電子商務(wù)平安技術(shù)電子商務(wù)的平安概述信息加密技術(shù)防火墻技術(shù)認(rèn)證技術(shù)平安的電子商務(wù)交易黑客最早源自英文hacker，早期在美國(guó)的電腦界是帶有褒義的。但在媒體報(bào)導(dǎo)中，黑客一詞往往指那些“軟件駭客〞(softwarecracker)。黑客一詞，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對(duì)這些人的正確英文叫法是Cracker，有人翻譯成“駭客〞。美國(guó)的F117殘骸3.4萬美元

遺憾

美機(jī)降落時(shí)，是破壞了全部軟件數(shù)據(jù)和部份硬件自4月1日發(fā)生撞機(jī)事件以來，多個(gè)美國(guó)政府和商業(yè)網(wǎng)站遭到了中國(guó)黑客的攻擊。一張貼在被黑網(wǎng)站首頁(yè)上的帖子寫著：“黑倒美國(guó)！為我們的飛行員王偉！為了我們的中國(guó)！〞。最大的網(wǎng)絡(luò)平安隱患-電腦病毒4.1電子商務(wù)的平安概論電子商務(wù)平安問題一、電子商務(wù)平安問題威脅〔一〕客戶信息的平安威脅1．活動(dòng)頁(yè)面通過嵌套在頁(yè)面的惡意程序或者通過COOKIES等2．瀏覽器插件帶有病毒的插件〔二〕傳輸信息的平安威脅1.竊聽-竊聽風(fēng)云2.中斷3.纂改4.偽造

96年12月29日，黑客侵入美國(guó)空軍的全球網(wǎng)網(wǎng)址并將其主頁(yè)肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡(jiǎn)短的黃色錄象,迫使美國(guó)國(guó)防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址?！踩畴娮由虅?wù)效勞器的平安威脅1.系統(tǒng)平安內(nèi)部網(wǎng)絡(luò)操作系統(tǒng)的漏洞、外部非企業(yè)用戶利用系統(tǒng)漏洞攻擊系統(tǒng)、內(nèi)部用戶非法登錄效勞器、通信協(xié)議軟件缺乏平安等-運(yùn)作系統(tǒng)2.數(shù)據(jù)庫(kù)平安因?yàn)槠髽I(yè)內(nèi)部采用局域網(wǎng)，采用播送方式，信息包容易泄露-存儲(chǔ)系統(tǒng)1.保密性2.完整性3.不可抵賴性Rich

ClientBusiness

LogicDataServerODBC+SQL三、電子商務(wù)平安的需求四、電子商務(wù)平安內(nèi)容和措施計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安1．確定通信中貿(mào)易伙伴身份的真實(shí)性-電子認(rèn)證，發(fā)放證書2．保證電子單證的保密性-數(shù)字加密和解密-DES和RSA3．確定電子單證內(nèi)容的完整性-散列技術(shù)散列值，防止更改4．確定電子單證的真實(shí)性-數(shù)字簽名-公鑰5．不可抵賴性-認(rèn)證中心的證書6．存儲(chǔ)信息的平安性-防火墻，備份4.2數(shù)據(jù)加密技術(shù)一、加密理論概述信息加密技術(shù)是一種主動(dòng)的信息平安防范措施。它利用一定的加密算法，將那些要在公共通道〔如Internet〕傳輸?shù)纳虅?wù)活動(dòng)中的信息數(shù)據(jù)(稱明文)，先轉(zhuǎn)換成為無意義的密文后,再通過公共通道傳輸，使非法用戶“黑客〞在獲取通過網(wǎng)絡(luò)傳輸?shù)拿芪臅r(shí)，無法將它恢復(fù)成原文，以阻止他理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性

