1、 4.1 4.1 電子商務與網絡安全電子商務與網絡安全 4.1.14.1.1電子商務與網絡安全的現狀電子商務與網絡安全的現狀 運作在互聯網上的電子商務，每天都在進行運作在互聯網上的電子商務，每天都在進行數以百萬次計的各類交易，由于互聯網的高度開數以百萬次計的各類交易，由于互聯網的高度開放性與電子商務所要求的保密性是矛盾的，而互放性與電子商務所要求的保密性是矛盾的，而互聯網本身又沒有完整的網絡安全體制，因此基于聯網本身又沒有完整的網絡安全體制，因此基于無疑會受到嚴重威脅。無疑會受到嚴重威脅。 在電子商務的發展過程中，各產業對網絡已在電子商務的發展過程中，各產業對網絡已經出現了高度的依賴性。一旦計

2、算機網絡受到攻經出現了高度的依賴性。一旦計算機網絡受到攻擊而不能正常運作，整個社會就會陷入危機的泥擊而不能正常運作，整個社會就會陷入危機的泥沼，所以這種高度的依賴性使社會經濟變得十分沼，所以這種高度的依賴性使社會經濟變得十分“脆弱脆弱”。 4.2.1 4.2.1 計算機病毒的種類及危害計算機病毒的種類及危害 19831983年美國科學家佛雷德年美國科學家佛雷德科恩最先證實科恩最先證實電腦病毒的存在。電腦病毒的存在。 。 從從19871987年發現第一類流行電腦病毒起，年發現第一類流行電腦病毒起，病毒數每年正以病毒數每年正以4040的比率增加。一個小巧的比率增加。一個小巧的病毒程序可令一臺微型計

3、算機、一個大型的病毒程序可令一臺微型計算機、一個大型計算機系統或一個網絡系統處于癱瘓。計算機系統或一個網絡系統處于癱瘓。（1 1）蠕蟲蠕蟲 它是一種短小的程序，這個程序它是一種短小的程序，這個程序使用未定義過的處理器來自行完成運行處理使用未定義過的處理器來自行完成運行處理。它通過在網絡中連續高速地復制自己，長時它通過在網絡中連續高速地復制自己，長時間的占用系統資源，使系統因負擔過重而癱間的占用系統資源，使系統因負擔過重而癱瘓。如震蕩波、沖擊波、瘓。如震蕩波、沖擊波、尼姆達、尼姆達、惡郵差等。惡郵差等。（2 2）邏輯炸彈邏輯炸彈 這是一個由滿足某些條件這是一個由滿足某些條件（如時間、地點、特定名

4、字的出現等）時，（如時間、地點、特定名字的出現等）時，受激發而引起破壞的程序受激發而引起破壞的程序。邏輯炸彈是由編。邏輯炸彈是由編寫程序的人有意設置的，它有一個定時器，寫程序的人有意設置的，它有一個定時器，由編寫程序的人安裝，不到時間不爆炸，一由編寫程序的人安裝，不到時間不爆炸，一旦爆炸，將造成致命性的破壞。如歡樂時光，旦爆炸，將造成致命性的破壞。如歡樂時光，時間邏輯炸彈。時間邏輯炸彈。 4.2.2 4.2.2 計算機病毒的預防、檢測和清除計算機病毒的預防、檢測和清除 2 2）防火墻系統的不足之處）防火墻系統的不足之處盡管防火墻有許多防范功能，但由于互聯網的盡管防火墻有許多防范功能，但由于互聯

5、網的開放性，它也有力不能及的地方，主要表現在：開放性，它也有力不能及的地方，主要表現在：（1 1）防火墻不能防范不經由防火墻（繞過防火）防火墻不能防范不經由防火墻（繞過防火墻）或者來自內部的攻擊；墻）或者來自內部的攻擊；（2 2）防火墻不能防止感染了病毒的軟件或文件）防火墻不能防止感染了病毒的軟件或文件的傳輸；的傳輸；（3 3）防火墻不能防止數據驅動式攻擊。當有些）防火墻不能防止數據驅動式攻擊。當有些表面看來無害數據被郵寄或復制到互聯網主機上表面看來無害數據被郵寄或復制到互聯網主機上并被執行發起攻擊時，就會發生數據驅動攻擊。并被執行發起攻擊時，就會發生數據驅動攻擊。4.4.3 4.4.3 防火

