教学班级:
教学课题:电子商务的安全
电子商务的法律
教学目的要求:掌握电子商务安全要求、了解加密技术的原理、常用的加密技术类型
教学重点:对称与非对称密码体系的区别及使用方式、数字签名技术 教学难点:对称与非对称密码体系的区别及使用方式 教学内容:
【案例】通过案例认识电子商务安全问题的重要性 1.国外案例
96年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫.希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。
96年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。
2000年2月7日-9日,Yahoo, ebay, Amazon 等著名网站被黑客攻击,直接和间接损失10亿美元。
2004年10月19日,一个电脑黑客非法侵入了位于美国旧金山的伯克利加州大学的计算机系统,访问了约140万人的个人资料和社会保障号码。
2.国内案例:
2004年10月17日18时,著名杀毒软件厂商江民公司的网站主页被黑。首页上只有署名为河马史诗的人所写的一句话:“NND,去你们的论坛上看看,一片怨声载道,你们都干什么去了?!”。
第一节
电子商务的安全
一、信息安全技术
(一)加密技术
加密技术,就是采用合适的加密算法(实际上是一种数学方法)把原始信息(称为“明文”)转换成一些晦涩难懂的或者偏离信息原意的信息(称为“密文”),从而达到保障信息安全目的的过程。
加密系统包括信息(明文和密文)、密钥(加密密钥和解密密钥)、算法(加密算法和解密算法)三个组成部分。
1、对称加密技术
(1)概念
对称加密技术(Symmetric Encryption)又称为私钥或单钥加密,在这种体系中,加密和解密均使用同一个密钥或者本质上相同(即其中一个可以通过另一个密钥推导)的一对密钥。
现在使用比较多的对称加密算法是数据加密标准(Data Encryption Standard,DES),DES采用的是64位的密钥,其中有8位为奇偶校验位,密钥实际长度为56位。
(2)对称加密与解密过程
(3)优缺点 :
① 对称加密技术的优点在于算法简单,加密、解密速度快。
② 通讯双方需要借助于邮件和电话等其它相对不够安全的手段,在首次通讯前协商出一个共同的密钥。
③ 为了保证数据的安全性,就必须对于每一个合作者都需要使用不同的密钥。在Internet这一用户众多的通信渠道上,对称密钥的数量将非常巨大,密钥难于管理。
如:假设有3个人两两通信,需要3个密钥;如果有10个人,就需要45个密钥;n个人则需要n(n-1)/2个密钥。
2、非对称式加密方法
(1)概念
“非对称式”加密方法由美国斯坦福大学赫尔曼教授1977年提出,它主要是指每个人都拥有一对唯一对应的密钥:一把公钥(Public Key)和一把私钥(Private Key),前者用于加密,后者用于解密。这种方法也称为双钥技术。
公钥是公开的,私钥是保密的,但加密密钥并不能用于解密,公钥也不能推导出私钥。 采用的公钥密码体制主要是RSA体制。 (2)非对称密钥加密解密过程
(3) 优缺点 :
① 非对称密钥系统的优点在于密钥的管理非常简单和安全。
② 非对称密钥体系也有其缺点,那就是密钥较长,加密、解密花费时间长、速度慢,一般不适合于对数据量较大的文件加密,而只适用于对少量数据加密。
3、综合应用
利用非对称加密算法和对称加密算法的各自优点,安全专家们设计出了一些综合保密系统。
(1)利用DES算法的加(解)密速度快、算法容易实现、安全性好的优点,对大量的数据加密。
(2)利用RSA算法密钥管理方便的特点来对DES的密钥加密,可以获得非对称密钥技术的灵活和对称密钥技术的高效,使得网上信息传输的保密性得以解决。
(二)数字签名 (digital signature)
1、概念
数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
数字签名与书面文件签名有相同之处,采用数字签名,能确认以下两点。 (1)信息是由签名者发送的;
(2)信息自签发后到收到为止未曾作过任何修改。
2、数字签名的作用:数字签名保证信息的完整性和不可否认性。主要目的是用来识别信息来源,本身不具备对信息加密的功能。
(1)接收者能够核实对报文的签名; (2)发送者事后不能抵赖对报文的签名; (3)接收者不能伪造对报文的签名。