二、數(shù)據(jù)加密的一般原理和過程源信息加密算法E源信息解密算法D密文加密密鑰Ke解密密鑰Kd

原信息用加密算法E和加密密鑰Ke進(jìn)行加密運(yùn)算，得到密文，然后通過一定的傳輸路徑傳輸給接收端，接收端接收到密文后，利用解密算法D和解密密鑰Kd對(duì)密文進(jìn)行解密運(yùn)算，從而獲得信息明文。三、對(duì)稱密鑰加密體制對(duì)稱密鑰加密原理密鑰密碼〔對(duì)稱密鑰〕體制，就是加密密鑰和解密密鑰相同，即：Ke=Kd=K1〕替換加密法例1：Caesar〔愷撒〕密碼愷撒只是簡(jiǎn)單地把信息中的每一個(gè)字母用字母表中的該字母后的第三個(gè)字母代替。這種密碼替換通常叫做愷撒移位密碼，或簡(jiǎn)單的說，愷撒密碼。盡管這里只提到了三個(gè)位置的愷撒移位，但顯然從1到25個(gè)位置的移位我們都可以使用1、對(duì)稱密鑰加密體制常用算法

用移位加解密算法說明一個(gè)加解密的過程，明密文對(duì)照關(guān)系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點(diǎn)發(fā)動(dòng)總攻

JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要發(fā)送一個(gè)軍事命令給前線，明文為“今晚9點(diǎn)發(fā)動(dòng)總攻〞。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過程2〕數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕算法DES〔DataEncryptionStandard〕數(shù)據(jù)加密標(biāo)準(zhǔn)，是美國(guó)國(guó)家標(biāo)準(zhǔn)局用于非國(guó)家保密機(jī)關(guān)的數(shù)據(jù)保護(hù)。由IBM研發(fā)，綜合運(yùn)用了置換、替代、代數(shù)等多種密碼技術(shù)，把信息分成64位大小的塊，使用56位密鑰，迭代輪數(shù)為16輪的加密算法。2、對(duì)稱密鑰加密體制存在的問題1〕貿(mào)易雙方如何平安交換密鑰的問題。雖然對(duì)稱加密體制使加密和解密都比較快，問題是如何將密鑰傳給要保密的用戶,這個(gè)過程本錢比較高。2〕當(dāng)某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系時(shí)，如果n個(gè)人都兩兩通信，那么總密鑰數(shù)位為？四、非對(duì)稱加密體制1、非對(duì)稱加密原理也稱雙鑰密碼體制，就是加密和解密使用不同的密鑰。2、公鑰密碼體系的主要特點(diǎn)公鑰密碼體系的主要特點(diǎn)就是加密和解密使用不同的密鑰，每個(gè)用戶都有一對(duì)選定的密鑰〔所以又稱雙鑰〕，即：公鑰KP〔publickey〕是可以公開的，它可以像號(hào)碼一樣注冊(cè)公布私鑰KS〔selfkey〕是秘密的，私用的由KP不能計(jì)算出KS加密和解密分開,兩個(gè)主體行為Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs〞“明早8點(diǎn)車回廣州...〞小張使用自己的私鑰進(jìn)行解密得到明文小王使用對(duì)方的公鑰對(duì)信息明文進(jìn)行加密小王A密文“明早8點(diǎn)車回廣州...