電子商務(wù)課件PPT4資料.ppt

1、第四章電子商務(wù)安全，本章主要內(nèi)容：第一節(jié)電子商務(wù)安全概述第二節(jié)加密技術(shù)第三節(jié)認(rèn)證技術(shù)第四節(jié)電子商務(wù)安全交易協(xié)議，本章要點(diǎn)1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。加密技術(shù)。認(rèn)證技術(shù)。數(shù)字簽名原則7。電子商務(wù)安全交易協(xié)議，第1節(jié)：電子商務(wù)安全概述，1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。電子商務(wù)安全威脅。信息傳遞風(fēng)險(xiǎn)信息傳遞風(fēng)險(xiǎn)是指在線交易過程中，因傳遞信息失真或信息被非法竊取、篡改和丟失而造成的不必要的在線交易損失。(1)假冒和盜竊(2)數(shù)據(jù)篡改(3)信息丟失(4)信息傳輸過程中的破壞(5)虛假信息，一是電子商務(wù)的安全威脅，二是信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)主要

2、來自三個(gè)方面：一是買方的信用風(fēng)險(xiǎn)。對(duì)于個(gè)人消費(fèi)者，他們?cè)诰W(wǎng)上使用信用卡支付時(shí)可能會(huì)惡意透支，或者使用假信用卡騙取賣家的商品；對(duì)于集團(tuán)來說，有可能延遲付款，賣方需要為此承擔(dān)風(fēng)險(xiǎn)。第二，賣方的信用風(fēng)險(xiǎn)。賣方不能按質(zhì)量、數(shù)量和時(shí)間交付消費(fèi)者購(gòu)買的貨物，或不能完全履行與集團(tuán)簽訂的采購(gòu)合同，造成買方的風(fēng)險(xiǎn)。第三，買賣雙方都有否認(rèn)權(quán)。首先，在網(wǎng)上商品中介交易過程中，客戶進(jìn)入交易中心，買賣雙方簽訂合同。交易中心不僅要監(jiān)督買方按時(shí)付款，還要監(jiān)督賣方按時(shí)提供符合合同要求的貨物。這些環(huán)節(jié)存在很多管理風(fēng)險(xiǎn)。其次，人事管理往往是網(wǎng)上交易安全管理中最薄弱的環(huán)節(jié)，而計(jì)算機(jī)犯罪大多是內(nèi)部犯罪。第三，網(wǎng)上交易技術(shù)管理上的漏洞

3、也帶來了更大的交易風(fēng)險(xiǎn)。例如，一些匿名的文件傳輸協(xié)議允許遠(yuǎn)程登錄系統(tǒng)而無需密碼用戶。1.電子商務(wù)的安全威脅；4.法律風(fēng)險(xiǎn)在目前的法律規(guī)定中沒有現(xiàn)成的條款來保護(hù)網(wǎng)上交易中的交易方式，所以房?jī)r(jià)仍然存在風(fēng)險(xiǎn)。一方面，網(wǎng)上交易可能承擔(dān)法律滯后和無法保障合法交易權(quán)益所帶來的風(fēng)險(xiǎn)。另一方面，網(wǎng)上交易也可能承擔(dān)后來法律完善帶來的風(fēng)險(xiǎn)。電子商務(wù)安全要求，1信息的保密性，2信息的完整性，3交易者身份的確定性，4不可否認(rèn)性，5電子商務(wù)交易的有效性，6系統(tǒng)的可靠性，3電子商務(wù)安全保障體系，1正確的電子商務(wù)安全理念。首先，電子商務(wù)安全是一個(gè)系統(tǒng)問題，需要綜合考慮人、技術(shù)、管理、法律法規(guī)等諸多因素。其次，電子商務(wù)安全是