6、墻的類型防火墻的類型 防火墻根據不同的標準有不同的分類。防火墻根據不同的標準有不同的分類。 如如根據其實現的形式根據其實現的形式，防火墻可以分為，防火墻可以分為 軟件防火墻軟件防火墻和和硬件防火墻硬件防火墻。 根據其防護的規模根據其防護的規模，防火墻可以分為，防火墻可以分為 個人級防火墻個人級防火墻和和企業級防火墻企業級防火墻。 根據其實現的網絡層次根據其實現的網絡層次，防火墻又可以分為，防火墻又可以分為 數據包過濾數據包過濾、應用級網關應用級網關和和 復合型復合型三種類型。三種類型。 由于由于internetinternet網電子商務系統技術使在網上購物顧客網電子商務系統技術使在網上購物顧客

7、能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。對某些敏感或有價值的數據被濫用的風險。 買方和賣方都必須保證在因特網上進行的買方和賣方都必須保證在因特網上進行的，并且要使顧客、商家和企業等交易各方，并且要使顧客、商家和企業等交易各方都都，因而，因而 因特網因特網，也就是說，必須保證，也就是說，必須保證: : 網絡安全的四大要素網絡安全的四大要素： 信息傳輸的保密性、信息傳輸的保密性、 數據交換的完整性、數據交換的完整性、 發送信息的不可否認性、發送信息的不可否認性、 交易者身份的確定性。交易者身份

8、的確定性。 4.5.1 加密技術加密技術 加密技術加密技術是實現電子商務安全的一種重要手段，目的是為了防止合法接收者之外的人獲取機密信息，防止合法接收者之外的人獲取機密信息，這就產生了一門學科這就產生了一門學科密碼學密碼學。1）密碼學概述密碼學概述 密碼學又分為兩類：密碼學又分為兩類： 密碼編碼學密碼編碼學 和和 密碼分析學。密碼分析學。 密碼編碼學：研究設計出安全的密碼體制，密碼編碼學：研究設計出安全的密碼體制， 防止被破譯；防止被破譯； 密碼分析學：研究如何破譯密文。密碼分析學：研究如何破譯密文。 4.5 電子商務安全技術電子商務安全技術4.5.1 加密技術加密技術 加密包含兩個元素：加密

9、包含兩個元素：加密算法和密鑰加密算法和密鑰。 就是用基于數學計算方法與一串就是用基于數學計算方法與一串 數字（密鑰）對普通的文本（信息）進行編碼，數字（密鑰）對普通的文本（信息）進行編碼，產生不可理解的密文的一系列步驟。產生不可理解的密文的一系列步驟。 是用來對文本進行編碼和解碼的數字。是用來對文本進行編碼和解碼的數字。 ：將這些文字（稱為明文）轉成密：將這些文字（稱為明文）轉成密文的程序稱作加密程序。文的程序稱作加密程序。 ：發送方：發送方 將消息在發送到公共網絡將消息在發送到公共網絡 或互聯網之前或互聯網之前 進行加密，接收方收到消息后對其進行加密，接收方收到消息后對其解碼或稱為解密，所用

10、的程序稱為解密程序。解碼或稱為解密，所用的程序稱為解密程序。 例如，將英文信息“this is a secret. ”加密后得到密文。解密算法則是將密文減去密鑰17，得到明文，再翻譯成對應的字母和符號。字母 a b c z 空格 , . / ： ？ 明文 01 02 03 26 27 28 29 30 31 32 密文 18 19 20 43 44 45 46 47 48 49 信息 t h i s i s a s e c r e t . 明文 20 08 09 19 27 09 19 27 01 27 19 05 03 18 05 20 29 密文 37 25 26 36 44 26 36

