《第四部分电子商务安全》由会员分享,可在线阅读,更多相关《第四部分电子商务安全(38页珍藏版)》请在金锄头文库上搜索。
1、第四章第四章 电子商务安全电子商务安全4.1 4.1 电子商务安全要求电子商务安全要求 4.2 4.2 电子商务的商务安全电子商务的商务安全 4.3 4.3 电子商务的技术安全电子商务的技术安全4.4 4.4 电子商务的社会安全电子商务的社会安全因素因素佳干腐洛租偿叮贡吓惶雷包惦交缀区危无缎窖拣碑颊肌卡肯渐益母蝗斜弯第四部分电子商务安全第四部分电子商务安全4.1 电子商务安全要求电子商务安全要求4.1.1 4.1.1 电子电子商务安全的表象商务安全的表象4.1.24.1.2 电子电子商务安全需求商务安全需求4.1.3 4.1.3 电子商务安全电子商务安全的范畴与划分的范畴与划分诞滑贺谆查抵乞俗
2、每憎冤卿盯跌个睡淳桩怀完畅琳约忿沏障喉笑浦指搂抄第四部分电子商务安全第四部分电子商务安全4.1.1 电子电子商务安全的表象商务安全的表象n在信息经济的发展过程中,我们越来越依赖于网络。在信息经济的发展过程中,我们越来越依赖于网络。 n随随着着经经济济信信息息化化进进程程的的加加快快,计计算算机机网网络络上上的的破破坏坏活活动动也也随随之之猖猖獗獗起起来来,已已对对经经济济秩秩序序、经经济济建建设设、国国家家信信息息安安全全构成严重威胁。构成严重威胁。 20002000年年2 2月月8 8日日到到1010日日,一一伙伙神神通通广广大大的的神神秘秘黑黑客客在在三三天天的的时时间间里里接接连连袭袭击
3、击了了互互联联网网上上包包括括雅雅虎虎、美美国国有有限限新新闻闻等等在在内内的的五五个最热门的网站,导致世界五大网站连连瘫痪。个最热门的网站,导致世界五大网站连连瘫痪。 20002000年年9 9月月, Western Western UnionUnion公公司司的的1500015000张张信信用用卡卡被被窃窃取取,致使该商务网站不得不关闭致使该商务网站不得不关闭5 5天。天。 同同年年1212月月,creditcards.corncreditcards.corn网网站站被被窃窃取取了了5500055000张张信信用用卡卡,其中的其中的2500025000张信用卡号码在网上公诸于众。张信用卡号
4、码在网上公诸于众。n消消费费者者对对网网上上交交易易的的网网络络安安全全缺缺乏乏信信心心,使使得得越越来来越越多多消消费者不愿在网上购物。费者不愿在网上购物。楚路乙蓟乾秧嗓畜盐狙殖蛹涅茹刮舰熬明轩膝窟援筑姥唯傈讨遏幢枉再豹第四部分电子商务安全第四部分电子商务安全4.1.2 电子商务安全需求电子商务安全需求 1. 1. 保密性保密性 n n保密性,是指商业信息在传输过程或存储中不被泄漏。保密性,是指商业信息在传输过程或存储中不被泄漏。保密性,是指商业信息在传输过程或存储中不被泄漏。保密性,是指商业信息在传输过程或存储中不被泄漏。n n通过对相应的信息进行加密来保证用户信息不被盗取。通过对相应的信
5、息进行加密来保证用户信息不被盗取。通过对相应的信息进行加密来保证用户信息不被盗取。通过对相应的信息进行加密来保证用户信息不被盗取。n n通过在必要的结点设置防火墙可以防止非法用户对网络资通过在必要的结点设置防火墙可以防止非法用户对网络资通过在必要的结点设置防火墙可以防止非法用户对网络资通过在必要的结点设置防火墙可以防止非法用户对网络资源的不正当的存取。源的不正当的存取。源的不正当的存取。源的不正当的存取。 2. 2. 完整性完整性 n n完整性,是指商业信息在传输和存储中保证数据一致性完整性,是指商业信息在传输和存储中保证数据一致性完整性,是指商业信息在传输和存储中保证数据一致性完整性,是指商
6、业信息在传输和存储中保证数据一致性 。n n电子伪装是最常见的破坏信息完整性的技术电子伪装是最常见的破坏信息完整性的技术电子伪装是最常见的破坏信息完整性的技术电子伪装是最常见的破坏信息完整性的技术。所谓电子伪所谓电子伪所谓电子伪所谓电子伪装,就是在网络上某人伪装成他人或者是某个网站伪装成装,就是在网络上某人伪装成他人或者是某个网站伪装成装,就是在网络上某人伪装成他人或者是某个网站伪装成装,就是在网络上某人伪装成他人或者是某个网站伪装成另一个网站另一个网站另一个网站另一个网站 。项锌启掺司唇绘夹浓寨猜际地修格惦软井法煮币浩榴让叶筐属鄙琶符财孙第四部分电子商务安全第四部分电子商务安全3. 3. 不
7、可抵不可抵赖赖性性 n不不可可抵抵赖赖性性,是是指指商商业业信信息息的的发发送送方方和和接接收收方方均均不不得得否否认认已发或已收的信息已发或已收的信息。n这这就就需需要要利利用用数数字字签签名名和和身身份份认认证证等等技技术术确确认认对对方方身身份份。一经确认,双方就不得否认自己的交易行为一经确认,双方就不得否认自己的交易行为。4. 4. 即需性即需性 n即即需需性性,是是指指保保证证合合法法用用户户对对商商业业信信息息及及时时获获取取并并保保证证服服务不会遭到不正当的拒绝。务不会遭到不正当的拒绝。n系系统统的的即即需需性性遭遭到到破破坏坏,系系统统处处理理信信息息的的速速度度会会非非常常慢
8、慢,从而影响电子商务的正常运行。从而影响电子商务的正常运行。 n计计算算机机失失效效、程程序序错错误误、硬硬件件故故障障、系系统统软软件件故故障障、计计算算机病毒等都会对电子商务的即需性造成影响。机病毒等都会对电子商务的即需性造成影响。 房送勘际触从初缀兹淆禄存哮阮浴熊焉脯翻邹扎哇蜗桔觉棕茹旷根怂莆奴第四部分电子商务安全第四部分电子商务安全4.1.3 电子商务安全的范畴与划分电子商务安全的范畴与划分 1. 1. 卖方卖方 ( (销售者销售者) )面临的安全威胁面临的安全威胁 n n中央系统安全性被破坏中央系统安全性被破坏中央系统安全性被破坏中央系统安全性被破坏n n竞争者的威胁竞争者的威胁竞争
