.1電子商務(wù)安全概述4.1.1電子商務(wù)安全的概念和特點電子商務(wù)系統(tǒng)硬件安全：是指保護(hù)計算機(jī)系統(tǒng)中硬件（包括外部設(shè)備）的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制

電子商務(wù)系統(tǒng)軟件安全：是指保護(hù)軟件和數(shù)據(jù)不被篡改、破壞和非法復(fù)制。根據(jù)計算機(jī)軟件系統(tǒng)的組成，軟件安全可分為操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)軟件安全和應(yīng)用軟件安全。2023/9/22第四章電子商務(wù)安全技術(shù)2電子商務(wù)系統(tǒng)運行安全：是指保護(hù)系統(tǒng)能連續(xù)和正常地運行電子商務(wù)安全立法：是對電子商務(wù)犯罪的約束，它是利用國家機(jī)器，通過安全立法，體現(xiàn)與犯罪斗爭的國家意志2023/9/22第四章電子商務(wù)安全技術(shù)3電子商務(wù)安全是一個系統(tǒng)概念電子商務(wù)安全是發(fā)展、動態(tài)的電子商務(wù)安全是相對的電子商務(wù)安全是有代價的本章討論的電子商務(wù)安全是以網(wǎng)絡(luò)為基礎(chǔ)的信息安全2023/9/22第四章電子商務(wù)安全技術(shù)44.1.2電子商務(wù)安全的需求保密性：信息在傳輸過程中不被他人竊取.數(shù)據(jù)加密和解密2023/9/22第四章電子商務(wù)安全技術(shù)5完整性1、存儲的時候防止非法篡改和破壞。2、傳輸?shù)臅r候發(fā)送和接收的應(yīng)該一致。散列算法驗證2023/9/22第四章電子商務(wù)安全技術(shù)6不可否認(rèn)性信息的發(fā)送方不能否認(rèn)自己發(fā)送的信息；信息的接收方也不能夠否認(rèn)自己接收的信息。CA中心仲裁2023/9/22第四章電子商務(wù)安全技術(shù)7交易者身份的真實性交易雙方確實存在,而不是假冒的CA證書2023/9/22第四章電子商務(wù)安全技術(shù)8系統(tǒng)的可靠性防止計算機(jī)系統(tǒng)出現(xiàn)失效、程序錯誤、傳輸錯誤、自然災(zāi)害等引起的計算機(jī)信息失誤或者失效。管理,數(shù)據(jù)的備份和恢復(fù)2023/9/22第四章電子商務(wù)安全技術(shù)94.2電子商務(wù)安全技術(shù)4.2.1加密技術(shù)加密和解密過程依靠兩個元素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過程。在這個過程中需要一串?dāng)?shù)字，這個數(shù)字就是密鑰加密和解密。加密是指將數(shù)據(jù)進(jìn)行編碼，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文。解密是加密的逆過程，即將密文還原成原來可理解的形式（也就是明文）1、基本概念2023/9/22第四章電子商務(wù)安全技術(shù)10

密鑰的長度是指密鑰的位數(shù)。密文的破譯通常是黑客經(jīng)過長時間的測試密鑰，破獲密鑰后，解開密文。怎樣才能使得加密系統(tǒng)牢固，讓黑客位難以破獲密鑰呢？這就是要使用長密鑰。例如一個16位的密鑰有2的16次方（65536）種不同的密鑰。順序猜測65536種密鑰對于計算機(jī)來說是很容易的。如果100位的密鑰，計算機(jī)猜測密鑰的時間需要好幾個世紀(jì)了。因此，密鑰的位數(shù)越長，加密系統(tǒng)就越牢固。2023/9/22第四章電子商務(wù)安全技術(shù)11mycardnumberissecretabcdefghijklmnopqrstuvwxyz

jvzxoakrjybofppbzobq單一字母表代換密鑰是32023/9/22第四章電子商務(wù)安全技術(shù)122023/9/22第四章電子商務(wù)安全技術(shù)132、對稱密鑰系統(tǒng)迄今為止，對網(wǎng)絡(luò)和通信全最重要的技術(shù)是加密。通常使用的加密方法分為兩大類：對稱加密和非對稱加密。代表性算法:DESIDEA2023/9/22第四章電子商務(wù)安全技術(shù)142023/9/22第四章電子商務(wù)安全技術(shù)15對稱密鑰系統(tǒng)的特點1〉在首次通信前，雙方必須通過除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰。2〉當(dāng)通信對象增多時，需要相應(yīng)數(shù)量的密鑰。例如一個擁有100個貿(mào)易伙伴的企業(yè)，必須要有100個密鑰，這就使密鑰管理和使用的難度增大。3〉對稱加密是建立在共同保守秘密的基礎(chǔ)之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復(fù)雜的管理難度。2023/9/22第四章電子商務(wù)安全技術(shù)163、公開密鑰系統(tǒng)2023/9/22第四章電子商務(wù)安全技術(shù)17

