電子商務安全技術5.1.1

電子商務安全的概念密碼安全---由技術上提供強韌的密碼系統及其正確應用來實現，是通信安全的最核心部分。計算機安全---計算機數據和程序文件不至被非授權人員，計算機和程序訪問，獲取和修改，可以通過限制使用的物理范圍，利用特殊軟件和安全功能構造來實現。網絡安全---通過物理設施的保護，軟件及職員的安全防止非授權的訪問，偶發或蓄意的干擾或破壞。信息安全---保護信息免遭非授權泄密或處理能力的喪失。5.1.2

對電子商務的四類威脅中斷---不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用。竊取---指敏感數據在有意或無意中被泄漏或丟失，通常包括信息在傳輸中丟失或泄漏，信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等。更改---以非法手段竊得對數據的使用權，刪除、修改、插入信息，以取得有益于攻擊者的響應，以干擾用戶的正常使用。偽造---以非法手段竊得對數據的使用權，惡意修改數據，以假冒。5.1.3

安全設計的保密級別A,B,C,D四級密鑰長度信息擴張加密解密安全監測與管理電子商務業務系統5.1.4

電子商務安全體系結構安全平臺(操作系統,數據庫,網絡…)密碼算法(分組密碼,共鑰密碼,HASH…)認證手段(數字簽名,證書授權,MAC…)安全協議(SET,SSL,S/HTTP…)電子商務支付系統5.1.5

安全與密碼學術機構國際密碼研究協會四大洲密碼協會（亞，歐，美，澳）中國密碼研究協會（CACR）

5.2.1

加密解密方法古典加密解密方法

加密解密模型：m-明文c-密鑰k-密鑰k=k’時，為對稱密鑰k!=k’時，為不對稱密鑰

原文公鑰/私鑰加密加密原文公鑰/私鑰解密密文5.2.1

加密解密方法凱撒密碼：一一對應明文

ABCDEFGHIJKLMNOP密鑰1

defghIjklmnopqrs密鑰2

vzyabcdefghIjklm實例：CHINA密鑰1

fklqd密鑰2

yefkv5.2.1

加密解密方法換位密碼明文

COMPUTERSECURIT分組

COMPUTERSECURIT密文

CTCOEUMRRPSIUET5.2.1

加密解密方法實例明文information密文9683567303134633967383

棋盤密碼

46187520936abcdefghij3klmnopqrst

5.2.1

加密解密方法

矩陣密碼MA=CM=CA-15.2.2

加密解密方法現代加密解密算法：

單鑰加密體制（k=k’）DES(DataEncryptionStandard)

公鑰加密體制（k!=k’）RSA（三位發明者名字的首字母）5.3.1

防火墻技術Internet的安全概念保護內部資源防止外部入侵控制監督外部機器對內部資源的訪問控制監督內部機器對外部網的訪問5.3.2

防火墻技術防火墻的分類：包過濾型防火墻TCP/IP,報文類,源IP地址,目的IP地址,源端口號應用網關型防火墻telnet26端口號259,使用代理技術在內部網和外部網之間構成一個屏障5.3.2

防火墻的安全策略沒有被列為允許訪問的服務都是被禁止的；沒有被列為禁止訪問的服務都是被允許的。物理層數據鏈路層網絡層傳輸層會話層表示層應用層InternetInternet防火墻包過濾5.3.3

常用防火墻軟件SecureIISv1.24

SecureIIS是由eeye安全公司出品的一個應用級防火墻，基于CHAM技術可以保護IIS免受各種已知或未知的攻擊。

天網防火墻V2.48

天網防火墻（SkyNet-FireWall）個人版是一款由天網安全實驗室制作的給個人電腦使用。KFW網絡防火墻最新一代的網絡安全防火墻，無論在功能、效率、界面、操作方面性上都領先同類防火墻。5.4

計算機病毒概念：是一類特殊的計算機程序分類：良性-降低計算機效率,不破壞系統資源惡性—降低效率，破壞系統資源結構：引導模塊,傳染模塊,表現模快5.4

計算機病毒防止：防毒軟件(實時監控掃描),防火墻防毒卡,全平臺防毒傳播媒介：郵件,下載,磁盤,軟件,光盤等特點：傳染性,潛伏性,針對性持久性,繁殖性,破壞性5.5

操作系統的安全設計隔離控制物理---設備分配時間---分時使用加密---防止泄漏邏輯---進程透明訪問控制設備（存儲器，I/O設備）最小權限5.5

操作系統的安全設計系統測試形式化測試：程序的正確性（復雜，費時）鑒定：需求檢查，源碼檢查破壞分析：專家分析，黑客攻擊5.6.1

信息安全的熱點課題千年蟲問題：四位數表示法日期后推法5.6.2

信息安全的熱點課題數據備份軟件硬件數據隱藏生物電子安全平臺信息安全平臺電子商務平臺電子支付平臺5.6.3

信息安全的熱點課題應用系統移動通信（手機，短消息網關）CA中心網上銀行網絡郵局等5.7HTTPSSLSET定義及區別

5.7.1定義HTTP（HyperTextTransportProtocol）超文本傳輸協議。SSL（SecureSocketLayer）由Netscape公司開發的一套Internet數據安全協議，被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SET

