电子商务概论 第六章 电子商务安全管理

五、数字证书和CA认证 （一）数字证书 1. 什么是数字证书 数字证书就是网络通讯中标志通讯 各方身份信息的一系列数据，提供了一 种在Internet上验证您身份的方式。
2.数字证书的内容
数字证书的内容格式是CCTTTX.509国际 标准规定的，通常包括以下内容： 版本信息，用来与X.509的版本兼容； 数字证书的序列号； CA所使用的签名算法； 发行证书CA的名称； 证书的有效期限； 证书的主题名称； 被证明的公钥信息，包括公钥算法、公钥的位 字符串表示； 包含额外信息的特别扩展。
二、电子商务的安全管理思路 建立一个完整的网络交易安全体系， 至少从三个方面考虑，并且三者缺一不 可。 1. 完善各项管理制度 2. 技术对策 3. 社会的法律政策与法律保障
6.2 电子商务的安全技术
6. 2. 1 防火墙技术 一、什么是防火墙 防火墙是指设置在可信任的企业内 部网和不可信任的公共网或网络安全区 域与风险区域之间的一系列部件的组合， 它是一类防范措施的总称，是一种非常 有效的网络安全模型。

数字签名(或称电子加密)是公开密钥加密 技术的一种应用。其加密过程是： 1.被发送文件用散列算法机密产生128bit的数 字摘要； 2. 发送方用自己的私钥对摘要再加密，这就 形成了数字签名； 3. 将原文和加密的摘要同时传给对方； 4. 对方用发送方的公钥对摘要解密，同时对 收到的文件用散列算法加密产生又一摘要； 5. 将解密后的摘要和收到的文件在接收方重 新加密产生的摘要相互对比。如两者一致，则 说明传送过程中信息没有被破坏或篡改过，否 则不然。

二、防火墙的技术类型 按照防火墙对内外来往数据的处理 方法的不同，大致可以将防火墙分为两 大体系： 1. 包过滤防火墙 2. 代理服务
6.2.2 数据加密技术

所谓数据加密就是将被传输的数据 转换成表面上杂乱无章的数据，只有合 法的接收者才能恢复数据的本来面目， 而对于非法窃取者来说，转换后的数据 是读不懂的毫无意义的数据。
本 章 结 束
SEE YOU LATER
对称加密系统存在的最大问题是密 钥的分发和管理非常复杂、代价高昂。
二、非对称密钥加密技术

非对称密钥加密（公开密钥加密）技术， 非对称加密使用两个密钥：一个公共密钥PK和 一个私有密钥SK。这两个密钥在数学上是相关 的，并且不能由公钥计算出对应的私钥，同样 也不能由私钥计算出对应的公钥。
明文 加密
（b）中断 （a）正常流动
信息目的
信息源 （a）正常流动 （b）中断
信息源
信息目的 （a）正常流动
信息目的
（b）中断 （c）截取
（b）中断
（b）中断
（c）截取
（c）截取 （d）修改
（c）截取
（c）截取
（d）修改
（d）修改
（d）修改 （e）捏造
（d）修改
6. 1. 2 电子商务的安全管理要求与思路 一、电子商务的安全要求： 1. 系统的有效性 2. 授权的合法性 3. 信息的保密性 4. 信息的完整性 5. 真实性和不可抵赖性
3. 数字证书的类型：



个人证书 企业证书 软件证书
（二）认证中心
认证中心（CA）是承担网上安全电子交易 认证服务的服务机构，它能签发数字证书，并 能确认用户身份的服务机构。 认证中心的职能： 1. 证书的颁发 2. 证书的更新 3. 证书的查询 4. 证书的作废 5. 证书的归档 6. 提供密钥托管和密钥恢复服务
源自文库
三、红客联盟
6. 1 电子商务的安全问题
6. 1. 1 电子商务的安全风险类型
从整个电子商务系统着手分析，可 以将电子商务的安全问题归类为下面四 类风险： 1.信息传输风险 2.信用风险 3.管理风险 4.法律方面风险
（a）正常流动
信息传输风险
信息源 （a）正常流动 信息目的
信息源

非对称加密方式由于算法实现的复杂性导 致了其加解密的速度远低于对称加密方式。通 常被用来加密关键性的、核心的机密数据。
（三）非对称加密方式中密钥的分发与管 理
问：假设机构又6个部门，如果它们任意两 个部门之间可以进行秘密对话，需要多少 把密钥呢？
非对称加密方式下的密钥分发
想一想：
假设网络内有1000个用户，如果它们任意 两个 用户之间可以进行秘密对话，需要多 少把密钥呢？ 如果网络内有n 个用户呢？
由于用于加密的公钥是公开的， 密钥的分发和管理就很简单。
6.2.3 认证技术 一、信息认证的目的 1. 可信性 2. 完整性 3. 不可抵赖性 4. 访问控制
由A到B发送信息的加密和认证过程
认证过程 SKA 明文 PKA 密文 SKB PKB
加密过程 密文'

