第四章电子商务安全选编

第二节 电子商务的安全技术
一、数据加密技术 (一）加密技术的基本概念
所谓加密技术，就是指采用数学方法对原始信息（通常称为“明文”）进 行再组织， 使得加密后在网络上公开传输的内容对于非法接收者来说成为无意 义的信息（加密后的信 息通常称为“密文”），而对于合法的接收者，因为其 掌握正确的密钥，可以通过解密过程 得到原始数据（即“明文”）。一条信息 的加密传递过程如图所示。由此可见，在加密 和解密过程中都要涉及信息（明 文/密文）、密钥（加密密钥/解密密钥）和算法（加密算法 /解密算法）这三项 内容。
第二节 电子商务的安全技术
(2)数字证书的申请。 不同CA类型数字证书的申请步骤略有不同，一般有下列步骤： ①下载并安装CA的根证书：为了建立数字证书的申请人与CA的信任关系， 保证申请 证书时信息传输的安全性，在申请数字证书前，客户端计算机要下载 并安装CA的根证书。 ②填交证书申请表：不需身份验证的申请表可在线填写后提交；需要个人 或单位身份 验证的，下载申请表填写后连同身份证明材料一起送达CA。 ③CA进行身份审核。 ④下载或领取证书：普通证书，可以用身份审核后得到的序列号和密码从 网上下载证 书；使用特殊介质（如IC卡）存储的证书，需要到CA领取证书。
第二节 电子商务的安全技术
二、安全认证技术 安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真
实性的必要手 段，包括数字摘要、数字签名、.数字水印、数字时间戳、数字 证书等。 （一）数字摘要
数字摘要（Digital Digest)又称信息摘要。其原理是采用单向哈希（Hash)函 数将需加 密的明文进行某种变换运算，得到固定长度的摘要码。Hash算法是 Ron Rivest发明的一种 单向加密算法，其加密结果是不能解密的。
第二节 电子商务的安全技术
(五）数字证书 1.数字证书的概念 数字证书也称为数字标识(Digital ID),它是采用公钥密码体制经证书授权中 心数字签 名的，包含公开密钥拥有者信息以及公开密钥的数据文件。它是各类 实体（持卡人/个人、 商户/企业、网关/银行等）在网上进行信息交流及商务活 动的身份证明。
交易。 有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要 用于•对软用件户（信开发息者进）行凭签证（名D，ev以elo保pe证r ID信):它息通的常不为可因特否网认中性被；下加载的密软证件书提主供凭要证用。于对用 户传送该信凭息证进用行于和加微密软，公以司保Aut征hen信tic息od的e技真术实（合性法和化完技整术）性结合的软件，以使用户
对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构。各级的认证中 心 类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级 的认 证中心直接面向最终用户。认证中心的系统结构如同一个树形验证结构。在进行交易 时， 通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任， 可逐 级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是 通过信 任层次来逐级验证的。每一个证书与数字化签发证书的实体签名证书关联。沿着信任 树一 直到一个公认的信任组织就可确认该证书是有效的。
第二节 电子商务的安全技术
非对称密钥加密技术中的最具代表性的算法是RSA算法。它从公布至今， 一直是加密算法中的主要算法之一；但在数学上还未找到最佳破译方法，安全 性也未能得到理论上的证明。它的安全性依赖于大素数分解难题。
RSA算法也有其不足：加密解密速度较慢，RSA最快时也比对称加密技术 DES慢上几 个数量级，因此，RSA更多的只是被用于加密少量数据。RSA算法 产生密钥也很麻烦。
(四）数字时间戳 在书面合同中，文件签署的日期和签名一样，均是防止文件被伪造和篡改 的关键性内 容，一般由签署人自己填写。在电子交易过程中，同样需要证明电 子文件的有效性，因此， 进行数字签名时经常包括相应的时间标记。这种时间 戳一般由认证单位的数字时间戳服务 (DTS)负责，以DTS收到文件的时间为依据。