4、一個(gè)整體問題，指望幾個(gè)獨(dú)立的安全產(chǎn)品或技術(shù)手段來解決所有的安全問題是不現(xiàn)實(shí)的。第三，安全是一個(gè)動(dòng)態(tài)的發(fā)展過程，安全建設(shè)不會(huì)一勞永逸。第四，安全是相對(duì)的，對(duì)安全建設(shè)的投資是可以衡量的。3.電子商務(wù)安全保障體系。管理安全措施首先，高層管理人員應(yīng)該對(duì)電子商務(wù)安全給予足夠的重視，并督促管理者與相關(guān)技術(shù)人員共同制定內(nèi)外網(wǎng)安全計(jì)劃和標(biāo)準(zhǔn)。在規(guī)劃中，應(yīng)指出企業(yè)信息安全在近期和未來應(yīng)達(dá)到的水平和標(biāo)準(zhǔn)，以及需要投入的資源。其次，在規(guī)劃和標(biāo)準(zhǔn)的指導(dǎo)下，制定詳細(xì)的安全行為規(guī)范。最后，要特別注意安全法規(guī)的執(zhí)行保障，即如果有法規(guī)，就必須按法規(guī)執(zhí)行。3.電子商務(wù)安全保障體系。法律安全保證在法律上，電子商務(wù)不同于傳統(tǒng)商務(wù)，

5、因?yàn)樗诩埫嫔贤瓿山灰?，并具有文件充分的特點(diǎn)。如何對(duì)電子交易進(jìn)行認(rèn)證，如何避免和懲治電子欺詐，不僅是技術(shù)問題，也涉及到法律領(lǐng)域。在電子商務(wù)的虛擬世界中，需要一個(gè)完善的法律體系來維持秩序。安全的電子商務(wù)不能靠單一的技術(shù)手段來保證，但必須依靠法律手段、行政手段和技術(shù)手段的完美結(jié)合來保護(hù)電子商務(wù)各方的利益。因此，有必要明確企業(yè)之間、政府與企業(yè)之間、企業(yè)與消費(fèi)者之間以及政府之間的法律義務(wù)和責(zé)任。3.電子商務(wù)安全系統(tǒng)4。技術(shù)安全在技術(shù)方面，電子商務(wù)中涉及到很多安全技術(shù)，其中一些已經(jīng)得到了廣泛的應(yīng)用和認(rèn)可。維護(hù)內(nèi)網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)等。維護(hù)互聯(lián)

6、網(wǎng)上交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密和數(shù)字簽名，其中涉及認(rèn)證中心，以識(shí)別真實(shí)世界中用戶的真實(shí)身份。此外，為了維持電子交易中最關(guān)鍵的資本流動(dòng)，特別是信用卡支付的安全性，還涉及到兩個(gè)廣泛使用的協(xié)議，SSL和SET。一般來說，信息的原始形式稱為明文，經(jīng)過轉(zhuǎn)換和加密的明文形式稱為密文。從明文到密文的過程稱為加密，從密文到明文的過程稱為解密。用計(jì)算機(jī)解決問題的方法和步驟是計(jì)算機(jī)的算法。密鑰是一個(gè)數(shù)值，它與加密算法一起生成特殊的密文。數(shù)據(jù)加密的基本過程是按照一定的算法對(duì)原始明文文件或數(shù)據(jù)進(jìn)行處理，使其成為一個(gè)不可讀的代碼，這通常稱為“密文”，這樣只有輸入相應(yīng)的密鑰后才能顯示原始內(nèi)容。這樣，就可以達(dá)到保護(hù)

7、數(shù)據(jù)不被非法人員竊取和讀取的目的。這個(gè)過程的逆過程是解密。加密技術(shù)在第2節(jié)，加密技術(shù)方法(1)對(duì)稱加密技術(shù)，加密技術(shù)在第2節(jié)，非對(duì)稱加密技術(shù)，加密技術(shù)在第2節(jié)，混合加密技術(shù)?；旌霞用芗夹g(shù)不是單一的加密技術(shù)，而是兩者的結(jié)合，是以上兩種數(shù)據(jù)加密技術(shù)結(jié)合的產(chǎn)物。雙方的溝通過程分為兩部分。雙方首先使用非對(duì)稱加密技術(shù)來傳輸此通信中使用的對(duì)稱密鑰，然后使用對(duì)稱加密技術(shù)來加密和傳輸文件。混合加密技術(shù)是用戶在實(shí)際應(yīng)用中總結(jié)出來的，它可以彌補(bǔ)對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)的不足，使它們優(yōu)勢(shì)互補(bǔ)，同時(shí)達(dá)到方便用戶的目的。第二節(jié)加密技術(shù)，第三節(jié)加密技術(shù)在電子商務(wù)中的應(yīng)用(1)加密技術(shù)在商業(yè)信息保密中的應(yīng)用加密技術(shù)是人

