電子商務(wù)-第六章

電子商務(wù)——第六章第一頁，共八十三頁，編輯于2023年，星期一引子

家?。▽幭模┲行l(wèi)市沙坡頭區(qū)的14歲輟學(xué)少年拜某，利用電腦軟件盜竊他人網(wǎng)上銀行賬號(hào)，并竊取他人存款。2008年9月10日，拜某被中衛(wèi)市公安局沙坡頭區(qū)分局民警抓獲。今年7月26日，中衛(wèi)市沙坡頭區(qū)一居民的網(wǎng)上銀行賬號(hào)被盜，卡上存款4800元被盜取.經(jīng)過艱苦細(xì)致的工作，辦案民警發(fā)現(xiàn)拜某有重大作案嫌疑。在充分的證據(jù)面前，拜某交代：今年7月26日，他利用電腦軟件盜取沙坡頭區(qū)一被害人的網(wǎng)上銀行賬號(hào)及密碼，盜竊存款4800元。拜某同時(shí)供述：今年8月，他曾盜取一被害人的網(wǎng)上銀行賬號(hào)，盜竊Q幣6000元。另外，拜某還伙同他人在銀川某網(wǎng)吧盜取一被害人的網(wǎng)上銀行賬號(hào)，竊取他人現(xiàn)金1.2萬元，全部用于網(wǎng)上交易。因拜某年僅14歲，警方對(duì)其進(jìn)行了批評(píng)教育，并責(zé)成其家長對(duì)其予以訓(xùn)誡和監(jiān)管。第二頁，共八十三頁，編輯于2023年，星期一第6章電子商務(wù)系統(tǒng)的安全6.1電子商務(wù)系統(tǒng)安全的概述6.2電子商務(wù)系統(tǒng)的安全需求6.3電子商務(wù)系統(tǒng)安全的理論和技術(shù)6.4電子商務(wù)系統(tǒng)安全的應(yīng)用和協(xié)議第三頁，共八十三頁，編輯于2023年，星期一

在電子商務(wù)整個(gè)運(yùn)作過程中，會(huì)面臨各種安全問題。典型的安全問題包括：安全漏洞、病毒感染、黑客攻擊、網(wǎng)絡(luò)仿冒以及來自其他方面的各種不可預(yù)測(cè)的風(fēng)險(xiǎn)。分析電子商務(wù)的安全問題，就是根據(jù)實(shí)際考察結(jié)果，確定各種可能出現(xiàn)的安全問題，分析其不同程度的危害性，找出電子商務(wù)潛在的安全隱患和安全漏洞，從而有的放矢的運(yùn)用相關(guān)電子商務(wù)的技術(shù)來加以控制和管理。6.1電子商務(wù)系統(tǒng)安全的概述第四頁，共八十三頁，編輯于2023年，星期一6.1電子商務(wù)系統(tǒng)安全的概述1、安全漏洞

即使使用者在合理配置了產(chǎn)品的條件下，由于產(chǎn)品自身存在的缺陷，產(chǎn)品的運(yùn)行可能被改變以產(chǎn)生非設(shè)計(jì)者預(yù)期的后果，并可最終導(dǎo)致安全性被破壞的問題，包括使用者系統(tǒng)被非法侵占、數(shù)據(jù)被非法訪問并泄露，或系統(tǒng)拒絕服務(wù)等。我們將這些缺陷稱為安全漏洞。第五頁，共八十三頁，編輯于2023年，星期一第六頁，共八十三頁，編輯于2023年，星期一2、病毒感染

“Nimaya（熊貓燒香）”病毒事件處理

Nimaya（熊貓燒香）病毒在2007年初出現(xiàn)流行趨勢(shì)，該病毒具有感染、傳播、網(wǎng)絡(luò)更新、發(fā)起分布式拒絕服務(wù)攻擊（DDoS）等功能?！靶茇垷恪钡膫鞑シ绞酵瑫r(shí)具備病毒和蠕蟲的特性，危害較大。處理反google病毒