三、电子商务的安全需求
电子商务面临的威胁导致了贸易者对电子商务安全的需求。真正实现一个
安全电子商务 系统，保证交易的安全可靠性，根本在于保护网络中的系统安全
和数据的完整性，使交易信息免受各种攻击。要使电子商务健康、顺利发展，
必须解决好以下几种关键的安全性需求。
1.保密性 3.不可抵赖性 5.可靠性
2.完整性 4.真实性 6.内部网的严密性
这样，接收方只要拥有发送方的公钥，就可以验证该信息是否确实来自发 送方。这个过程有些类似于生活中的盖私章。卜般来说，用于加密和签名模式 的两对密钥应该不一样，这 I样有利于增加安全性。
第二节 电子商务的安全技术
(四(）1)用对户称A生与成非一对个称对称加密密钥技，术该的密钥结用合来使对用要发送的信息加密，同时，该对称密钥要安
在下载软件 时能获得所需的信息。数字证书由认证中心发行。
第二节 电子商务的安全技术
3.数字证书授权中心（Certificate Authority，CA )
(1)证书授权中wk.baidu.com概述。
证书授权中心CA是采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负 责 发放、管理、废除数字证书，且具有权威性和公正性的第三方信任机构，承担公钥体系中 公钥的合法性检验的职责。它的作用就像现卖生活中颁发证件的机构。认证中心的主要功能 包括数字证书的颁发、更新、査询、作废及归档等。
全地传送给用户B。
(2)用对户称A加取用密户的B的算公法钥具对有要运传输算的速对度称快密钥的进优行点加，密而。 非对称机密安全性更好，也易 于管(3)理用户。A为把了加密提后高的效信率息和，加可密以后同的时对称采密取钥对通称过网与络非传对输称到加用户密B技。 术。
(4)用户B用自己的私钥对用户A传送过来的对称密钥进行解密，得到发送方产生的 对称
数字签名与用户的姓名及手写签名形式毫无关系，它实际上是采用了非对 称加密技术，用信息发送者的私钥变換所需传输的信息，因而不能复制，且安 全可靠。
第二节 电子商务的安全技术
(三）数字水印 由于图形、图像、视频和声音等数字信息很容易通过网络、CD进行传递与 复制，存在 非法复制、传播或篡改有版权的作品等问题，因此，能对数字产品 实施有效的版权保护及信 息保密的数字水印技术应运而生。
密密钥是配 对使用的，这两者是不一样的，并且很难从其中一个推断出另一个。 通常，将其中一个密钥 公开，称为公钥(Public Key),另一个密钥由用户自己保存， 称为私钥（Private Key),分别用于对数据的加密和解密。加密时采用公钥还是私钥， 要根据具体的应用来决定。采取非对称密钥加密和解密过程如图所示。
举例密说钥。明如下： (5)为接收了方发用送解信密息得到给的用对户称B密，钥用对户接收A和的加用密户信B息都进生行成解密一，对得自到己用的户A密发钥送对的信。息I密的 钥队
明文。
中的公钥这样是，公采开用的非，对称但加各密自算的法仅私需钥要则对由发用送的户对A称和密用钥户这B一分小别部妥分信善息保加管密。，而用采户A和 用户用8运进算行速度信快息的传对输称的加密过算程法如则下是对：大部分要传输的信息加密。
数字水印技术是通过一定的算法将数字、序列号、文字、图像标志等版权 信息嵌入到多 媒体数据中，但不影响原内容的价值和使用，并且不能被人的感 知系统觉察或注意到。在产生版权纠纷时，可通过相应的算法提取出该数字水 印，从而验证版权的归属，确保媒体 著作权人的合法利益，避免非法盗版的威 胁。
第二节 电子商务的安全技术
第二节 电子商务的安全技术
非对称密钥加密技术的使用非常广泛。根据加密时是使用公钥还是私钥，非对称 密钥加 密技术可以分为两种基本的使用模式。 (1)加密模式。
在加密模式中，加密和解密过程为： ①发送方用接收方的公钥对要发送的信息进行加密。 ②发送方将加密后的信息通过网络传送给接收方。 ③接收方用自己的私钥对接收到的加密信息进行解密，得到明文。
第二节 电子商务的安全技术
