第三章電子商務安全學習目標1.了解電子商務安全的主要問題。2.掌握防火墻的功能與分類。3.理解VPN的虛擬專用性。4.掌握VPN的分類。5.掌握對稱加密和非對稱加密的工作原理。本章主要內容第一節電子商務安全概述第二節電子商務中的網絡安全技術第三節加密技術及其應用第四節認證與識別技術第五節電子商務安全交易標準第三節加密技術及其應用一、加密技術的原理二、對稱密鑰體制三、非對稱密鑰體制四、密鑰管理技術五、加密技術的應用一、加密技術的原理加密技術是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將原始信息（明文）轉換成無意義的或難以理解的字符串（密文），這個變換處理的過程稱之為加密。

當數據被合法接收者接收后，可通過一定的算法將密文還原為明文，這個變換處理的過程稱為解密。

加密：就是把信息轉換為不可辨識的形式的過程。

解密：將信息內容轉變為明文的過程。

明文密文密文明文加密技術加密密鑰明文密文明文密文圖3.1

加解密過程示意圖互聯網解密密鑰明文：信息未加密前的形式，即信息原始形式。密文：明文經過加密偽裝后的信息形式。加密：明文采用某種加密算法變成密文的過程，即對明文實施的變換過程。解密：密文采用某種解密算法變成明文的過程，即對密文實施的變換過程。密鑰：為了有效地控制加密和解密算法的實現，在其處理過程中要有通信雙方掌握的專門信息。與加密有關的概念：密鑰的概念加密和解密必須依賴兩個要素，這兩個要素就是算法和密鑰。算法是加密和解密的計算方法；密鑰是加密和解密所需的數字。例：采用移位加密法使移動3位后的英文字母表示原來的英文字母（凱撒加密算法）ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC此例中移位規則就是算法，移動的位數3就是密鑰。二、對稱密鑰鑰體制1、概念對稱密鑰體制制是指：加密密和解密密鑰鑰是相同的或或等價的，雙雙方使用同一一把密鑰對數數據進行加密密和解密，并并且密鑰不對對外發布，因因而也稱為私私密鑰體制。。2、私有密鑰進行行對稱加密的的過程：（1）發送方用自自己的私有密密鑰對要發送送的信息進行行加密；（2）發送方將加加密后的信息息通過網絡傳傳送給接收方方；（3）接收方用發發送方進行加加密的那把私私有密鑰對接接收到的加密密信息進行解解密，得到信信息明文。又稱秘密密鑰鑰、私有密鑰鑰，用且只用用同一個密鑰鑰對信息進行行加密和解密密。明文密文密文明文加密解密密鑰傳輸發送方接收方對稱密鑰加解解密過程示意意圖：3、對稱密鑰體制制的優缺點優點：由于加密和解解密有著共同同的算法，從從而計算速度度非常快，且且使用方便，，計算量小，，加密效率高高。3、對稱密鑰體制制的優缺點缺點：首先，是密鑰鑰的管理比較較困難，因為為交易雙方必必須持有同一一把密鑰，且且不能讓他人人知道。其次，如何把把新密鑰發送送給接收方也也是一個問題題；最后，其規模模很難適應互互聯網這樣的的大環境，因因為如果某一一交易方有幾幾個貿易伙伴伴，那他就要要維護幾把專專用密鑰，因因為每把密鑰鑰對應了一個個貿易方。結論：對稱密鑰加密密是指信息發發送方對要發發送的信息進進行加密，變變為密文，密密文通過網絡絡到達接收方方后，接收方方使用相同的的算法和密鑰鑰進行解密，，還原成明文文。它只用同一密密鑰對信息進進行加密和解解密。由于加密和解解密用的是同同一密鑰，所所以發送者和和接收者都必必須知道密鑰鑰。用對稱加密對對信息編碼和和解碼的速度度很快，效率率也很高，但但也有比較大大的局限性。。所有各方都都必須相互了了解，并且完完全信任，而而且每一方都都必須妥善保保管一份密鑰鑰。