第5章 電子商務(wù)安全

第5章電子商務(wù)安全技術(shù)5.1

電子商務(wù)安全概述5.2

防火墻5.3

電子商務(wù)通信安全5.4

電子商務(wù)認(rèn)證技術(shù)15.1電子商務(wù)安全概述

5.1.1電子商務(wù)安全含義1.硬件安全硬件安全是指保護(hù)計(jì)算機(jī)系統(tǒng)硬件（包括外部設(shè)備）的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。2、軟件安全軟件安全是指保護(hù)軟件和數(shù)據(jù)不被篡改、破壞和非法復(fù)制。3、運(yùn)行安全運(yùn)行安全是指保護(hù)系統(tǒng)能連續(xù)和正常地運(yùn)行。4、安全立法電子商務(wù)安全立法是對(duì)電子商務(wù)犯罪的約束，它是利用國(guó)家機(jī)器，通過安全立法，體現(xiàn)與犯罪斗爭(zhēng)的國(guó)家意志。2常見的病毒（1）蠕蟲它是一種短小的程序，它通過在網(wǎng)絡(luò)中連續(xù)高速地復(fù)制自己，長(zhǎng)時(shí)間的占用系統(tǒng)資源，使系統(tǒng)因負(fù)擔(dān)過重而癱瘓。如震蕩波、沖擊波、尼姆達(dá)、惡郵差等。（2）邏輯炸彈這是一個(gè)由滿足某些條件（如時(shí)間、地點(diǎn)、特定名字的出現(xiàn)等）時(shí)，受激發(fā)而引起破壞的程序。邏輯炸彈是由編寫程序的人有意設(shè)置的，它有一個(gè)定時(shí)器，由編寫程序的人安裝，不到時(shí)間不爆炸，一旦爆炸，將造成致命性的破壞。如歡樂時(shí)光，時(shí)間邏輯炸彈。3常見的病毒（3）特洛伊木馬它是一種未經(jīng)授權(quán)的程序，它提供了一些用戶不知道的功能。當(dāng)使用者通過網(wǎng)絡(luò)引入自己的計(jì)算機(jī)后，它能將系統(tǒng)的私有信息泄露給程序的制造者，他能夠控制該系統(tǒng)。如Ortyc.Trojan木馬病毒，木馬Backdoor.Palukka，酷狼，IE梟雄，騰訊QQ木馬病毒。（4）陷阱入口陷阱入口是由程序開發(fā)者有意安排的。當(dāng)應(yīng)用程序開發(fā)完畢時(shí)，放入計(jì)算機(jī)中，實(shí)際運(yùn)行后只有他自己掌握操作的秘密，使程序能正常完成某種事情，而別人則往往會(huì)進(jìn)入死循環(huán)或其他歧路。45.1.2電子商務(wù)安全威脅51、信息傳輸風(fēng)險(xiǎn)信息傳輸風(fēng)險(xiǎn)是指進(jìn)行網(wǎng)上交易時(shí)，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǜ`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。2、信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)主要來(lái)自三個(gè)方面。1.來(lái)自買方的信用風(fēng)險(xiǎn)。對(duì)于個(gè)人消費(fèi)者來(lái)說，可能在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)產(chǎn)生惡意透支，或使用偽造的信用卡騙取賣方的貨物；對(duì)于集團(tuán)購(gòu)買者來(lái)說，存在拖延貨款的可能，賣方需要為此承擔(dān)風(fēng)險(xiǎn)。2.來(lái)自賣方的信用風(fēng)險(xiǎn)。賣方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者購(gòu)買的貨物，或者不能完全履行與集團(tuán)購(gòu)買者簽訂的合同，造成買方的風(fēng)險(xiǎn)。3.買賣雙方都存在抵賴的情況。信息傳輸風(fēng)險(xiǎn)65.1.2電子商務(wù)安全威脅73、管理風(fēng)險(xiǎn)網(wǎng)上交易管理風(fēng)險(xiǎn)是指由于交易流程管理、人員管理、交易技術(shù)管理的不完善所帶來(lái)的風(fēng)險(xiǎn)。4、法律風(fēng)險(xiǎn)一方面，在網(wǎng)上交易可能還承擔(dān)由于法律滯后而無(wú)法保證合法交易的權(quán)益所造成的風(fēng)險(xiǎn)。另一方面，在網(wǎng)上交易可能承擔(dān)由于法律的事后完善所帶來(lái)的風(fēng)險(xiǎn)，即在原來(lái)法律條文沒有明確規(guī)定下進(jìn)行的網(wǎng)上交易，在后來(lái)頒布新的法律條文下屬于違法經(jīng)營(yíng)所造成的損失。1.有效性對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序作物、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。2.保密性電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境中的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。保密性一般是通過密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。3.完整性

貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過提取信息的摘要的方式來(lái)獲得。85.1.3電子商務(wù)安全需求4.認(rèn)證性在交易開始之前，買賣雙方能夠認(rèn)證對(duì)方的身份，即可以識(shí)別對(duì)方的身份是真實(shí)的。認(rèn)證性一般通過CA及其發(fā)放的數(shù)字證書來(lái)實(shí)現(xiàn)。5.不可抵賴性主要指交易的雙方不能否認(rèn)彼此之間所進(jìn)行的信息交流。發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容，收信者事后否認(rèn)曾經(jīng)收到某條信息或內(nèi)容；不可抵賴性一般通過對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)獲取。6.即需性即需性是防止延遲或拒絕服務(wù)，即需安全危險(xiǎn)就在于破壞正常的計(jì)算機(jī)處理或完全拒絕服務(wù)。95.1.3電子商務(wù)安全需求山東考生徐玉玉案2016年8月21日，因被詐騙電話騙走上大學(xué)的費(fèi)用9900元，傷心欲絕，郁結(jié)于心，最終導(dǎo)致心臟驟停，雖經(jīng)醫(yī)院全力搶救，但仍不幸離世。以詐騙罪判處被告人陳文輝無(wú)期徒刑，剝奪政治權(quán)利終身，并處沒收個(gè)人全部財(cái)產(chǎn)，以詐騙罪判處被告人鄭金鋒有期徒刑十五年，并處罰金人民幣六十萬(wàn)元；以詐騙罪判處被告人黃進(jìn)春有期徒刑十二年，并處罰金人民幣四十萬(wàn)元；杜天禹非法獲取2016年山東省高考考生個(gè)人信息64萬(wàn)余條，并向陳文輝出售考生信息10萬(wàn)余條,非法獲取公民個(gè)人信息罪被判有期徒刑6年，并處罰金6萬(wàn)元。105.2防火墻5.2.1定義：防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。

防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾、應(yīng)用網(wǎng)關(guān)組成。通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，可以強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部信息的外泄；111213正常情況下，所有互聯(lián)網(wǎng)的分組數(shù)據(jù)都應(yīng)經(jīng)過防火墻的過濾，這將造成網(wǎng)絡(luò)交通的瓶頸，例如在攻擊性分組出現(xiàn)時(shí)，攻擊者會(huì)不時(shí)寄出分組，讓防火墻疲于過濾分組，而使一些合法分組軟件，亦無(wú)法正常進(jìn)出防火墻。防火墻雖然可以過濾互聯(lián)網(wǎng)的分組，但卻無(wú)法過濾內(nèi)部網(wǎng)絡(luò)的分組，因此若有人從內(nèi)部網(wǎng)絡(luò)攻擊時(shí)，防火墻是毫無(wú)用武之地的。電腦自身操作系統(tǒng)存在的系統(tǒng)漏洞，使入侵者可以利用這些系統(tǒng)漏洞來(lái)繞過防火墻的過濾，進(jìn)而入侵電腦。防火墻無(wú)法有效阻擋病毒的攻擊，尤其是隱藏在數(shù)據(jù)中的病毒。145.2防火墻5.3電子商務(wù)通信安全加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）后再傳輸，到達(dá)目的地后再用相同或不同的手段還原（解密）信息。原始信息通常稱為“明文”，加密后的信息通常稱為“密文”。15加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將明文與一串字符（密鑰）結(jié)合起來(lái)，進(jìn)行加密運(yùn)算后形成密文。密鑰是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語(yǔ)句。常用的現(xiàn)代加密技術(shù)有兩種：對(duì)稱加密和非對(duì)稱加密。165.3電子商務(wù)通信安全對(duì)稱加密技術(shù)是指發(fā)送方和接收方使用同樣密鑰的密碼體制，即文件加密和解密使用相同的密鑰。這類算法要求發(fā)送者和接收者在安全通信之前，商定一個(gè)密鑰。由于對(duì)稱算法的安全性依賴于密鑰，密鑰必須保密。175.3電子商務(wù)通信安全比較常用的對(duì)稱密鑰算法有DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES算法是一個(gè)對(duì)稱的分組加密算法。簡(jiǎn)單的DES算法是以64位為分組進(jìn)行明文輸入，在密鑰的控制下產(chǎn)生64位的密文；反之輸入64位的密文，輸出64位的明文。185.3電子商務(wù)通信安全非對(duì)稱加密技術(shù)使用的是密鑰對(duì)，即加密密鑰和解密密鑰不同。公鑰（publickey）是公開的，可以像電話簿一樣，存儲(chǔ)于文件中，文件保存在密鑰中心；私鑰（privatekey）由用戶自己保存，只有自己才能知道。通常用公鑰加密，私鑰解密來(lái)保證信息的機(jī)密性；用私鑰加密，公鑰解密來(lái)保證身份認(rèn)證。195.3電子商務(wù)通信安全非對(duì)稱加密技術(shù)的算法使用最多的是RSA。RSA算法是1978年由美國(guó)麻省理工學(xué)院的三位學(xué)者R.L.Rivest、A.Shamir和L.Adleman設(shè)計(jì)的非對(duì)稱加密方法，算法以發(fā)明者名字的首字母來(lái)命名。它是第一個(gè)既可用于加密，也可用于數(shù)字簽名的算法。一般來(lái)說，RSA只用于少量數(shù)據(jù)加密，在互聯(lián)網(wǎng)中廣泛使用的電子郵件和文件加密軟件PGP（prettygoodprivacy）就是將RSA作為傳送會(huì)話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。205.3電子商務(wù)通信安全5.3電子商務(wù)通信安全