9、者的威胁竞争者的威胁n n客户资料被竞争者获悉客户资料被竞争者获悉客户资料被竞争者获悉客户资料被竞争者获悉n n假冒的威胁假冒的威胁假冒的威胁假冒的威胁n n信用的威胁信用的威胁信用的威胁信用的威胁n n获取他人的机密数据获取他人的机密数据获取他人的机密数据获取他人的机密数据 瓜宿蓑答陋残菩缀渠隆安爱簿苑劣等磊竞镶障檄缎沈姐智艺庇肠抡悄烛厉第四部分电子商务安全第四部分电子商务安全2. 2. 买方买方( (消费者消费者) )面临的安全威胁面临的安全威胁 n n虚假订单虚假订单虚假订单虚假订单n n付款后不能收到商品付款后不能收到商品付款后不能收到商品付款后不能收到商品n n机密性丧失机密性丧失机
10、密性丧失机密性丧失n n拒绝服务拒绝服务拒绝服务拒绝服务 宗躇点敏阐阁把牟执海手矿木卸丛坯谈琵纹枪札魔嫉柄财犁扰呵旱另怨闲第四部分电子商务安全第四部分电子商务安全4.2 电子商务的商务安全电子商务的商务安全 4.2.1 4.2.1 电子商务的商务安全与传统商务安电子商务的商务安全与传统商务安全的区别全的区别 4.2.2 4.2.2 电子商务商务安全的应对策略电子商务商务安全的应对策略 澜堕紫勒伞瘁怖萍火封惦祭撰驮珠具服散埠钟醉簇恢谨虱钮畅拒组向向邱第四部分电子商务安全第四部分电子商务安全4.2.1 电子商务的商务安全与传统商电子商务的商务安全与传统商务安全的区别务安全的区别 1. 1. 信息方
11、面信息方面 n冒名偷窃冒名偷窃n篡改数据篡改数据n信息丢失信息丢失n虚假信息虚假信息n信息传递过程中的破坏信息传递过程中的破坏2.2.信用方面信用方面n n来自买方的信用风险来自买方的信用风险来自买方的信用风险来自买方的信用风险墒忙擞埂虞毯虽采雾语咕仟散备锚瞳还震不弓砸渡惊趾温除足衫遗拎谬年第四部分电子商务安全第四部分电子商务安全n来自卖方的信用风险来自卖方的信用风险n买卖双方都有存在抵赖的情况买卖双方都有存在抵赖的情况3.3. 管理方面管理方面n交易流程管理风险交易流程管理风险n人员管理风险人员管理风险n交易技术管理风险交易技术管理风险4. 4. 法律方面法律方面n无法保证合法交易的风险无法
12、保证合法交易的风险n法律的事后完善所带来的风险法律的事后完善所带来的风险再灼未疚歧浙弹陀查铆拌匆哨纵艺渗芭盆秤谜字栏绪枫术儒门苇锰席灌散第四部分电子商务安全第四部分电子商务安全4.2.2 电子商务商务安全的应对策略电子商务商务安全的应对策略 1.1.在技在技术术上加上加强强电电子商子商务务安全管理安全管理n网络安全和信息安全是保障网上交易正常进行的关键。网络安全和信息安全是保障网上交易正常进行的关键。n从防火墙技术、信息加密技术、身份认证等技术方面来加从防火墙技术、信息加密技术、身份认证等技术方面来加强电子商务系统的安全性。强电子商务系统的安全性。2.2.在管理上加在管理上加强强电电子商子商务
13、务安全管理安全管理n调查发现,通常对数据的最严重的威胁都来自于我们认识调查发现,通常对数据的最严重的威胁都来自于我们认识的人。为此,很多网络安全专家都认为,大部分攻击都是的人。为此,很多网络安全专家都认为,大部分攻击都是由员工发起的。从这种意义上,我们最需要的是不是技术由员工发起的。从这种意义上,我们最需要的是不是技术,而是一套完整的管理体制。,而是一套完整的管理体制。础惕甥烈壶灯倔蹄粱苞睁邻扰卉土娇峙奠干斥陋轮好馅桐旺枢吵譬斗遂哮第四部分电子商务安全第四部分电子商务安全n必须加强监管,建立各种有关的合理制度,并加强严格监必须加强监管,建立各种有关的合理制度,并加强严格监督。督。n要充分要充分
14、发挥政府有关部政府有关部门、企、企业的主要的主要领导、信息服、信息服务商商的作用。的作用。3.3.在法律上加在法律上加强强电电子商子商务务安全管理安全管理 n通通过健全法律制度和完善法律体系来保健全法律制度和完善法律体系来保证合法网上交易的合法网上交易的权益,益,对破坏合法网上交易破坏合法网上交易权益的行益的行为进行立法行立法严惩。 关于关于这这一点,我一点,我们们将在第七章再作具体介将在第七章再作具体介绍绍。 软咙亡摸缚蔑硫痉揉舆饶始践弓伙斑加炙侦绎儒慰贩毋枉散垣级诞熟寺堂第四部分电子商务安全第四部分电子商务安全4.3 电子商务的技术安全电子商务的技术安全 4.3.1 4.3.1 电子商务技
15、术安全隐患电子商务技术安全隐患 4.3.2 4.3.2 电子商务系统安全体系电子商务系统安全体系 4.3.34.3.3 常用电子商务安全技术和手段常用电子商务安全技术和手段 碱啮怎混肖掺壤厂芬柯羹痛告检掸陡芭懊田酗阮阁踩褥辟券致犊尘税窍叔第四部分电子商务安全第四部分电子商务安全4.3.1 电子商务技术安全隐患电子商务技术安全隐患 1. 1. 系统闯入系统闯入n是指未授权的人利用操作系统或者安全管理的漏洞,通过是指未授权的人利用操作系统或者安全管理的漏洞,通过一定的手段闯入到系统内部,获取普通用户没有的权力,一定的手段闯入到系统内部,获取普通用户没有的权力,实现对用户信息的篡改、窃取和非法使用。