3、数字签名方法
Hash签名是最主要的数字签名方法,也称数字摘要法。它的主要方式是,报文的发送方从明文文件中生成一个128比特的散列值(数字摘要)。发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后该数字签名将作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128比特的散列值(数字摘要),接着用发送方的公钥来对报文附加的数字签名解密。 数字摘要:保证数据的完整性。
数字签名过程如下图。 发送方 接收方 原文 原文 Hash算法 摘要 Hash算法 摘要 Internet 对比? 摘要
二、网络安全技术
在电子商务中的信息数据可以划分为以下几种类型: (1)公共数据 (2)版权数据 (3)机密数据 (4)保密数据
(一)计算机安全基础
1、认同用户和鉴别
2、控制存取
3、保障完整性
4、审计
5、容错
(二)计算机网络安全
1、身份认证
2、授权控制
3、通讯加密
4、数据完整性
5、防止否认
(三)网络防火墙
1、防火墙(firewal1)的概念
是指一个由软件或和硬件设备组合而成,是加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部人员访问,即它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
2、防火墙的安全策略
(1)没有被列为允许访问的服务都是被禁止的:这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他末列入的服务排斥在外,禁止访问;
(2)没有被列为禁止访问的服务都是被允许的:这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。
3、防火墙系统的功能
(1)保护易受攻击的服务 (2)控制对特殊站点的访问 (3)集中化的安全管理
(4)集成了入侵检测功能,提供了监视互联网安全和预警的方便端点。 (4) 对网络访问进行日志记录和统计
4、防火墙的不足之处:
(1)不能防范恶意的知情者;
(2)不能防范不通过它的连接(绕过防火墙)或者来自内部的攻击; (3)不能防备所有威胁,防火墙只能用来防备已知的威胁;
(4)不能防范病毒。不能防止感染了病毒的软件或文件的传输,但可以通过设置防范一些已知的木马程序。
第二节
电子商务的法律
一、电子商务交易合同的法律问题
(一)电子商务合同与传统合同的区别
1、传统合同形式
(1)口头形式:当事人采用口头或电话等直接表达的方式达成的协议。 (2)书面形式:当事人采用非直接表达方式即文字方式来表达协议的内容。
2、电子商务合同
在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化: (1)订立合同的双方或多方大多是互不见面的。
(2)电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款。复杂的需要通过文字表达的合同将网络作为一种信息传递的手段,通过网络完成整个合同的订立过程。
(3)表示合同生效的传统签字盖章方式被数字签名所代替。
(二)书面的概念问题
电子商务通常不是以原始纸张作为记录的凭证,而是将信息或数据记录在计算机中,或记录在磁盘和软盘等中介载体中。具有以下特点:
1、电子数据的易消失性
2、电子数据作为证据的局限性
3、电子数据的易改动性
(三)电子签名的问题
电子签名存在的问题是,由于网络通信可能在中途被他人截获并篡改,接受方可能怀疑收到附有电子签名的合同文本的真实性;数字形成的签名较之其他形式更容易被模仿或破译;而利用所接收到的贸易合同约束对方也是一件十分困难的事。
(四)电子合同的收到和证实
二、网络交易安全的法律保障
(一)法律是保障网络交易安全的重要手段
(二)世界各国计算机立法状况
三、我国电子商务交易安全的法律保护
(一)我国涉及交易安全的若干法律法规
1、综合性法律
2、规范交易主体的有关法律
3、规范交易行为的有关法律
4、监督交易行为的有关法律
(二)我国涉及网络安全的行政法规
(三)加强电子商务法律体系的建设
1、买卖双方身份认证办法
2、电子合同的合法性程序
3、电子支付
4、安全保障
四、EDI的法律问题
五、电子商务交易合同的取证问题