[财务管理]支付与安全.docVIP

第一章 电子商务系统安全与支付概述 第一节网络信息安全 一、网络信息安全的目标 1、信息安全的概念：所谓信息安全，一般是指信息采集、存储、处理、传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。 2、信息安全传输：信息安全传输是指在网络上传递的信息没有被故意或偶然地非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。 3、危及网络信息安全的因素的来源:主要来自两个方面：一是由于网络设计和网络管理方面的原因，无意间造成机密数据泄漏；二是攻击者采用不正当的手段通过网络获得数据。 4、目标：一个良好的网络安全系统，不仅应当能够防范恶意的无关人员，而且，应当能够防止专有数据和服务程序的偶然泄漏，同时不需要内部用户都成为安全专家。 二、电子商务系统安全层次 1、电子商务系统的两个层次：电子商务是建立在计算机网络系统之上的商务系统。从逻辑上看可以分成底层的物理系统和上层的业务系统。 2、电子商务系统的两个安全层次 一是保障底层的物理系统即计算机网络系统的安全；二是保障上层业务逻辑系统的安全。 第一层安全措施是安全电子商务系统的基础，它保障了人们进行网上交易的虚拟场所的安全；第二层安全措施是安全电子商务系统的前提，它提供了网上交易不同于传统交易的交易规则，保证了网上交易过程的安全。 第一层安全即计算机网络系统的安全首先是保障计算机网络系统中的实体的安全，这些实体包括服务器、客户机、通信连接设备（路由器、交换机、集线器等）。其次是保障数据的安全，包括数据存储安全和数据传输安全（通信安全）。 第二层安全措施的主要内容是网上身份认证和网上支付。（SET协议是解决网上支付问题的一种手段。） 第二节 电子商务安全规范 当前电子商务的安全规范包括加密算法、报文摘要算法、安全套接层协议等方面的规范。 一、加密算法：基本加密算法有两种—对称密钥加密和非对称密钥加密，用于保证电子商务中数据的保密性、完整性、真实性和不可否认性。 1、对称密钥加密 对称密钥加密也叫秘密/专用密钥加密（Secret Key Encryption）,即发送和接受数据的双方必须使用相同的对称的密钥对明文进行加密和解密运算。 最著名的对称密钥加密标准是数据加密标准（Data Encryption Standard,DES）。DES是一种使用56个数据位的密钥来操作64位数据块的块加密算法，由IBM公司推出。目前比DES算法更安全的对称密钥加密算法有：IDEA算法、RC2、RC4算法、Skipjack算法等。 2、非对称密钥加密 非对称密钥加密也叫公开密钥加密，由美国斯坦福大学赫尔曼教授于1977年提出。 非对称密钥加密主要指每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。 公开密钥加密技术解决了密钥的发布和管理问题，是目前商业密码的核心。 使用公开密钥技术，进行数据通信的双方可以安全的确认对方身份和公开密钥，提供通信的可鉴别性。非对称加密算法主要有：RSA、DSA、Diffie-Hellman、PKCS、PGP等，其中最著名的是RSA算法。 二、报文摘要算法 报文摘要(Message Digest)：就是用HASH算法产生一个最能体现某段信息特征的固定长度的字符串，也称之为“数字指纹”（Digital Fingerprint). 报文摘要算法的原理是采用一类特殊的散列函数（HASH函数），对输入的没有长度限制的报文数据方便地计算出固定长度的摘要输出，而且对于不同的输入报文很难生成相同的摘要。 报文摘要算法主要有安全散列算法和RSA公司的MD算法系列。 Hash函数 Hash函数又名信息摘要（message digest）函数，可将一任意长度的信息浓缩为较短的固定长度的数据。其特点是： 1.浓缩结果与源信息密切相关，源信息每一微小变化，都会使浓缩结果发生变化。 2. Hash函数所生成的映射关系是多对一关系。因此无法由浓缩结果推算出源信息。 3.运算效率较高。 Hash函数一般用于为信息产生验证值，此外它也被用于用户密码存储。为避免密码被盗用，许多操作系统（如Windows NT、Unix）都只存储用户密码的Hash值，当用户登录时，则计算其输入密码的Hash值，并与系统储存的值进行比对，如果结果相同，就允许用户登录。 Hash函数另一著名的应用是与公用钥匙加密法联合使用，以产生数字签名。 三、安全套接层协议（SSL） 安全套接层协议 SSL（ SSL —— Secure Sockets Layer） SSL协议提供的服务可以归纳为以下三个方面： 1.用户和服务器的合法性认证 2.数据加