第六章電子商務(wù)安全技術(shù)6.1電子商務(wù)安全要求6.2交易安全技術(shù)6.3網(wǎng)絡(luò)安全技術(shù)6.1電子商務(wù)安全要求6.1.1電子商務(wù)所面臨的安全問(wèn)題6.1.2電子商務(wù)安全要求6.1.3電子商務(wù)安全內(nèi)容6.1.1電子商務(wù)所面臨的安全問(wèn)題電子商務(wù)中的安全隱患可分為如下幾類(lèi)：

1.信息的截獲和竊取2.信息的篡改3.信息假冒4.交易抵賴(lài)5.病毒與惡意代碼6.信用風(fēng)險(xiǎn)P59各種安全隱患的具體體現(xiàn)6.1.2電子商務(wù)安全要求有效性機(jī)密性完整性可用性不可抵賴(lài)性6.1.3電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全,兩者相輔相成，缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴(lài)性。電子商務(wù)安全構(gòu)架交易安全技術(shù)

安全應(yīng)用協(xié)議（SET、SSL）

安全認(rèn)證手段（數(shù)字簽名、CA體系）基本加密算法（對(duì)稱(chēng)和非對(duì)稱(chēng)密算法）安全管理體系網(wǎng)絡(luò)安全技術(shù)

病毒防范身份識(shí)別技術(shù)防火墻技術(shù)分組過(guò)濾和代理服務(wù)等法律、法規(guī)、政策6.2交易安全技術(shù)6.2.1加密技術(shù)6.2.2認(rèn)證技術(shù)6.2.1加密技術(shù)數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。

在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱(chēng)密鑰和公開(kāi)密鑰，采用何處加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)作出判斷。

明文密文加密解密原始明文1．對(duì)稱(chēng)密鑰加密體制對(duì)稱(chēng)密鑰加密，又稱(chēng)私鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。對(duì)稱(chēng)加密技術(shù)的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。明文密文加密解密原始明文密鑰2．非對(duì)稱(chēng)密鑰加密體制非對(duì)稱(chēng)密鑰加密系統(tǒng)，又稱(chēng)公鑰密鑰加密，它需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作，一個(gè)公開(kāi)發(fā)布，稱(chēng)為公開(kāi)密鑰（Public-Key）；另一個(gè)由用戶(hù)自己秘密保存，稱(chēng)為私有密鑰（Private-Key）。信息發(fā)送者用公開(kāi)密鑰去加密，而信息接收者則用私有密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱(chēng)密鑰加密慢得多。

公開(kāi)密鑰明文密文加密解密原始明文私有密鑰在Internet中使用更多的是公鑰系統(tǒng)。即公開(kāi)密鑰加密，它的加密密鑰和解密密鑰是不同的。一般對(duì)于每個(gè)用戶(hù)生成一對(duì)密鑰后，將其中一個(gè)作為公鑰公開(kāi)，另外一個(gè)則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。

下面介紹幾種最常見(jiàn)的加密體制的技術(shù)實(shí)現(xiàn)：（1）．常規(guī)密鑰密碼體制

（2）．?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)DES

（3）．公開(kāi)密鑰密碼體制（1）．常規(guī)密鑰密碼體制密碼技術(shù)是保證網(wǎng)絡(luò)、信息安全的核心技術(shù)。

加密方法有：替換加密和轉(zhuǎn)換加密

單字母加密法

例一：Caesar(愷撒)密碼例二：將字母倒排序例三：?jiǎn)伪碇脫Q密碼

多字母加密法例一：Vigenere密碼例二：轉(zhuǎn)換加密單字母加密方法

例一：Caesar(愷撒)密碼

Caesar(愷撒)密碼表明文字母abcdedghijklm密文字母defghijklmnop明文字母nopqrstuvwxyz密文字母qrstuvwxyzabc例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。單字母加密方法

例二：將字母倒排序

例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。明文字母abcdedghijklm密文字母zyxwvutsrqpon明文字母nopqrstuvwxyz密文字母mlkjihgfedcba單字母加密方法

例三：?jiǎn)伪碇脫Q密碼假設(shè)密鑰key是BEIJINGTSINGHUA(北京清華),則置換表為：明文字母abcdedghijklm密文字母BEIJNGTSHUACD明文字母nopqrstuvwxyz密文字母FKLMOPQRVWXYZ例：如果明文m為“important”，則密文C則

為“HDLKOQBFQ”。多字母加密方法

例1：Vigenere密碼

多字母加密是使用密鑰進(jìn)行加密。密鑰是一組信息（一串字符）。同一個(gè)明文經(jīng)過(guò)不同的密鑰加密后，其密文也會(huì)不同。例1：Vigenere密碼，見(jiàn)表。加密方法如下：假設(shè)明文m=m1m2m3......mn，密鑰Key=K1K2K3......Kn，對(duì)應(yīng)密文C=C1C2C3......Cn，

