第4章 电子商务安全技术.

第三章电子商务安全技术【案例导入】互联网络中的安全事件【学习目标】1.电子商务面临的主要安全威胁2.电子商务对安全的基本要求3.电子商务常用的数据加密技术4.电子商务的认证体系5.SSL和SET的流程科学出版社《电子商务概论及实训》CNNIC调查结果（2007年1月）用户认为目前网上交易存在的最大问题是：安全性得不到保障：23.4%付款不方便：10.8%产品质量、售后服务及厂商信用得不到保障：39.3%送货不及时：8.6%价格不够诱人：10.8%网上提供的信息不可靠：6.4%其它：0.7%第一节电子商务的安全问题概述一、电子商务面临的安全问题系统中断破坏系统的有效性窃听信息破坏系统的机密性篡改信息破坏系统的完整性伪造信息破坏系统的真实性对交易行为进行抵赖要求系统具备审查能力二、电子商务对安全的基本要求（一）电子商务安全的基本要求体现在以下几个方面（1）有效性。（2）机密性。（3）数据的完整性。（4）不可抵赖性（二）电子商务安全对策（1）完善各项管理制度（2）技术对策三、常用的计算机网络安全技术（一）病毒防范技术（二）身份识别技术第二节防火墙技术一、防火墙的基本概念是指一个由软件或和硬件设备组合而成，是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。二、防火墙的技术“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”包过滤型防火墙双宿网关防火墙屏蔽主机防火墙三、防火墙的应用及局限第三节安全交易技术一、加密技术为了保证信息在网上传输过程中不被篡改，必须对所发送的信息进行加密。例如：将字母a，b，c，d，e，…x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，…，Y，Z，A，B分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。1.对称密钥加密体制对称密钥密码体系(SymmetricCryptography)又称对称密钥技术。对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于管理，需太多密钥。加密原文加了密原文原文密钥解密texttext+1-1ufyu2.非对称密钥加密体制非对称密钥密码体系(AsymmetricCryptography)也称公开密钥技术。非对称密钥技术的优点是：易于实现，使用灵活，密钥较少。弱点在于要取得较好的加密效果和强度，必须使用较长的密钥。加密原文加了密的原文原文解密公钥私钥二、安全认证技术1.数字签名采用数字签名，应该确定以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。2.数字摘要Hash编码法采用单向Hash函数将需加密的明文“摘要”成一串128位的密文，这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，MessageAuthenticatorCode），它有固定的长度，且不同的明文摘要成不同的密文，而同样的明文其摘要必定一致。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。3.数字时间戳4.数字信封经加密的密钥私人密钥B加密解密公开密钥B对称密钥对称密钥普通报文普通报文密文AB5.数字证书数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITUX.509国际标准。三、认证中心1.认证中心的功能2.认证中心的分级结构第四节安全认证协议一、安全套接层协议（SSL）SSL握手协议基本特点:能对通信双方的身份的认证；进行协商的双方的秘密是安全的；协商是可靠的。二、安全电子交易协议（SET）SET保证了商家的合法性，并且用户的信用卡号不会被窃取。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。SET可以用在系统的一部分或者全部。三、SSL协议和SET协议的对比1、用户接口不同2、处理速度不同3、安全性不同4、认证要求不同5、协议层次和功能不同四、安全超文本传输协议（S-HTTP）本章小节计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。随着电子商务的发展，电子交易手段更加多样化，安全问题会变得更加重要和突出。电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为系统工程，而不仅仅是某几个方面的技术。讨论时间