〞解密Decryption加密Encryption小張的公鑰小張的私鑰小張B公鑰密碼〔非對(duì)稱密鑰〕體制，就是加密密鑰和解密密鑰不同，即：KeKd3、具體步驟為：〔1〕信息接收端首先產(chǎn)生一對(duì)密鑰，其中一把作為私鑰保存起來，另一把作為公鑰，傳送給信息發(fā)送方；〔2〕信息發(fā)送方使用接收到的公鑰和公開密鑰加密算法對(duì)發(fā)送的信息進(jìn)行加密，產(chǎn)生密文；〔3〕密文通過網(wǎng)絡(luò)傳送到信息接收方；〔4〕信息接收方使用自己的私鑰和公開密鑰加密算法對(duì)密文進(jìn)行解密，得到信息明文。4、公開密匙加密技術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：1〕秘鑰少管理方便。網(wǎng)絡(luò)中每一用戶只需要保存自己的解密密鑰，那么N個(gè)用戶只需要N個(gè)密鑰。2〕密鑰分派簡(jiǎn)單。加密密鑰分發(fā)給給用戶，而解密密鑰那么由用戶自己保管。3〕不需要秘密通道和復(fù)雜的協(xié)議來傳送密鑰。缺點(diǎn)：加密和解密速度非常慢五、散列算法-Hash算法哈希算法如果散列一段明文而且哪怕只更改該段落的一個(gè)字母，隨后的哈希都將產(chǎn)生不同的值。要找到散列為同一個(gè)值的兩個(gè)不同的輸入，在計(jì)算上是不可能的，所以數(shù)據(jù)的哈希值可以檢驗(yàn)數(shù)據(jù)的完整性。一般用于加密算法。4.2.1防火墻的含義及分類人們經(jīng)常在建筑物之間修建一些墻壁，以便在火災(zāi)發(fā)生時(shí)，火勢(shì)不至于從一幢建筑蔓延到別一幢建筑，這些墻被稱為“防火墻〞。與此類似，我們可以在內(nèi)部網(wǎng)和Internet之間設(shè)置一堵“防火墻〞以保護(hù)內(nèi)部網(wǎng)免受外部的非法入侵。4.2防火墻技術(shù)一、防火墻的分類1、包過濾防火墻：路由器定義了一系列包過濾規(guī)那么。包過濾規(guī)那么以IP信息包為根底，對(duì)IP中的源地址、目標(biāo)地址進(jìn)行篩選，由此決定是否屏蔽信息。簡(jiǎn)單廉價(jià)、規(guī)那么復(fù)雜。2、代理效勞器：內(nèi)部網(wǎng)的用戶如果要使用因特網(wǎng)提供的效勞必須與代理效勞器(介于客戶端和Web效勞器之間的另一臺(tái)效勞器)鏈接，經(jīng)身份確認(rèn)后，再由代理效勞器負(fù)責(zé)與因特網(wǎng)連接。這樣做可以隔離內(nèi)部主機(jī)和外部主機(jī)的直接通信。而一般以上兩者經(jīng)常結(jié)合在一起使用二、防火墻的具體功能(1)隔離的風(fēng)險(xiǎn)區(qū)域-隔離風(fēng)險(xiǎn)區(qū)域與數(shù)據(jù)直接聯(lián)系(2)強(qiáng)化網(wǎng)絡(luò)平安-將所有平安軟件配置在防火墻，集中管理(3)限制訪問的內(nèi)部信息-只提供內(nèi)部人員訪問(4)監(jiān)控審計(jì)-記錄訪問數(shù)據(jù)，統(tǒng)計(jì)分析，如果可疑立即報(bào)警電子商務(wù)必須面對(duì)身份驗(yàn)證和交易不可抵賴性兩個(gè)問題。為了解決這兩個(gè)問題，必須引入一個(gè)第三方〔交易雙方都信任〕，對(duì)買賣雙方都進(jìn)行身份驗(yàn)證，使交易參與者確認(rèn)自己在與對(duì)方所說的人在交易。CA中心為用戶發(fā)放的證書是一個(gè)有該用戶公開密鑰及個(gè)人信息并經(jīng)授權(quán)中心數(shù)字簽名的文件。由于CA中心數(shù)字簽名使得黑客不能更改，所以CA就是這里的第三方。4.4認(rèn)證技術(shù)一、身份認(rèn)證身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的解決方法。在真實(shí)世界，對(duì)用戶的身份認(rèn)證根本方法可以分為：(1)