兩種加密技術(shù)對(duì)比21基本的加密算法

替換法22明文：今晚9點(diǎn)發(fā)動(dòng)總攻JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ235.4電子商務(wù)認(rèn)證技術(shù)24用戶的特征

用戶所擁有的

用戶所知道的

指紋虹膜DNA聲音用戶的行為身份證護(hù)照密鑰盤

密碼口令

身份認(rèn)證技術(shù)（補(bǔ)充）1數(shù)字摘要

數(shù)字指紋

驗(yàn)證文件是否被非法篡改校驗(yàn)2數(shù)字信封

確保特定的收件人3數(shù)字簽名

鑒別特定的發(fā)件人4數(shù)字時(shí)間戳

電子文件發(fā)表時(shí)間的安全保護(hù)與證明

包含：1.文件摘要2.機(jī)構(gòu)收到文件的日期和時(shí)間3.數(shù)字時(shí)間戳機(jī)構(gòu)的數(shù)字簽名255.4電子商務(wù)認(rèn)證技術(shù)在電子交易中，無(wú)論是時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而是需要一個(gè)具有權(quán)威性和公正性的第三方機(jī)構(gòu)來(lái)完成。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的功能（1）證書的頒發(fā)。（2）證書的更新。（3）證書的查詢。（4）證書的作廢（5）證書的歸檔。目前，我國(guó)CA認(rèn)證市場(chǎng)主要由行業(yè)或地方政府部門建立的認(rèn)證中心構(gòu)成。265.4.2證書機(jī)構(gòu)275.4.2證書機(jī)構(gòu)最高管理機(jī)構(gòu)：CFCACFCA是全國(guó)惟一的金融根認(rèn)證中心，由中國(guó)人民銀行負(fù)責(zé)統(tǒng)一規(guī)劃管理。自2009年啟動(dòng)戰(zhàn)略轉(zhuǎn)型以來(lái)，已逐步由單一的電子認(rèn)證服務(wù)機(jī)構(gòu)轉(zhuǎn)變?yōu)榫C合的信息安全服務(wù)提供商。CFCA證書主要應(yīng)用領(lǐng)域：銀行領(lǐng)域證券領(lǐng)域基金領(lǐng)域企業(yè)集團(tuán)和財(cái)務(wù)公司285.4.2證書機(jī)構(gòu)在管理分工上，中國(guó)人民銀行負(fù)責(zé)管理根認(rèn)證中心CFCA，并負(fù)責(zé)審批、認(rèn)證統(tǒng)一的品牌認(rèn)證中心。一般脫機(jī)進(jìn)行。品牌認(rèn)證中心由成員銀行接受中國(guó)人民銀行的委托建設(shè)、運(yùn)行和管理，建立對(duì)最終持卡人、商業(yè)用戶和支付網(wǎng)關(guān)認(rèn)證證書的審批、管理和認(rèn)證等工作，其中管理包括證書申請(qǐng)、補(bǔ)發(fā)、重發(fā)和注銷等內(nèi)容。295.4.2證書機(jī)構(gòu)305.4.2證書機(jī)構(gòu)5.4.3數(shù)字證書數(shù)字證書是由CA證書授權(quán)中心發(fā)行，能提供在Internet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔，人們可以用它來(lái)證明自己在互聯(lián)網(wǎng)中的身份或識(shí)別對(duì)方的身份。數(shù)字證書包含以下內(nèi)容。（1）證書擁有者的姓名。（2）證書的版本信息。（3）證書的序列號(hào)，同一身份驗(yàn)證機(jī)構(gòu)簽發(fā)的證書序列號(hào)唯一。

