电子商务安全技术复习指导

电子商务安全技术

一、主要内容与重点

1.网络交易风险和安全管理的基本思路：如今，网络交易风险凸现，国内的犯罪分

子也将触角伸向电子商务领域。为了保证交易的安全进行，通过对网络交易风险源

分析，从技术、管理、法律等方面对网络交易安全管理进行思考，进而形成网络交

易安全管理的基本思路。

2.客户认证技术：客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别

用户身份，保证通信双方的身份的真实性；后者用于保证通信双方的不可抵赖性和

信息的完整性。为此建立认证机构，通过数字签名等技术，保证交易的安全。在此

介绍了对我国电子商务认证机构的建设的设想。

3.防止黑客入侵：介绍了黑客的概念及网络黑客常用的攻击手段，同时也介绍了一

些防范黑客攻击的主要技术手段。

4.网络交易系统的安全管理制度：本节中，我们主要针对企业的网络交易系统加以

讨论，这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。

5.电子商务交易安全的法律保障：介绍了电子合同法律制度和电子签字法律制度，

对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。

通过本章的学习，要求了解网络交易的基本思路；掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理；了解认证机构的设置及证书，以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。掌握网络交易系统的安全管理系统；了解电子商务安全的法律保障。

学习流程

二、网络交易风险和安全管理的基本思路

1．网络交易风险凸现

2．网络交易风险源分析

1．在线交易主体的市场准入问题。

2．信息风险。

3. 信用风险。

4. 网上欺诈犯罪。

5．电子合同问题。

6．电子支付问题

7．在线消费者保护问题

8．电子商务中产品交付问题

3．网络交易安全管理的基本思路

电子商务交易安全是也一个系统工程，一个完整的网络交易安全体系，至少应包括三类措施，并且三者缺一不可。一是技术方面的措施，二是管理方面的措施，三是社会的法律政策与法律保障。

三、客户认证技术

客户认证主要包括客户身份认证和客户信息认证。前者用于鉴别用户身份，保证通信双方的身份的真实性；后者用于保证通信双方的不可抵赖性和信息的完整性。

1、身份认证

1) 身份认证的目标

(1)确保交易者是交易者本人，而不是其他人。

(2)避免与超过权限的交易者进行交易。

(3)访问控制。

2）用户身份认证的基本方式

(1)用户通过某个秘密信息。

(2)用户知道的某个秘密信息，并且利用包含这一秘密信息的载体访问系统资源，包含这一秘密信息的载体应当是合法持有并能够随身携带的物理介质。

(3)用户利用自身所具有的某些生物学特征。

3）身份认证的单因素法

用户身份认证的最简单方法就是口令。

4）基于智能卡的用户身份认证

用户的二元组信息预先存于智能卡中，然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时，用户输入二元组信息。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份，若用户身份合法，再将智能卡中的随机数送给认证服务器作进一步认证。

5）一次口令机制

每次用户登录系统时口令互不相同。主要有两种实现方式。第一种采用“请求响答”方式。第二种方法采用“时钟同步”机制。

2、信息认证技术

1）信息认证的目标

可信性。

完整性。

不可抵赖性。

保密性。

2）基于私有密钥体制的信息认证

基于私有密钥（private key，私钥）体制的信息认证这种方法采用对称加密算法，即信息交换双方共同约定一个口令或一组密码，建立一个通讯双方共享的密钥。

对称加密算法在电子商务交易过程中存在三个问题：

（1）要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。

（2）密钥的数目将快速增长而变得难于管理。

对称加密算法一般不能提供信息完整性的鉴别。

3）数字签字和验证

文件的数字签字过程实际上是通过一个哈希函数（Hashing Function）来实现的发送方用自己的私有密钥对报文摘要进行加密，然后将其与原始的报文附加在一起，即合称为数字签字。数字签字机制提供一种鉴别方法，通过它能够实现对原始报文的鉴别和验证，保证报文完整性、权威性和发送者对所发报文的不可抵赖性，以解决伪造、抵赖、冒充、篡改等问题。

数字签字代表了文件的特征，文件如果发生改变，数字签字的值也将发生变化。不同的文件将得到不同的数字签字。

4）时间戳

时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要（digest）、DTS收到文件的日期和时间、DTS的数字签字三个部分。

3、通过认证机构认证

1）数字证书

数字证书作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。由可信任的、公正的权威机构CA颁发。

数字证书按照不同的分类有多种形式，如个人数字证书和单位数字证书，SSL数字证书和SET数字证书等。

数字证书由两部分组成：申请证书主体的信息和发行证书的CA签字。

2）认证机构（Certificate Authority，CA）

认证机构（CA）是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。

CA 的功能主要有：接收注册请求，处理、批准/拒绝请求，颁发证书。

3) 电子商务的CA认证体系

电子商务CA体系包括两大部分，即符合SET标准的SET CA认证体系（又叫“金融CA”体系）和基于X.509的PKI CA体系（又叫“非金融CA”体系）。

(1)SET CA

由于采用公开密钥加密算法，认证中心（CA）就成为整个系统的安全核心。

在SET中，CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。

(2)PKI CA

PKI（Public Key Infrastructure，公钥基础设施）是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。PKI是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体，它将公开密钥技术、数字证书、证书发放机构（CA）和安全策略等安全措施整合起来。

一个典型的PKI应用系统包括五个部分：密钥管理子系统（密钥管理中心）、证书受理子系统（注册系统）、证书签发子系统（签发系统）、证书发布子系统（证书发布系统）、目录服务子系统（证书查询验证系统）。

4) 证书的形验证结构