2007年8月出現(xiàn)一種反google的病毒，感染該病毒的用戶在打開G或者G時(shí)，會(huì)看到提示：“Google退出中國，請(qǐng)用百度進(jìn)行搜索”。這是由于被感染主機(jī)的hosts文件被惡意修改，導(dǎo)致用戶對(duì)google網(wǎng)站的訪問被引向含有大量惡意代碼的惡意服務(wù)器，該主機(jī)對(duì)應(yīng)域名為591。6.1電子商務(wù)系統(tǒng)安全的概述第七頁，共八十三頁，編輯于2023年，星期一第八頁，共八十三頁，編輯于2023年，星期一3、黑客攻擊

黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。6.1電子商務(wù)系統(tǒng)安全的概述第九頁，共八十三頁，編輯于2023年，星期一（1）分布式拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DoS）的有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。（2）僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)（BotNet），是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序），從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。6.1電子商務(wù)系統(tǒng)安全的概述第十頁，共八十三頁，編輯于2023年，星期一4、網(wǎng)絡(luò)仿冒

2004年12月8日，中國銀行發(fā)現(xiàn)，有一網(wǎng)站為，企圖盜取銀行賬號(hào)和密碼。同樣的事情也發(fā)生在中國工商銀行身上。欺詐網(wǎng)站以

為網(wǎng)址，而真正的工行網(wǎng)站網(wǎng)址為WWW.ICBC.COM.CN，“1”和“I”一字之差。6.1電子商務(wù)系統(tǒng)安全的概述第十一頁，共八十三頁，編輯于2023年，星期一

從安全問題中我們可以看出，它不是個(gè)別現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問題就不容忽視。它不僅影響了網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，擾亂了網(wǎng)絡(luò)秩序，還會(huì)造成很多直接或者間接的經(jīng)濟(jì)損失。為了盡可能避免安全損失，刨根究底，首先要了解造成這些問題的間接的經(jīng)濟(jì)損失。為了盡可能避免安全損失，刨根究底，首先要了解造成這些問題的癥結(jié)所在。概括起來有兩個(gè)方面：先天原因和后天原因。后天原因里又可細(xì)分為管理、人和技術(shù)三個(gè)方面。6.1電子商務(wù)系統(tǒng)安全的概述第十二頁，共八十三頁，編輯于2023年，星期一

電子商務(wù)系統(tǒng)安全包括系統(tǒng)的硬件安全、軟件安全、運(yùn)行安全、電子商務(wù)安全立法。

硬件安全是指保護(hù)計(jì)算機(jī)系統(tǒng)硬件（包括外部設(shè)備）的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。

軟件安全是指保護(hù)軟件和數(shù)據(jù)不被篡改、破壞和非法復(fù)制。系統(tǒng)軟件安全的目標(biāo)是使計(jì)算機(jī)系統(tǒng)邏輯上安全，主要是使系統(tǒng)中信息的存取、處理和傳輸系統(tǒng)安全策略的要求。電子商務(wù)系統(tǒng)硬件安全電子商務(wù)系統(tǒng)軟件安全6.1電子商務(wù)系統(tǒng)安全的概述第十三頁，共八十三頁，編輯于2023年，星期一

運(yùn)行安全是指保護(hù)系統(tǒng)能連續(xù)和正常地運(yùn)行。

電子商務(wù)安全立法是對(duì)電子商務(wù)犯罪的約束，它是利用國家機(jī)器，通過安全立法，體現(xiàn)與犯罪斗爭的國家意志。

電子商務(wù)系統(tǒng)運(yùn)行安全電子商務(wù)安全立法6.1電子商務(wù)系統(tǒng)安全的概述第十四頁，共八十三頁，編輯于2023年，星期一

綜上所述，電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)問題。電子商務(wù)安全立法與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)、社會(huì)有關(guān)，基本上不屬于技術(shù)上的系統(tǒng)設(shè)計(jì)問題，而硬件安全是目前硬件技術(shù)水平能夠解決的問題。鑒于現(xiàn)代計(jì)算機(jī)系統(tǒng)軟件的龐大和復(fù)雜性，軟件安全中的信息安全成為電子商務(wù)系統(tǒng)安全的關(guān)鍵問題。6.1電子商務(wù)系統(tǒng)安全的概述第十五頁，共八十三頁，編輯于2023年，星期一

