電子商務(wù)重點(diǎn)劃分

電子商務(wù)概論電子商務(wù)的平安問題電子商務(wù)的平安問題案例學(xué)習(xí)目標(biāo)學(xué)習(xí)內(nèi)容2023/12/291案例國(guó)外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國(guó)內(nèi)2000年春天，有人利用普通的技術(shù)，從電子商務(wù)網(wǎng)站竊取到8萬個(gè)信用卡號(hào)和密碼，標(biāo)價(jià)26萬元出售。2023/12/292CNNIC調(diào)查結(jié)果〔2003年1月〕用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是：平安性得不到保障：23.4%付款不方便：10.8%產(chǎn)品質(zhì)量、售后效勞及廠商信用得不到保障：39.3%

送貨不及時(shí)：8.6%價(jià)格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠：6.4%其它：0.7%2023/12/293學(xué)習(xí)目標(biāo)了解電子商務(wù)面臨的主要平安威脅了解電子商務(wù)對(duì)平安的根本要求熟悉電子商務(wù)常用的平安技術(shù)掌握防火墻的功能和工作原理了解電子商務(wù)常用的加密技術(shù)了解電子商務(wù)的認(rèn)證體系掌握SSL和SET的流程和工作原理2023/12/294學(xué)習(xí)內(nèi)容電子商務(wù)平安隱患電子商務(wù)平安體系電子商務(wù)平安技術(shù)數(shù)字證書及其應(yīng)用電子商務(wù)平安法律與制度2023/12/2951.電子商務(wù)平安隱患與類型平安隱患系統(tǒng)中斷破壞系統(tǒng)的有效性竊聽信息破壞系統(tǒng)的機(jī)密性篡改信息破壞系統(tǒng)的完整性偽造信息破壞系統(tǒng)的真實(shí)性對(duì)交易行為進(jìn)行抵賴要求系統(tǒng)具備審查能力類型物理平安問題網(wǎng)絡(luò)平安問題數(shù)據(jù)的平安性對(duì)交易不同方表現(xiàn)的不同平安問題2023/12/296電子平安交易的根本要求信息的保密性信息的完整性交易者身份的真實(shí)性不可抵賴性系統(tǒng)的可靠性2023/12/2972.電子商務(wù)平安體系技術(shù)保障法律控制社會(huì)道德標(biāo)準(zhǔn)完善的管理政策、制度2023/12/298信息系統(tǒng)平安層次模型2023/12/299一、二、三層：信息、軟件、網(wǎng)絡(luò)平安2023/12/2910這三層是計(jì)算機(jī)信息系統(tǒng)平安的關(guān)鍵。包括：數(shù)據(jù)的加密解密〔加密解密算法、密鑰管理〕操作系統(tǒng)、應(yīng)用軟件的平安〔用戶注冊(cè)、用戶權(quán)限〔如：查詢權(quán)限、錄入權(quán)限、分析權(quán)限、管理權(quán)限)管理〕數(shù)據(jù)庫平安〔訪問控制、數(shù)據(jù)備份與管理、數(shù)據(jù)恢復(fù)〕數(shù)據(jù)的完整性〔RAID冗余磁盤陣列技術(shù)、負(fù)載均衡、HA高可用技術(shù)〕網(wǎng)絡(luò)平安〔對(duì)網(wǎng)絡(luò)傳輸信息進(jìn)行數(shù)據(jù)加密、認(rèn)證、數(shù)字簽名、訪問控制、網(wǎng)絡(luò)地址翻譯、防毒殺毒方案等，如防火墻技術(shù)、虛擬網(wǎng)VPN、秘密電子郵件PEM〕病毒防范〔硬件防范、軟件防范、管理方面的防范〕對(duì)自然災(zāi)害防范：防火、防水、防地震。如：建立備份中心防范計(jì)算機(jī)設(shè)備被盜：固定件、添加鎖、設(shè)置警鈴、購置柜機(jī)、系統(tǒng)外人員不得入內(nèi)等盡量減少對(duì)硬件的損害：不間斷電源、消除靜電、系統(tǒng)接地等2023/12/2911四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的平安管理制度的建立與實(shí)施包括運(yùn)行與維護(hù)的管理標(biāo)準(zhǔn)、系統(tǒng)保密管理的規(guī)章制度、平安管理人員的教育培訓(xùn)、制度的落實(shí)、職責(zé)的檢查等方面內(nèi)容。法律制度與道德標(biāo)準(zhǔn)要求國(guó)家制定出嚴(yán)密的法律、政策，標(biāo)準(zhǔn)和制約人們的思想和行為，將信息系統(tǒng)納入標(biāo)準(zhǔn)化、法制化和科學(xué)化的軌道。有關(guān)的條例有：《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例》、