31（4）證書所使用的簽名算法。（5）證書發(fā)行機(jī)構(gòu)的名稱。（6）證書的有效期限。（7）證書所有人的公開密鑰。（8）證書發(fā)行者對(duì)證書的簽名325.4.3數(shù)字證書數(shù)字證書的分類從數(shù)字證書的應(yīng)用角度來(lái)看，數(shù)字證書可以分為服務(wù)器證書、電子郵件證書和客戶端證書。一般來(lái)說，用戶要攜帶有關(guān)證件到各地的證書受理點(diǎn)，或者直接到證書發(fā)放機(jī)構(gòu)填寫申請(qǐng)表并進(jìn)行身份審核，審核通過后交納一定費(fèi)用就可以得到裝有證書的相關(guān)介質(zhì)（U盾或Key）。用戶在需要使用證書的網(wǎng)上進(jìn)行操作時(shí)，必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)。335.4.3數(shù)字證書34支付寶數(shù)字證書5.4.3數(shù)字證書3.4.5數(shù)字證書35企業(yè)數(shù)字證書

用來(lái)表明和驗(yàn)證企業(yè)用戶在網(wǎng)絡(luò)上身份的證書，它確保了企業(yè)網(wǎng)上交易和作業(yè)的安全性和可靠性。用途:1.用于安全WEB站點(diǎn)訪問；2.安全電子郵件：3.網(wǎng)上銀行等電子商務(wù)系統(tǒng)；4.網(wǎng)上報(bào)稅等電子政務(wù)系統(tǒng)。存儲(chǔ)介質(zhì)：軟盤、硬盤、IC卡、USB均可。企業(yè)高級(jí)證書--適用于企業(yè)作金額較大時(shí)的B2B網(wǎng)上交易，安全級(jí)別較高，可用于數(shù)字簽名和信息加密。企業(yè)普通證書--適用于企業(yè)用戶用于SSL、S/MIME以及建立在SSL之上的應(yīng)用，它的安全級(jí)別較低，建議用于金額較小的網(wǎng)上交易。5.4.3數(shù)字證書電子交易安全協(xié)議

1．SSL安全協(xié)議SSL（SecureSocketsLayer）安全協(xié)議最初由NetscapeCommunication公司設(shè)計(jì)開發(fā)，又稱“安全套接層協(xié)議”，是通信雙方在通信前約定使用的一種協(xié)議方法，該方法能夠在雙方計(jì)算機(jī)之間建立一個(gè)秘密信道，凡是一些不希望被他人知道的機(jī)密數(shù)據(jù)都可以通過公開的通路傳輸，不用擔(dān)心數(shù)據(jù)會(huì)被別人偷竊。37電子交易安全協(xié)議1．SSL安全協(xié)議SSL安全協(xié)議能夠?qū)CP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)流加密。SSL協(xié)議只負(fù)責(zé)端到端的安全連接，只保證信息傳輸過程中不被竊取、篡改，但不提供其他安全保證，因而SSL實(shí)質(zhì)上僅僅提供對(duì)瀏覽器和服務(wù)器的鑒別，不能細(xì)化到對(duì)商家和客戶的身份認(rèn)證，這個(gè)缺陷會(huì)導(dǎo)致交易的假冒欺詐行為出現(xiàn)，又由于