在密鑰的的交換過程中中，任何人一一旦截獲了它它，就都可用用它來讀取所所有加密消息息。三、非對稱密密鑰體制1、概念非對稱密鑰體體制也叫公鑰鑰加密技術。。在公鑰加密密系統中，加加密和解密是是相對獨立的的，加密和解解密使用兩把把不同的密鑰鑰，加密密鑰鑰(公開密鑰)向公眾公開，，誰都可以使使用，解密密鑰(秘密密鑰)只有解密人自自己知道，非法使用者者根據公開的的加密密鑰無無法推算出解解密密鑰，顧顧其可稱為公公鑰密碼體制制。2、非對稱密鑰加加密過程：發送方用接收收方的公開密密鑰對要發送送的信息進行行加密；發送方將加密密后的信息通通過網絡傳送送給接收方；；又稱公開密鑰鑰。一對密鑰鑰，給別人用用的就叫公鑰鑰，給自己用用的就叫私鑰鑰。用公鑰加加密后的密文文，只有私鑰鑰能解密。接收方公鑰明文密文接收方私鑰密文明文加密解密密鑰對傳輸發送方接收方非對稱密鑰示示意圖3、非對稱密鑰體體制的優缺點點優點：在多人之間進進行保密信息息傳輸所需的的密鑰組和數數量很小；解決了密鑰的的發布問題；；公開密鑰系統統可實現數字字簽名。缺點：密鑰產生困難難；運算速度慢。。不對稱加密系系統加解密有缺點，主要是加解解密速度很慢慢，所以它不不適合于對大大量文件信息息進行加解密密，一般只適適合于對少量量數據進行加加解密。總之，加密技技術：加密技術是電電子商務采用用的最基本的的安全技術，，是解決比如如信息的竊取取、信息的假假冒、信息的的篡改、信息息的抵賴等問問題的一種重重要手段，同同時也是簽名名技術、認證證技術的基礎礎。加密技術是指指將一個信息息（或稱明文文）經過加密密密鑰及加密密函數轉換，，變成無意義義的密文，而而接收方則將將此密文經過過解密函數、、解密密鑰還還原成明文。。攻擊者即使竊竊取到經過加加密的信息（（密文），也也無法辨識原原文。這樣能能夠有效地對對抗截收、非非法訪問、竊竊取信息等威威脅。數據加加密的過程如如圖3.1所示。四、非數學的的加密理論與與技術1、信息隱藏信息隱藏不同同于傳統的密密碼學技術，，它主要研究究如何將某一一機密信息秘秘密隱藏于另另一公開的信信息中，然后后通過公開信信息的傳輸來來傳遞機密信信息。信息隱隱藏技術的應應用舉例：數字水印技術術。24252、生物識別傳統的身份識別方法主要基于于以下兩點：：身份標識物品品：鑰匙、證證件、自動取取款機的銀行行卡等身份標識知識識：用戶名、、密碼等由于標識物品品容易丟失或或被偽造，而而標識知識容容易遺忘或記記錯，更為嚴嚴重的是，傳傳統身份識別別系統往往無無法區分標識識物品真正的的擁有者和取取得標識物品品的冒充者。。生物識別技術術是以生物技術術為基礎、以以信息技術為為手段，將生生物和信息這這兩大熱門技技術交匯融合合為一體的一一種技術。它它利用了生物物特征的惟一一性、可測量量性、可識別別性的特點。。生物特征有：：手型、指紋紋、臉型、虹虹膜、視網膜膜、脈搏、耳耳廓、DNA等行為特征有：：簽字、聲音音、按鍵力度度等原理：生物物識別系統統對生物特特征進行取取樣，提取取其唯一的的特征并且且轉化成數數字代碼，，并進一步步將這些代代碼組成特特征模板。。人們同識識別系統交交互進行身身份認證時時，識別系系統獲取其其特征并與與數據庫中中的特征模模板進行比比較，以確確定是否匹匹配，從而而決定接受受或拒絕。。目前人體特特征識別技技術市場上上占有率最最高的是指紋機和手手形機。總結：加密密技術對稱密鑰加加密(SymmetricCryptography)非對稱密鑰鑰加密(AsymmetricCryptography)加密技術一、對稱密密鑰加密技技術1、定義：加加密和解密密均采用同一把密鑰鑰，而且通信信雙方必須須都要獲得得這把鑰匙匙并保持鑰鑰匙的秘密密。