第9章电子商务安全技术与法律制度大纲

第9章电子商务安全技术与法律制度

一、主要内容与重点

本章主要讲述以下四部分内容：

1.电子商务安全基础知识：首先介绍了电子商务七大安全要素，然后介绍了网络攻击

的九大常用方法。

2. 电子商务安全技术：首先介绍了密码技术，其中包含密码学的概念，加密和解密的示范以及加密的分类的内容。其次介绍了数字签名技术，其中包含数字签名的概念及使用方法。再次介绍了认证中心的概念，职能和基本组成部分以及中国知名的认证中心。最后简要介绍了PKI，重点讲解了电子商务安全协议。

3.计算机病毒防范措施：首先介绍了计算机病毒的基础知识，包括概念，特点，计算

机网络病毒的四种类型和组成部分。然后介绍了特洛伊木马病毒，包括木马的危害，原理，隐藏方式，防范工具和查杀方式。最后介绍了计算机网络病毒的危害与防范及防火墙。

4.电子商务法律制度：介绍了电子商务参与各方的法律关系以及国内外电子商务法律

体系的建设。

9.1引言

从案例说开去：

9.1.1六作家状告网络公司著作权侵权案

被告世纪互联通讯有限公司被六作家告上法庭未经许可将原告六作家的作品在网上传播，侵害了原告对其作品享有的使用权和获得报酬权。

9.1.2百度下载MP3侵权案

百度因MP3下载一事不断惹祸上身（中国法院网：）。

1.上海步升音乐文化传播有限公司诉百度MP3下载侵权案

上海步升音乐文化传播有限公司诉北京百度网讯科技有限公司侵犯其录音制作者权纠纷一案，2005年9月16日在北京市海淀区人民法院宣判，被告百度公司败诉，赔偿原告上海步升音乐文化传播有限公司经济损失6.8万元。

2.香港七大唱片公司诉百度MP3下载侵权案

2005年9月26日上午，百度公司在北京市第一中级人民法院再次坐上了被告席。此

次起诉百度的原告是香港七大唱片公司，他们状告百度公司未经允许在其经营的网站上对涉案的137首歌曲提供在线播放和下载服务，并为此向百度公司索赔经济损失167万元。

9.1.3震撼世界的“蠕虫”病毒案

罗伯特·莫瑞斯（Robert T·Morris, Jr.）是美国康奈尔大学（Cornell University）年仅23岁的学生，1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫（Worm）程序送进互联网，希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。

9.2电子商务安全基础知识

9.2.1电子商务安全要素

1.可靠性

2.真实性

3.机密性

4.完整性

5.有效性

6.不可抵赖性

7.内部网的严密性

9.2.2网络攻击的常用方法

由于网络的全球性、开放性、无缝性、共享性、动态性，使得任何人都可以自由地接入互联网，包括黑客（Hacker）、入侵者（Cracker）和病毒制造者会采用各种攻击手段进行破坏活动，他们常用的攻击方法主要有：1.系统穿透2.违反授权原则3.植入4.通信监听5.通信窜扰6.中断7.拒绝服务8.电子邮件轰炸9.病毒技术

9.3电子商务安全技术

9.3.1密码技术

1.密码学

密码学分为密码编码学和密码分析学。密码编码学研究设计出安全的密码体制，防止被破译，而密码分析学则研究如何破译密文。加密包含两个元素：加密算法和密钥。

2.加密和解密的示范

3.加密的分类：散列编码、对称加密和非对称加密。

9.3.2.数字签名技术

1.数字签名

数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。目前的数字签名建立在公钥加密体制基础上，是非对称加密技术的另一类应用。数字签名主要有3种应用广泛的方

法：RSA签名、DSS签名和Hash签名。

2.数字签名的使用方法

只有加入数字签名及验证（Verification）才能真正实现在公开网络上的安全传输，满足这两点的文件传输过程：

（1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。

（2）发送方选择一个对称密钥对文件加密，然后通过网络传输到接收方，最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。

（3）发送方用接收方的公钥给对称密钥加密，并通过网络把加密后的对称密钥传输到接收方。

（4）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥。

（5）接收方用对称密钥对文件进行解密，得到经过加密的数字签名。

（6）接收方用发送方的公钥对数字签名进行解密，得到数字签名的明文。

（7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。

9.3.3认证中心

1.认证中心（CA）

电子商务认证授权机构也称为电子商务认证中心（Certificate Authority，CA）。CA是提供身份证的第三方机构，由一个或多个用户信任的组织实体组成，例如，持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人要求CA对商家认证，CA对商家进行调查、验证和鉴别后，将包含商家Public Key 的证书传给持卡人。

2.认证中心的职能

认证中心基本功能：认证中心的核心职能是发放和管理用户的数字证书。用户向认证中心提出申请证书，并说明自己的身份。认证中心在验证用户身份后，向用户发放数字证书。认证中心在发放证书时要遵循一定的准则。例如，保证所发证书的序号各不相同；不同实体所申请的证书的主体内容不一致；不同主体内容的证书所包含的公开密钥各不相同。认证中心应管理其所发放的所有证书，这些管理功能包括：用户能够方便地查找各种证书，以及已经撤销的证书；能够根据用户请示或其他信息撤销用户的证书；能够根据证书的有