第3章-電子交易安全技術(shù)

第3章電子交易安全技術(shù)第1節(jié)數(shù)據(jù)加密技術(shù)第2節(jié)數(shù)據(jù)加密技術(shù)的應(yīng)用第3節(jié)移動(dòng)電子商務(wù)安全技術(shù)第1節(jié)數(shù)據(jù)加密技術(shù)隨著社會(huì)的發(fā)展，加密的方式越來(lái)越多。特別是在計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通信技術(shù)飛速發(fā)展的今天，信息的傳輸量越來(lái)越大，其安全性難以保障，加密作為保障數(shù)據(jù)安全的一種方式，得到前所未有的重視并迅速普及和發(fā)展起來(lái)，尤其是在電子商務(wù)活動(dòng)中起著非常重要的作用。一、數(shù)據(jù)加密概述1.數(shù)據(jù)加密的定義“我可以看到，但就是不讓你直接看到”這就是數(shù)據(jù)加密的基本思想，也就是偽裝信息，使局外人不能理解信息的真正含義，而局內(nèi)人卻能夠理解偽裝信息的本來(lái)含義?！拔移吹侥悴幌胱屛铱吹男畔ⅰ眲t是數(shù)據(jù)解密的基本思想，也就是要去除偽裝，識(shí)讀信息的真實(shí)內(nèi)容。2.加密系統(tǒng)的組成明文是需要加密的內(nèi)容，密文是加密后不可理解的內(nèi)容；密鑰是由數(shù)字、字母組成，用它來(lái)實(shí)現(xiàn)對(duì)明文的加密或?qū)γ芪牡慕饷埽嗤拿魑挠貌煌拿荑€加密得到不同的密文。密鑰分加密密鑰和解密密鑰，密鑰的長(zhǎng)度是指密鑰的位數(shù)；加密算法其實(shí)就是一種數(shù)學(xué)函數(shù)，用來(lái)完成加密和解密的運(yùn)算，即將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文。3.數(shù)據(jù)加密、解密的過(guò)程加密的基本過(guò)程就是對(duì)原來(lái)為明文的文件或數(shù)據(jù)按某種加密算法進(jìn)行處理，使其成為不可讀的一段密文，密文只能在輸入相應(yīng)的密鑰之后才能顯示出原來(lái)的內(nèi)容，通過(guò)這樣的方式使數(shù)據(jù)不被竊取，而解密的過(guò)程與加密恰恰相反。4.加密技術(shù)在電子商務(wù)中的作用加密技術(shù)是電子商務(wù)中主要采取的安全技術(shù)手段。采用加密技術(shù)可以防止用戶的數(shù)據(jù)被讀取，避免敏感信息被泄露，滿足信息保密性的需求，防止數(shù)據(jù)被更改，滿足信息完整性的需求，是保證信息保密性、完整性、可用性的有力手段。加密技術(shù)還可以有效地用于身份認(rèn)證、數(shù)字簽名等，以確認(rèn)交易雙方的身份，防止欺騙。二、數(shù)據(jù)加密的分類1.按編制原理劃分?jǐn)?shù)據(jù)加密技術(shù)按編制原理可分為移位、代替和置換三種形式以及它們的組合形式。2.按密鑰方式劃分（1）對(duì)稱加密技術(shù)對(duì)稱加密技術(shù)又稱私鑰加密技術(shù)，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。（2）非對(duì)稱加密技術(shù)非對(duì)稱加密技術(shù)又稱公鑰加密技術(shù)。這種技術(shù)的加密密鑰和解密密鑰是不同的，公開密鑰（公密）對(duì)外公布，私有密鑰（私密）只有持有人知道。（3）對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)的比較第2節(jié)數(shù)據(jù)加密技術(shù)的應(yīng)用在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)的匿名性給電子商務(wù)帶來(lái)了很大的安全隱患，如何確認(rèn)網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問(wèn)題。一、PKI體系1.傳統(tǒng)商務(wù)和電子商務(wù)的身份認(rèn)證方法身份認(rèn)證是指電子商務(wù)過(guò)程中確認(rèn)交易雙方身份的過(guò)程。