則：Ci=（mi+Ki）mod26，i=1，2，......n，其中，26個(gè)字母A------Z的序號(hào)對(duì)應(yīng)是0------25，Ci是密文中第i個(gè)字母的序號(hào)，mi是明文中第i個(gè)字母的序號(hào)，Ki是密鑰Key中第i個(gè)字母的序號(hào)，如果m=informationKey=STAR則C=AGFFJFAKAHNMinformationKEYSTARSTARSTACAGFFJFAKAHN多字母加密方法

例二：轉(zhuǎn)換加密法在替換加密法中，原文的順序沒(méi)被改變，而是通過(guò)各種字母映射關(guān)系把原文隱藏了起來(lái)。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。如：itcanallowstudentstogetcloseupviews將其按順序分為5個(gè)字符的字符串：

itcanallowstudentstogetcloseupviews

再將其按先列后行的順序排列，就形成了密文：密文C為“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS”如果將每一組的字母倒排，也形成一種密文：C=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV（2）．對(duì)稱(chēng)與非對(duì)稱(chēng)加密體制對(duì)比慢非常快相對(duì)速度需要數(shù)字證書(shū)及可靠第三者簡(jiǎn)單不好管理密鑰管理一個(gè)私有、一個(gè)公開(kāi)密鑰是秘密的密鑰種類(lèi)密鑰是成對(duì)的單一密鑰密鑰的數(shù)目非

對(duì)

稱(chēng)對(duì)

稱(chēng)特

性6.2.2認(rèn)證技術(shù)常用的安全認(rèn)證技術(shù)電子商務(wù)安全認(rèn)證體系常用的安全認(rèn)證技術(shù)信息認(rèn)證的目的：

（1）確認(rèn)信息的發(fā)送者的身份；

（2）驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。

與信息認(rèn)證相關(guān)的技術(shù)數(shù)字摘要數(shù)字信封數(shù)字簽名技術(shù)數(shù)字時(shí)間戳數(shù)字證書(shū)1.數(shù)字摘要數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼（數(shù)字指紋FingerPrint），并在傳輸信息時(shí)將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。數(shù)字摘要的作用：用于驗(yàn)證信息的完整性。2.數(shù)字信封數(shù)字信封是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。

在數(shù)字信封中，信息發(fā)送方采用對(duì)稱(chēng)密鑰來(lái)加密信息，然后將此對(duì)稱(chēng)密鑰用接收方的公開(kāi)密鑰來(lái)加密（這部分稱(chēng)為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后使用對(duì)稱(chēng)密鑰解開(kāi)信息。

信息用對(duì)稱(chēng)密鑰加密，然后將此對(duì)稱(chēng)密鑰采用非對(duì)稱(chēng)密鑰加密（稱(chēng)為數(shù)字信封）。3.數(shù)字簽名技術(shù)

在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，從而為電子商務(wù)提供不可否認(rèn)服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。數(shù)字簽名（DigitalSignature）的原理:

①

被發(fā)送文件用安全Hash編碼法SHA（SecureHashAlgorithm）編碼加密產(chǎn)生128bit的數(shù)字摘要；

②

發(fā)送方用自己的私用密鑰對(duì)摘要再加密，這就形成了數(shù)字簽名；

③

將原文和加密的摘要同時(shí)傳給對(duì)方；

④

對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生又一摘要；

⑤

將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對(duì)比。如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。否則不然。數(shù)字簽名與數(shù)據(jù)加密的區(qū)別發(fā)送者使用自己的私鑰明文密文加密解密原始明文明文密文加密解密原始明文數(shù)字簽名：接收者使用發(fā)送者的公鑰發(fā)送者使用接收者的公鑰接收者使用自己的私鑰數(shù)據(jù)加密：4.數(shù)字時(shí)間戳(DigitaiTime-Stamp)時(shí)間戳（DTS）是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：

①

需加時(shí)間戳的文件的摘要(digest)；②DTS收到文件的日期和時(shí)間；

③

DTS的數(shù)字簽名。

數(shù)字時(shí)戳可以在以后的某個(gè)日期里用于證明在時(shí)戳所著的時(shí)間確實(shí)有這么一個(gè)電子文件存在。

5.數(shù)字證書(shū)所謂數(shù)字證書(shū)（又稱(chēng)數(shù)字憑證），就是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份及用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。

比如，用戶(hù)可以通過(guò)瀏覽器使用證書(shū)與Web服務(wù)器建立SSL會(huì)話(huà)，使瀏覽器與服務(wù)器之間相互驗(yàn)證身份，另外也可以使用數(shù)字證書(shū)發(fā)送加密和簽名的電子郵件。電子商務(wù)安全認(rèn)證體系1.認(rèn)證中心（CA中心）認(rèn)證中心是進(jìn)行網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心的工作就是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)數(shù)字證書(shū)以及對(duì)數(shù)字證書(shū)進(jìn)行管理。