第5章 電子商務(wù)安全

第5章電子商務(wù)安全技術(shù)5.1

電子商務(wù)安全概述5.2

防火墻5.3

電子商務(wù)通信安全5.4

電子商務(wù)認證技術(shù)15.1電子商務(wù)安全概述

5.1.1電子商務(wù)安全含義1.硬件安全硬件安全是指保護計算機系統(tǒng)硬件（包括外部設(shè)備）的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機制。2、軟件安全軟件安全是指保護軟件和數(shù)據(jù)不被篡改、破壞和非法復(fù)制。3、運行安全運行安全是指保護系統(tǒng)能連續(xù)和正常地運行。4、安全立法電子商務(wù)安全立法是對電子商務(wù)犯罪的約束，它是利用國家機器，通過安全立法，體現(xiàn)與犯罪斗爭的國家意志。2常見的病毒（1）蠕蟲它是一種短小的程序，它通過在網(wǎng)絡(luò)中連續(xù)高速地復(fù)制自己，長時間的占用系統(tǒng)資源，使系統(tǒng)因負擔(dān)過重而癱瘓。如震蕩波、沖擊波、尼姆達、惡郵差等。（2）邏輯炸彈這是一個由滿足某些條件（如時間、地點、特定名字的出現(xiàn)等）時，受激發(fā)而引起破壞的程序。邏輯炸彈是由編寫程序的人有意設(shè)置的，它有一個定時器，由編寫程序的人安裝，不到時間不爆炸，一旦爆炸，將造成致命性的破壞。如歡樂時光，時間邏輯炸彈。3常見的病毒（3）特洛伊木馬它是一種未經(jīng)授權(quán)的程序，它提供了一些用戶不知道的功能。當(dāng)使用者通過網(wǎng)絡(luò)引入自己的計算機后，它能將系統(tǒng)的私有信息泄露給程序的制造者，他能夠控制該系統(tǒng)。如Ortyc.Trojan木馬病毒，木馬Backdoor.Palukka，酷狼，IE梟雄，騰訊QQ木馬病毒。（4）陷阱入口陷阱入口是由程序開發(fā)者有意安排的。當(dāng)應(yīng)用程序開發(fā)完畢時，放入計算機中，實際運行后只有他自己掌握操作的秘密，使程序能正常完成某種事情，而別人則往往會進入死循環(huán)或其他歧路。45.1.2電子商務(wù)安全威脅51、信息傳輸風(fēng)險信息傳輸風(fēng)險是指進行網(wǎng)上交易時，因傳輸?shù)男畔⑹д婊蛘咝畔⒈环欠ǜ`取、篡改和丟失，而導(dǎo)致網(wǎng)上交易的不必要損失。2、信用風(fēng)險信用風(fēng)險主要來自三個方面。1.來自買方的信用風(fēng)險。對于個人消費者來說，可能在網(wǎng)絡(luò)上使用信用卡進行支付時產(chǎn)生惡意透支，或使用偽造的信用卡騙取賣方的貨物；對于集團購買者來說，存在拖延貨款的可能，賣方需要為此承擔(dān)風(fēng)險。2.來自賣方的信用風(fēng)險。賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團購買者簽訂的合同，造成買方的風(fēng)險。3.買賣雙方都存在抵賴的情況。信息傳輸風(fēng)險65.1.2電子商務(wù)安全威脅73、管理風(fēng)險網(wǎng)上交易管理風(fēng)險是指由于交易流程管理、人員管理、交易技術(shù)管理的不完善所帶來的風(fēng)險。4、法律風(fēng)險一方面，在網(wǎng)上交易可能還承擔(dān)由于法律滯后而無法保證合法交易的權(quán)益所造成的風(fēng)險。另一方面，在網(wǎng)上交易可能承擔(dān)由于法律的事后完善所帶來的風(fēng)險，即在原來法律條文沒有明確規(guī)定下進行的網(wǎng)上交易，在后來頒布新的法律條文下屬于違法經(jīng)營所造成的損失。1.有效性對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序作物、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。2.保密性電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境中的，維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。保密性一般是通過密碼技術(shù)對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。3.完整性

貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過提取信息的摘要的方式來獲得。85.1.3電子商務(wù)安全需求4.認證性在交易開始之前，買賣雙方能夠認證對方的身份，即可以識別對方的身份是真實的。認證性一般通過CA及其發(fā)放的數(shù)字證書來實現(xiàn)。5.不可抵賴性主要指交易的雙方不能否認彼此之間所進行的信息交流。發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容，收信者事后否認曾經(jīng)收到某條信息或內(nèi)容；不可抵賴性一般通過對發(fā)送的消息進行數(shù)字簽名來獲取。6.即需性即需性是防止延遲或拒絕服務(wù)，即需安全危險就在于破壞正常的計算機處理或完全拒絕服務(wù)。95.1.3電子商務(wù)安全需求山東考生徐玉玉案2016年8月21日，因被詐騙電話騙走上大學(xué)的費用9900元，傷心欲絕，郁結(jié)于心，最終導(dǎo)致心臟驟停，雖經(jīng)醫(yī)院全力搶救，但仍不幸離世。以詐騙罪判處被告人陳文輝無期徒刑，剝奪政治權(quán)利終身，并處沒收個人全部財產(chǎn)，以詐騙罪判處被告人鄭金鋒有期徒刑十五年，并處罰金人民幣六十萬元；以詐騙罪判處被告人黃進春有期徒刑十二年，并處罰金人民幣四十萬元；杜天禹非法獲取2016年山東省高考考生個人信息64萬余條，并向陳文輝出售考生信息10萬余條,非法獲取公民個人信息罪被判有期徒刑6年，并處罰金6萬元。105.2防火墻5.2.1定義：防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。