二、数字签名技术 数字签名与书面文件签名有相同之 处，也能确认一下两点： 1. 信息是由签名者发送的； 2. 信息自签名后到收到为止未曾 做过任何修改。
几个重要的概念
明文：没有加密的原始数据
密文：加密以后的数据
加密算法：用于加密和解密的数字函数，
一般是公开的 密钥：密钥就是一串参与加密的字符串， 算法在密钥的控制下进行操作，对应不 同的密钥，相同的算法和相同的明文可 以产生不同的密文 。密钥一般是一串数 字
简单加密示范
加密算法为：明文＋密钥
第六章 电子商务的安全管理
电子商务教研室 刘丹
6. 1 电子商务的安全问题
6. 2 电子商务的安全技术
案例一：工行网银受害者集体维权联盟
案例二： 震撼世界的“蠕虫”病毒案
罗伯特· 莫瑞斯（Robert T· Morris, Jr.）是美国康奈尔大学
（Cornell University）的学生，年仅23岁。1988年11月2日，他 在自己的计算机上，用远程命令将自己编写的蠕虫（Worm） 程序 送进互联网。 然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个 蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。于是， 小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，袭击 了庞大的互联网， “互联网事件”的确是一场灾难，但决不是象某些报刊所说的是 “计算机系统的末日”。事实上，清除病毒的工作开展得相当迅 速。11月2日星期三发现病毒，到周末，病毒已经被控制住了。 随后，美国国防部在Carnegie-Mellon大学的软件工程学院建立了 一个由100名计算机专家组成的应急小组，专门研究国防部门计算 机系统对计算机病毒攻击的防卫问题，并及时了解互联网的安全 情况。可以说，“互联网事件”为计算机安全专家敲响了警钟， 使之成为研究部门最迫切的研究课题。

三、数字时间戳 数字时间戳服务(DTS：digital timestamp service)能提供电子文件发表时间 的安全保护。数字时间戳服务（DTS） 是网上安全服务项目，由专门的机构提 供。

时间戳产生的过程是： 用户首先将需要加时间的文件用 HASH编码加密形成摘要，然后将该摘 要发送到DTS； DTS在加入了收到文件摘要的日期 和时间信息后再对该文件加密（数字签 名），然后送回用户。 注意：书面签署文件的时间是由签 署人自己写上的，数字时间则不然，它 是由认证单位DTS来加的，以DTS收到 文件的时间为依据。
（二）对称加密方式的速度

算法的实现速度极快，比较适合于加密数 据量大的文件内容。
（三）对称加密方式中密钥的分发与管理
问：假设网络内有6个用户，如果它们任意 两个用户之间可以进行秘密对话，需要多 少把密钥呢？
6个用户的网络其对称密钥的分发情况
想一想：
假设网络内有1000个用户，如果它们任意两个 用户之间可以进行秘密对话，需要多少把密钥 呢？ 如果网络内有n 个用户呢？

在密码学中根据密钥使用方式的不 同一般分为两种不同的密码体系：
对称密钥加密技术
非对称密钥加密技术
一、对称密钥加密技术
概念：对称密钥加密技术利用一个密钥
对数据进行加密，对方接收到数据后要 用同一密钥来进行解密。
密文 加密 解密
明文
明文
加密解密密钥
（一）对称密钥密码体系的安全性
这种加密方式的安全性主要依赖于以下两个 因素： 第一，加密算法必须是足够强的，即仅仅 基于密文本身去解密在实践上是不可能做到的； 第二，加密的安全性依赖于密钥的秘密性， 而不是算法的秘密性。
密钥为：17
字 a b c … z 空 ， 。 、 ： ？ 母 明 01 02 03 … 26 27 28 29 30 31 32 文 密 18 19 20 … 43 44 45 46 47 48 49 文
例如，将英文“secret”加密
信息： s e c r e t 明文：19 05 03 18 05 20 密文：36 22 20 35 22 37
密文
解密
明文
加密密钥
解密密钥
（一）非对称密钥密码体系的安全性
第一，非对称加密方式的算法一般都是基于尖
端的数学难题，计算非常复杂，它的安全性比 对称加密方式的安全性更高。 第二，这种加密方式的安全性主要依赖于私钥 的秘密性，公钥本来就是公开的，任何人都可 以通过公开途径得到别人的公钥。
（二）非对称加密方式的速度
数字时间戳示意图
四、数字信封技术

数字信封是数据加密技术的应用，信息发 送端先用对称加密方法对明文加密，然后用接 收端的公钥，将加密用的对称密钥加密以后形 成数字信封传送到接收端，接收端用其私钥打 开信封，取得该对称密钥，然后用它来解开传 送来的信息。 数字信封技术，就是对称密钥和公开密钥 的结合的技术，从而既有公开密钥技术的灵活 性，又有对称密钥技术的高效性。