11、44 18 44 36 22 20 35 22 37 46 3 3）加密的分類）加密的分類 按密鑰和相關加密程序類型可把加密分為按密鑰和相關加密程序類型可把加密分為2 2類：類： 對稱加密對稱加密 和和 非對稱加密非對稱加密。（1 1）對稱加密對稱加密 它用且只用它用且只用對信息進行對信息進行 加密加密 和解密，和解密，由于加密和解密用的是同一密鑰，所以由于加密和解密用的是同一密鑰，所以 發送者發送者 和和接收者都必須知道密鑰。接收者都必須知道密鑰。 （1 1）對稱加密對稱加密 對稱加密方法對稱加密方法 對信息編碼和解碼的速度很快，對信息編碼和解碼的速度很快，效率也很高，但需要細心保存密鑰。如

12、果密鑰泄露，效率也很高，但需要細心保存密鑰。如果密鑰泄露，以前的所有信息都失去了保密性，致使以后發送者和以前的所有信息都失去了保密性，致使以后發送者和接收者進行通訊時必須使用新的密鑰。接收者進行通訊時必須使用新的密鑰。 將新密鑰發給授權雙方是很困難的，關鍵是傳輸將新密鑰發給授權雙方是很困難的，關鍵是傳輸新密碼的信息必須進行加密，這又要有另一個新密鑰。新密碼的信息必須進行加密，這又要有另一個新密鑰。 對稱加密的另一個問題是其規模無法適應互聯網對稱加密的另一個問題是其規模無法適應互聯網這類大環境的要求。想用互聯網交換保密信息的每對這類大環境的要求。想用互聯網交換保密信息的每對用戶都需要一個密鑰，這

13、時密鑰組合就會是一個天文用戶都需要一個密鑰，這時密鑰組合就會是一個天文數字。數字。 因為密鑰必須安全地分發給通信各方，所以對稱因為密鑰必須安全地分發給通信各方，所以對稱加密的主要問題就出在密鑰的分發上，包括密鑰的生加密的主要問題就出在密鑰的分發上，包括密鑰的生成、傳輸和存放。成、傳輸和存放。 （2 2）非對稱加密非對稱加密 又稱：又稱： 公開密鑰加密公開密鑰加密( (public key infrastructure， pki) )，它用兩個數學相關的密鑰對信息進行編碼。，它用兩個數學相關的密鑰對信息進行編碼。 （2 2）非對稱加密非對稱加密 （2 2）非對稱加密非對稱加密 19771977年

14、麻省理工學院的三位教授（年麻省理工學院的三位教授（rivestrivest、shamirshamir和和adlemanadleman）發明了）發明了 。他們的發明為敏感信息的交換方式帶來了新的途徑。他們的發明為敏感信息的交換方式帶來了新的途徑。 在此系統中有一對密碼，給在此系統中有一對密碼，給 別人用的就叫別人用的就叫公鑰公鑰，給自己用的就叫給自己用的就叫私鑰私鑰。這兩個可以：。這兩個可以： 互相并且只有為對方加密或解密，用公鑰加密后互相并且只有為對方加密或解密，用公鑰加密后的密文，只有私鑰能解的密文，只有私鑰能解。 表4.2 非對稱加密和解密的過程明 文 m 密 文 c 解 密 字 母 序

15、號 m3 m3（ mod 33） c7 c7（ mod 33） 字 母 a 01 1 01 1 01 a e 05 125 26 8031810176 05 e n 14 2744 05 78125 14 n s 19 6859 2819 s z 26 17576 20 128000000 26 z 是結合了對稱密鑰加密技術和非對稱是結合了對稱密鑰加密技術和非對稱加密技術優點的一種加密技術，它克服了對稱加密中加密技術優點的一種加密技術，它克服了對稱加密中密鑰分發困難和非對稱加密中加密時間長的問題，使密鑰分發困難和非對稱加密中加密時間長的問題，使用兩個層次的加密來獲得公

16、開密鑰技術的靈活性和對用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。稱密鑰技術的高效性。 數字信封技術數字信封技術工作原理是使用對稱密鑰來加密數據，工作原理是使用對稱密鑰來加密數據，然后將此對稱密鑰用接收者的公鑰加密，稱為加密數然后將此對稱密鑰用接收者的公鑰加密，稱為加密數據的據的“數字信封數字信封”，將其和加密數據一起發送給接收，將其和加密數據一起發送給接收者。接收者接收后先用自己的私鑰解密數字信封，得者。接收者接收后先用自己的私鑰解密數字信封，得到對稱密鑰，然后使用對稱密鑰解密數據。其工作原到對稱密鑰，然后使用對稱密鑰解密數據。其工作原理如圖理如圖4.34.3所示。所示