16、实现对用户信息的篡改、窃取和非法使用。n早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。早期的闯入者只是做些修改网页之类近似于恶作剧的破坏。 n随着电子商务的发展,入侵者通过盗取服务器上存放有关随着电子商务的发展,入侵者通过盗取服务器上存放有关产品、客户和交易等信息,获得巨大的经济利益已成为其产品、客户和交易等信息,获得巨大的经济利益已成为其主要目的。主要目的。n入侵者在闯入系统的同时还可能在系统中埋下木马、陷门入侵者在闯入系统的同时还可能在系统中埋下木马、陷门等病毒来破坏其正常工作。等病毒来破坏其正常工作。 屿臃藉搅陶湍像奠敌斡垄惠羔喝递宫段案琶戮汉疗汝欧遏暴彤或亩拜馒法第四部分电子商务
17、安全第四部分电子商务安全2. 2. 服务拒绝攻击服务拒绝攻击 n n服务拒绝攻击(服务拒绝攻击(服务拒绝攻击(服务拒绝攻击(Denial of ServiceDenial of Service,DoSDoS),简单来说,是),简单来说,是),简单来说,是),简单来说,是通过电子手段,以网站或者网络瘫痪为目的的袭击通过电子手段,以网站或者网络瘫痪为目的的袭击通过电子手段,以网站或者网络瘫痪为目的的袭击通过电子手段,以网站或者网络瘫痪为目的的袭击。n n由于电子商务对网站的实时性要求越来越高,服务拒绝攻由于电子商务对网站的实时性要求越来越高,服务拒绝攻由于电子商务对网站的实时性要求越来越高,服务拒
18、绝攻由于电子商务对网站的实时性要求越来越高,服务拒绝攻击对电子商务的威胁也就越来越大。击对电子商务的威胁也就越来越大。击对电子商务的威胁也就越来越大。击对电子商务的威胁也就越来越大。n n虽然这种攻击不能使攻击者直接获得有用的信息,但是它虽然这种攻击不能使攻击者直接获得有用的信息,但是它虽然这种攻击不能使攻击者直接获得有用的信息,但是它虽然这种攻击不能使攻击者直接获得有用的信息,但是它可以大大削弱被攻击者在客户心中的可信度。可以大大削弱被攻击者在客户心中的可信度。可以大大削弱被攻击者在客户心中的可信度。可以大大削弱被攻击者在客户心中的可信度。n n我们常见的服务拒绝攻击有:死亡之我们常见的服务
19、拒绝攻击有:死亡之我们常见的服务拒绝攻击有:死亡之我们常见的服务拒绝攻击有:死亡之pingping(ping of ping of deathdeath)、)、)、)、UDPUDP洪水(洪水(洪水(洪水(UDP floodUDP flood)、)、)、)、LandLand攻击、电子邮攻击、电子邮攻击、电子邮攻击、电子邮件炸弹等。件炸弹等。件炸弹等。件炸弹等。 价菇音鸿彼徊酋鄙丹汗犬竣腑途筋牙擦场品亢珊布药悔肛纳戍帽沟翠爹来第四部分电子商务安全第四部分电子商务安全3. 3. 身份仿冒身份仿冒 n n对用户身份进行仿冒,借此来破坏交易,损害被假冒方的对用户身份进行仿冒,借此来破坏交易,损害被假冒方
20、的对用户身份进行仿冒,借此来破坏交易,损害被假冒方的对用户身份进行仿冒,借此来破坏交易,损害被假冒方的信誉或者盗取其交易成果等。信誉或者盗取其交易成果等。信誉或者盗取其交易成果等。信誉或者盗取其交易成果等。n n我们在利用网络进行交易时一定要进行身份认证。我们在利用网络进行交易时一定要进行身份认证。我们在利用网络进行交易时一定要进行身份认证。我们在利用网络进行交易时一定要进行身份认证。 4. 4. 计算机病毒计算机病毒 n n它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等它具有传染性、破坏性、隐蔽性、潜伏性、不可预见性等它具有传染性、破坏性
21、、隐蔽性、潜伏性、不可预见性等特点。特点。特点。特点。n n计算机病毒正在从传统的感染单个文件,单个系统转向网计算机病毒正在从传统的感染单个文件,单个系统转向网计算机病毒正在从传统的感染单个文件,单个系统转向网计算机病毒正在从传统的感染单个文件,单个系统转向网络化发展。络化发展。络化发展。络化发展。n n对于利用计算机及网络进行交易的电子商务参与者来说,对于利用计算机及网络进行交易的电子商务参与者来说,对于利用计算机及网络进行交易的电子商务参与者来说,对于利用计算机及网络进行交易的电子商务参与者来说,计算机病毒势必会成为他们巨大的技术隐患。计算机病毒势必会成为他们巨大的技术隐患。计算机病毒势必
22、会成为他们巨大的技术隐患。计算机病毒势必会成为他们巨大的技术隐患。 蛆炊校姻升煽唱但循磋既虱阴瘟颠瘁荫索枝媳特厢集抄猖英堰颖积绝阂淆第四部分电子商务安全第四部分电子商务安全4.3.2 电子商务系统安全体系电子商务系统安全体系 电子商务安全分为计算机网络安全和商务交易安全电子商务安全分为计算机网络安全和商务交易安全n计算机网络安全:是指计算机网络设备安全、计算机网络系计算机网络安全:是指计算机网络设备安全、计算机网络系统安全、数据库安全,其特征是针对计算机网络本身可能存统安全、数据库安全,其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案,保证计算机网络自身在的安全问题实施网络安全
23、增强方案,保证计算机网络自身的安全。的安全。n商务交易安全:是指在计算机网络安全的基础上,如何保证商务交易安全:是指在计算机网络安全的基础上,如何保证电子商务过程的顺利进行,即实现保密性、完整性、不可抵电子商务过程的顺利进行,即实现保密性、完整性、不可抵赖性等要求。主要技术有:加密技术、认证技术、安全协议赖性等要求。主要技术有:加密技术、认证技术、安全协议等。等。 (建立电子商务安全体系也应从这两个方面入手,其结构如图(建立电子商务安全体系也应从这两个方面入手,其结构如图4 41 1所示所示 )寅枚蓝店进卞牲唁宪画溪殉盅升蓑圆徐辛黍惋要琐劝沤遁帝馆疯椿乎钱惩第四部分电子商务安全第四部分电子商务