8、們?yōu)榉乐剐畔⑿孤抖捎玫囊环N常用的安全技術(shù)。在電子商務(wù)中，可以使用DES算法或RSA算法來實(shí)現(xiàn)數(shù)據(jù)加密。(2)加密技術(shù)在身份認(rèn)證中的應(yīng)用數(shù)字簽名技術(shù)是確定交易信息真實(shí)性的主要認(rèn)證方法，其基礎(chǔ)是數(shù)據(jù)加密中的公鑰加密技術(shù)。第三節(jié)認(rèn)證技術(shù)：1 .數(shù)字證書2。數(shù)字簽名技術(shù)。數(shù)字信封技術(shù)4。數(shù)字時(shí)間戳5。認(rèn)證中心1。數(shù)字證書1。數(shù)字證書的定義數(shù)字證書是一系列標(biāo)識(shí)網(wǎng)絡(luò)通信各方身份信息的數(shù)據(jù)，其功能類似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書是由證書頒發(fā)機(jī)構(gòu)數(shù)字簽名的文件，其中包含公鑰所有者信息和公鑰。最簡(jiǎn)單的證書包含公鑰、用戶名和證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名。一般來說，證書還包括密鑰的有效時(shí)間、頒發(fā)機(jī)構(gòu)(證書頒發(fā)機(jī)構(gòu))的

9、名稱、證書的序列號(hào)等信息，證書的格式遵循國(guó)際標(biāo)準(zhǔn)X.509數(shù)字證書的原則數(shù)字證書采用公鑰系統(tǒng)，即使用一對(duì)匹配的密鑰進(jìn)行加密和解密。每個(gè)用戶設(shè)置一個(gè)只有他自己知道的專用密鑰(私鑰)，并使用它來解密和簽名；同時(shí)，一個(gè)公鑰(公鑰)由我自己設(shè)置并公開，并由一組用戶共享，用于加密和簽名驗(yàn)證。發(fā)送機(jī)密文件時(shí)，發(fā)送方使用接收方的公鑰加密數(shù)據(jù)，而接收方使用自己的私鑰解密數(shù)據(jù)，這樣信息就可以安全無誤地到達(dá)目的地。通過數(shù)字手段保證加密過程是不可逆的過程，也就是說，只有私鑰可以用于解密。公鑰技術(shù)解決了密鑰分發(fā)的管理問題，商家可以公開自己的公鑰，保留自己的私鑰。數(shù)字證書的應(yīng)用數(shù)字證書可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動(dòng)和

10、電子政務(wù)活動(dòng)，其應(yīng)用范圍涉及需要身份認(rèn)證和數(shù)據(jù)安全的各種行業(yè)，包括商業(yè)、制造和流通行業(yè)的傳統(tǒng)在線交易，以及公共事業(yè)、金融服務(wù)、工商稅務(wù)、海關(guān)、政府行政機(jī)關(guān)、教育和科研機(jī)構(gòu)、保險(xiǎn)和醫(yī)療等在線工作系統(tǒng)。數(shù)字簽名的概念所謂“數(shù)字簽名”是指生成一系列符號(hào)和代碼，形成電子密碼進(jìn)行簽名，而不是書寫簽名或印章，這種電子簽名也可以進(jìn)行技術(shù)驗(yàn)證。人工簽名和印章驗(yàn)證無法比擬驗(yàn)證的準(zhǔn)確性。“數(shù)字簽名”是電子商務(wù)和電子政務(wù)中應(yīng)用最廣泛、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。它采用標(biāo)準(zhǔn)化的程序和科學(xué)的方法來識(shí)別簽名者的身份并批準(zhǔn)電子數(shù)據(jù)內(nèi)容。數(shù)字簽名的原理和步驟數(shù)字簽名是由計(jì)算機(jī)上的數(shù)字簽名軟件自動(dòng)完成的。當(dāng)數(shù)字