17、。圖4.3 數字信封技術 原 文密 文密 文原 文對稱密鑰發送方接受方公鑰 密鑰密文密鑰密文對稱密鑰接受方私鑰接受方 對信息進行加密只解決了電子商務安全的第一個問題，對信息進行加密只解決了電子商務安全的第一個問題，而要防止他人破壞傳輸的數據，還要確定發送信息人的而要防止他人破壞傳輸的數據，還要確定發送信息人的身份，還需要采取另外一種手段身份，還需要采取另外一種手段 。 圖4.6 ca體系示意圖 （4 4）數字證書的有效性）數字證書的有效性 只有下列條件為真時，數字證書才有效。只有下列條件為真時，數字證書才有效。 證書沒有過期證書沒有過期 所有的證書都有一個有效期，所有的證書都有一個有效期，只有

18、在有效期限以內證書才有效。只有在有效期限以內證書才有效。 密鑰沒有修改密鑰沒有修改 如果密鑰被修改，就不應該再如果密鑰被修改，就不應該再使用。密鑰對應的證書就應當收回。使用。密鑰對應的證書就應當收回。 用戶有權使用這個密鑰用戶有權使用這個密鑰 例如雇員離開了某家例如雇員離開了某家公司，雇員就不能再使用公司的密鑰，密鑰對應的證書就公司，雇員就不能再使用公司的密鑰，密鑰對應的證書就需要收回。需要收回。 證書必須不在無效證書清單中證書必須不在無效證書清單中 認證中心負責認證中心負責回收證書，發行無效證書清單。回收證書，發行無效證書清單。 6 6）中國知名的認證中心）中國知名的認證中心 近年來國內也成

19、立了一批認證中心，這里介紹幾個知名的近年來國內也成立了一批認證中心，這里介紹幾個知名的認證中心及其主要業務。認證中心及其主要業務。 中國數字認證網（中國數字認證網（） 中國金融認證中心（中國金融認證中心（） 中 國 電 子 郵 政 安 全 證 書 管 理 中 心中 國 電 子 郵 政 安 全 證 書 管 理 中 心（ / /index.htm） 北京數字證書認證中心（北京數字證書認證中心（） 廣東省電子商務認證中心（廣東省電子商務認證中心（） 上 海 市 電 子 商 務 安 全 證 書 管 理 中 心 有 限 公 司上 海 市 電 子 商 務 安 全 證 書 管 理 中 心 有 限 公 司（）

20、 海南省電子商務認證中心（海南省電子商務認證中心（） 天津天津caca認證中心（認證中心（ 山東省山東省caca認證中心（認證中心（） 1 1）數字時間戳的概念）數字時間戳的概念 在電子商務交易過程中，時間同簽名一樣是十分在電子商務交易過程中，時間同簽名一樣是十分重要的證明，與寄信用的郵戳一樣。重要的證明，與寄信用的郵戳一樣。數字時間戳服務數字時間戳服務（digital timedigital timestamp service dtssstamp service dtss）也是用來證也是用來證明消息的收發時間的。用戶首先將需要加時間戳文件明消息的收發時間的。用戶首先將需要加時間戳文件經加密后

21、形成文檔，然后將摘要發送到專門提供數字經加密后形成文檔，然后將摘要發送到專門提供數字時間戳服務的權威機構，該機構對原摘要加上時間后，時間戳服務的權威機構，該機構對原摘要加上時間后，進行電子簽名，用私鑰加密并發送給原用戶。在書面進行電子簽名，用私鑰加密并發送給原用戶。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的，合同中，文件簽署的日期和簽名一樣均是十分重要的，是防止文件被偽造和篡改的關鍵性內容。在是防止文件被偽造和篡改的關鍵性內容。在電子商務電子商務交易中應對交易文件的日期和時間信息采取安全措施，交易中應對交易文件的日期和時間信息采取安全措施，需要在經過電子簽名的交易上打上一個可信賴的時間需要在經過電子簽名的交易上打上一個可信賴的時間戳，而數字時間戳服務