第5章电子商务安全与电子支付

第5章电子商务安全与电子支付
5.1电子商务安全概述
5.1.1电子商务安全体系1.电子商务硬件安全2.电子商务系统软件
安全3.电子商务系统运行安全4.电子商务安全立法
1.电子商务硬件安全硬件安全是指保护计算机系统硬件(包括外部设备)的安全，保证其自身的可靠性、为系统提供基本安全机制。

2.电子商
务系统软件安全软件安全是指保护软件和数据不被篡改、破坏和非法复制。

软件安全的目标是保证计算机系统逻辑上的安全，主要是使系统中信息的
存储、处理和传输满足系统安全策略的要求。

3.电子商务系统运行安全运
行安全是指保护系统能连续和正常地运行。

4.电子商务安全立法电子商务
安全立法是对电子商务犯罪的约束，它是利用国家机器，通过制定相应的
法律和法规，体现与犯罪斗争的国家意志。

5.1.2电子商务安全需求1.信息的保密性2.信息的完整性3.信息的
不可否认性4.信息的可用性5.交易身份的真实性6.系统的可靠性(1)网
络传输的可靠性(2)数据信息的可靠性
5.2电子商务网络安全技术
5.2.1网络常用攻击方法HTTP
Internet
图5-1WWW的工作方式
5.2.2网络安全技术1.防火墙技术2.VPN技术3.入侵检测技术
1.防火墙技术所谓防火墙指的是一个由软件和硬件设备组合而成、在
内部网和外部网之间、专用网与公共网之间的界面上构造的保护
屏障，是一种取得安全性方法的形象说法。

它是一种计算机硬件和软
件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入，防火墙主要由
服务访问规则、验证工具、包过滤和应用网关4个部分组成
下图是window某p操作系统中自带的软件防火墙。

利用“添加程序”和“添加端口”功能可以控制允许访问该计算机的资源。

图5-2window某p操作系统中自带的软件防火墙
2.VPN技术(1)VPN的含义VPN(virtualprivatenetwork),是虚拟专用
网的简称。

它通过运用特定安全技术在公众数据网络上建立属于自己的安
全数据隧道。

用户的数据通过公共网络中进行传输，并且通过相应的加密
和认证技术来确保用户数据在公用网络上的传输安全，从而达到电信专线
的安全效果。

由于它并不是真正建立在专线基础上，故称其为虚拟专用网。

(2)VPN网络示意图
图5-3VPN网络
(3)VPN的作用可以实现跨地域大型组织机构间的互连、流动工作站
的互连通信，利用公用网建立内部对等连接，保证数据的安全保密性，与
实际的专用网络相比，成本可以大幅度地降低，可用于移动用户的接入，
商业伙伴之间的安全连接，VPN通过数据加密、数据完整性、身份认证、
访问控制等手段实现安全连接。

(4)VPN特点可灵活利用多种公用远程通信网络：PSTN、某.25、FR、ATM、ISDN,性能价格比高，有相当的服务质量保障措施，能够提供强大的
接入控制和入侵防护，保证内部信息交换的保密性和安全性。

5.3电子商务交易安全技术
正常传输信源信宿信息传播过程简单地描述为：信源→信道→信宿。

其中，“信源”是信息的发布者，即上载者；“信宿”是信息的接收者，即最终用户；“信道”则是信息传递的通道。

在电子商务交易过程中，信息的
传递是非常重要的。

比如商品的详细信息、订单的信息、银行账号的信息等。

这些信息在利用互联网进行传递的过程中可能会被黑客进行截获和修改，这就给电子商务活动本身带来了非常大的安全隐患。

下图是信息正常传输的示意图。

正常传输信源图5-4信息正常传输信宿
下面是针对信息传递过程的四种攻击方式的示意图。

中断伪造截取修改
图7-5信息传递过程中四种攻击方式
5.3.1加密技术利用加密技术，可以将传递的信息转变为无法直接阅读的信息内容，这样可以有效地防止信息被别人截取。

1.密码学知识基础
图7-6加密与解密图示
DES(DataEncryptionStandard)算法是美
国国家标准化局于1976年颁布的。

这种加密算法被规定用于所有的公开场合或私人的保密通讯领域，后被ISO接受为国际标准。

该算法输入64bit明文，在64bit的密钥控制下，通过初始换位，再经过16层的加密变换，最后通过逆初始变换得到64bit的密文。

其加密过程可分为：加密处理、加密变换及子密钥生成。

RSA算法是另处一个优秀的公钥方案。

它是第一
个能同时用于加密和数字签名(下一节会介绍此内容)的算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受。

其缺点主要有(1)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。

(2)分组长度太大，为保证安全性，运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。