電子商務(wù)安全問題與安全交易標(biāo)準(zhǔn)

1、電子商務(wù)Electronic Business2007-2008學(xué)年第二學(xué)期 經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系wt.2課程前言0電子商務(wù)模式2電子商務(wù)支付4電子商務(wù)法律法規(guī)6電子商務(wù)概述1電子商務(wù)安全3電子商務(wù)物流管理5企業(yè)電子子商務(wù)7課程索引Index of EB3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management第三章引言第三章：電子商商務(wù)安全全3.1電子子商務(wù)安安全問題題3.2電子子商務(wù)系系統(tǒng)安全全常用技技術(shù)3.3電子子商務(wù)安安全交易易標(biāo)準(zhǔn)3.4電子商務(wù)務(wù)安全管管理制度度3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Depa

2、rtment of Financial Management3.1電電子商務(wù)務(wù)安全問問題一、電子子商務(wù)安安全問題題的提出出3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.1電電子商務(wù)務(wù)安全問問題一、電子子商務(wù)安安全問題題的提出出3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.1電電子商務(wù)務(wù)安全問問題一、電子子商務(wù)安安全問題題的提出出3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Managem

3、ent3.1電電子商務(wù)務(wù)安全問問題二、電子子商務(wù)存存在的安安全隱患患1、系統(tǒng)統(tǒng)中斷與與癱瘓（穩(wěn)定性性隱患）2、信息息被竊取取（機(jī)密密性隱患患）3、信息息被篡改改（完整整性隱患患）4、信息息被偽造造（有效效性隱患患）5、對交交易行為為進(jìn)行抵抵賴3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.1電電子商務(wù)務(wù)安全問問題三、電子子商務(wù)的的安全要要素1、真實(shí)實(shí)有效性性（對信息息的真?zhèn)蝹巍?shí)體體的有效效性進(jìn)行行鑒別）；2、機(jī)密密性（保保證信息息不被泄泄露給非非授權(quán)的的第三方方）；3、數(shù)據(jù)據(jù)的完整整性（保保證數(shù)據(jù)據(jù)一致性性，防止止數(shù)

4、據(jù)被被非授權(quán)權(quán)建立、修改和和破壞）；4、可靠靠性、不不可否認(rèn)認(rèn)性和可可控性3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.1電電子商務(wù)務(wù)安全問問題四、電子子商務(wù)安安全涉及及的范圍圍1、信息息的安全全；2、信息傳傳遞的安安全；3、信用用的安全全；4、設(shè)備的的安全。五、電子子商務(wù)安安全的保保障1、社會會的法律律政策與與法律保保障；2、信息息技術(shù)方方面的措措施；3、信息息安全管管理制度度的保障障。3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電

5、子商務(wù)務(wù)安全常常用技術(shù)術(shù)一、防火火墻（Firewall）1、定義義：所謂謂防火墻墻就是設(shè)設(shè)置在被被保護(hù)網(wǎng)網(wǎng)絡(luò)和外外部網(wǎng)絡(luò)絡(luò)之間的的一道屏屏障，以以防止發(fā)發(fā)生不可可預(yù)測的的、潛在在破壞性性的侵入入。被保護(hù)網(wǎng)絡(luò)外部網(wǎng)絡(luò)3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)一、防火火墻（Firewall）2、防火火墻圖示示：防火墻邏輯位置示意圖3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加

6、密密技術(shù)所謂加密密，即指指用基于于數(shù)學(xué)方方法的程程序和保保密的密密鑰對信信息進(jìn)行行編碼，把計算算機(jī)數(shù)據(jù)據(jù)變成一一堆雜亂亂無章難難以理解解的字符符串。加密的實(shí)實(shí)質(zhì)是由由加密過過程和解解密過程程組成的的。明文明文密文3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加密密技術(shù)加密的兩兩個要素素：（1）加加密算法法：是加密程程序的邏邏輯算法法（2）密密鑰：指加密算算法中的的可變參參數(shù)例如：Y=X+k思考其中中的算法法和密鑰鑰3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Departmen

7、t of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加密密技術(shù)1、對稱稱加密（私有密密鑰加密密）SecretKey Cryptography數(shù)據(jù)發(fā)送送方和接接收方使使用同一一把私有有密鑰，把明文文加密成成密文和和把密文文解密成成明文用用的是同同一把私私有密鑰鑰。（一一把鑰匙匙開一把把鎖）明文密文加密解密密鑰（發(fā)送方）密鑰（接收方）明文密文網(wǎng)絡(luò)3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)明文3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Depar

8、tment of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)乙銀行：有一筆元資金金轉(zhuǎn)賬至至貴行abcde賬號號上。甲銀行#!$!%(!#$%&*()_+網(wǎng)絡(luò)傳輸輸#!$!%(!#$%&*()_+乙銀行：有一筆元資金金轉(zhuǎn)賬至至貴行abcde賬號號上。甲銀行加密解密信息明文文信息密文文信息密文文信息明文文相同的私私有密鑰鑰A甲銀行乙銀行3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加密密技術(shù)1、對稱稱加密（私有密密鑰加密密）SecretKey Crypto

