电子商务安全技术

电子商务平安技术电子商务的平安概述信息加密技术防火墙技术认证技术平安的电子商务交易黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客〞(softwarecracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客〞。美国的F117残骸3.4万美元

遗憾

美机降落时，是破坏了全部软件数据和部份硬件自4月1日发生撞机事件以来，多个美国政府和商业网站遭到了中国黑客的攻击。一张贴在被黑网站首页上的帖子写着：“黑倒美国！为我们的飞行员王伟！为了我们的中国！〞。最大的网络平安隐患-电脑病毒4.1电子商务的平安概论电子商务平安问题一、电子商务平安问题威胁〔一〕客户信息的平安威胁1．活动页面通过嵌套在页面的恶意程序或者通过COOKIES等2．浏览器插件带有病毒的插件〔二〕传输信息的平安威胁1.窃听-窃听风云2.中断3.纂改4.伪造

96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,迫使美国国防部一度关闭了其他80多个军方网址。〔三〕电子商务效劳器的平安威胁1.系统平安内部网络操作系统的漏洞、外部非企业用户利用系统漏洞攻击系统、内部用户非法登录效劳器、通信协议软件缺乏平安等-运作系统2.数据库平安因为企业内部采用局域网，采用播送方式，信息包容易泄露-存储系统1.保密性2.完整性3.不可抵赖性Rich

ClientBusiness

LogicDataServerODBC+SQL三、电子商务平安的需求四、电子商务平安内容和措施计算机网络平安和商务交易平安1．确定通信中贸易伙伴身份的真实性-电子认证，发放证书2．保证电子单证的保密性-数字加密和解密-DES和RSA3．确定电子单证内容的完整性-散列技术散列值，防止更改4．确定电子单证的真实性-数字签名-公钥5．不可抵赖性-认证中心的证书6．存储信息的平安性-防火墙，备份4.2数据加密技术一、加密理论概述信息加密技术是一种主动的信息平安防范措施。它利用一定的加密算法，将那些要在公共通道〔如Internet〕传输的商务活动中的信息数据(称明文)，先转换成为无意义的密文后,再通过公共通道传输，使非法用户“黑客〞在获取通过网络传输的密文时，无法将它恢复成原文，以阻止他理解原始数据，从而确保数据的保密性

二、数据加密的一般原理和过程源信息加密算法E源信息解密算法D密文加密密钥Ke解密密钥Kd

原信息用加密算法E和加密密钥Ke进行加密运算，得到密文，然后通过一定的传输路径传输给接收端，接收端接收到密文后，利用解密算法D和解密密钥Kd对密文进行解密运算，从而获得信息明文。三、对称密钥加密体制对称密钥加密原理密钥密码〔对称密钥〕体制，就是加密密钥和解密密钥相同，即：Ke=Kd=K1〕替换加密法例1：Caesar〔恺撒〕密码恺撒只是简单地把信息中的每一个字母用字母表中的该字母后的第三个字母代替。这种密码替换通常叫做恺撒移位密码，或简单的说，恺撒密码。尽管这里只提到了三个位置的恺撒移位，但显然从1到25个位置的移位我们都可以使用1、对称密钥加密体制常用算法

用移位加解密算法说明一个加解密的过程，明密文对照关系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9点发动总攻

JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要发送一个军事命令给前线，明文为“今晚9点发动总攻〞。加密算法是将明文字母后移3位，解密就是将密文字母前移3位，3就是加解密的密钥，由它控制加解密过程2〕数据加密标准〔DES〕算法DES〔DataEncryptionStandard〕数据加密标准，是美国国家标准局用于非国家保密机关的数据保护。由IBM研发，综合运用了置换、替代、代数等多种密码技术，把信息分成64位大小的块，使用56位密钥，迭代轮数为16轮的加密算法。2、对称密钥加密体制存在的问题1〕贸易双方如何平安交换密钥的问题。虽然对称加密体制使加密和解密都比较快，问题是如何将密钥传给要保密的用户,这个过程本钱比较高。2〕当某一贸易方有n个贸易关系时，如果n个人都两两通信，那么总密钥数位为？四、非对称加密体制1、非对称加密原理也称双钥密码体制，就是加密和解密使用不同的密钥。2、公钥密码体系的主要特点公钥密码体系的主要特点就是加密和解密使用不同的密钥，每个用户都有一对选定的密钥〔所以又称双钥〕，即：公钥KP〔publickey〕是可以公开的，它可以像号码一样注册公布私钥KS〔selfkey〕是秘密的，私用的由KP不能计算出KS加密和解密分开,两个主体行为Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs〞“明早8点车回广州...〞小张使用自己的私钥进行解密得到明文小王使用对方的公钥对信息明文进行加密小王A密文“明早8点车回广州...〞解密Decryption加密Encryption小张的公钥小张的私钥小张B公钥密码〔非对称密钥〕体制，就是加密密钥和解密密钥不同，即：KeKd3、具体步骤为：〔1〕信息接收端首先产生一对密钥，其中一把作为私钥保存起来，另一把作为公钥，传送给信息发送方；〔2〕信息发送方使用接收到的公钥和公开密钥加密算法对发送的信息进行加密，产生密文；〔3〕密文通过网络传送到信息接收方；〔4〕信息接收方使用自己的私钥和公开密钥加密算法对密文进行解密，得到信息明文。4、公开密匙加密技术的优缺点优点：1〕秘钥少管理方便。网络中每一用户只需要保存自己的解密密钥，那么N个用户只需要N个密钥。2〕密钥分派简单。加密密钥分发给给用户，而解密密钥那么由用户自己保管。3〕不需要秘密通道和复杂的协议来传送密钥。缺点：加密和解密速度非常慢五、散列算法-Hash算法哈希算法如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。一般用于加密算法。4.2.1防火墙的含义及分类人们经常在建筑物之间修建一些墙壁，以便在火灾发生时，火势不至于从一幢建筑蔓延到别一幢建筑，这些墙被称为“防火墙〞。与此类似，我们可以在内部网和Internet之间设置一堵“防火墙〞以保护内部网免受外部的非法入侵。4.2防火墙技术一、防火墙的分类1、包过滤防火墙：路由器定义了一系列包过滤规那么。包过滤规那么以IP信息包为根底，对IP中的源地址、目标地址进行筛选，由此决定是否屏蔽信息。简单廉价、规那么复杂。2、代理效劳器：内部网的用户如果要使用因特网提供的效劳必须与代理效劳器(介于客户端和Web效劳器之间的另一台效劳器)链接，经身份确认后，再由代理效劳器负责与因特网连接。这样做可以隔离内部主机和外部主机的直接通信。而一般以上两者经常结合在一起使用二、防火墙的具体功能(1)隔离的风险区域-隔离风险区域与数据直接联系(2)强化网络平安-将所有平安软件配置在防火墙，集中管理(3)限制访问的内部信息-只提供内部人员访问(4)监控审计-记录访问数据，统计分析，如果可疑立即报警电子商务必须面对身份验证和交易不可抵赖性两个问题。为了解决这两个问题，必须引入一个第三方〔交易双方都信任〕，对买卖双方都进行身份验证，使交易参与者确认自己在与对方所说的人在交易。CA中心为用户发放的证书是一个有该用户公开密钥及个人信息并经授权中心数字签名的文件。由于CA中心数字签名使得黑客不能更改，所以CA就是这里的第三方。4.4认证技术一、身份认证身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。在真实世界，对用户的身份认证根本方法可以分为：(1)

根据你所知道的信息来证明你的身份

(what

you

know

〕(2)

根据你所拥有的东西来证明你的身份

(what

you

have

〕(3)直接根据独一无二的身体特征来证明你的身份

(who

you

are

)

，比方指纹、面貌等。在网络中的用户身份认证方式与现实认证不同1、静态密码-农行2、智能卡〔IC卡〕-农商行3、短信密码–浦发行4、USBKEY动态口令牌-工商行

二、数字签名数字签名〔又称公钥数字签名、电子签章〕是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。1〕数字签名不是指将你的签名扫描成数字图像，或者用触摸板获取的签名，更不是你的落款。2〕数字签名了的文件的完整性很容易验证、数字签名具有不可抵赖性。

它的主要方式是：信息发送方从文本中生成信息摘要。发送方用自己的专用私人密钥对这个信息摘要进行加密来形成发送方的数字签名。然后这个数字签名将作为信息附件和信息一起发送给信息接收方。信息接收方先从接收的原始信息中计算出报文摘要，接着再用发送方的公开密钥对报文附加的数字签名进行解密。如果信息相同就能够确认该数字签名。三、数字信封数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密〔这局部称数字信封〕之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥翻开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的平安性相当高。只有对方的私钥才能将加密后的数据(通信密钥)复原；四、数字时间戳各种政务和商务文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳效劳。五、数字证书在一个电子商务系统中，所有参与活动的实体都必须用证书来说明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份。另一方面每份证书都携带着证书持有者的公钥〔即利用一对互相匹配的密钥进行加密解密-自己的密钥用来解密和签名的〕〔一〕数字证书的类型个人、企业和效劳器三类〔二〕数字证书的应用1、网上交易-证明身份不可抵赖2、平安电子邮件-用给对方公钥加密，对方自己解密3、无纸化办公-网上办公系统嵌入了数字证书，实现平安便捷的网上办公4、网上招标-认证招投标方合法性5、政府公共事务-政府工商管理、报税、报关业务作为数字身份标识企业和个人6、电子金融效劳-电子银行中作为客户的数字身份

六、中国金融认证中心中国金融认证中心〔ChinaFinancialCertificationAuthority，CFCA〕于2000成立，是经中国人民银行和国家信息平安管理机构批准成立的国家级权威的平安认证机构。CFCA在业内拥有权威地位和较高的品牌知名度，同时，具有良好的品牌信誉度，拥有丰富的信息平安领域经验和雄厚实力。为金融行业、电子商务、电子政务领域效劳，提供信息平安解决方案、信息平安产品研发、信息平安评估、平安技术支持等全方位的信息平安效劳。国内绝大局部银行〔100多家〕已经采用了CFCA提供的第三方平安认证。

中国金融认证中心CFCA

4.5平安的电子商务交易一、技术的保证通过数字证书解决当事主体身份确认，通过数字签名验证数据的真实性，通过数据加密保证信息在传递过程中的保密性都是很好的手段和方法针对这些技术，国内外有许多不同的平安协议和整体解决方案。其中PKI〔公钥体系结构〕是国际上公认比较成熟的电子商务平安问题完整解决方案