11、簽名軟件生成數(shù)字簽名時(shí)，它分為兩個(gè)步驟：第一步是數(shù)字簽名軟件根據(jù)文件特有的特定算法(散列函數(shù))將簽名文件轉(zhuǎn)換成比原始文件短得多的亂碼。當(dāng)簽名文件的任何位置發(fā)生變化時(shí)，相應(yīng)的雜散代碼也會(huì)發(fā)生變化。在第二步中，發(fā)送者用個(gè)人獨(dú)有的私鑰加密該亂碼，形成數(shù)字簽名。發(fā)送方同時(shí)將原始文本和數(shù)字簽名發(fā)送給接收方。數(shù)字簽名技術(shù)數(shù)字簽名可以解決否認(rèn)、偽造、篡改和假冒等問題。具體功能如下：發(fā)送方事后不能否認(rèn)已發(fā)送消息的簽名；接收者可以驗(yàn)證發(fā)送者發(fā)送的消息簽名；接收者不能偽造發(fā)送者的消息簽名；接收者不能部分篡改發(fā)送者的消息；網(wǎng)絡(luò)中的某個(gè)用戶不能冒充另一個(gè)用戶作為發(fā)送者或接收者。數(shù)字簽名被廣泛使用，它是保證電子數(shù)據(jù)交換

12、安全的一個(gè)突破。數(shù)字信封技術(shù)，數(shù)字信封是公鑰密碼技術(shù)在實(shí)踐中的一種應(yīng)用，它使用加密技術(shù)來保證只有指定的收件人才能閱讀通信內(nèi)容。在一些重要的電子商務(wù)交易中，密鑰必須經(jīng)常更換。為了解決每次換密鑰的問題，結(jié)合對(duì)稱加密技術(shù)和公鑰技術(shù)的優(yōu)點(diǎn)，克服了公鑰加密中密鑰分發(fā)困難和加密時(shí)間長(zhǎng)的問題，采用兩級(jí)加密來獲得公鑰技術(shù)的靈活性和高效性。3.數(shù)字信封技術(shù)；4.數(shù)字時(shí)間戳；1.數(shù)字時(shí)間戳的概念和目的數(shù)字時(shí)間戳是由第三方提供的可信時(shí)間戳服務(wù)。通過該服務(wù)獲得的數(shù)字時(shí)間戳數(shù)據(jù)可以用來證明數(shù)據(jù)在某個(gè)時(shí)間已經(jīng)存在。像用來寄信的郵戳一樣，數(shù)字時(shí)間戳服務(wù)也用來證明信息的發(fā)送和接收時(shí)間。數(shù)字時(shí)間戳廣泛應(yīng)用于以下幾個(gè)方面：第一，

13、數(shù)字簽名；第二，在電子商務(wù)活動(dòng)中提交一定的時(shí)間底線；第三，數(shù)字產(chǎn)品專利和版權(quán)保護(hù)。4.數(shù)字時(shí)間戳，2。數(shù)字時(shí)間戳的生成過程數(shù)字時(shí)間戳的生成過程如圖4-7所示(下一頁)。用戶首先對(duì)文件進(jìn)行加密，用哈希碼給文件打上時(shí)間戳，形成摘要，然后將摘要發(fā)送給DTS。DTS在添加接收文件摘要的日期和時(shí)間信息后對(duì)文件(數(shù)字簽名)進(jìn)行加密，然后將其發(fā)送回用戶。注意：簽署書面文件的時(shí)間是由簽署人自己寫的，但數(shù)字時(shí)間戳不是。它由DTS認(rèn)證單位添加，并基于DTS收到文件的時(shí)間。4.數(shù)字時(shí)間戳，圖4-7。數(shù)字時(shí)間戳的生成過程。4.數(shù)字時(shí)間戳，3。數(shù)字時(shí)間戳的特點(diǎn)(1)數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理介質(zhì)無關(guān)。(2)時(shí)