《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等。2023/12/2912六層、七層3.電子商務(wù)平安技術(shù)信息加密數(shù)字簽名數(shù)字證書平安協(xié)議防火墻防病毒軟件2023/12/2913局部告之：在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)略去，再告之。另行確認(rèn)：交易后，用電子郵件對(duì)交易進(jìn)行確認(rèn)。在線效勞：用企業(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機(jī)效勞。2023/12/2914早期曾采用過的方法數(shù)字加密技術(shù)為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對(duì)所發(fā)送的信息進(jìn)行加密。例如：將字母a，b，c，d，e，…x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，H，…，Y，Z，A，B分別對(duì)應(yīng)〔即相差3個(gè)字符〕。假設(shè)明文為and，那么對(duì)應(yīng)密文為DQG?！步邮辗街涿艽a為3，它就能解開此密文〕。2023/12/2915對(duì)稱密鑰密碼體系

對(duì)稱密鑰密碼體系(SymmetricCryptography)又稱對(duì)稱密鑰技術(shù)。

對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快(高效)，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰。2023/12/2916非對(duì)稱密鑰密碼體系

非對(duì)稱密鑰密碼體系(AsymmetricCryptography)也稱公開密鑰技術(shù)。

非對(duì)稱密鑰技術(shù)的優(yōu)點(diǎn)是：易于實(shí)現(xiàn)，使用靈活，密鑰較少。

弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度，必須使用較長(zhǎng)的密鑰。2023/12/2917數(shù)字信封“數(shù)字信封〞(也稱電子信封)技術(shù)。具體操作方法是：每當(dāng)發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱密鑰，用這個(gè)對(duì)稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開密鑰加密這個(gè)對(duì)稱密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰，再用該對(duì)稱密鑰解密出真正的報(bào)文。2023/12/2918數(shù)字簽名和數(shù)字指紋

采用數(shù)字簽名，應(yīng)該確定以下兩點(diǎn)：保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。保證信息自簽發(fā)后到收到止未作任何改動(dòng)，簽發(fā)的文件是真實(shí)文件。2023/12/2919數(shù)字指紋

