电子商务概论：第五章 电子商务安全

第五章电子商务安全1.了解电子商务安全面临的问题3.掌握个人数字证书的使用2.熟悉电子商务常用的安全技术4.了解SET的流程和工作原理

案例导入

新型安全威胁叫板电子商务目前，假冒网站、邮件欺骗、木马病毒已经成为新形势下电子商务面临的最重要的现实安全威胁；2005年我国网络用户被骗金额近1亿元人民币，2006年“五一”黄金周期间，银行卡相关病毒数和网络钓鱼网站数量进一步急速上升。以上事实和最近大量网络骗案的接连发生，提出了一系列值得我们思索和警示的问题。因此，把握电子商务安全预警、安全防范的新情况、新特点和新技术，对于加快电子商务的发展具有重要意义。

网络病毒与网络犯罪2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代，他曾将“熊猫烧香”病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有“熊猫烧香”病毒的新变种出现。

有关法律专家称，“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行的行为。根据刑法规定，犯此罪后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。通过上述案例可以看出随着互联网和电子商务的快速发展，利用网络犯罪的行为会大量出现，为了保证电子商务的顺利发展，法律保障是必不可少的。

一、电子商务存在的主要安全问题（一）信息在网络传输中被截获（二）传输的文件可能被篡改：篡改、删除、插入（三）假冒他人身份（四）伪造电子邮件（五）抵赖行为电子商务安全内容电子商务安全就是综合运用各种安全技术和设施保护电子商务中交易各方的安全，包括保护其资源不受未经授权的访问、使用、篡改或破坏，保证商务活动顺利进行。要确保电子商务的安全，保证商务活动各方的隐私和财产安全。

二、电子商务的安全需求包括两方面：电子交易的安全需求计算机网络系统的安全1、电子交易的安全需求（1）身份的可认证性

在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。（2）信息的保密性

要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。1、电子交易的安全需求（3）信息的完整性请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙请给丙汇100元

交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。（4）不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。（5）不可伪造性电子交易文件也要能做到不可修改

1、电子交易的安全需求2.计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全（2）自然灾害的威胁（3）黑客的恶意攻击（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击2.计算机网络系统的安全（1）物理实体的安全

设备的功能失常电源故障搭线窃听2.计算机网络系统的安全（3）黑客的恶意攻击

所谓黑客，现在一般泛指计算机信息系统的非法入侵者。

黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。2.计算机网络系统的安全（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”

——《中华人民共和国计算机信息系统安全保护条例》2.计算机网络系统的安全（6）计算机病毒的攻击计算机病毒的破坏目标和攻击部位：

攻击系统数据区攻击文件攻击内存干扰系统运行计算机速度下降攻击硬盘扰乱屏幕显示干扰键盘操作使计算机的喇叭发出响声攻击CMOS干扰打印机电子商务安全技术1、加密技术2、认证技术3、安全电子交易协议一、加密技术加密技术是认证技术及其他许多安全技术的基础。

“加密”，简单地说，就是使用数学的方法将原始信息（明文）重新组织与变换成只有授权用户才能解读的密码形式（密文）。而“解密”就是将密文重新恢复成明文。加密技术包括两个元素：算法和密钥：算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥是一窜数字。古典加密技术－

替代算法恺撒密码(单字母替换)明文：abcdefghijklmnopq密文：defghijklmnopqrst此时密钥为3，即每个字母顺序推后3个。解密使用相同的方法，密钥为-3。

例如：将字母的自然顺序保持不变，但使之分别与相差4个字母的字母相对应。

HowareyouLsaevicsy对称密码体制1、加密技术非对称密码体制加密密钥与解密密钥是相同的。密钥必须通过安全可靠的途径传递。由于密钥管理成为影响系统安全的关键性因素，使它难以满足系统的开放性要求。把加密过程和解密过程设计成不同的途径，当算法公开时，在计算上不可能由加密密钥求得解密密钥，因而加密密钥可以公开，而只需秘密保存解密密钥即可。公开密钥密码体制产生于1976年，又称双钥或非对称密钥密码体制。1977年麻省理工学院的三位科学家Rivest、Shamir和Adleman提出最著名和使用最广泛的公钥加密方法RSA公开密钥密码系统。公开密钥密码体制产生于1976年，又称双钥或非对称密钥密码体制。1977年麻省理工学院的三位科学家Rivest、Shamir和Adleman提出最著名和使用最广泛的公钥加密方法RSA公开密钥密码系统。非对称密钥算法的加密流程

公钥私钥非对称加密技术一个人两把钥匙,一个锁来一个开。私钥公钥公开加密技术的优缺点：优点：第一，在多人之间进行保密信息传输所需的密

钥组合数量很小；第二，密钥的发布不成问题；第三，公开密钥系统可实现数字签名。缺点：加密／解密比私有密钥加密系统的速度慢得多。非对称加密方式中密钥的分发与管理对称密钥技术，要求加密和解密双方使用相同的密钥。对称密钥密码体系最著名的算法有DES（美国数据加密标准）、AES(高级加密标准)和IDEA（欧洲数据加密标准）。私钥私钥对称加密技术一个人一把钥匙一把钥匙开一把锁私钥对称式密钥加密技术的优缺点：

优点：对称密钥密码体系的优点是加密、解密速度很快(高效)。

缺点：对称加密系统存在的最大问题是密钥的分发和管理问题。比如对于具有n个用户的网络，需要n(n－1)/2个密钥，在用户群不是很大的情况下，对称加密系统是有效的，但是对于大型网络，用户群很大而且分布很广时，密钥的分配和保存就成了大问题，同时也就增加了系统的开销。图为有6个用户的网络其对称密钥的分发情况。

二、认证技术采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证的实现包括数字签名、数字信封、数字证书等技术。

1、数字证书由证书认证机构签名的包括公开密钥拥有者的信息、公开密钥签发者信息、有效期以及一些扩展信息的数字文件。从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书用于对用户信息签名，保证信息完整性和行为的不可抵赖加密证书用于对用户传送信息进行加密，保证信息机密性。甲乙随机数加密签名密钥（甲）

密文签名证书（甲）成功解密签名证书（甲）密文成功有效期证书链黑名单验证失败失败签名证书（甲）身份认证双向身份认证甲乙

密文签名证书（甲）身份认证

密文签名证书（乙）身份认证微软公司的InternetExplorer和网景公司的Navigator和电子邮件软件OutlookExpress等都提供了数字证书的功能来作为身份鉴别的手段。数字证书的三种类型个人证书它仅仅为某一个用户提供数字证书。企业（服务器）数字证书它通常为网上的某个Web服务器提供数字证书。软件（开发者）数字证书它通常为因特网中被下载的软件提供数字证书。数字证书作用证实在电子商务或信息交换中参加者的身份。授权交易，如信用卡支付。授权接入重要信息库，代替口令或其他的进入方式。提供经过因特网发送信息的不可抵赖性证据。申请免费数字证书2．数字签名附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造

数字签名是通过用密码算法对数据进行加密、解密来实现的。数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

CA安全认证体系

认证中心，又称为证书授证(CertificateAuthority)中心，是一个负责发放和管理数字证书的权威机构。认证中心的作用证书的颁发；证