9、graphy私有密鑰鑰加密的的常用算算法：數(shù)據(jù)加密密標(biāo)準(zhǔn)DES（DataEncryption Standard）國際數(shù)據(jù)據(jù)加密算算法IDEA（International DataEncryptionAlgorithm）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加密密技術(shù)2、非對對稱加密密（公開開密鑰加加密）PublicKey Cryptography公開密鑰鑰主要用用于對發(fā)發(fā)送的消消息進(jìn)行行加密，可以把把公開密密鑰發(fā)給給希望與與公開密密鑰持有有者進(jìn)行行安全通通信的任任何人，私有密

10、密鑰主要要用于對對收到的的信息進(jìn)進(jìn)行解密密。明文密文公開密鑰（接收方）私有密鑰（接收方）明文密文網(wǎng)絡(luò)3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)乙銀行：將200元資金金從本賬賬號轉(zhuǎn)移移至貴行行XYZ賬號上上?？蛻艏?!$!%(!#$%&*()_+網(wǎng)絡(luò)傳輸輸#!$!%(!#$%&*()_+乙銀行：將200元資金金從本賬賬號轉(zhuǎn)移移至貴行行XYZ賬號上上。客戶甲加密解密通知明文文通知密文文通知密文文通知明文文私有密鑰鑰A客戶甲乙銀行公開密鑰鑰B3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管

11、理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)客戶甲：本行已將將200元資金金從你賬賬號轉(zhuǎn)移移至XYZ賬號號上。銀行乙#!$!%(!#$%&*()_+網(wǎng)絡(luò)傳輸輸#!$!%(!#$%&*()_+客戶甲：本行已將將200元資金金從你賬賬號轉(zhuǎn)移移至XYZ賬號號上。銀行乙加密解密確認(rèn)明文文確認(rèn)密文文確認(rèn)密文文確認(rèn)明文文私有密鑰鑰A客戶甲乙銀行公開密鑰鑰B3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)二、加密密技術(shù)2、非對對稱加密密（公開

12、開密鑰加加密）PublicKey Cryptography公開密鑰鑰加密的的常用算算法：（一般般基于復(fù)復(fù)雜的數(shù)數(shù)學(xué)難題題）RSA算法（大大整數(shù)因因子分解解系統(tǒng)）ECC算法（橢橢圓曲線線離散對對數(shù)系統(tǒng)統(tǒng)）DSA算法（離離散對數(shù)數(shù)系統(tǒng)）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)3、兩種種加密方方法的結(jié)結(jié)合；明文密文對稱加密發(fā)送方私有密鑰發(fā)送方私有密鑰不對稱加密接收方公開密鑰加密后的密鑰網(wǎng)絡(luò)密文加密后的密鑰加密后的密鑰不對稱解密接收方私有密鑰發(fā)送方私有密鑰密文明文對稱解密發(fā)送方私有密鑰發(fā)送

13、方接收方3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)三、數(shù)字字摘要（Digital Digest）定義：數(shù)數(shù)字摘要要是發(fā)送送者對被被傳送的的一個信信息報文文，根據(jù)據(jù)某種數(shù)學(xué)算法法計算出一一個此信信息報文文的摘要要值，并并將此摘摘要值與與原始信信息報文文一起通通過網(wǎng)絡(luò)絡(luò)傳送給給接收者者，接受受者應(yīng)用用此摘要要值來檢檢驗(yàn)信息息報文在在網(wǎng)絡(luò)傳傳送過程程中有沒沒有發(fā)生生改變來來判斷信信息報文文的真實(shí)實(shí)與否。另稱為：數(shù)字指紋紋FingerPrint數(shù)字手印印Digital Thumbprint3

14、DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)三、數(shù)字字摘要（Digital Digest）產(chǎn)生示例例：乙銀行：將200元資金金從本賬賬號轉(zhuǎn)移移至貴行行XYZ賬號上上。客戶甲AdsE W3298woei（數(shù)數(shù)字摘要要）網(wǎng)絡(luò)傳輸輸Hash算法客戶甲乙銀行乙銀行：。客戶甲。（數(shù)數(shù)字摘要要）AdsE W3298woei（數(shù)數(shù)字摘要要）Hash算法比對3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用