電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)問題，它不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。具體包括電子商務(wù)系統(tǒng)的硬件安全、軟件安全、運(yùn)行安全及電子商務(wù)安全立法等多個(gè)方面。6.2電子商務(wù)系統(tǒng)的安全需求第十六頁，共八十三頁，編輯于2023年，星期一6.2電子商務(wù)系統(tǒng)的安全需求第十七頁，共八十三頁，編輯于2023年，星期一6.3電子商務(wù)系統(tǒng)安全的理論和技術(shù)一、加密技術(shù)加密技術(shù)是實(shí)現(xiàn)電子商務(wù)安全的一種重要手段。一般情況下，網(wǎng)絡(luò)上的信息如果沒有經(jīng)過特殊處理，都是明碼傳輸?shù)?，這就意味著用戶在網(wǎng)上傳輸?shù)男庞每ㄌ?hào)碼、身份證號(hào)碼、口令以及其他個(gè)人信息都有可能被他人獲取。為了防止合法接收者之外的人獲取機(jī)密信息，數(shù)據(jù)加密技術(shù)就應(yīng)運(yùn)而生了。第十八頁，共八十三頁，編輯于2023年，星期一（一）數(shù)據(jù)加密的基本概念1、數(shù)據(jù)加密技術(shù)（DataEncryption）技術(shù)的概念數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行編碼和解碼的技術(shù)，數(shù)據(jù)編碼過程就是把原來的可讀信息（明文）譯成不能直接讀的代碼形式（密文），數(shù)據(jù)解碼過程就是把不能直接讀的代碼形式（密文）譯成原來可以直接讀的信息（明文）。因此說，編碼和解碼過程互逆。一、加密技術(shù)第十九頁，共八十三頁，編輯于2023年，星期一2、算法（Algorithm）和密鑰（Key）的概念把明文變?yōu)槊芪男枰欢ǖ募用芊椒?，這實(shí)際上是一個(gè)加密轉(zhuǎn)換過程。一個(gè)加密轉(zhuǎn)換過程中有兩個(gè)基本元素：算法和密鑰。一個(gè)加密過程就是根據(jù)一定的方法稱為算法（稱為算法），將普通的明文與一串?dāng)?shù)字建立對(duì)應(yīng)關(guān)系（稱為密鑰），從而產(chǎn)生旁人不可理解的密文。一、加密技術(shù)第二十頁，共八十三頁，編輯于2023年，星期一一、加密技術(shù)第二十一頁，共八十三頁，編輯于2023年，星期一（二）傳統(tǒng)加密算法傳統(tǒng)加密算法包括代碼加密、替換密碼、變位加密以及一次性密碼簿加密。1、代碼加密發(fā)送秘密消息的最簡單方法，就是使用通信雙方預(yù)先設(shè)定的一組代碼，它簡單而有效，得到了廣泛的應(yīng)用。密文：老鼠已經(jīng)出洞了明文：匪徒已出現(xiàn)在目標(biāo)區(qū)一、加密技術(shù)第二十二頁，共八十三頁，編輯于2023年，星期一2、替換加密明文中的每個(gè)字母或每組字母被替換成另一個(gè)或一組字母，例如下面的一組字母之間的對(duì)應(yīng)關(guān)系就構(gòu)成了一個(gè)替換加密器。明文：ABCDEFGHIJKLMNOPQRSTUVWXYZ密文：VWXYZABCDEFGHIJKLMNOPQRSTU

采用上述代換密碼，明文“CHINA”將被代換為密文“XCDIV”。解密時(shí)采用相同的一組代換關(guān)系進(jìn)行反變換。此處，這種字符的映射關(guān)系就是對(duì)應(yīng)該算法的密鑰，而選擇不同的密鑰（不同的字符映射關(guān)系），將會(huì)產(chǎn)生不同的密文。

一、加密技術(shù)第二十三頁，共八十三頁，編輯于2023年，星期一3、變位密碼轉(zhuǎn)換密碼是根據(jù)某種規(guī)則轉(zhuǎn)換明文（原來可直接讀的信息）的順序，形成密文。采用這種方法，首先，在第一行中記錄密鑰，然后，根據(jù)密鑰的長度，逐行寫上明文，最后，根據(jù)密鑰中數(shù)字的順序按列抄寫形成密文。例1：密鑰：3145260明文：火車已安全發(fā)出密文：出車全火已安發(fā)一、加密技術(shù)第二十四頁，共八十三頁，編輯于2023年，星期一4、一次性密碼簿加密