防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾、應(yīng)用網(wǎng)關(guān)組成。通過過濾不安全的服務(wù)而降低風(fēng)險，可以強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，防止內(nèi)部信息的外泄；111213正常情況下，所有互聯(lián)網(wǎng)的分組數(shù)據(jù)都應(yīng)經(jīng)過防火墻的過濾，這將造成網(wǎng)絡(luò)交通的瓶頸，例如在攻擊性分組出現(xiàn)時，攻擊者會不時寄出分組，讓防火墻疲于過濾分組，而使一些合法分組軟件，亦無法正常進出防火墻。防火墻雖然可以過濾互聯(lián)網(wǎng)的分組，但卻無法過濾內(nèi)部網(wǎng)絡(luò)的分組，因此若有人從內(nèi)部網(wǎng)絡(luò)攻擊時，防火墻是毫無用武之地的。電腦自身操作系統(tǒng)存在的系統(tǒng)漏洞，使入侵者可以利用這些系統(tǒng)漏洞來繞過防火墻的過濾，進而入侵電腦。防火墻無法有效阻擋病毒的攻擊，尤其是隱藏在數(shù)據(jù)中的病毒。145.2防火墻5.3電子商務(wù)通信安全加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）后再傳輸，到達目的地后再用相同或不同的手段還原（解密）信息。原始信息通常稱為“明文”，加密后的信息通常稱為“密文”。15加密技術(shù)包括兩個元素：算法和密鑰。算法是將明文與一串字符（密鑰）結(jié)合起來，進行加密運算后形成密文。密鑰是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語句。常用的現(xiàn)代加密技術(shù)有兩種：對稱加密和非對稱加密。165.3電子商務(wù)通信安全對稱加密技術(shù)是指發(fā)送方和接收方使用同樣密鑰的密碼體制，即文件加密和解密使用相同的密鑰。這類算法要求發(fā)送者和接收者在安全通信之前，商定一個密鑰。由于對稱算法的安全性依賴于密鑰，密鑰必須保密。175.3電子商務(wù)通信安全比較常用的對稱密鑰算法有DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES算法是一個對稱的分組加密算法。簡單的DES算法是以64位為分組進行明文輸入，在密鑰的控制下產(chǎn)生64位的密文；反之輸入64位的密文，輸出64位的明文。185.3電子商務(wù)通信安全非對稱加密技術(shù)使用的是密鑰對，即加密密鑰和解密密鑰不同。公鑰（publickey）是公開的，可以像電話簿一樣，存儲于文件中，文件保存在密鑰中心；私鑰（privatekey）由用戶自己保存，只有自己才能知道。通常用公鑰加密，私鑰解密來保證信息的機密性；用私鑰加密，公鑰解密來保證身份認證。195.3電子商務(wù)通信安全非對稱加密技術(shù)的算法使用最多的是RSA。RSA算法是1978年由美國麻省理工學(xué)院的三位學(xué)者R.L.Rivest、A.Shamir和L.Adleman設(shè)計的非對稱加密方法，算法以發(fā)明者名字的首字母來命名。它是第一個既可用于加密，也可用于數(shù)字簽名的算法。一般來說，RSA只用于少量數(shù)據(jù)加密，在互聯(lián)網(wǎng)中廣泛使用的電子郵件和文件加密軟件PGP（prettygoodprivacy）就是將RSA作為傳送會話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。205.3電子商務(wù)通信安全5.3電子商務(wù)通信安全

兩種加密技術(shù)對比21基本的加密算法

替換法22明文：今晚9點發(fā)動總攻JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ235.4電子商務(wù)認證技術(shù)24用戶的特征