這時的密鑰鑰稱為對稱稱密鑰，并并且不對外外發布，也也稱為私鑰鑰密碼。2、優點：加加密速度快快，適于大大量數據的的加密處理理。3、缺點要求通信雙雙方相互認認識，保守守密鑰。二、非對稱稱密鑰加密密體系信息加密和和解密使用用的是不同同的兩個密密鑰，稱為為“密鑰對對”。（1）兩個密鑰（2）加密密鑰不不能用來解解密（3）加密速度較較慢1、缺點2、優點（1）密鑰分配配簡單（2）不需要秘秘密的通道道和復雜的的協議來傳傳送密鑰第四節認認證與識別別技術一、證書認認證中心（（CA中心）二、數字證證書三、信用認認證四、密鑰管管理技術五、加密技技術的應用用一、證書認認證中心（（CA中心）1.何為認證中中心所謂CA(CertificateAuthority)認證中心，，它是采用用公開密鑰鑰(PublicKeyInfrastructure，PKI)基礎架構技技術，專門門提供網絡絡身份認證證服務，負負責簽發和和管理數字字證書，且且具有權威威性和公正正性的第三三方信任機機構。目前前國內的CA認證中心主主要分為區區域性CA認證中心和和行業性CA認證中心。。2.認證中心的的功能認證中心具具有以下5個方面的功功能：（1）證書的頒頒發；（2）證書的更更新；（3）證書的查查詢；（4）證書作廢廢；（5）證書的歸歸檔。38總結認證中心（（CertificationAuthority，CA）是承擔網網上安全電電子交易認認證服務、、簽發數字字證書并能能確認用戶戶身份的服服務機構。。CA是基于Internet平臺建立的的一個公正的、有有權威性的的、獨立的的、廣受信信賴的第三方組組織機構，，負責受理理數字證書書的申請、簽發數字證書、、管理數字證書，，以保證網網上業務安安全可靠地地進行。二、數字證證書1.數字證書的的定義數字證書（（DigitalCertificate或DigitalID）又稱為數數字憑證，，即用電子子手段來證證實一個用用戶的身份份和對網絡絡資源的訪訪問權限。。數字證書書是一種數數字標識，，是一個經經證書認證證中心（CA）數字簽名名的包含公公開密鑰擁擁有者信息息以及公開開密鑰的文文件。2.數字證書的的功能數字證書具具有如下5個方面的基基本功能：：（1）身份認證證；（2）保密性；；（3）數據完整整性；（4）不可抵賴賴性；（5）訪問控制制。三、信用認認證電子商務信信用認證（（電商認證證）是指由由獨立第三三方、權威威的機構，，按照獨立立、公正、、客觀的原原則，采用用科學的方方法和合理理規范的程程序，經過過行業專家家的權威論論證，從商商務信用角角度對電子子商務經營營主體進行行真實性審審查、信用用狀況評價價、信用行行為巡查等等全方面的的第三方信信用服務，，并以簡明明的符號和和數字表示示出來，給給消費者、、合作伙伴伴、交易對對象和政府府管理部門門等機構提提供重要參參考。1.信用認證的的過程：信用認證共共分為申請請提交、審審核評價和和結果發布布三個階段段。2.信用認證的的結果：信用認證結結果由信用用等級和信信用額度兩兩部分組成成。3.信用認證的的有效期：：信用網站認認證的有效效期為兩年年，信用網網店認證的的有效期為為一年。認認證機構采采用例行和和不定期巡巡查的方式式對認證結結果進行動動態核實、、修正，以以確保認證證結果的正正確性、有有效性。四、數字簽簽名（1）什么是數數字簽名DigitalSignature數字簽名是是附加在數據據單元上的的一些數據據，這種數數據的接收收者用以確確認其完整整性，并保保護數據，，防止被人人進行偽造造。實現的基礎礎加密技術（2）數字簽名的的作用：接收方可以以確認發送送方的真實實身份發送方事接收方或非法者不能偽造或篡改該報文數字簽名的的實現本質質：通過數字簽簽名可實現現身份認證證、數據的的保密性、、數據的完完整性、信信息傳輸的的不可抵賴賴性等。