根據(jù)你所知道的信息來證明你的身份

(what

you

know

〕(2)

根據(jù)你所擁有的東西來證明你的身份

(what

you

have

〕(3)直接根據(jù)獨(dú)一無二的身體特征來證明你的身份

(who

you

are

)

，比方指紋、面貌等。在網(wǎng)絡(luò)中的用戶身份認(rèn)證方式與現(xiàn)實(shí)認(rèn)證不同1、靜態(tài)密碼-農(nóng)行2、智能卡〔IC卡〕-農(nóng)商行3、短信密碼–浦發(fā)行4、USBKEY動(dòng)態(tài)口令牌-工商行

二、數(shù)字簽名數(shù)字簽名〔又稱公鑰數(shù)字簽名、電子簽章〕是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。1〕數(shù)字簽名不是指將你的簽名掃描成數(shù)字圖像，或者用觸摸板獲取的簽名，更不是你的落款。2〕數(shù)字簽名了的文件的完整性很容易驗(yàn)證、數(shù)字簽名具有不可抵賴性。

它的主要方式是：信息發(fā)送方從文本中生成信息摘要。發(fā)送方用自己的專用私人密鑰對(duì)這個(gè)信息摘要進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后這個(gè)數(shù)字簽名將作為信息附件和信息一起發(fā)送給信息接收方。信息接收方先從接收的原始信息中計(jì)算出報(bào)文摘要，接著再用發(fā)送方的公開密鑰對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果信息相同就能夠確認(rèn)該數(shù)字簽名。三、數(shù)字信封數(shù)字信封是公鑰密碼體制在實(shí)際中的一個(gè)應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來加密信息內(nèi)容，然后將此對(duì)稱密鑰用接收方的公開密鑰來加密〔這局部稱數(shù)字信封〕之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰翻開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開加密信息。這種技術(shù)的平安性相當(dāng)高。只有對(duì)方的私鑰才能將加密后的數(shù)據(jù)(通信密鑰)復(fù)原；四、數(shù)字時(shí)間戳各種政務(wù)和商務(wù)文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。由于用戶桌面時(shí)間很容易改變，由該時(shí)間產(chǎn)生的時(shí)間戳不可信賴，因此需要一個(gè)權(quán)威第三方來提供可信賴的且不可抵賴的時(shí)間戳效勞。五、數(shù)字證書在一個(gè)電子商務(wù)系統(tǒng)中，所有參與活動(dòng)的實(shí)體都必須用證書來說明自己的身份。證書一方面可以用來向系統(tǒng)中的其它實(shí)體證明自己的身份。另一方面每份證書都攜帶著證書持有者的公鑰〔即利用一對(duì)互相匹配的密鑰進(jìn)行加密解密-自己的密鑰用來解密和簽名的〕〔一〕數(shù)字證書的類型個(gè)人、企業(yè)和效勞器三類〔二〕數(shù)字證書的應(yīng)用1、網(wǎng)上交易-證明身份不可抵賴2、平安電子郵件-用給對(duì)方公鑰加密，對(duì)方自己解密3、無紙化辦公-網(wǎng)上辦公系統(tǒng)嵌入了數(shù)字證書，實(shí)現(xiàn)平安便捷的網(wǎng)上辦公4、網(wǎng)上招標(biāo)-認(rèn)證招投標(biāo)方合法性5、政府公共事務(wù)-政府工商管理、報(bào)稅、報(bào)關(guān)業(yè)務(wù)作為數(shù)字身份標(biāo)識(shí)企業(yè)和個(gè)人6、電子金融效勞-電子銀行中作為客戶的數(shù)字身份

六、中國(guó)金融認(rèn)證中心中國(guó)金融認(rèn)證中心〔ChinaFinancialCertificationAuthority，CFCA〕于2000成立，是經(jīng)中國(guó)人民銀行和國(guó)家信息平安管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威的平安認(rèn)證機(jī)構(gòu)。CFCA在業(yè)內(nèi)擁有權(quán)威地位和較高的品牌知名度，同時(shí)，具有良好的品牌信譽(yù)度，擁有豐富的信息平安領(lǐng)域經(jīng)驗(yàn)和雄厚實(shí)力。為金融行業(yè)、電子商務(wù)、電子政務(wù)領(lǐng)域效勞，提供信息平安解決方案、信息平安產(chǎn)品研發(fā)、信息平安評(píng)估、平安技術(shù)支持等全方位的信息平安效勞。國(guó)內(nèi)絕大局部銀行〔100多家〕已經(jīng)采用了CFCA提供的第三方平安認(rèn)證。

中國(guó)金融認(rèn)證中心CFCA

4.5平安的電子商務(wù)交易一、技術(shù)的保證通過數(shù)字證書解決當(dāng)事主體身份確認(rèn)，通過數(shù)字簽名驗(yàn)證數(shù)據(jù)的真實(shí)性，通過數(shù)據(jù)加密保證信息在傳遞過程中的保密性都是很好的手段和方法針對(duì)這些技術(shù)，國(guó)內(nèi)外有許多不同的平安協(xié)議和整體解決方案。其中PKI〔公鑰體系結(jié)構(gòu)〕是國(guó)際上公認(rèn)比較成熟的電子商務(wù)平安問題完整解決方案