24、安全图41 电子商务系统安全体系榜燥段摈允会六庆拙靴徒毡圈古蕊恒俺予衡掂却添拘桨趟愿讥豌藻躬罐绩第四部分电子商务安全第四部分电子商务安全4.3.3 常用电子商务安全技术和手段常用电子商务安全技术和手段 1. 1. 加密技加密技术术 n n加密技术,就是采用加密技术,就是采用加密技术,就是采用加密技术,就是采用合适的加密算法(实际上是一种合适的加密算法(实际上是一种合适的加密算法(实际上是一种合适的加密算法(实际上是一种数学数学数学数学方法)把原始信息(称为方法)把原始信息(称为方法)把原始信息(称为方法)把原始信息(称为“ “明文明文明文明文” ”)转换成一些晦涩难懂)转换成一些晦涩难懂)转换
25、成一些晦涩难懂)转换成一些晦涩难懂的或者偏离信息原意的信息(称为的或者偏离信息原意的信息(称为的或者偏离信息原意的信息(称为的或者偏离信息原意的信息(称为“ “密文密文密文密文” ”),从而达到),从而达到),从而达到),从而达到保障信息安全目的的过程。保障信息安全目的的过程。保障信息安全目的的过程。保障信息安全目的的过程。n n加密系统包括信息(明文和密文)、密钥(加密密钥和解加密系统包括信息(明文和密文)、密钥(加密密钥和解加密系统包括信息(明文和密文)、密钥(加密密钥和解加密系统包括信息(明文和密文)、密钥(加密密钥和解密密钥)、算法(加密算法和解密算法)三个组成部分。密密钥)、算法(加
26、密算法和解密算法)三个组成部分。密密钥)、算法(加密算法和解密算法)三个组成部分。密密钥)、算法(加密算法和解密算法)三个组成部分。例如:将英文字母例如:将英文字母例如:将英文字母例如:将英文字母a a a a、b b b b、c c c c、d d d d、e e e e、f f f fx x x x、y y y y、z z z z分别对应变换为分别对应变换为分别对应变换为分别对应变换为c c c c、d d d d、e e e e、f f f f、g g g g、h h h hz z z z、a a a a、b b b b,即字母顺序保持不变,但使之分别与相,即字母顺序保持不变,但使之分别
27、与相,即字母顺序保持不变,但使之分别与相,即字母顺序保持不变,但使之分别与相差差差差2 2 2 2个字母的字母相对应。若现在有明文个字母的字母相对应。若现在有明文个字母的字母相对应。若现在有明文个字母的字母相对应。若现在有明文“ “hellohellohellohello” ”,则按照该加密,则按照该加密,则按照该加密,则按照该加密算法和密钥,对应密文为算法和密钥,对应密文为算法和密钥,对应密文为算法和密钥,对应密文为“ “jgnnqjgnnqjgnnqjgnnq” ”。分硕鳖坪矾烈黔歇台睡轧窥虏岩楼龙榆入蝎大暂舶却措袁刊职恫峰悟祝挟第四部分电子商务安全第四部分电子商务安全 对称加密技术对称加
28、密技术 n对称加密技术(对称加密技术(Symmetric EncryptionSymmetric Encryption)又称为私钥或)又称为私钥或单钥加密,在这种体系中,加密和解密均使用同一个密单钥加密,在这种体系中,加密和解密均使用同一个密钥或者本质上相同(即其中一个可以通过另一个密钥推钥或者本质上相同(即其中一个可以通过另一个密钥推导)的一对密钥。导)的一对密钥。n现在使用比在使用比较多的多的对称加密算法是数据加密称加密算法是数据加密标准(准(Data Data Encryption StandardEncryption Standard,DESDES),DESDES采用的是采用的是646
29、4位的密钥,位的密钥,其中有其中有8 8位为奇偶校验位,密钥实际长度为位为奇偶校验位,密钥实际长度为5656位。位。n顺应人人们对密密钥长度的要求,度的要求,James MasseyJames Massey和和XueJiaLaiXueJiaLai等人等人发明的一种明的一种对称加密算法称加密算法IDEA(International Data IDEA(International Data Encryption AlgorithmEncryption Algorithm,国,国际数据加密算法数据加密算法) ),采用,采用长达达128128位的密位的密钥。 贵截裙厨淖滓祥令它沏肩订构缮饲棚邵搂虹憋尹
30、辊骡翻擎齿劣刮谈铰绒供第四部分电子商务安全第四部分电子商务安全优缺点优缺点优缺点优缺点 : n n对对称加密技称加密技称加密技称加密技术术的的的的优优点在于算法点在于算法点在于算法点在于算法简单简单,加密、解密速度快,加密、解密速度快,加密、解密速度快,加密、解密速度快。n n通通通通讯讯双方需要借助于双方需要借助于双方需要借助于双方需要借助于邮邮件和件和件和件和电话电话等其它相等其它相等其它相等其它相对对不不不不够够安全的安全的安全的安全的手段,在首次通手段,在首次通手段,在首次通手段,在首次通讯讯前前前前协协商商商商出出出出一个共同的密一个共同的密一个共同的密一个共同的密钥钥。n n为为了
31、保了保了保了保证证数据的安全性,就必数据的安全性,就必数据的安全性,就必数据的安全性,就必须对须对于每一个合作者都需于每一个合作者都需于每一个合作者都需于每一个合作者都需要使用不同的密要使用不同的密要使用不同的密要使用不同的密钥钥。在。在。在。在InternetInternetInternetInternet这这一用一用一用一用户户众多的通信渠众多的通信渠众多的通信渠众多的通信渠道上,道上,道上,道上,对对称密称密称密称密钥钥的数量将非常巨大,密的数量将非常巨大,密的数量将非常巨大,密的数量将非常巨大,密钥难钥难于管理。于管理。于管理。于管理。如:如:如:如: 假设有假设有假设有假设有3 3
