对称密钥加密算法的代表是数据加密标准 DES（Data Encryption Standard和国际 数据加密算法（1DEA）。
10
1．DES加密算法
DES是一种数据分组的加密算法，它将 数据分成长度为64位的数据块，其中8位 作为奇偶校验，有效的密码长度为56位。
11
2．对称密码体制的特点
图4-1 电子商务安全交易体系结构
5
1.3 电子商务的安全威胁
（一）网络系统的安全威胁：
1. 身份窃取：指用户的身份在通信时被他人非法截取。 2. 非授权访问：指对网络设备及信息资源进行非正常使用或越权使用等。 3. 冒充合法用户：主要指利用各种假冒或欺骗的手段非法获得合法用户的使
用权限，以达到占用合法用户资源的目的。 4. 数据窃取：指非法用户截取通信网络中的某些重要信息。 5.数据流分析：指分析通信线路中的信息流向、流量和流速等，从中获得有用
16
2.3 数字签名
（一）消息摘要 消息摘要（Message Digest）又叫数字摘要，它 是由单向散列函数将输入“摘要”成一串固定长度 （如128位）的散列值作为输出，主要用于保护数 据的完整性，也称之为数字指纹（Digital Fingerprinting）。根据所用的散列函数（也称 HASH函数、哈希函数）生成的散列值有固定的长 度。
14
2．公开密钥密码体制的特点
（1）密钥分配简单。 （2）密钥的保存量少。 （3）可以满足互不相识的人之间进行私人
谈话时的保密性要求。 （4）可以完成数字签名和数字鉴别。发信
人使用只有自己知道的密钥进行签名，收信 人利用公开密钥进行检查，既方便又安全。
15
3．RSA的缺点
（1）产生密钥很麻烦。 （2）安全性。 （3）速度太慢。
现在黑客一词已被用于泛指那些专门利用电脑网络 搞破坏或恶作剧的家伙。即指那些利用系统安全漏 洞对网络进行攻击破坏或偷阅、篡改或窃取他人机 密数据资料，甚至在电脑网络上进行犯罪活动的人， 或者是指利用通信软件，通过网络非法进入他人系 统，截获或篡改他人计算机数据，危害信息安全的 电脑入侵者。
3

1.2 电子商务安全需求
第四章 电子商务安全
1.电子商务安全概述 2.电子商务安全技术 3.电子商务安全协议 4.电子商务安全策略和管理
1
1.电子商务安全概述
1.1 电子商务安全现状 1.2 电子商务安全需求 1.3 电子商务的安全威胁
2
1.1 电子商务安全现状
“黑客”是Hacker的音译，原指热心于计算机技术， 水平高超的电脑专家，尤其是程序设计人员。
4．恶意破坏：由于攻击者可以接入网络，则可能对网络中的信息进行修 改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。
5．电子货币丢失：可能是物理破坏，或者被偷窃，通常会给用户带来不 可挽回的损失。
6．非法存取：指未经授权者进入计算机系统中存取数据的情形，或合法 授权者另有其他目的地使用系统。
电子商务是基于计算机网络之上的，要确保电子商 务交易的安全，在电子商务的应用过程中要满足以 下六个方面的需求：
（一）信息的保密性 （二）信息的完整性 （三）信息的有效性 （四）信息的不可否认性 （五）交易身份的真实性 （六）系统的可靠性
4
电子商务业务系统 电子支付系统 电子商务安全应用层协议 SET、SSL、SHTP…… 电子商务安全认证技术 数字摘要、数字签名、数字信封CA…… 安全数据传输技术 对称密码体制、公开密码体制……
8
2.1 加密技术
加密技术是一种主动的信息安全防范措施， 其原理是利用一定的加密算法，将明文转换 成为无意义的密文，阻止非法用户获取和理 解原始数据，从而确保数据的保密性。
加密、解密、密钥、加密算法概念。
9
2.2 加密体制
（一）对称密钥加密体制 是指在对信息的加密和解密过程中使用相同 的密钥。或者，加密和解密的密钥虽然不同， 但可以由其中一个推导出另一个。
7．欺诈：攻击者伪造数据或通信程序以窃取机密信息，例如，安装伪造 的服务器系统以欺骗使用者主动泄露机密。
8．拒绝服务：攻击者造成合法使用者存取信息时被拒绝的情况。 9．否认：交易双方之一方在交易后，否认该交易曾经发生，或曾授权进
行此交易的事实。
7
2.电子商务安全技术
2.1 加密技术 2.2 加密体制 2.3 数字签名 2.4 数字时间戳技术 2.5 PKI 2.6 数字证书 2.7 防火墙
公开密钥加密方法的典型代表是RSA算法。
13
1．RSA算法
RSA算法是1978年由RonRivest， AdiShamir和LeonardAdlemail三人发明 的，所以该算法以三个发明者名字的首字母 命名为RSA。RSA是第一个既能用于数据加 密，也能用于数字签名的算法，但RSA的安 全性一直未能得到理论上的证明。
6
电子商务系统安全威胁
1．窃取信息：由于未采用加密措施，数据信息在网络上以明文形式传送， 入侵者在数据包经过的网关或路由器上可以截获传送的信息。
2．篡改信息：当入侵者掌握了信息的格式和规律后，可以通过各种技术 手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。
3．假冒：由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以 冒充合法用户发送假冒的信息或者主动获取信息，而远程用户通常很难分 辨。
信息。 6. 破坏数据的完整性：指使用非法手段，删除、修改、重发某些重要信息，
以干扰用户的正常使用。 7. 否认：指通信的双方有一方事后否认曾参与某次活动。 8. 拒绝服务：指通信被终止或实时操作被延迟。 9. 干扰系统正常运行：指改变系统的正常运行方法，减慢系统的响应时间等
手段。 10. 病毒与恶意攻击：指通过网络传播病毒或恶意Java，Active X等。
对称密钥密码使用的加密算法比较 简便高效，密钥简短，破译极其困难。 存在的问题是： （1）密钥难于安全传递。 （2）密钥量太大，难以进行管理。 （3）无法满足互不相识的人进行私人谈话 时的保密性要求。 （4）难以解决数字签名验证的问题。
12
（二）公开密钥密码体制
公开密钥密码体制是现代密码学的最重要的 发明和进展。它是将加密密钥和解密密钥分 开，加密和解密分别由两个密钥来实现，并 使得由加密密钥推导出解密密钥（或由解密 密钥推导出加密密钥）在计算上是不可行的。