第七章 电子商务的安全

第七章电子商务的安全

１

第二节电子商务安全技术

一、加密技术

加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地

后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加

密后的信息通常称为“密文”。

加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）

结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换

为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。

由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加

密密钥、解密密钥）和算法（加密算法、解密算法）这3项内容。

常用的现代加密体制有两种：对称加密体

制和非对称加密体制。

（一）对称加密体制

1．对称加密体制的工作过程

图7.1 对称加密体制的工作过程

2．对称加密体制的优点与缺点

对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优

点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生

大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以

共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实

现数字签名和身份验证；

3．对称加密体制的算法

目前，比较常用的对称密钥算法有DES（data encryption standard，数

据加密标准）。DES算法是一个对称的分组加密算法。

（二）非对称加密体制

２

1．非对称加密体制的工作过程

图7.2 非对称加密体制的工作过程

2．非对称加密体制的优点与缺点

非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。

3．非对称加密体制的算法

目前，非对称加密体制的算法使用最多的是RSA。RSA是1978年由

R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。

一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（pretty good privacy）就是将RSA作为传送会话密钥和数字签名的标准算法。

（三）对称加密体系与非对称加密体系的对比

表7.1 对称加密体系和非对称加密体系的对比

比较项目对称加密体

制

非对称加密体制代表算法DES RSA

密钥数目单一密

钥密钥是成对的

密钥种类密钥是

秘密的一个私有，一

个公开

３

４

图7.3 数字签名原理示意图

3．数字时间戳

三、安全协议

（一）传输层安全协议—SSL

SSL将对称密码技术和公开密码技术相结

合，可以实现如下3个通信目标：秘密性、

完整性、认证性。

图7.4 支持SSL协议的锁形安全标志

（二）应用层安全协议—SET

图7.5 SET协议的交易流程

（三）SSL协议与SET协议的比较

表7.2 SSL协议和SET协议的对比

对比SSL协议SEL协议

５

６

７

图7.6 中国数字认证网的数字证书

2．数字证书的分类

从数字证书的应用角度来看，数字证书可

以分为以下几种：服务器证书、电子邮件证

书、客户端证书。

3．数字证书的应用

二、风险制度管理

电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的

电子商务风险，尽力避免电子商务风险给企业造成的经济损失、商业干扰以及

商业信誉丧失等，以确保企业电子商务的顺利进行。

三、法律制度管理

2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国

电子签名法》。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重

要步骤。该法被认为是中国首部真正电子商务法意义上的立法。

2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过

《电子认证服务管理办法》，自2005年4月1日起施行。

2009年4月，央行、银监会、公安部和国家工商总局联合发布《关于加

８

强银行卡安全管理预防和打击银行卡犯罪的通知》，国家监管部门开始真正着

手加强第三方支付企业的监管。

2010年6月1日国家工商总局出台的《网络商品交易及有关服务行为管

理暂行办法》明确规定，通过网络从事商品交易及有关服务行为的自然人，应

提交其姓名和地址等真实身份信息。

2010年6月21日中国人民银行出台了《非金融机构支付服务管理办法》，

要求第三方支付公司必须在2011年9月1日前申请取得《支付业务许可证》，

且全国性公司注册资本最低为1亿元。该《办法》的出台意在规范当前发展迅

猛的第三方支付行业。

四、安全提示

针对个人用户常用的Windows操作系统，

对用户日常操作予以提示。

（1）必须安装防火墙和杀毒软件。

（2）创造一个伪造的、无实际权利的管

理员（Administrator）用户。

（3）禁止所有磁盘自动运行。

（4）不双击U盘。

（5）经常检查开机启动项。

（6）经常备份重要数据。

（7）隐私文件要加密。

（8）使用复杂的密码。

（9）不要随便接收文件。

归纳与提高

通过本章的学习，使我们明白在计算机互联网络上实现的电子商务交易必

须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。

９