（SecureElectronicTransactions）為了克服SSL安全協議的缺點，滿足電子交易持續不斷地增加的安全要求，VISA國際組織及其它公司如MasterCard、MicroSoft、IBM等共同制定了安全電子交易。5.7.2

SET中的安全技術數字信封---依靠系統持證消息不被泄漏，并能可靠傳送的技術。雙重簽名--將訂單信息和個人賬號信息分別進行數字簽名，確保商家和銀行均看不到對方的信息。持卡者證書---是支付卡的電子化表示，由哈希算法根據賬號生成的碼，如果知道賬號，就可以導出碼值，反之則不行。商家證書---表示可以用什么卡結算，一個商家可擁有多個卡，表示它與多個銀行有合作關系，可接受多種付款方式。5.7.2SET中的安全技術消費者在線商店收單銀行支付網關發卡銀行批準確認確認審核請求協商審核訂單確認認證中心認證認證認證5.7.2SET中的安全技術SET協議中的角色有：消費者：購買者通過計算機與商家交流，通過由發卡機構頒發的付款卡進行結算。在與商家的會話中，SET可保證消費者的個人賬號信息不被泄露。發卡機構：一個金融機構，為每一個建立了賬戶的顧客頒發付款卡。商家：提供商品或服務，使用SET可以保證消費者信息的安全。接受卡支付的商家必須和銀行有關系。銀行：在線交易的商家在銀行開立賬號，并且處理支付卡的認證和支付。支付網關：由銀行操作的，將Internet上的傳輸數據轉換為金融機構內部數據的設備，或由指派的第三方處理商家支付信息和顧客的支付指令。5.7.3三者的區別HTTP協議無任何安全設置；

SSL協議提供了客戶端認證和服務器端認證，其中以服務器端認證最為常用；

SET協議提供的安全保障更為全面，主要用在CA，持卡者，商家服務器和支付網關之間。5.7.3三者的區別

保證電子商務參與者信息的相互隔離即商家不能看到客戶的帳戶和密碼信息；保證信息在Intemet上安全傳輸，防止數據被黑客或被內部人員竊取；

解決多方認證問題，不僅要對消費者的信用卡認證，而且要求對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證；

保證了網上交易的實時性，使所有的支付過程都是在線的；規范協議和消息格式，促使不同廠家開發的軟件具有兼容性和互操作功能，可以在不同的硬件和操作系統平臺上運行。

SET獨特的安全性

安全技術數字簽名數字時間戳數字憑證消息摘要數字簽名（DigitalSignature)它能確認:（1）信息是由簽名者發送的（2）信息自簽發后到收到為止未曾做過任何修改。處理過程：（采用雙重加密）（1）使用SHA編碼將發送文件加密產生128bit的數字摘要；（2）發送方用自己的專用密鑰對摘要再加密，形成數字簽名；（3）將原文和加密的摘要同時傳給對方；

數字簽名（DigitalSignature)（4）接受方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產生同一摘要；（5）將解密后的摘要和收到的文件在接受方重新加密產生的摘要相互對比，如果兩者一致，則說明在傳送過程中信息沒有破壞和篡改。否則，則說明信息已經失去安全性和保密性。數字時間戳網絡安全中，需要對傳輸資料文件的日期和時間信息采取安全措施，可通過DTS(DigitalTime-stampService)實現，它對電子文件提供發表時間的安全保護。該服務由專門的網絡服務機構提供。組成：（1）需要加載時間戳的日期和時間；（2）DTS收到文件的日期和時間；

(3)DTS的數字簽名數字時間戳網絡安全中，需要對傳輸資料文件的日期和時間信息采取安全措施，可通過DTS(DigitalTime-stampService)實現，它對電子文件提供發表時間的安全保護。該服務由專門的網絡服務機構提供。它是一個經過加密形成的憑證文檔，組成：（1）需要加載時間戳的日期和時間；（2）DTS收到文件的日期和時間；（3）DTS的數字簽名。數字時間戳時間戳的產生過程：（1）用戶將需要加時間戳的文件用HASH編碼加密形成摘要；（2）摘要送到DTS,DTS加入該文件摘要的收到日期和時間信息后再對該文件加密，即進行數字簽名；（3）送回用戶。數字憑證數字憑證（DigitalCertificateorDigitalID)又稱為數字證書或者是數字標識，是INTERNET上使用電子手段證實用戶身份和用戶訪問網絡資源權限的一種安全防范手段。數字憑證的格式：CCITTX.509(1)憑證擁有者的姓名；（2）憑證擁有者的公共密鑰；（3）公共密鑰的有效期；（4）頒發數字憑證的單位；（5）數字憑證的序列號（SerialNumber)；(6)頒發數字憑證單位的數字簽名；數字憑證數字憑證的類型：（1）個人憑證（PersonalDigitalID)(2)企業服務器憑證（ServerID)(3)軟件開發者憑證（DeveloperID)消息摘要消息摘要是一個用來檢測消息的完整性和證明消息沒有被干擾的數值。HASH函數的基本原理是將一些數據作為輸入并生成摘要hash值，它以來輸入的內容和