數字簽名基本認證技技術CA認證：保證數據據的傳輸安安全數字簽名：身份認證證并保證數數據的完整整性、預防防交易抵賴賴數字證書：身份認證證第五節電電子商務安安全交易標標準一、安全全套接層層協議SSL二、安全全電子交交易協議議SET三、Internet電子郵件件的安全全協議四、安全全的超文文本傳輸輸協議S-HTTP五、IP層安全標標準IPSec一、安全全套接層層協議SSL安全套接接層（SecureSocketslayer，SSL）協議是是網景（（Netscape）公司推推出的基基于WEB應用的安安全協議議，SSL協議指定定了一種種在應用用程序協協議（如如：Http、Telnet、NMTP和FTP等）和TCP/IP協議之間間提供數數據安全全性分層層的機制制，它為為TCP/IP連接提供供數據加加密、服服務器認認證和消消息完整整性以及及可選的的客戶機機認證，，主要用用于提高高應用程程序之間間數據的的安全性性，對傳傳送的數數據進行行加密和和隱藏，，確保數數據在傳傳送中不不被改變變，即確確保數據據的完整整性。1.SSL協議的作作用SSL采用對稱稱密碼技技術和公公開密碼碼技術相相結合，，解決了了以下幾幾個問題題：（1）雙向認認證，客客戶機和和服務器器相互識識別的過過程；（2）對通信信數據進進行加密密；（3）信息完完整性，，確保SSL業務全部部達到目目的。2.SSL協議的體體系結構構SSL協議實際際上是由由握手協協議層和和記錄協協議層組組成：SSL記錄協議議（SSLRecordProtocol）：建立立在可靠靠的傳輸輸協議（（如TCP）之上，，為高層層協議提提供數據據封裝、、壓縮、、加密等等基本功功能的支支持。SSL握手協議議（SSLHandshakeProtocol）：建立立在SSL記錄協議議之上，，用于在在實際的的數據傳傳輸開始始前，通通訊雙方方進行身身份認證證、協商商加密算算法、交交換加密密密鑰等等。應用層協議（HTTP、Telnet、FTP、SMTP等）TCP協議IP協議SSL握手協議（HandshakeProtocol）SSL記錄協議（RecordProtocol）SSL協議3.SSL安全協議議實現的的步驟（1）客戶機機通過網網絡向服服務器打打招呼，，并將本本機可支支持的安安全模塊塊告訴服服務器；；（2）服務器器回應客客戶機，，向客戶戶機發送送本機的的服務器器數字證證書、公公鑰，如如果服務務器需要要雙方認認證，還還要向對對方提出出認證請請求；（3）客戶機機用服務務器公鑰鑰加密向向服務器器發送自自己的公公鑰，根根據服務務器是否否需要認認證客戶戶身份，，發送客客戶端數數字證書書；（4）雙方根根據前面面聯絡的的情況，，確定專專門用于于本次會會話的專專用密鑰鑰；（5）雙方使使用專用用密鑰進進行會話話；（6）會話結結束雙方方交換結結束信息息。4.SSL協議的優優勢：（（1）具有一定定的安全全性，能能夠抵抗抗某些攻攻擊；（（2）具備很很強的靈靈活性，，在瀏覽覽器中大大都建有有SSL功能。5.SSL協議的缺缺陷：客客戶仍有有安全性性的顧慮慮。二、安全全電子交交易協議議SETSET協議（SecureElectronicTransaction，即安全全電子交交易）是是由VISA和MasterCard兩大信用用卡公司司于1997年5月聯合推推出的規規范，用于解決決客戶、、商家和和銀行之之間通過過信用卡卡支付的的交易安安全。