32、3 3个人两两通信,需要个人两两通信,需要个人两两通信,需要个人两两通信,需要3 3 3 3个密钥;如果有个密钥;如果有个密钥;如果有个密钥;如果有10101010个人,就需要个人,就需要个人,就需要个人,就需要45454545个密钥;个密钥;个密钥;个密钥;n n n n个人则需要个人则需要个人则需要个人则需要n(n-1)/2n(n-1)/2n(n-1)/2n(n-1)/2个密钥。个密钥。个密钥。个密钥。芦砰门匪营努蚀谊烫牲抚娩年烯苹木没褪泊赛仇弗筷挺挤苯措漳阮衡全于第四部分电子商务安全第四部分电子商务安全 非对称加密技术非对称加密技术 n采用非对称加密技术对数据进行加密时,它需要一对密采用
33、非对称加密技术对数据进行加密时,它需要一对密钥(这对密钥无法相互推导),通信一方需要在属于自钥(这对密钥无法相互推导),通信一方需要在属于自己的密钥对中选择一个密钥作为公开密钥,简称公钥,己的密钥对中选择一个密钥作为公开密钥,简称公钥,并将其告诉其他用户;另一个密钥作为私人密钥,简称并将其告诉其他用户;另一个密钥作为私人密钥,简称私钥,由自己妥善保管。公开密钥使用密钥对,如果用私钥,由自己妥善保管。公开密钥使用密钥对,如果用公开密钥对数据加密,只有用对应的私人密钥才能解密;公开密钥对数据加密,只有用对应的私人密钥才能解密;如果用私人密钥对数据加密,那么只有用对应的公开密如果用私人密钥对数据加密
34、,那么只有用对应的公开密钥才能解密。正是加密和解密使用的是两个不同的密钥,钥才能解密。正是加密和解密使用的是两个不同的密钥,所以这种算法叫非对称加密算法,也叫做所以这种算法叫非对称加密算法,也叫做“非对称加密非对称加密技术(技术(Asymmetric EncryptionAsymmetric Encryption)”。nRSA(Rivest Shamir Adleman)RSA(Rivest Shamir Adleman)公钥加密体制是第一个比公钥加密体制是第一个比较完善的公钥加密体系。较完善的公钥加密体系。嵌膳律绦疫幽宜藉变尉旱糕搅讯征君肇炉堵囚囊率哉陌糜属阶韭傍爆窍迄第四部分电子商务安全第
35、四部分电子商务安全优缺点优缺点优缺点优缺点 :n非非对称密称密钥系系统的的优点在于密点在于密钥的管理非常的管理非常简单和安全和安全。n非非对称密称密钥体系也有其缺点,那就是密体系也有其缺点,那就是密钥较长,加密、,加密、解密花解密花费时间长、速度慢,一般不适合于、速度慢,一般不适合于对数据量数据量较大大的文件加密,而只适用于的文件加密,而只适用于对少量数据加密少量数据加密。利利利利用用用用非非非非对对对对称称称称加加加加密密密密算算算算法法法法和和和和对对对对称称称称加加加加密密密密算算算算法法法法的的的的各各各各自自自自优优优优点点点点,安全专家们设计出了一些综合保密系统。安全专家们设计出了
36、一些综合保密系统。安全专家们设计出了一些综合保密系统。安全专家们设计出了一些综合保密系统。n利用利用DESDES算法的加算法的加( (解解) )密速度快、算法容易密速度快、算法容易实现、安全性、安全性好的好的优点,点,对大量的数据加密。大量的数据加密。n利用利用RSARSA算法密钥管理方便的特点来对算法密钥管理方便的特点来对DESDES的密钥加密,的密钥加密,可以获得非对称密钥技术的灵活和对称密钥技术的高效,可以获得非对称密钥技术的灵活和对称密钥技术的高效,使得网上信息传输的保密性得以解决。使得网上信息传输的保密性得以解决。货梁妆凄刁箱舞详堰推和擅公档纪唬中丁蹈方铸翁陷歉岛圾童隧害彬绷具第四部
37、分电子商务安全第四部分电子商务安全2. 2. 认证认证技技术术 身份认证身份认证n n身份认证是在交易过程中判明和确认贸易双方真实身份的身份认证是在交易过程中判明和确认贸易双方真实身份的身份认证是在交易过程中判明和确认贸易双方真实身份的身份认证是在交易过程中判明和确认贸易双方真实身份的。n n身身身身份份份份认认认认证证证证可可可可以以以以帮帮帮帮助助助助商商商商家家家家确确确确认认认认对对对对方方方方身身身身份份份份,进进进进而而而而放放放放心心心心地地地地开开开开展展展展电电电电子子子子商务。商务。商务。商务。n n当当当当交交交交易易易易双双双双方方方方发发发发生生生生纠纠纠纠纷纷纷纷时
38、时时时,身身身身份份份份认认认认证证证证还还还还可可可可以以以以为为为为仲仲仲仲裁裁裁裁提提提提供供供供有有有有利利利利的的的的证据。证据。证据。证据。 n n身份认证的常用方法主要有三种基本方式身份认证的常用方法主要有三种基本方式身份认证的常用方法主要有三种基本方式身份认证的常用方法主要有三种基本方式 : 用户口令用户口令用户口令用户口令 用户持有物用户持有物用户持有物用户持有物 用户的某些生物学特征用户的某些生物学特征用户的某些生物学特征用户的某些生物学特征 涛甥模毁猪购斩靖播嚷驶揍律醛礁芋养芦漂霍殃樊怎葫垦轩浪蒙闽魔莱恒第四部分电子商务安全第四部分电子商务安全 信息认证信息认证n它它是是
39、用用于于验验证证信信息息的的完完整整性性,即即确确认认信信息息在在传传递递或或存存储储过过程程中中没没有有被被篡篡改改过过,进进而而保保证证通通信信双双方方的的不不可可抵抵赖赖性性和和信信息的完整性。息的完整性。n常采取数字签名技术进行信息的安全认证。常采取数字签名技术进行信息的安全认证。 数数数数字字字字签签签签名名名名主主主主要要要要是是是是建建建建立立立立在在在在公公公公开开开开密密密密钥钥钥钥体体体体制制制制和和和和报报报报文文文文分分分分解解解解函函函函数数数数(MDF)(MDF) 的基础上。其过程为:的基础上。其过程为:的基础上。其过程为:的基础上。其过程为: 报报报报文文文文的的
