第9章电子商务安全技术与法律小制度大纲.docVIP

第9章 电子商务安全技术与法律制度 一、主要内容与重点 本章主要讲述以下四部分内容： 1.电子商务安全基础知识：首先介绍了电子商务七大安全要素，然后介绍了网络攻击的九大常用方法。 2. 电子商务安全技术：首先介绍了密码技术，其中包含密码学的概念，加密和解密的示范以及加密的分类的内容。其次介绍了数字签名技术，其中包含数字签名的概念及使用方法。再次介绍了认证中心的概念，职能和基本组成部分以及中国知名的认证中心。最后简要介绍了PKI，重点讲解了电子商务安全协议。 3.计算机病毒防范措施：首先介绍了计算机病毒的基础知识，包括概念，特点，计算机网络病毒的四种类型和组成部分。然后介绍了特洛伊木马病毒，包括木马的危害，原理，隐藏方式，防范工具和查杀方式。最后介绍了计算机网络病毒的危害与防范及防火墙。 4.电子商务法律制度：介绍了电子商务参与各方的法律关系以及国内外电子商务法律体系的建设。 9.1引言 从案例说开去： 9.1.1六作家状告网络公司著作权侵权案 被告世纪互联通讯有限公司被六作家告上法庭未经许可将原告六作家的作品在网上传播，侵害了原告对其作品享有的使用权和获得报酬权。 9.1.2百度下载MP3百度因MP3下载一事不断惹祸上身中国法院网）。 1.上海步升音乐文化传播有限公司诉百度MP3下载侵权案 上海步升音乐文化传播有限公司诉北京百度网讯科技有限公司侵犯其录音制作者权纠纷一案，在北京市海淀区人民法院宣判，被告百度公司败诉，赔偿上海步升音乐文化传播有限公司经济损失6.8万元。9月26日上午，百度公司在北京市第一中级人民法院再次坐上了被告席。此次起诉百度的原告是香港七大唱片公司，他们状告百度公司未经允许在其经营的网站上对涉案的137首歌曲提供在线播放和下载服务，并为此向百度公司索赔经济损失167万元。 9.2.1电子商务安全要素 1.可靠性2.真实性3.机密性4.完整性5.有效性6.不可抵赖性7.内部网的严密性 9.2.2网络攻击的常用方法 由于网络的全球性、开放性、无缝性、共享性、动态性，使得任何人都可以自由地接入互联网，包括黑客（Hacker）、入侵者（Cracker）和病毒制造者会采用各种攻击手段进行破坏活动，他们常用的攻击方法主要有：1.系统穿透2.违反授权原则3.植入4.通信监听5.通信窜扰6.中断7.拒绝服务8.电子邮件轰炸9.病毒技术 9.3电子商务安全技术 9.3.1密码技术 1.密码学 密码学分为密码编码学和密码分析学。密码编码学研究设计出安全的密码体制，防止被破译，而密码分析学则研究如何破译密文。加密包含两个元素：加密算法和密钥。 2.加密和解密的示范 3.加密的分类：散列编码、对称加密和非对称加密。 9.3.2.数字签名技术 1.数字签名 数字签名（Digital Signature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。目前的数字签名建立在公钥加密体制基础上，是非对称加密技术的另一类应用。数字签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。 2.数字签名的使用方法 只有加入数字签名及验证（Verification）才能真正实现在公开网络上的安全传输，满足这两点的文件传输过程： （1）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。 （2）发送方选择一个对称密钥对文件加密，然后通过网络传输到接收方，最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。 （3）发送方用接收方的公钥给对称密钥加密，并通过网络把加密后的对称密钥传输到接收方。 （4）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥。 （5）接收方用对称密钥对文件进行解密，得到经过加密的数字签名。 （6）接收方用发送方的公钥对数字签名进行解密，得到数字签名的明文。 （7）接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名对比。如果两个数字签名是相同的，说明文件在传输过程中没有被破坏。 9.3.3认证中心 1.认证中心（CA） 电子商务认证授权机构也称为电子商务认证中心（Certificate Authority，CA）。CA是提供身份证的第三方机构，由一个或多个用户信任的组织实体组成，例如，持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人要求CA对商家认证，CA对商家进行调查、验证和鉴别后，将包含商家Public Key的证书传给持卡人。 2.认证中心的职能 认证中心基本功能：认证中心的核心职能是发放和管理用户的数字证书。用户向认证中心提出申请证书