用戶所擁有的

用戶所知道的

指紋虹膜DNA聲音用戶的行為身份證護照密鑰盤

密碼口令

身份認證技術(shù)（補充）1數(shù)字摘要

數(shù)字指紋

驗證文件是否被非法篡改校驗2數(shù)字信封

確保特定的收件人3數(shù)字簽名

鑒別特定的發(fā)件人4數(shù)字時間戳

電子文件發(fā)表時間的安全保護與證明

包含：1.文件摘要2.機構(gòu)收到文件的日期和時間3.數(shù)字時間戳機構(gòu)的數(shù)字簽名255.4電子商務(wù)認證技術(shù)在電子交易中，無論是時間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而是需要一個具有權(quán)威性和公正性的第三方機構(gòu)來完成。認證中心就是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)、簽發(fā)數(shù)字證書并能確認用戶身份的服務(wù)機構(gòu)。認證中心的功能（1）證書的頒發(fā)。（2）證書的更新。（3）證書的查詢。（4）證書的作廢（5）證書的歸檔。目前，我國CA認證市場主要由行業(yè)或地方政府部門建立的認證中心構(gòu)成。265.4.2證書機構(gòu)275.4.2證書機構(gòu)最高管理機構(gòu)：CFCACFCA是全國惟一的金融根認證中心，由中國人民銀行負責(zé)統(tǒng)一規(guī)劃管理。自2009年啟動戰(zhàn)略轉(zhuǎn)型以來，已逐步由單一的電子認證服務(wù)機構(gòu)轉(zhuǎn)變?yōu)榫C合的信息安全服務(wù)提供商。CFCA證書主要應(yīng)用領(lǐng)域：銀行領(lǐng)域證券領(lǐng)域基金領(lǐng)域企業(yè)集團和財務(wù)公司285.4.2證書機構(gòu)在管理分工上，中國人民銀行負責(zé)管理根認證中心CFCA，并負責(zé)審批、認證統(tǒng)一的品牌認證中心。一般脫機進行。品牌認證中心由成員銀行接受中國人民銀行的委托建設(shè)、運行和管理，建立對最終持卡人、商業(yè)用戶和支付網(wǎng)關(guān)認證證書的審批、管理和認證等工作，其中管理包括證書申請、補發(fā)、重發(fā)和注銷等內(nèi)容。295.4.2證書機構(gòu)305.4.2證書機構(gòu)5.4.3數(shù)字證書數(shù)字證書是由CA證書授權(quán)中心發(fā)行，能提供在Internet上進行身份驗證的一種權(quán)威性電子文檔，人們可以用它來證明自己在互聯(lián)網(wǎng)中的身份或識別對方的身份。數(shù)字證書包含以下內(nèi)容。（1）證書擁有者的姓名。（2）證書的版本信息。（3）證書的序列號，同一身份驗證機構(gòu)簽發(fā)的證書序列號唯一。

31（4）證書所使用的簽名算法。（5）證書發(fā)行機構(gòu)的名稱。（6）證書的有效期限。（7）證書所有人的公開密鑰。（8）證書發(fā)行者對證書的簽名325.4.3數(shù)字證書數(shù)字證書的分類從數(shù)字證書的應(yīng)用角度來看，數(shù)字證書可以分為服務(wù)器證書、電子郵件證書和客戶端證書。一般來說，用戶要攜帶有關(guān)證件到各地的證書受理點，或者直接到證書發(fā)放機構(gòu)填寫申請表并進行身份審核，審核通過后交納一定費用就可以得到裝有證書的相關(guān)介質(zhì)（U盾或Key）。用戶在需要使用證書的網(wǎng)上進行操作時，必須準(zhǔn)備好裝有證書的存儲介質(zhì)。335.4.3數(shù)字證書34支付寶數(shù)字證書5.4.3數(shù)字證書3.4.5數(shù)字證書35企業(yè)數(shù)字證書

用來表明和驗證企業(yè)用戶在網(wǎng)絡(luò)上身份的證書，它確保了企業(yè)網(wǎng)上交易和作業(yè)的安全性和可靠性。用途:1.用于安全WEB站點訪問；2.安全電子郵件：3.網(wǎng)上銀行等電子商務(wù)系統(tǒng)；4.網(wǎng)上報稅等電子政務(wù)系統(tǒng)。存儲介質(zhì)：軟盤、硬盤、IC卡、USB均可。企業(yè)高級證書--適用于企業(yè)作金額較大時的B2B網(wǎng)上交易，安全級別較高，可用于數(shù)字簽名和信息加密。企業(yè)普通證書--適用于企業(yè)用戶用于SSL、S/MIME以及建立在SSL之上的應(yīng)用，它的安全級別較低，建議用于金額較小的網(wǎng)上交易。5.4.3數(shù)字證書電子交易安全協(xié)議

1．SSL安全協(xié)議SSL（SecureSocketsLayer）安全協(xié)議最初由NetscapeCommunication公司設(shè)計開發(fā)，又稱“安全套接層協(xié)議”，是通信雙方在通信前約定使用的一種協(xié)議方法，該方法能夠在雙方計算機之間建立一個秘密信道，凡是一些不希望被他人知道的機密數(shù)據(jù)都可以通過公開的通路傳輸，不用擔(dān)心數(shù)據(jù)會被別人偷竊。37電子交易安全協(xié)議1．SSL安全協(xié)議SSL安全協(xié)議能夠?qū)CP/IP以上的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)流加密。SSL協(xié)議只負責(zé)端到端的安全連接，只保證信息傳輸過程中不被竊取、篡改，但不提供其他安全保證，因而SSL實質(zhì)上僅僅提供對瀏覽器和服務(wù)器的鑒別，不能細化到對商家和客戶的身份認證，這個缺陷會導(dǎo)致交易的假冒欺詐行為出現(xiàn)，又由于