15、技術(shù)術(shù)四、數(shù)字字簽名（Digital Signature）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)五、數(shù)字字時間戳戳（DTS）Digital Time-stampService,對電子商商務(wù)中交交易數(shù)據(jù)據(jù)的日期期和時間間信息采采取安全全措施，提供電電子信息息在時間間上的安安全保護(hù)護(hù)。數(shù)字字時間戳戳一般由由大家均均信任的的第三方方機(jī)構(gòu)提提供，是是一個經(jīng)經(jīng)加密后后形成的的憑證文文檔，包包括需要加時時間戳的的信息摘摘要；時間戳服服務(wù)機(jī)構(gòu)構(gòu)收到該該信息的的時間日日期；數(shù)字時間間戳服務(wù)務(wù)機(jī)構(gòu)

16、的的數(shù)字簽簽名。3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)數(shù)字信封封使用加加密技術(shù)術(shù)來保證證只有規(guī)規(guī)定的特特定收信信人才能能閱讀信信的內(nèi)容容。在數(shù)字信信封中，信息發(fā)發(fā)送方采采用對稱稱密鑰鑰來來加密信信息，然然后將此此對稱密密鑰用接受方的的公公開密鑰鑰來加密（這部分分稱為數(shù)數(shù)字信封封）之后后，將它它和信息息一起發(fā)發(fā)送給接接受方，接受方方先用相相應(yīng)的私私有密鑰鑰打開數(shù)數(shù)字信封封，得到到對稱密密鑰，然然后使用用對稱密密鑰解開開信息。六、數(shù)字字信封3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財

17、務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）1、簡介介數(shù)字證書書是用電電子手段段來證實(shí)實(shí)一個用用戶的身身份和對對網(wǎng)絡(luò)資資源的訪訪問權(quán)限限。證書書就是一一份文檔檔，記錄錄了用戶戶的公開開密鑰和和其他身身份信息息。數(shù)字證書書是由CA認(rèn)證中心心（CertificateAuthorities）頒發(fā)的的、包含含公開密密鑰持有有者信息息、公開開密鑰的的文件，以及CA證認(rèn)中心心的數(shù)字字簽名。3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financia

18、l Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）2、數(shù)字字證書類類型（1）個個人數(shù)字字證書（2）服服務(wù)器證證書（3）開開發(fā)者證證書3、CA認(rèn)證中心心又稱認(rèn)證證權(quán)威、認(rèn)證中中心、證證書授權(quán)權(quán)機(jī)構(gòu)，是承擔(dān)擔(dān)網(wǎng)上認(rèn)認(rèn)證服務(wù)務(wù)，能簽簽發(fā)數(shù)字字證書并并能確認(rèn)認(rèn)用戶身身份的第第三方機(jī)機(jī)構(gòu)。3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院

19、財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字證書書（Digital Certificates）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）3De

20、signedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.2電電子商務(wù)務(wù)安全常常用技術(shù)術(shù)七、數(shù)字字證書（Digital Certificates）3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)常用電子子商務(wù)安安全協(xié)議議：

21、1、安全全多用途途互聯(lián)網(wǎng)網(wǎng)郵件擴(kuò)擴(kuò)充協(xié)議議S/MIME；2、安全全超文本本傳輸協(xié)協(xié)議S-HTTP；3、安全全套接層層協(xié)議SSL；（）SecureSocket Layer4、安全全電子交交易協(xié)議議SET。（）SecureElectronicTransaction3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)3DesignedByWand經(jīng)

22、濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)SSL安全機(jī)制（發(fā)送方）信息數(shù)字摘要數(shù)字簽名發(fā)送方私鑰加密（對稱密鑰）加密后的信息接收方 數(shù)字證書信息數(shù)字簽名發(fā)送方 數(shù)字證書 加密（使用接收方公開密鑰）數(shù)字信封3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.3電電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)SSL安

23、全機(jī)制（接收方）數(shù)字簽名加密后的信息數(shù)字信封 解密（使用接收方私有密鑰）加密（對稱密鑰）信息數(shù)字簽名發(fā)送方 數(shù)字證書數(shù)字摘要 解密（使用發(fā)送方公開密鑰）數(shù)字摘要比較3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.4電電子商務(wù)務(wù)安全管管理制度度一、人員員管理制制度1.工作作責(zé)任制制：雙人負(fù)責(zé)責(zé)；任期期有限；最小權(quán)權(quán)限2.普通通用戶安安全要求求：上網(wǎng)行為為；賬戶戶安全；信息處處理3.系統(tǒng)統(tǒng)管理員員的安全全職責(zé)：對外界訪訪問的關(guān)關(guān)注；檢檢查安全全漏洞4.隨時時進(jìn)行病病毒檢查查3DesignedByWand經(jīng)濟(jì)貿(mào)易學(xué)院財務(wù)管理系Department of Financial Management3.4電電子商務(wù)務(wù)安全管管理制度度二、保密密制度三、跟蹤蹤、審計計、稽核核制度跟蹤制度度要求建建立網(wǎng)交交易系統(tǒng)統(tǒng)日志；審計制度度指對系系統(tǒng)日志志的檢查查審核；稽核是相相關(guān)部門門對交易易安全及及合