公開密鑰系統(tǒng)的特點（1）RSA算法的優(yōu)點是：易于實現(xiàn)，使用靈活，密鑰較少，在網(wǎng)絡(luò)中容易實現(xiàn)密鑰管理，便于進(jìn)行數(shù)字簽名，從而保證數(shù)據(jù)的不可抵賴性；（2）缺點是要取得較好的加密效果和強(qiáng)度，必須使用較長的密鑰，從而加重系統(tǒng)的負(fù)擔(dān)和減慢系統(tǒng)的吞吐速度，這使得非對稱密鑰技術(shù)不適合對數(shù)據(jù)量較大的報文進(jìn)行加密。2023/9/22第四章電子商務(wù)安全技術(shù)18在實踐中，為了保證電子商務(wù)系統(tǒng)的安全、可靠以及使用效率，一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。在該系統(tǒng)中，用DES算法作為數(shù)據(jù)的加密算法對數(shù)據(jù)進(jìn)行加密，用RSA算法作為DES密鑰的加密算法，對DES密鑰進(jìn)行加密。這樣的系統(tǒng)既能發(fā)揮DES算法加密速度快、安全性好的優(yōu)點，又能發(fā)揮RSA算法密鑰管理方便的優(yōu)點，揚長避短。RSA和DES相結(jié)合的綜合保密系統(tǒng)2023/9/22第四章電子商務(wù)安全技術(shù)19明文對稱密鑰密文明文對稱密鑰解密加密后的密鑰加密公開密鑰(B)私有密鑰(B)2023/9/22第四章電子商務(wù)安全技術(shù)204、數(shù)字摘要——驗證信息的完整性2023/9/22第四章電子商務(wù)安全技術(shù)215、數(shù)字簽名——驗證信息的不可否認(rèn)性2023/9/22第四章電子商務(wù)安全技術(shù)22DigitalTime-stampService在書面合同文件中，日期和簽名均是十分重要的防止被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，時間和簽名同等重要。數(shù)字時間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項目，專門用于證明信息的發(fā)送時間。6、數(shù)字時間戳——驗證信息發(fā)送的時間2023/9/22第四章電子商務(wù)安全技術(shù)234.2.2認(rèn)證技術(shù)2023/9/22第四章電子商務(wù)安全技術(shù)241數(shù)字證書：在因特網(wǎng)上，用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。2023/9/22第四章電子商務(wù)安全技術(shù)25①證書所有者的姓名②證書所有者的公鑰③公鑰的有效期④頒發(fā)數(shù)字證書的單位⑤頒發(fā)數(shù)字證書單位的數(shù)字簽名⑥數(shù)字證書的序列號數(shù)字證書內(nèi)容個人數(shù)字證書服務(wù)器證書軟件數(shù)字證書安全郵件證書

數(shù)字證書種類2023/9/22第四章電子商務(wù)安全技術(shù)262023/9/22第四章電子商務(wù)安全技術(shù)27在電子商務(wù)中必須解決一下兩個問題：身份驗證；交易的不可抵賴。2023/9/22第四章電子商務(wù)安全技術(shù)28第三方機(jī)構(gòu)數(shù)字證書作用4.2.2認(rèn)證技術(shù)證書作用：向接收者證實某人或某個機(jī)構(gòu)對公開密鑰的擁有；

公鑰分發(fā)。2023/9/22第四章電子商務(wù)安全技術(shù)292023/9/22第四章電子商務(wù)安全技術(shù)304.2.2認(rèn)證技術(shù)2、認(rèn)證中心（CA)：承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)。其主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)和管理數(shù)字證書。認(rèn)證中心的功能（1）證書發(fā)放

（2）證書管理①證書更新②證書撤銷③證書驗證2023/9/22第四章電子商務(wù)安全技術(shù)31CA的層次結(jié)構(gòu)2023/9/22第四章電子商務(wù)安全技術(shù)322023/9/22第四章電子商務(wù)安全技術(shù)33我國的認(rèn)證中心我國的CA又可分為行業(yè)性CA和區(qū)域性CA兩大類。行業(yè)性CA有中國金融認(rèn)證中心（CFCA）、中國電信認(rèn)證中心（CTCA）、中國郵政認(rèn)證中心、外經(jīng)貿(mào)部CA等。其中中國金融認(rèn)證中心（CFCA）和中國電信認(rèn)證中心（CTCA）是行業(yè)性CA中影響最大的兩家。區(qū)域性CA大多以地方政府為背景，以公司機(jī)制來運作，如廣東CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)等，各地還在繼續(xù)建設(shè)。其中影響最大的是廣東CA中心（CNCA）和上海CA中心(SHECA)。2023/9/22第四章電子商務(wù)安全技術(shù)342023/9/22第四章電子商務(wù)安全技術(shù)35CFCA是全國惟一的金融根認(rèn)證中心，由中國人民銀行負(fù)責(zé)統(tǒng)一規(guī)劃管理，中國工商銀行、中國銀行、中國農(nóng)業(yè)銀行、中國建設(shè)銀行、交通銀行、招商銀行、中信實業(yè)銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、光大銀行、民生銀行和福建興業(yè)銀行共十三家商業(yè)銀行聯(lián)合建設(shè)，由銀行卡信息交換總中心承建，建立了SETCA和Non-SETCA兩套系統(tǒng)，于2000年6月29日正式開始為全國的用戶提供證書服務(wù)。中國金融認(rèn)證中心（CFCA）2023/9/22第四章電子商務(wù)安全技術(shù)362023/9/22第四章電子商務(wù)安全技術(shù)372023/9/22第四章電子商務(wù)安全技術(shù)38針對這些技術(shù)的具體應(yīng)用,國內(nèi)外有許多不同的安全協(xié)議和整體解決方案,其中比較有名的就是VisaMasterCard聯(lián)合推出的安全電子交易協(xié)議和有Netscape,Verisign推出的安全套接層協(xié)議。2023/9/22第四章電子商務(wù)安全技術(shù)392023/9/22第四章電子商務(wù)安全技術(shù)404.2.3電子商務(wù)安全協(xié)議SSL(securesocketslayer)是由NetscapeCommunication公司是由設(shè)計開發(fā)的，其目的是通過在收發(fā)