40、的的发发发发送送送送方方方方利利利利用用用用报报报报文文文文分分分分解解解解函函函函数数数数(目目目目前前前前常常常常见见见见的的的的是是是是单单单单向向向向HashHash函函函函数数数数)生成一个生成一个生成一个生成一个128128位的数字摘要;位的数字摘要;位的数字摘要;位的数字摘要; 发发发发送送送送方方方方用用用用自自自自己己己己的的的的私私私私人人人人密密密密钥钥钥钥对对对对这这这这个个个个摘摘摘摘要要要要摘摘摘摘要要要要进进进进行行行行加加加加密密密密来来来来形形形形成成成成发发发发送送送送方的数字签名;方的数字签名;方的数字签名;方的数字签名; 然后,该数字签名将作为附件和报文
41、一起发送给接收方;然后,该数字签名将作为附件和报文一起发送给接收方;然后,该数字签名将作为附件和报文一起发送给接收方;然后,该数字签名将作为附件和报文一起发送给接收方;情凸汝勺檬凉瘫亲聂偿访豁牙通缚痕瑟印永陕摄两倘敞绿桨壕玫螟梁闭刊第四部分电子商务安全第四部分电子商务安全 报文的接收方首先从接收到的原始报文中计算出报文的接收方首先从接收到的原始报文中计算出128位的摘要;位的摘要; 接着用发送方的公开密钥来对报文附加的数字签名解密;接着用发送方的公开密钥来对报文附加的数字签名解密;接着用发送方的公开密钥来对报文附加的数字签名解密;接着用发送方的公开密钥来对报文附加的数字签名解密; 最后判断两个
42、数字摘要是否相同。最后判断两个数字摘要是否相同。最后判断两个数字摘要是否相同。最后判断两个数字摘要是否相同。 如如如如果果果果相相相相同同同同,那那那那么么么么接接接接收收收收方方方方就就就就能能能能确确确确认认认认该该该该数数数数字字字字签签签签名名名名是是是是发发发发送送送送方方方方的的的的,而而而而且且且且报报报报文在传输过程中没有被修改或替换过。文在传输过程中没有被修改或替换过。文在传输过程中没有被修改或替换过。文在传输过程中没有被修改或替换过。 如果不同如果不同如果不同如果不同,则表明该信息可能在传输过程中被篡改。,则表明该信息可能在传输过程中被篡改。,则表明该信息可能在传输过程中被
43、篡改。,则表明该信息可能在传输过程中被篡改。n n数字签名技术可以保证信息传送的数字签名技术可以保证信息传送的数字签名技术可以保证信息传送的数字签名技术可以保证信息传送的完整性和不可抵赖性完整性和不可抵赖性完整性和不可抵赖性完整性和不可抵赖性。 当当当当破破破破坏坏坏坏者者者者截截截截获获获获信信信信息息息息后后后后,只只只只要要要要他他他他对对对对报报报报文文文文作作作作一一一一个个个个字字字字节节节节的的的的改改改改动动动动,接接接接收收收收方方方方就就就就会会会会在在在在最最最最后后后后验验验验证证证证数数数数字字字字摘摘摘摘要要要要时时时时出出出出错错错错而而而而发发发发现现现现这这这
44、这次次次次篡篡篡篡改改改改;就就就就算算算算破破破破坏坏坏坏者者者者改改改改动动动动报报报报文文文文后后后后计计计计算算算算出出出出新新新新的的的的摘摘摘摘要要要要,但但但但他他他他不不不不知知知知道道道道发发发发送送送送方方方方的的的的私私私私钥钥钥钥,无无无无法法法法生生生生成成成成有效的数字签名,还是无法实现篡改。有效的数字签名,还是无法实现篡改。有效的数字签名,还是无法实现篡改。有效的数字签名,还是无法实现篡改。 如如如如果果果果发发发发送送送送方方方方否否否否认认认认这这这这一一一一次次次次信信信信息息息息的的的的传传传传输输输输,那那那那么么么么接接接接收收收收方方方方就就就就可可
45、可可以以以以用用用用收收收收到到到到报报报报文和数字签名来反驳。文和数字签名来反驳。文和数字签名来反驳。文和数字签名来反驳。讽邵回吮瑰劳札城惯如砖究冗柠悦姬郊傣贤象习栽印夹眩蹦哲法戮佰蹭候第四部分电子商务安全第四部分电子商务安全3. 3. 安全协议安全协议 安全套接层协议安全套接层协议 n安安全全套套接接层层(SSL(SSL,Secure Secure Sockets Sockets Layer)Layer)协协议议是是对对计计算算机机之之间间会会话话加加密密的的协协议议,主主要要用用于于WebWeb浏浏览览器器与与WebWeb服服务务器器之之间间的的身身份份认认证证和和加加密密数数据据传传输
46、输,可可以以对对信信用用卡卡和和个个人信息提供较强的安全保护。人信息提供较强的安全保护。nSSLSSL协协议议是是工工作作在在网网络络的的传传输输层层中中,所所以以它它可可以以用用于于加加密密任何基于任何基于TCPTCPIPIP的应用,如的应用,如HTTPHTTP、TelnetTelnet、FTPFTP等。等。nSSLSSL协协 议议 包包 括括 了了 两两 个个 子子 协协 议议 : SSLSSL握握 手手 协协 议议 (SSL (SSL handshake handshake protocol)protocol)和和 SSLSSL记记 录录 协协 议议 (SSL (SSL record r