14、間戳文件不能更改。(3)不可能用不同于當(dāng)前日期和時(shí)間的時(shí)間戳來標(biāo)記文件。5.認(rèn)證中心1什么是認(rèn)證中心？對(duì)于任何國(guó)家來說，都有必要建立一個(gè)認(rèn)證中心(或認(rèn)證系統(tǒng))和支付網(wǎng)關(guān)來實(shí)現(xiàn)B2B和B2C交易，其中認(rèn)證中心尤為重要。其功能主要體現(xiàn)在預(yù)先驗(yàn)證或識(shí)別參與網(wǎng)上交易活動(dòng)的主體的身份，并用權(quán)威認(rèn)證機(jī)構(gòu)頒發(fā)的相應(yīng)電子(數(shù)字)證書表示其網(wǎng)上身份。認(rèn)證中心在整個(gè)電子商務(wù)環(huán)境中處于至關(guān)重要的地位。它是整個(gè)信任鏈的起點(diǎn)，認(rèn)證中心是發(fā)展電子商務(wù)的基礎(chǔ)。如果認(rèn)證中心不安全或者頒發(fā)的證書不具有權(quán)威性，那么就沒有辦法談?wù)撛诰€電子交易。五、認(rèn)證中心，2CA功能和組件認(rèn)證中心(CA)的功能是：證書頒發(fā)、證書續(xù)訂、證書吊銷和證

15、書驗(yàn)證。證書頒發(fā)機(jī)構(gòu)的核心功能是頒發(fā)和管理數(shù)字證書。為了實(shí)現(xiàn)其功能，認(rèn)證中心主要由以下三部分組成：注冊(cè)服務(wù)器：通過網(wǎng)絡(luò)服務(wù)器建立的網(wǎng)站，可以為客戶提供每天24小時(shí)的服務(wù)。證書申請(qǐng)受理和審查機(jī)構(gòu)：其主要功能是受理和審查客戶的證書申請(qǐng)。認(rèn)證中心服務(wù)器：是數(shù)字證書生成和發(fā)布的操作實(shí)體，提供證書發(fā)布管理、證書撤銷列表(CRL)生成和處理等服務(wù)。一般來說，認(rèn)證中心分為以下幾類：(1)根認(rèn)證中心是國(guó)家認(rèn)證中心，它制定政策并授權(quán)下屬認(rèn)證中心，提供數(shù)字信封等服務(wù)。(2)品牌認(rèn)證機(jī)構(gòu)是由根認(rèn)證機(jī)構(gòu)授權(quán)頒發(fā)證書的組織。它提供私鑰和公鑰系統(tǒng)(目前中國(guó)銀行的CA理論上實(shí)際上屬于這一類)，并允許使用不同品牌的支付工具，

16、如商業(yè)銀行發(fā)行的各種信用卡。(3)區(qū)域認(rèn)證機(jī)構(gòu)，直接附屬于品牌認(rèn)證機(jī)構(gòu)，只是在這一層面上才真正開始運(yùn)作客戶的要求。認(rèn)證中心，認(rèn)證中心，4CA認(rèn)證在電子商務(wù)中的應(yīng)用(1)安全登錄(2)安全虛擬專用網(wǎng)(3)安全電子交易(SET) (4)無線網(wǎng)絡(luò)應(yīng)用，第4節(jié)電子商務(wù)安全交易協(xié)議，1。SSL協(xié)議2。設(shè)置協(xié)議3。SSL協(xié)議與SET協(xié)議的比較。1 SSL協(xié)議(SSL，Security Socket Layer)的概念是由網(wǎng)景公司提出的基于網(wǎng)絡(luò)應(yīng)用的安全協(xié)議，包括：服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、數(shù)據(jù)完整性和SSL鏈路上的保密性。SSL主要使用公鑰系統(tǒng)和X.509數(shù)字證書技術(shù)來保護(hù)信息傳輸?shù)谋Ｃ苄院屯暾浴Ｋ荒鼙ＷC信息的不可否認(rèn)性，主要適用于點(diǎn)對(duì)點(diǎn)的信息傳輸，通常用作網(wǎng)絡(luò)服務(wù)器。1。SSL協(xié)議，2。SSL安全協(xié)議的操作步驟(1)連接階段?？蛻敉ㄟ^網(wǎng)絡(luò)問候服務(wù)提供商，服務(wù)提供商做出回應(yīng)。(2)密碼交換階段。在客戶和服務(wù)提供商之間交換批準(zhǔn)的密碼。一般選擇RSA密碼算法。(3)會(huì)議密碼階段。客戶和服務(wù)提供商之間的對(duì)話密碼。(4)檢驗(yàn)階段。檢驗(yàn)服務(wù)提供商