如果要既保持代碼加密的可靠性，又保持替換加密器的靈活性，可采用一次性密碼簿進(jìn)行加密。密碼簿的每一頁都是不同的代碼表，可以用一頁上的代碼來加密一些詞，用后毀掉；再用另一頁的代碼加密另一些詞，直到全部的明文都被加密，破譯密文的惟一方法就是獲得一份相同的密碼簿。一、加密技術(shù)第二十五頁，共八十三頁，編輯于2023年，星期一二、加密技術(shù)的應(yīng)用（一）對(duì)稱/通用密鑰密碼體系

對(duì)稱密鑰密碼體系（SymmetricCryptography）又稱秘密/專用密鑰加密（SecretKeyEncryption），它對(duì)加密密鑰與解密密鑰使用相同的算法，即加密、解密使用同一密鑰。也就是說,一把鑰匙開一把鎖。使用對(duì)稱加密方法將簡化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。第二十六頁，共八十三頁，編輯于2023年，星期一對(duì)稱密鑰加密、解密過程示意圖第二十七頁，共八十三頁，編輯于2023年，星期一單字母加密方法例：明文（記做m）為“important”，key=3,則密文（記做C）則為“LPSRUWDQW”。第二十八頁，共八十三頁，編輯于2023年，星期一

通用密鑰密碼：愷撒密碼

第二十九頁，共八十三頁，編輯于2023年，星期一例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。第三十頁，共八十三頁，編輯于2023年，星期一

現(xiàn)在用的較多對(duì)稱密鑰算法有DES（DataEncryptionStandard），后被ISO（國際標(biāo)準(zhǔn)組織）所接受，并作為數(shù)據(jù)加密標(biāo)準(zhǔn)。對(duì)稱加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣,對(duì)稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過程。對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰。

（一）對(duì)稱/通用密鑰密碼體系第三十一頁，共八十三頁，編輯于2023年，星期一非對(duì)稱密鑰密碼體系非對(duì)稱密鑰加密也叫公開密鑰加密（PublicKeyEncryption），由美國斯坦福大學(xué)赫爾曼教授于1977年提出。密鑰被分解為一對(duì)(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。（二）非對(duì)稱密鑰密碼體系第三十二頁，共八十三頁，編輯于2023年，星期一非對(duì)稱密鑰密碼體系這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對(duì)機(jī)密性的加密,專用密鑰則用于對(duì)加密信息的解密。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布,但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。

（二）非對(duì)稱密鑰密碼體系第三十三頁，共八十三頁，編輯于2023年，星期一

貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息。（二）非對(duì)稱密鑰密碼體系第三十四頁，共八十三頁，編輯于2023年，星期一非對(duì)稱密鑰加密、解密過程示意圖（二）非對(duì)稱密鑰密碼體系第三十五頁，共八十三頁，編輯于2023年，星期一

使用公開密鑰加密系統(tǒng)，可以解決對(duì)稱密鑰系統(tǒng)中密鑰管理的問題，對(duì)應(yīng)于各個(gè)使用者的加密密鑰是公開的，可以像電話簿一樣，存儲(chǔ)在文件中，文件保存在密鑰中心，各個(gè)使用者只需保存一個(gè)只有自己使用的解密密鑰。（二）非對(duì)稱密鑰密碼體系第三十六頁，共八十三頁，編輯于2023年，星期一KdxX的私人密鑰KdyY的私人密鑰KdzZ的私人密鑰公眾通信網(wǎng)密鑰中心Kex、Key、Kez……公共密鑰第三十七頁，共八十三頁，編輯于2023年，星期一老張小李的公開密匙小李老張密文小李小李的私有密匙老張的私有密匙老張的公開密匙密文鑒別保密用RSA鑒別,只有老張能發(fā)出該信息用RSA保密,只有小李能解開該信息第三十八頁，共八十三頁，編輯于2023年，星期一

在公開密鑰基礎(chǔ)架構(gòu)技術(shù)中，最常用一種算法是RSA算法，其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，一臺(tái)計(jì)算機(jī)需要上千年的計(jì)算時(shí)間，即使是調(diào)集全世界所有的計(jì)算機(jī)，也需要一年半的時(shí)間才能夠破解，但是它存在的主要問題是算法的運(yùn)算速度較慢。第三十九頁，共八十三頁，編輯于2023年，星期一