Hash編碼法采用單向Hash函數(shù)將需加密的明文“摘要〞成一串128位的密文，這128位的密文就是所謂的數(shù)字指紋，又稱信息鑒別碼〔MAC，MessageAuthenticatorCode〕，它有固定的長(zhǎng)度，且不同的明文摘要成不同的密文，而同樣的明文其摘要必定一致。數(shù)字指紋的應(yīng)用使交易文件的完整性〔不可修改性〕得以保證。2023/12/2920防火墻防火墻〔firewal1〕的概念是指一個(gè)由軟件或和硬件設(shè)備組合而成，是加強(qiáng)因特網(wǎng)與內(nèi)部網(wǎng)之間平安防范的一個(gè)或一組系統(tǒng)。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。它可以確定哪些內(nèi)部效勞允許外部訪問，哪些外部效勞可由內(nèi)部人員訪問，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機(jī)制。防火墻的平安策略“但凡未被準(zhǔn)許的就是禁止的〞“但凡未被禁止的就是允許的〞2023/12/2921包過濾型防火墻包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的決定。包過濾路由器型防火墻的優(yōu)點(diǎn)：處理包的速度要比代理效勞器快；包過濾路由器型防火墻的缺點(diǎn)：防火墻的維護(hù)比較困難等2023/12/2922過濾路由器Internet內(nèi)部網(wǎng)絡(luò)雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理效勞來完成。所以為了保證內(nèi)部網(wǎng)的平安，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。2023/12/2923NIC代理效勞器NICInternet內(nèi)部網(wǎng)絡(luò)屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。屏蔽主機(jī)防火墻包過濾路由器和堡壘主機(jī)組成。這個(gè)防火墻系統(tǒng)提供的平安等級(jí)比包過濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層平安〔包過濾〕和應(yīng)用層平安〔代理效勞〕。2023/12/2924過濾路由器堡壘主機(jī)Internet內(nèi)部網(wǎng)絡(luò)屏蔽子網(wǎng)防火墻2023/12/2925外部過濾路由器堡壘主機(jī)Internet內(nèi)部網(wǎng)絡(luò)內(nèi)部過濾路由器屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這個(gè)防火墻系統(tǒng)建立的是最平安的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事區(qū)〞網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層平安功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)，信息效勞器，Modem組，以及其它公用效勞器放在“非軍事區(qū)〞網(wǎng)絡(luò)中。虛擬專網(wǎng)〔VPN〕技術(shù)VPN是使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)平安通信的網(wǎng)絡(luò)技術(shù)。使用加密、信息和身份認(rèn)證、訪問控制等技術(shù)。VPN產(chǎn)品種類：帶VPN功能的路由器、軟件VPN系統(tǒng)、專用硬件VPN設(shè)備等內(nèi)部網(wǎng)虛擬專用網(wǎng)、遠(yuǎn)程訪問虛擬專用網(wǎng)、外部網(wǎng)虛擬專用網(wǎng)2023/12/29262023/12/2927VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器專網(wǎng)3專網(wǎng)2專網(wǎng)1專網(wǎng)4隧道隧道隧道隧道VPN技術(shù)結(jié)構(gòu)

2023/12/29284.電子商務(wù)平安協(xié)議SSL:平安套層協(xié)議〔會(huì)話層〕在建立連接的過程中采用公開密鑰；在會(huì)話過程中采用專用密鑰；每一次會(huì)話都要求效勞器使用專用密鑰的操作和一次使用客戶機(jī)公開密鑰的操作。SET:平安電子交易協(xié)議〔應(yīng)用層〕對(duì)消費(fèi)者、商戶、收單行進(jìn)行認(rèn)證。2023/12/2929在Internet上進(jìn)行欺騙的模式：采用假的效勞器來欺騙用戶的終端；采用假的用戶來欺騙效勞器；在信息的傳輸過程中截取信息；在Web效勞器及Web用戶之間進(jìn)行雙方欺騙。2023/12/2930SSL平安技術(shù)SSL記錄協(xié)議根本特點(diǎn):連接是專用的；連接是可靠的。SSL握手協(xié)議根本特點(diǎn):能對(duì)通信雙方的身份的認(rèn)證；進(jìn)行協(xié)商的雙方的秘密是平安的；協(xié)商是可靠的。2023/12/2931SET平安技術(shù)SET協(xié)議的作用個(gè)人賬號(hào)信息與訂單信息的隔離。商家只能看到定貨信息,而看不到持卡人的帳戶信息。對(duì)交易者的身份進(jìn)行確認(rèn)和擔(dān)保。持卡人、商家和銀行等交易者通過第三方權(quán)威機(jī)構(gòu)的身份認(rèn)證效勞。統(tǒng)一協(xié)議和報(bào)文的格式。使不同廠家開發(fā)的軟件能相互兼容。2023/12/2932SET的優(yōu)點(diǎn)SET保證了商家的合法性，并且用戶的信用卡號(hào)不會(huì)被竊取。SET對(duì)于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。SET可以用在系統(tǒng)的一局部或者全部。2023/12/29335.數(shù)字證書與CA認(rèn)證中心數(shù)字證書CA認(rèn)證中心案例2023/12/2934數(shù)字證書