SET協議采用用了RSA公—私鑰加密密系統、、數字簽簽名、數數字證書書認證等等技術，，保證了了支付信信息的保保密性、、完整性性和不可可否認性性，SET協議提供供了客戶戶、商家家和銀行行之間的的身份認認證，而而且交易易信息和和客戶信信用卡信信息相互互隔離，，即商家家只能獲獲得訂單單信息，，銀行只只能獲得得持卡人人信用卡卡的支付付信息，，雙方各各取所需需，互不不干擾，，構成了了SET協議的主主要特色色，使得得SET協議有望望成為電電子商務務的規范范。SET協協議是B2C上上基于信信用卡支支付模式式而設計計的，它它保證了了開放網網絡上使使用信用用卡進行行在線購購物的安安全。解決客戶戶、商家家和銀行行間信用用卡支付付的交易易安全MasterCard、VISA等共同制制定已成在線線交易的的電子付付款系統統的國際際規范增加了對對商家身身份的認認證1.SET協議的目目標主要要有：（1）保證信信息在Internet上的安全全傳輸；；（2）訂單信信息與個個人賬號號信息隔隔離；（3）解決多多方認證證問題；；（4）保證網網上交易易的實時時性；（5）要求軟軟件遵循循相同協協議和消消息格式式，使不不同廠家家開發的的軟件具具有兼容容性和互互操作性性，并且且可以允允許在不不同的硬硬件和操操作系統統平臺上上。2.SET協議的參與對對象SET協議規范所涉涉及的對象有有：持卡人、、發卡機構、、商家、銀行行以及支付網網關。他們在在SET協議中扮演著著不相同的角角色。（1）持卡人（Cardholder）是指由發卡卡銀行所發行行的支付卡的的授權持有者者。（2）商家（Merchant）是指出售商商品或服務的的個人或機構構。（3）支付網關關（paymentgateway）是由收單行行或指定的第第三方操作的的專用系統，，用于處理支支付授權和支支付。（4）收單銀行（（Acquirer）是為商戶建建立業務聯系系的金融機構構。（5）發卡銀行（（Issuer）是為持卡人人提供支付卡卡的金融機構構。（6）認證機構（（CertificateAuthority）按照SET交易中的角色色不同，認證證機構負責向向持卡人頒發發持卡人證書書、向商戶頒頒發商家證書書、向支付網網關頒發支付付網關證書，，利用這些證證書可以驗證證持卡人、商商戶和支付網網關的身份。。3.SET協議的交易流流程：（1）消費者利用用自己的PC機通過Internet選定所需購買買的商品，并并在計算機上上輸入訂貨單單，訂貨單包包括在線商店店、購買物品品名稱及數量量、交貨時間間及地點等信信息。（2）通過電子商商務服務器與與有關在線商商店聯系，在在線商店做出出應答，告訴訴消費者所填填訂貨單的貨貨物單價、應應付款數、交交貨方式等信信息是否正確確，是否有變變化。（3）消費者選擇擇付款方式，，確認訂單，，簽發付款指指令，此時SET開始介入。在在SET中，消費者必必須對訂單和和付款指令進進行數字簽名名，同時利用用雙重簽名技技術保證商家家看不到消費費者的賬號信信息。（4）在線商店接接受訂單，向向消費者所在在銀行請求支支付認同，信信息通過支付付網關到收單單銀行，再到到電子貨幣發發行公司確認認。批準交易易后，返回確確認信息給在在線商店。（5）在線商店發發送訂單確認認信息給消費費者，消費者者端軟件可記記錄交易日志志以備將來查查詢。（6）在線商店發發送貨物，或或提供服務，，并通知收單單銀行將錢從從消費者賬號號轉移到商店店賬號，或通通知發卡銀行行請求支付。。4.SSL與SET的比較（略））三、Internet電子郵件的安安全協議涉及電子郵件件內容的安全全問題主要有有：（1）發送者身份份認證：即如如何證明電子子郵件內容的的發送者就是是電子郵件中中所聲稱的發發送者。（2）不可否認：：即發送者一一旦發送了某某封郵件，他他就無法否認認這封郵件是是他發送的。。（3）郵件的完整整性：即能否否保證電子郵郵件的內容不不被破壞和篡篡改。（4）郵件的保