非對(duì)稱密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，使用靈活，密鑰較少；弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度，必須使用較長的密鑰，從而加重系統(tǒng)的負(fù)擔(dān)和減慢系統(tǒng)的吞吐速度，所以非對(duì)稱密鑰技術(shù)不適合對(duì)數(shù)據(jù)量較大的報(bào)文進(jìn)行加密。

第四十頁，共八十三頁，編輯于2023年，星期一對(duì)稱與非對(duì)稱加密體制對(duì)比特

性對(duì)

稱非

對(duì)

稱密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對(duì)速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用第四十一頁，共八十三頁，編輯于2023年，星期一數(shù)字摘要又被稱作“指紋畫押”（FingerPrint）或者被稱作“數(shù)字指紋”。其加密原理是應(yīng)用“安全Hash編碼法”（SHA:SecureHashAlgorithm）或者應(yīng)用“提示摘要標(biāo)準(zhǔn)”(MDS：StandardsforMessageDigest)編碼原則，將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋（DigitalFinger），它有固定的長度，并且不同的明文在摘要過程中會(huì)形成不同的密文，并確保其結(jié)果惟一。三、數(shù)字摘要第四十二頁，共八十三頁，編輯于2023年，星期一數(shù)字摘要過程第四十三頁，共八十三頁，編輯于2023年，星期一Hash函數(shù)應(yīng)該滿足的三個(gè)條件對(duì)同一數(shù)據(jù)使用同一Hash函數(shù)，其運(yùn)算結(jié)果應(yīng)該是一樣的。Hash函數(shù)應(yīng)具有運(yùn)算結(jié)果不可預(yù)見性，即從源文件的變化不能推導(dǎo)出縮影結(jié)果的變化。Hash函數(shù)具有不可逆性，即不能通過文件縮影反算出源文件的內(nèi)容。第四十四頁，共八十三頁，編輯于2023年，星期一數(shù)字簽名（DigitalSignature）

大家都知道，只要會(huì)寫字的人，他寫出來的字就會(huì)存在一個(gè)筆跡問題，只要他在某個(gè)地方寫上了自己的名字，那意義就不同凡響了（尤其當(dāng)他又是個(gè)大人物的時(shí)候），所以很多人使用各種手段想要得到“某首長”的批示。數(shù)字簽名就是模仿這個(gè)原理而來。四、數(shù)字簽名第四十五頁，共八十三頁，編輯于2023年，星期一1、數(shù)字簽名的含義

數(shù)字簽名是利用數(shù)字摘要技術(shù)和數(shù)字加密技術(shù)對(duì)電子商務(wù)傳輸中的商函進(jìn)行鑒別的一種數(shù)字手段，因?yàn)閿?shù)字摘要技術(shù)使“明文”同摘要成的128bit密文建立一一對(duì)應(yīng)的映射關(guān)系，所以，通過對(duì)128bit密文進(jìn)行二次加密，完成對(duì)原文的鑒別。

四、數(shù)字簽名第四十六頁，共八十三頁，編輯于2023年，星期一2、數(shù)字簽名原理第一步：信息發(fā)送方的準(zhǔn)備工作：（1）對(duì)打算傳輸?shù)拿魑倪M(jìn)行“數(shù)字摘要”產(chǎn)生一個(gè)具備惟一特征的128bit密文；（2）對(duì)128bit密文使用私人密鑰進(jìn)行加密完成數(shù)字簽名；（3）將明文和數(shù)字簽名同時(shí)發(fā)送給接收者；（4）將解密使用的公共密鑰放入服務(wù)器目錄（或發(fā)送給接收者）。

四、數(shù)字簽名第四十七頁，共八十三頁，編輯于2023年，星期一第二步：信息接受方的鑒別工作（5）利用對(duì)方提供的公共密鑰對(duì)數(shù)字簽名進(jìn)行解密產(chǎn)生一個(gè)數(shù)字摘要；（6）對(duì)收到的明文應(yīng)用SHA編碼技術(shù)產(chǎn)生一個(gè)新的摘要；（7）將兩個(gè)摘要進(jìn)行比較（因摘要具備惟一特征），如果兩個(gè)摘要相同說明原文未加修改，如果兩個(gè)摘要不同說明原文已被修改。