如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就成為一個(gè)很重要的問(wèn)題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問(wèn)題。電子商務(wù)的認(rèn)證技術(shù)都是基于對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)的，即PKI技術(shù)。2.PKI技術(shù)PKI含義為“公鑰基礎(chǔ)設(shè)施”，PKI技術(shù)是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，PKI基礎(chǔ)設(shè)施采用證書管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)——認(rèn)證中心，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封等。二、數(shù)字信封技術(shù)數(shù)字信封類似于普通信封，普通信封在法律約束下保證只有收信人才能閱讀信件的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。三、信息摘要在電子商務(wù)中采用防止信息被改動(dòng)的方法，這就是信息摘要，以此來(lái)確保信息的完整性。信息摘要用到的一種函數(shù)叫摘要函數(shù)。信息摘要常用于創(chuàng)建數(shù)字簽名，對(duì)于特定的文件而言，信息摘要是唯一的，信息摘要可以被公開，它不會(huì)透露相應(yīng)文件的任何內(nèi)容。四、數(shù)字證書數(shù)字證書的來(lái)源必須可靠，這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，以確保網(wǎng)上信息的安全，這個(gè)機(jī)構(gòu)就是CA認(rèn)證機(jī)構(gòu)，即證書認(rèn)證中心。1.證書認(rèn)證中心（CA）CA是采用PKI非對(duì)稱加密基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，是具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。作為電子商務(wù)交易中受信任的第三方，專門解決PKI體系中公鑰的合法性問(wèn)題。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書。2.數(shù)字證書（數(shù)字ID）數(shù)字證書由認(rèn)證中心發(fā)放，它實(shí)際上是一個(gè)經(jīng)授權(quán)的證書中心簽發(fā)的計(jì)算機(jī)文件。一個(gè)數(shù)字證書的組成包括：所有者的公鑰、所有者的名字、公鑰的失效期、發(fā)放機(jī)構(gòu)的名稱（發(fā)放數(shù)字證書的CA）、數(shù)字證書的序列號(hào)、發(fā)放機(jī)構(gòu)的數(shù)字簽名等。（1）數(shù)字證書的用途1）信息除發(fā)送方和接收方外不被其他人竊取。2）信息在傳輸過(guò)程中不被篡改。3）接收方能夠通過(guò)數(shù)字證書來(lái)確認(rèn)發(fā)送方的身份。4）發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。（2）根證書根證書是CA認(rèn)證中心與用戶建立信任關(guān)系的基礎(chǔ)，用戶的數(shù)字證書必須有一個(gè)受信任的根證書，才能保證是有效的。用戶在使用數(shù)字證書之前必須先下載根證書，表明對(duì)該根證書以下所簽發(fā)證書的信任。（3）數(shù)字證書的類型（4）數(shù)字證書的使用數(shù)字證書主要應(yīng)用于各種需要身份認(rèn)證的場(chǎng)合。五、數(shù)字簽名它是采用一系列的技術(shù)手段生成一段不能偽造的信息，發(fā)送方將原文數(shù)據(jù)和數(shù)字簽名一起發(fā)送給接收方，而接收方可以依據(jù)一定的步驟還原數(shù)字簽名的信息，并與原文摘要進(jìn)行比較，從而確認(rèn)該信息是否源于簽名人，而且該信息在簽名后沒(méi)有被有意或無(wú)意的更改過(guò)。1.數(shù)字簽名的原理2.數(shù)字簽名的作用（1）證明文件的來(lái)源，即識(shí)別簽名人。