第4章

電子商務(wù)的安全技術(shù)4.1電子商務(wù)的安全概述安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)上黑客的破壞活動(dòng)也隨之猖撅起來。非法黑客及黑客行為已對經(jīng)濟(jì)秩序、經(jīng)濟(jì)建設(shè)、國家信息安全構(gòu)成嚴(yán)重威脅。4.1.2電子商務(wù)的安全威脅電子商務(wù)交易方電子商務(wù)交易方在網(wǎng)絡(luò)基礎(chǔ)設(shè)施上開展電子交易Internet或其他網(wǎng)絡(luò)設(shè)施31．賣方（銷售者）面臨的安全威脅（1）系統(tǒng)中心安全性被破壞（2）競爭者的威脅（3）商業(yè)機(jī)密的安全（4）假冒的威脅（5）信用的威脅2．買方（消費(fèi)者）面臨的安全威脅（1）虛假訂單（2）付款后不能收到商品（3）機(jī)密性喪失（4）拒絕服務(wù)3．黑客攻擊電子商務(wù)系統(tǒng)的手段（1）中斷（攻擊系統(tǒng)的可用性）（2）竊聽（攻擊系統(tǒng)的機(jī)密性）（3）篡改（攻擊系統(tǒng)的完整性）（4）偽造(攻擊系統(tǒng)的真實(shí)性)4.1.3電子商務(wù)的安全要求有效性機(jī)密性完整性可靠性4.2加密技術(shù)4.2.1數(shù)據(jù)加密的概念加密：將原始未經(jīng)變換的信息稱之為明文。為了保護(hù)明文，將其通過一定的方法變換成是人難以識(shí)別的一種編碼，即密文。這個(gè)變換處理的過程稱為加密。解密：密文可以經(jīng)過相應(yīng)的逆變換還原成明文，這個(gè)變換處理的過程稱為解密。密鑰：對信息進(jìn)行加密和解密通常是在原文和密文上增加或除去一些附加信息，這些附加信息就是密鑰。密鑰是由數(shù)字、字母或特殊符號組成的字符串。4.2.2加密算法對稱密碼體制又被稱為秘密密鑰，其特點(diǎn)是加密密鑰和解密密鑰相同，使用最為廣泛的是DES算法（數(shù)據(jù)加密標(biāo)準(zhǔn)算法）。非對稱密鑰密碼體制又名公開密鑰，加密時(shí)使用加密密鑰，解密時(shí)要使用不同解密密鑰，加密密鑰與解密密鑰不同，這種密碼體制的代表是RSA算法。

1、對稱加密技術(shù)明文發(fā)送方接收方明文密文密文Internet或其他網(wǎng)絡(luò)密鑰密鑰利用安全途徑傳送密鑰2、非對稱加密技術(shù)發(fā)送方明文明文密文密文Internet或其他網(wǎng)絡(luò)接收方4.3.數(shù)字簽名技術(shù)4.3.1數(shù)字簽名技術(shù)數(shù)字簽名是用幾個(gè)字符串來代替書寫簽名或印章，起到與書寫簽名或印章同樣的法律效用。國際社會(huì)應(yīng)制定相應(yīng)的法律、法規(guī)，把數(shù)字簽名作為執(zhí)法的依據(jù)。4.3.2數(shù)字時(shí)間戳技術(shù)在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記，即有數(shù)字時(shí)間戳的數(shù)字簽名方案：驗(yàn)證簽名者可以確認(rèn)簽名是來自該小組，卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名方案，只有某個(gè)指定的人員才可能驗(yàn)證簽名的真實(shí)性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗(yàn)證簽名。4.4身份認(rèn)證身份認(rèn)證是判明和確認(rèn)貿(mào)易雙方真實(shí)身份的重要環(huán)節(jié)。也是電子商務(wù)交易過程中最薄弱的環(huán)節(jié)。認(rèn)證中心或（CA）中心承擔(dān)起了在Internet上進(jìn)行工商注冊的工作，審核每個(gè)在Internet上發(fā)布公開密鑰的人的真實(shí)身份和資質(zhì)，不允許冒名頂替或欺詐。CA機(jī)構(gòu)，即證書授證中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。認(rèn)證機(jī)構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供如下認(rèn)證的功能：（1）可信性；（2）完整性；（3）不可抵賴性；（4）訪問控制。4.5防病毒技術(shù)4.5.1防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。2、防火墻的功能（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄3、防火墻的基本分類（1）包過濾防火墻（2）狀態(tài)/動(dòng)態(tài)檢測防火墻（3）應(yīng)用程序代理防火墻（4）NAT（