四、數(shù)字簽名第四十八頁，共八十三頁，編輯于2023年，星期一數(shù)字簽名的過程第四十九頁，共八十三頁，編輯于2023年，星期一3、數(shù)字簽名應(yīng)用的意義在傳統(tǒng)的商務(wù)往來中的商函上，簽名是確認(rèn)文件的一種手段，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：（1）信息是由簽名者發(fā)送的（2）信息自簽發(fā)后到收到為止未曾作過任何修改因此，數(shù)字簽名可用來防止電子信息被人修改或者盜用名義，或發(fā)出（收到）信件后又對(duì)自己的商業(yè)行為“予以否認(rèn)”等情況發(fā)生。四、數(shù)字簽名第五十頁，共八十三頁，編輯于2023年，星期一1、為什么要加注數(shù)字時(shí)間戳交易文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。

在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)（DTS：digitaltime-stampservice）就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

五、數(shù)字時(shí)間戳第五十一頁，共八十三頁，編輯于2023年，星期一2、什么是數(shù)字時(shí)間戳

數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：①需加時(shí)間戳的文件的摘要

(digest)，②DTS收到文件的日期和時(shí)間，③DTS的數(shù)字簽名。五、數(shù)字時(shí)間戳第五十二頁，共八十三頁，編輯于2023年，星期一3、數(shù)字時(shí)間戳使用原理

時(shí)間戳產(chǎn)生的過程為：用戶將需要加時(shí)間戳的文件用HASH編碼加密形成摘要；用戶將該摘要發(fā)送到DTS；DTS在收到的文件摘要加入了日期和時(shí)間信息，并對(duì)該文件加密（數(shù)字簽名）；DTS將數(shù)字簽名后的摘要送回用戶。五、數(shù)字時(shí)間戳第五十三頁，共八十三頁，編輯于2023年，星期一數(shù)字時(shí)間戳使用原理圖例第五十四頁，共八十三頁，編輯于2023年，星期一6.3電子商務(wù)系統(tǒng)安全的理論和技術(shù)

數(shù)字加密技術(shù)、數(shù)字簽名等技術(shù)很好地解決了電子商務(wù)安全性的前三個(gè)問題，即信息傳輸?shù)谋Ｃ苄?、交易文件的完整性、交易的不可抵賴性問題，但交易者身份的確定性問題并未解決。第五十五頁，共八十三頁，編輯于2023年，星期一1、什么是數(shù)字證書數(shù)字證書也稱為公開密鑰證書，是網(wǎng)絡(luò)通信中標(biāo)識(shí)個(gè)人、計(jì)算機(jī)系統(tǒng)或組織的身份和密鑰所有權(quán)的電子文檔，其作用類似于現(xiàn)實(shí)生活中的身份證。它是由交易各方共同信任的第三方權(quán)威機(jī)構(gòu)發(fā)行的，人們可以用它在電子商務(wù)交易中標(biāo)識(shí)各自的身份。交易伙伴之間可以使用數(shù)字證書來交換公開密鑰。六、數(shù)字證書第五十六頁，共八十三頁，編輯于2023年，星期一數(shù)字證書的類型：個(gè)人數(shù)字證書僅僅為某個(gè)用戶提供憑證，一般安裝在客戶瀏覽器上，以幫助個(gè)人在網(wǎng)上進(jìn)行安全電子商務(wù)交易，如從事網(wǎng)上炒股、網(wǎng)上保險(xiǎn)、網(wǎng)上繳費(fèi)、網(wǎng)上購物、網(wǎng)上辦公、發(fā)送加密或簽名的個(gè)人電子郵件等。企業(yè)數(shù)字證書是為網(wǎng)上的某個(gè)企業(yè)Web服務(wù)器提供憑證，利用企業(yè)數(shù)字證書可以使企業(yè)在網(wǎng)上進(jìn)行安全電子交易，如開啟服務(wù)器SSL安全通道，使用戶和企業(yè)Web服務(wù)器之間的信息傳遞以加密的形式進(jìn)行；要求用戶出示個(gè)人數(shù)字證書，以防止企業(yè)Web服務(wù)器被未授權(quán)的用戶入侵。軟件數(shù)字證書是為軟件開發(fā)者提供憑證，證明該軟件的合法性。利用軟件數(shù)字證書可以在網(wǎng)上使用該軟件，同時(shí)也可提供給網(wǎng)上其他用戶使用合法軟件。六、數(shù)字證書第五十七頁，共八十三頁，編輯于2023年，星期一