什么是數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。證書的格式遵循ITUX.509國(guó)際標(biāo)準(zhǔn)。2023/12/2935一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容證書的版本信息；證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；證書所使用的簽名算法；證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)那么一般采用X.500格式；證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；證書所有人的名稱，命名規(guī)那么一般采用X.500格式；證書所有人的公開密鑰；證書發(fā)行者對(duì)證書的數(shù)字簽名。2023/12/2936數(shù)字證書的三種類型個(gè)人證書它僅僅為某一個(gè)用戶提供數(shù)字證書。企業(yè)〔效勞器〕數(shù)字證書它通常為網(wǎng)上的某個(gè)Web效勞器提供數(shù)字證書。軟件〔開發(fā)者〕數(shù)字證書它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書。2023/12/2937數(shù)字證書利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰〔公鑰〕并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方那么使用自己的私鑰解密。2023/12/2938數(shù)字證書原理簡(jiǎn)介認(rèn)證中心

認(rèn)證中心，又稱為證書授證(CertificateAuthority)中心，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。

認(rèn)證中心的作用證書的頒發(fā)；證書的更新；證書的查詢；證書的作廢；證書的歸檔。2023/12/2939數(shù)據(jù)加密解密、身份認(rèn)證流程圖2023/12/2940A用戶先用Hash算法對(duì)發(fā)送發(fā)信息〔即“明文〞〕進(jìn)行運(yùn)算，形成“信息摘要〞，并用自己的私人密鑰對(duì)其加密，從而形成數(shù)字簽名。A用戶再把數(shù)字簽名及自己的數(shù)字證書附在明文后面。A用戶隨機(jī)產(chǎn)生的對(duì)稱密鑰〔DES密鑰〕對(duì)明文進(jìn)行加密，形成密文。為了平安把A用戶隨機(jī)產(chǎn)生的對(duì)稱密鑰送達(dá)B用戶，A用戶用B用戶的公開密鑰對(duì)其進(jìn)行加密，形成了數(shù)字信封。這樣A用戶最后把密文和數(shù)字信封一起發(fā)送給B用戶。B用戶收到A用戶的傳來的密文與數(shù)字信封后，先用自己的私有密鑰對(duì)數(shù)字信封進(jìn)行解密，從而獲得A用戶的DES密鑰，再用該密鑰對(duì)密文進(jìn)行解密，繼而得到明文、A用戶的數(shù)字簽名及用戶的數(shù)字證書。為了確保“明文〞的完整性，B用戶把明文用Hash算法對(duì)明文進(jìn)行運(yùn)算，形成“信息摘要〞。同時(shí)B用戶把A用戶的數(shù)字簽名用A用戶的公開密鑰進(jìn)行解密，從而形成另一“信息摘要1〞。B用戶把“信息摘要〞與“信息摘要1〞進(jìn)行比較，假設(shè)一致，說明收到的“明文〞沒有被修改正。2023/12/2941個(gè)人數(shù)字證書的申請(qǐng)個(gè)人數(shù)字證書介紹可以利用個(gè)人數(shù)字證書來發(fā)送簽名或加密的電子郵件。個(gè)人數(shù)字證書分為二個(gè)級(jí)別第一級(jí)數(shù)字證書，僅僅提供電子郵件的認(rèn)證，不對(duì)個(gè)人的。真實(shí)姓名等信息認(rèn)證；第二級(jí)個(gè)人數(shù)字證書提供對(duì)個(gè)人姓名、身份等信息的認(rèn)證。個(gè)人數(shù)字證書的獲得當(dāng)個(gè)人數(shù)字證書申請(qǐng)后，認(rèn)證中心對(duì)申請(qǐng)者的電子郵件地址、個(gè)人身份及信用卡號(hào)等信息進(jìn)行核實(shí)，通常在三~五天內(nèi)即可頒發(fā)數(shù)字證