47、ecord protocol)protocol)。 悦痢戏述武尿仇姓粪填满屡粒冗蚀幂畔乖赂懂氧封遮捷躇渔蒙蝴预畦娶拐第四部分电子商务安全第四部分电子商务安全优缺点优缺点优缺点优缺点 :nSSLSSL的安全性是好的,而且随着的安全性是好的,而且随着SSLSSL的不断改进的不断改进SSLSSL的安全的安全性能会不断加强;性能会不断加强; n实现容易;实现容易;n成本低;成本低;n只能提供交易中客户与服务器间的双方认证,在涉及多只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,方的电子交易中,SSLSSL协议并不能协调各方间的安全传输协议并不能协调各方间的安全传输和信任关系。和信任关系
48、。缆帝也辱益猪缝临尽呆靳淬矗镣掳笑鹰涤亦赊阑某拭赞悠害桥磐故娘童汇第四部分电子商务安全第四部分电子商务安全 安全电子交易协议安全电子交易协议 n n安全电子交易协议安全电子交易协议安全电子交易协议安全电子交易协议(SET(SET(SET(SET,Secure Electronic Transaction)Secure Electronic Transaction)Secure Electronic Transaction)Secure Electronic Transaction)是一个通过开放网络是一个通过开放网络是一个通过开放网络是一个通过开放网络( ( ( (包括包括包括包括Intern
49、et)Internet)Internet)Internet)进行安全资金支付的技进行安全资金支付的技进行安全资金支付的技进行安全资金支付的技术标准。术标准。术标准。术标准。n n该协议主要是为了解决用户、商家和银行之间通过信用卡支该协议主要是为了解决用户、商家和银行之间通过信用卡支该协议主要是为了解决用户、商家和银行之间通过信用卡支该协议主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,是一项支付协议;它并不包含挑选物品、付的交易而设计的,是一项支付协议;它并不包含挑选物品、付的交易而设计的,是一项支付协议;它并不包含挑选物品、付的交易而设计的,是一项支付协议;它并不包含挑选物品
50、、价格协商、支付方式选择和信息传送等方面的协议。价格协商、支付方式选择和信息传送等方面的协议。价格协商、支付方式选择和信息传送等方面的协议。价格协商、支付方式选择和信息传送等方面的协议。 n nSETSET协议运行的主要目标是:协议运行的主要目标是:协议运行的主要目标是:协议运行的主要目标是: 保保保保证证证证信信信信息息息息的的的的安安安安全全全全传传传传输输输输和和和和数数数数据据据据完完完完整整整整,防防防防止止止止数数数数据据据据被被被被黑黑黑黑客客客客或或或或者者者者内内内内部部部部人人人人员窃取。员窃取。员窃取。员窃取。睁袁术歪咎氓流辩措千早滦倪忌鹅愿诅虹陵座首谁韵本胯贴频胁虑取墙
51、闹第四部分电子商务安全第四部分电子商务安全 订订单单信信息息和和个个人人账账号号信信息息的的隔隔离离,当当包包含含持持卡卡人人账账号号信信息息的的订订单单送送到到商商家家时时,商商家家只只能能看看到到订订货货信信息息,而而看看不不到到持持卡卡人人的的账账户信息。户信息。 解解决决多多方方认认证证问问题题。不不仅仅要要对对客客户户的的信信用用卡卡认认证证,而而且且要要对对商商家的信誉程度认证,同时还有客户、商家与银行间的认证。家的信誉程度认证,同时还有客户、商家与银行间的认证。 要要求求软软件件遵遵循循相相同同协协议议和和报报文文格格式式,使使不不同同厂厂家家开开发发的的较较件件具具有有兼兼容容
52、和和互互操操作作功功能能,并并且且可可以以运运行行在在不不同同的的硬硬件件和和操操作作系系统统平台上。平台上。 提提供供备备案案,防防止止抵抵赖赖。如如果果客客户户用用SET发发出出一一个个商商品品的的订订单单,在在收收到到订订单单后后他他不不能能否否认认发发出出过过这这个个订订单单;同同样样,商商家家以以后后也也不能否认收到过这个订单。不能否认收到过这个订单。哦厕始剂胸靠部恰绳鼻除碎专唬饵棵铂轻聊湿旅迭盐淡汹举含抡呕首盎凤第四部分电子商务安全第四部分电子商务安全4. 4. 反病毒技反病毒技术术 病毒的检测病毒的检测 n检检测测计计算算机机病病毒毒,就就是是要要到到病病毒毒寄寄生生场场所所去去
53、检检查查,发发现现异异常情况,并进而验明常情况,并进而验明“正身正身”,确认计算机病毒的存在。,确认计算机病毒的存在。n对计算机病毒的检测分为对内存的检测和对磁盘的检测。对计算机病毒的检测分为对内存的检测和对磁盘的检测。 (病毒静态时存储于磁盘中,激活时驻留在内存中)(病毒静态时存储于磁盘中,激活时驻留在内存中)n检检测测的的原原理理主主要要包包括括比比较较法法、搜搜索索法法、计计算算机机病病毒毒特特征征字字的识别法、分析法。的识别法、分析法。伯辕寂器斟伊暮稍残样紧揩魁劲肋复铜丫悉汛矾虽缩质褥猾薪伟坞尉庇幕第四部分电子商务安全第四部分电子商务安全 病毒的清除病毒的清除 n手工清除的方法;手工清
54、除的方法;n先先由由人人工工分分析析病病毒毒传传染染的的方方法法,然然后后再再加加以以程程序序化化,让让清清毒程序去完成清病毒的工作;毒程序去完成清病毒的工作;n在在每每个个可可执执行行文文件件中中追追加加一一部部分分用用于于恢恢复复的的信信息息,当当被被病病毒毒感感染染后后,这这些些信信息息可可以以帮帮助助快快速速去去除除病病毒毒,恢恢复复文文件件的的原状态;原状态;n利利用用软软件件自自动动分分析析一一个个文文件件的的原原始始备备份份和和被被病病毒毒感感染染后后的的拷拷贝贝,通通过过简简单单的的人人工工指指导导或或根根本本不不用用人人工工干干预预,该该软软件件会会自自动动产产生生清清除除这