數(shù)字證書的內(nèi)部格式是由CCITTX.509國際標(biāo)準(zhǔn)所規(guī)定的，它包含了以下幾點(diǎn)：

·數(shù)字證書擁有者的姓名

·數(shù)字證書擁有者的公共密鑰

·公共密鑰的有效期

·頒發(fā)數(shù)字證書的單位

·數(shù)字證書的序列號(hào)

(Serialnumber)

·頒發(fā)數(shù)字證書單位的數(shù)字簽名

六、數(shù)字證書第五十八頁，共八十三頁，編輯于2023年，星期一第五十九頁，共八十三頁，編輯于2023年，星期一2、數(shù)字證書的原理是什么數(shù)字證書采用非對(duì)稱密鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程,即只有用私有密鑰才能解密.在公開密鑰密碼體制中，常用的一種是RSA體制。

六、數(shù)字證書第六十頁，共八十三頁，編輯于2023年，星期一用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實(shí)文件。六、數(shù)字證書第六十一頁，共八十三頁，編輯于2023年，星期一七、認(rèn)證中心1、認(rèn)證中心的概念

認(rèn)證中心（CA：CertificationAuthority）是在電子商務(wù)活動(dòng)發(fā)展過程中，在因特網(wǎng)上被交易各方所公認(rèn)的，有著很高信用的虛擬“電子公證人”，它是為了確保電子交易的基本安全提供認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

第六十二頁，共八十三頁，編輯于2023年，星期一2、認(rèn)證中心所提供的服務(wù)證書發(fā)放證書更新證書撤銷證書驗(yàn)證七、認(rèn)證中心第六十三頁，共八十三頁，編輯于2023年，星期一3、認(rèn)證中心的主要任務(wù)認(rèn)證中心的核心任務(wù)是通過運(yùn)用各種安全措施在虛擬的世界中建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，它的基本任務(wù)是：第一、保證信息流在傳輸過程中不被第三方竊取、篡改和復(fù)制；第二、信息發(fā)送一方能夠通過數(shù)字證書來確認(rèn)信息接收方的身份是否合法；第三、信息發(fā)送方對(duì)于自己的發(fā)送行為和信息的內(nèi)容不可否認(rèn)。

七、認(rèn)證中心第六十四頁，共八十三頁，編輯于2023年，星期一4、認(rèn)證中心機(jī)構(gòu)的現(xiàn)狀分析

我們通過對(duì)我國現(xiàn)有認(rèn)證機(jī)構(gòu)的分析，遺憾地發(fā)現(xiàn)大部分認(rèn)證中心都缺乏權(quán)威性，因此，認(rèn)證中心也就失去了其應(yīng)該具備的地位。為了彌補(bǔ)這一缺陷，由中國人民銀行出面牽頭，組織我國12家商業(yè)銀行共同組建了中國金融認(rèn)證中心（CFCA）。該認(rèn)證中心于2000年6月29日正式掛牌并開通?？梢韵嘈牛@一認(rèn)證機(jī)構(gòu)的建立必定會(huì)進(jìn)一步推動(dòng)我國電子商務(wù)的發(fā)展。

七、認(rèn)證中心第六十五頁，共八十三頁，編輯于2023年，星期一第六十六頁，共八十三頁，編輯于2023年，星期一4、認(rèn)證中心機(jī)構(gòu)的現(xiàn)狀分析

而在國外，電子認(rèn)證中心發(fā)展極為迅速，目前在全球處于領(lǐng)導(dǎo)地位的認(rèn)證中心要屬美國的VeriSign公司創(chuàng)建的認(rèn)證中心（創(chuàng)建于1995年4月，總部在美國的加利福尼亞州）。該公司所提供的數(shù)字憑證服務(wù)已遍及全世界50個(gè)國家，接受該公司服務(wù)器數(shù)字憑證的Web站點(diǎn)服務(wù)器已超過45000個(gè)，而使用該公司個(gè)人數(shù)字憑證的用戶已超過200萬名。因此，VeriSign公司創(chuàng)建的認(rèn)證中心得到了世界各地商家普遍認(rèn)可。