（2）表明簽名人對(duì)文件內(nèi)容的確認(rèn)。（3）構(gòu)成簽名人對(duì)文件內(nèi)容正確性和完整性負(fù)責(zé)的依據(jù)。與傳統(tǒng)商務(wù)活動(dòng)中的簽名蓋章作用相同，具有同樣的法律效力。3.數(shù)字簽名的使用六、數(shù)字時(shí)間戳1.數(shù)字時(shí)間戳的概念數(shù)字時(shí)間戳能對(duì)電子文件發(fā)表的時(shí)間提供安全保護(hù)。由于用戶計(jì)算機(jī)桌面時(shí)間很容易改變，所以由該時(shí)間產(chǎn)生的時(shí)間戳不可信賴，因此需要一個(gè)第三方來(lái)提供可信賴的且不可抵賴的時(shí)間戳服務(wù)，也就是數(shù)字時(shí)間戳服務(wù)（DTS）。時(shí)間戳就是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加時(shí)間戳文件的摘要、DTS收到文件的日期和時(shí)間以及DTS的數(shù)字簽名。2.數(shù)字時(shí)間戳的實(shí)現(xiàn)過(guò)程（1）發(fā)送方對(duì)文件產(chǎn)生消息摘要。（2）發(fā)送方將摘要發(fā)送到專門提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu)。（3）權(quán)威機(jī)構(gòu)對(duì)原摘要加入時(shí)間后，用私鑰加密，進(jìn)行數(shù)字簽名。（4）權(quán)威機(jī)構(gòu)將加入時(shí)間后的新摘要發(fā)送給消息發(fā)送方。3.申請(qǐng)數(shù)字時(shí)間戳服務(wù)申請(qǐng)數(shù)字時(shí)間戳也需相應(yīng)的數(shù)字證書，數(shù)字證書的用途應(yīng)為“時(shí)間戳簽名證書”。第3節(jié)移動(dòng)電子商務(wù)安全技術(shù)移動(dòng)電子商務(wù)就是利用手機(jī)、PDA等無(wú)線終端進(jìn)行的電子商務(wù)活動(dòng)。它將互聯(lián)網(wǎng)、移動(dòng)通信技術(shù)、短距離通信技術(shù)及其他技術(shù)完美結(jié)合，使人們可以在任何時(shí)間、任何地點(diǎn)進(jìn)行電子交易活動(dòng)。一、移動(dòng)電子商務(wù)的特點(diǎn)1.移動(dòng)接入移動(dòng)接入是移動(dòng)用戶使用移動(dòng)終端設(shè)備通過(guò)移動(dòng)網(wǎng)絡(luò)訪問(wèn)Internet信息和服務(wù)的基本手段。2.身份鑒別SIM卡的卡號(hào)是全球唯一的，每一個(gè)SIM卡對(duì)應(yīng)一個(gè)用戶，這使得SIM卡成為移動(dòng)用戶天然的身份識(shí)別工具。3.移動(dòng)支付移動(dòng)支付是移動(dòng)電子商務(wù)的一個(gè)重要目標(biāo)，用戶可以隨時(shí)隨地完成必要的電子支付業(yè)務(wù)。4.信息安全移動(dòng)電子商務(wù)與Internet電子商務(wù)一樣，需要具有4個(gè)基本特征（數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可抵賴性及交易雙方的認(rèn)證與授權(quán)）的信息安全。二、移動(dòng)電子商務(wù)面臨的安全問(wèn)題1.終端竊取與假冒移動(dòng)通信終端體積小、重量輕，便于隨身攜帶使用，但也容易丟失和被竊。2.無(wú)線網(wǎng)的竊聽無(wú)線竊聽可以導(dǎo)致信息的泄露，移動(dòng)用戶的身份信息和位置信息的泄露可以導(dǎo)致移動(dòng)用戶被無(wú)線跟蹤。3.中間人攻擊由于無(wú)線用戶之間交互的頻率很高，病毒可以通過(guò)無(wú)線網(wǎng)絡(luò)迅速傳播。4.拒絕服務(wù)入侵者通過(guò)物理層或協(xié)議層干擾用戶數(shù)據(jù)、信息數(shù)據(jù)或控制數(shù)據(jù)網(wǎng)絡(luò)的正常傳輸，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)中的拒絕服務(wù)攻擊。5.交易抵賴所謂交易抵賴是指交易雙方中的一方在交易完成后否認(rèn)其參與了此交易。6.設(shè)備問(wèn)題