55、这种种病病毒毒的的源源程程序序,并并可可自自动动产产生生可可执执行行程序。程序。罚壶枉乒靳皱忆障织冈入带胜当台嘲芳想赋栗鲍嚎舵填奖瑞槽蛊绽烩闻殴第四部分电子商务安全第四部分电子商务安全 病毒的防御病毒的防御 n目前最常用的防御技术就是实时监控技术。目前最常用的防御技术就是实时监控技术。n对网络病毒实时监控技术应符合对网络病毒实时监控技术应符合“最小占用最小占用”原则原则。 病毒的免疫病毒的免疫 n它它是是指指通通过过给给可可执执行行程程序序增增加加保保护护性性外外壳壳的的方方法法,在在一一定定程度上能起保护作用。程度上能起保护作用。n但但是是,在在增增加加保保护护性性外外壳壳前前,若若该该文文
56、件件已已感感染染病病毒毒,作作为为免免疫疫措措施施为为该该程程序序增增加加的的保保护护性性外外壳壳就就会会将将程程序序连连同同病病毒毒一一起起保保护护在在里里面面。待待检检测测时时,因因为为有有保保护护程程序序外外壳壳的的“护护驾驾”,而不能检查出该病毒。,而不能检查出该病毒。殃胖寨昏尉南砰析娇岩路痴材殷糟缔啤媚腑颖择宠存爷泼舅牛汹它恼磺靴第四部分电子商务安全第四部分电子商务安全病毒防治病毒防治病毒防治病毒防治 基于工作站的防治技术基于工作站的防治技术 n软件防治;软件防治;n在工作站上插防病毒卡;在工作站上插防病毒卡;n在网络接口卡上安装防病毒芯片。在网络接口卡上安装防病毒芯片。 基于服务器
57、的防治技术基于服务器的防治技术 n基基于于网网络络服服务务器器的的实实时时扫扫描描的的防防护护技技术术主主要要提提供供包包括括:实实时时在在线线扫扫描描、服服务务器器扫扫描描、工工作作站站扫扫描描、自自动动报报告告及及其其病病毒存档等功能。毒存档等功能。n也可利用在服务器上的插防毒卡。也可利用在服务器上的插防毒卡。 基于网络操作系统的防治技术基于网络操作系统的防治技术 n网网络络操操作作系系统统本本身身至至少少应应提提供供四四级级安安全全保保护护措措施施:注注册册安安全、权限安全、属性安全和网络操作系统自身实体安全。全、权限安全、属性安全和网络操作系统自身实体安全。佛找慌坛吝少道辆匿荚距从蛤朔
58、煽酉哎苹辛也石棒砍铝懦闭唇搜团忌颂谦第四部分电子商务安全第四部分电子商务安全5. 5. 防火防火墙墙技技术术 n防防火火墙墙(Firewall)(Firewall)是是指指一一个个由由软软件件或或和和硬硬件件设设备备组组合合而而成成,处处于于企企业业或或网网络络群群体体计计算算机机与与外外界界通通道道之之间间,限限制制外外界界用用户户对内部网络访问及管理内部用户访问外界网络的权限。对内部网络访问及管理内部用户访问外界网络的权限。 n防防火火墙墙包包含含着着一一对对矛矛盾盾(或或称称机机制制):一一方方面面它它限限制制数数据据流流通,另一方面它又允许数据流通。通,另一方面它又允许数据流通。 n主
59、要包括两种防火墙:主要包括两种防火墙: 数数据据包包过过滤滤型型(Packet Filter)防防火火墙墙:速速度度快快、简简单单易易行行、价价格格便便宜宜、易易于于维维护护、对对网网络络性性能能的的影影响响很很小小、安安全全性性相相对对较差。较差。 代代理理服服务务型型(proxy service)防防火火墙墙:安安全全性性能能相相对对较较高高,但但是访问速度降低、而且网络建设的成本较高。是访问速度降低、而且网络建设的成本较高。 (事实上,还有一些防火墙是上述两种防火墙的变种、改进或者综合。事实上,还有一些防火墙是上述两种防火墙的变种、改进或者综合。)苇签伟冒椰哟识怠懒躺豢裤睛派叭贸泅垂让敲
60、唆她牢已咕傲委咽汪豌颧凳第四部分电子商务安全第四部分电子商务安全4.4 电子商务的社会安全因素电子商务的社会安全因素 1. 1. 电电子商子商务务投投资资政策政策 n投投资主体主体应该由政府由政府转向广大企向广大企业,尤其是中、小企,尤其是中、小企业。n政府的国家政府的国家资金一般金一般应作作为引引导、启、启动或配套或配套资金金进行注行注入,以表明政策支持那些入,以表明政策支持那些经济、社会效益均好,或社会必、社会效益均好,或社会必需的行需的行业、产业。n政府投资的大小体现其重视程度或工程的难易程度。政府投资的大小体现其重视程度或工程的难易程度。n国家应做好宣传、知识普及、制定投资政策等工作。
61、国家应做好宣传、知识普及、制定投资政策等工作。舍社大郡卫团汕惑福枫喇辽策配沈哇凸藉耀烂札迫朗欣邱馁由毕钩耸踞栗第四部分电子商务安全第四部分电子商务安全2. 2. 电电子商子商务务税收政策税收政策 n在在电子商子商务系系统建建设和和应用用过程中,它要程中,它要产生生经济效益,效益,所以理所以理应向国家和地方向国家和地方纳税。税。n制定合理的制定合理的电子商子商务税收政策。税收政策。鉴于鉴于电子商子商务发展初期,发展初期,此时其获利甚微,国家应从政策优惠的角度对电子商务给此时其获利甚微,国家应从政策优惠的角度对电子商务给予一定程度的税收优惠。予一定程度的税收优惠。n电子商务的税务原则:中立、高效、明确、简便、有效、电子商务的税务原则:中立、高效、明确、简便、有效、公平和灵活。公平和灵活。n采取措施,防止企业偷税漏税。采取措施,防止企业偷税漏税。 3. 3. 电电子商子商务务收收费费政策政策 n通通过电子商子商务产生生经济效益,需要一定的客效益,需要一定的客户规模。模。 n制定合理的收制定合理的收费政策促使更多的政策促使更多的单位和个人使用位和个人使用电子商子商务。 仟赡仓癌阮先脾败页撮警途格棉龙胺七丫猩氦讶拽哨远伐前栖派究冻陈蔬第四部分电子商务安全第四部分电子商务安全第四章第四章妮扰揽亭受伪粪廖镑抠开咳踞啤貉份汕筏恢凹补敛曝专炯猾调匀撼版捂委第四部分电子商务安全第四部分电子商务安全