所谓信息摘要，是指从原文中通过Hash算法而得到的一个固定长度（128 位）的散列 值。不同的原文所产生的信息摘要必不相同，相同原文产生的信息 摘要必定相同，因此信息 摘要类似于人类的“指纹”，可以通过信息摘要去鉴 别原文的真伪。
整个信息摘要的过程可以描述如下： (1)对原文使用Hash算法得到数字摘要 (2)将数字摘要与原文一起发送。 (3)接收方对接收到的原文应用Hash算法产生一个摘要。 (4)用接收方产生的摘要与发送方发来的摘要进行对比，若两者相同，则表 明原文在传 输过程中没有被修改，否则就说明原文被修改过。
第一节 电子商务系统存在的安全隐患
二、电子商务系统的安全隐患
电子商务系统的安全问题不仅包括计算机系统的隐患，还包括了一些自身独有的 问题。
第一，数据的安全。
第二，交易安全问题。
一般来说，电子商务系统可能遭受的攻击有以下几种：
系统穿透
违反授权原则
植入
通信监视
通信窜扰
中断
拒绝服务
否认
病毒
第一节 电子商务系统存在的安全隐患
这样，发送方只要拥有接收方的公钥，就可以给接收方发送机密信息，这个加密 信息接 收方可以解密。
第二节 电子商务的安全技术
(2)签名模式。 在签名模式中，加密和解密过程为： ①发送方用自己的私钥对要发送的信息进行加密。 ②发送方将加密后的信息通过网络传送给接收方。 ③接收方用发送方的公钥对接收到的加密信息进行解密，得到明文。
第二节 电子商务的安全技术
(二）对称密钥加密技术 对称密钥加密技术又称私有加密技术。对称加密的算法是公开的，信息的
接收方和发送方采用相同的算法和同一个密钥。采取对称密钥加密和解密的过 程如图所示。
第二节 电子商务的安全技术
1.古典加密算法 2.现代对称密钥加密技术典型算法 DES ( Data Encryption Standard)是一种典型的“对称式”加密法，其加密与解 密的密钥及流程完全相同，区别仅仅是加密与解密使用的密钥序列的施加顺序 刚好相反。除此之外，对称加密算法还包括IDEA、AES和3DES等。
第二节 电子商务的安全技术
（二）数字签名
数字签名是指通过使用非对称加密系统和单向哈希函数来变换电子记录的 一种电子签 名，使得同时持有最初未变换电子记录和签名人公开密匙的任何人 可以准确地判断该项变换 是否是使用与签名人公开密匙相配的私人密匙制作成 的，进行变换后初始电子记录是否被改 动过。数字签名用于保证信息的完整性 和不可否认性。
证书内容包括证书申请者的名称及相关信息、申请者的公钥、签发证书的 CA的数字签 名及证书的有效期等内容。最简单的证书包含一个公开密钥、名 称以及证书授权中心的数字 签名。
第二节 电子商务的安全技术
•2.教个人字凭证证书(P的ers作ona用l 及Di分gita类l ID)：它仅仅为某一个用户提供凭证，以帮助其个人在 数网字上证进书行被安全广交泛易用操于作各。个种人电身子份交的数易字中证，书它通提常是供安了装一在种客户在端In的te浏rn览et器上内进的行身 份验证，的并方通式过，安 人全的们电可子以邮通件来过进出行示交数易字操作证。书来证明自己的身份，访问在线信息 或享•受企有业关（眼服务务器，）与凭日证（常S生erv活er中ID)的:它身通常份为证网相上似的某。个个W人eb数服务字器证提书供可凭存证，放拥于计算机 硬盘、有智W能eb卡服务、器U的盘企。业就可以用具有凭证的万维网站点（WebSite)来进行安全电子
电子商务概论
第四章 电子商务安全
第一节 电子商务系统存在的安全隐患
一、电子商务的安全问题 在电子商务交易规模日益庞大的今天，受利益的驱动，网络罪犯把电子商
务视为攻击的 “把子”。电子商务安全问题日益严重，电子商务金融成了攻击 目标，以垃圾邮件、网页恶意代码（网页挂马）和网络仿冒事件为主的网络安 全事件数量正在大幅攀升。网络罪犯通 常瞄准互联网最集中的经济交易平台攻 击，以便从网络交易领域中牟利。
对称密钥加密技术的主要优点是加密和解密速度快，加密强度高，且算法 公开。而最大| 的缺点是实现密钥的秘密分发困难，在拥有大量用户的情况下 密钥管理复杂，且无法完成身份认证等功能，不适于开放式网络环境中应用。
第二节 电子商务的安全技术
(三）非对称性密钥加密技术 非对称性密钥加密技术也称为公有密钥加密技术。它所使用的加密密钥和解