七、認(rèn)證中心第六十七頁，共八十三頁，編輯于2023年，星期一第六十八頁，共八十三頁，編輯于2023年，星期一一、SSL安全技術(shù)以下是一些常見的在Internet上進(jìn)行欺騙的模式：

1、采用假的服務(wù)器來欺騙用戶的終端

2、采用假的用戶名來欺騙服務(wù)器

3、在信息的傳輸過程中截取信息

4、在Web服務(wù)器及Web用戶之間進(jìn)行雙方欺騙這些攻擊模式之所以能得逞，在于目前的傳輸層協(xié)議上沒有相應(yīng)的安全措施。SSL在這種情況下應(yīng)運(yùn)而生，由Netscape研制并實(shí)現(xiàn)，SSL（SecureSocketsLayer）的中文譯名叫安全套接層協(xié)議。

SSL協(xié)議提供了3種基本的安全服務(wù)：保密性、完整性和認(rèn)證性。6.4電子商務(wù)系統(tǒng)安全的應(yīng)用和協(xié)議第六十九頁，共八十三頁，編輯于2023年，星期一SSL協(xié)議SSL安全套接層協(xié)議適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸通過在瀏覽器軟件和WWW服務(wù)器建立一條安全通道第七十頁，共八十三頁，編輯于2023年，星期一第七十一頁，共八十三頁，編輯于2023年，星期一第七十二頁，共八十三頁，編輯于2023年，星期一ＳＳＬ的工作過程第七十三頁，共八十三頁，編輯于2023年，星期一SSL協(xié)議的缺陷

SSL協(xié)議的缺陷是只能保證傳送過程安全。SSL協(xié)議有利商家不利于客戶，因?yàn)榭蛻舻男庞每ㄐ畔⑹紫葌鞯缴碳?，商家閱讀后再傳到銀行，這樣客戶資料的安全性便受到威脅。SSL協(xié)議的運(yùn)行基點(diǎn)是商家對(duì)客戶的信息的保密和承諾，但不幸的是網(wǎng)上已經(jīng)發(fā)生過大量黑客通過商家服務(wù)器竊取信用卡號(hào)的案例。另外，該協(xié)議無法保證商家是該信用卡的特約商戶，也無法保證購買者就是該信用卡的合法擁有者。隨著電子商務(wù)的不斷發(fā)展，SSL協(xié)議作為國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全技術(shù)，其缺陷越來越多地暴露出來，并逐漸被SET協(xié)議所取代。一、SSL安全協(xié)議第七十四頁，共八十三頁，編輯于2023年，星期一二、SET安全協(xié)議

為了促進(jìn)電子商務(wù)的發(fā)展，徹底解決在線交易中商家和客戶信息的安全傳輸問題，同時(shí)為了改進(jìn)SSL安全協(xié)議不利于客戶的缺陷，全球著名的信用卡集團(tuán)Visa和Master-card聯(lián)合開發(fā)了SET電子商務(wù)交易安全協(xié)議。這是一個(gè)為了在因特網(wǎng)上進(jìn)行在線交易而設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子安全支付體系。SET克服了SSL安全協(xié)議有利于商家而不利于顧客的缺點(diǎn)，它在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來講是至關(guān)重要的。由于設(shè)計(jì)合理，SET協(xié)議得到了IBM、HP、Microsoft、Netscape等許多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。第七十五頁，共八十三頁，編輯于2023年，星期一1、SET協(xié)議所涉及的主要角色（1）持卡人或消費(fèi)者（CardHolder），包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照在線商店的要求填寫出訂貨單，使用發(fā)卡銀行發(fā)行的信用卡進(jìn)行付款。（2）發(fā)卡行（IssuingBank），即電子貨幣（如智能卡、電子現(xiàn)金、電子錢包）發(fā)行公司，以及某些兼有電子貨幣發(fā)行的銀行。根據(jù)不同品牌卡的規(guī)定和政策，保證對(duì)每一筆認(rèn)證