第二十四章-電子商務(wù)安全

1、1軟軟件件學(xué)學(xué)院院電子商務(wù)安全電子商務(wù)安全電子商務(wù)安全問題電子商務(wù)安全問題電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)CA認(rèn)證認(rèn)證安全電子商務(wù)發(fā)展安全電子商務(wù)發(fā)展網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析電子證券電子證券2軟軟件件學(xué)學(xué)院院傳統(tǒng)商務(wù)傳統(tǒng)商務(wù)商務(wù)是指以商品交易為中心的各種經(jīng)濟(jì)事務(wù)機(jī)管理商務(wù)是指以商品交易為中心的各種經(jīng)濟(jì)事務(wù)機(jī)管理活動活動傳統(tǒng)商業(yè)采用的是柜臺式、傳統(tǒng)商業(yè)采用的是柜臺式、“一手交錢一手交貨一手交錢一手交貨”的交易方式的交易方式3軟軟件件學(xué)學(xué)院院電子商務(wù)電子商務(wù)ELECTRONIC COMMERCE(EC)內(nèi)容包含兩個方面內(nèi)容包含兩個方面:一是電子方式，二是商貿(mào)活動一是電子方式，二是商

2、貿(mào)活動電子商務(wù)指的是利用簡單、快捷、低成本的電子通電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動4軟軟件件學(xué)學(xué)院院電子商務(wù)的幾種定義電子商務(wù)的幾種定義 IBM第一次使用術(shù)語第一次使用術(shù)語“電子商務(wù)電子商務(wù)”加拿大電子商務(wù)協(xié)會給出的電子商務(wù)定義加拿大電子商務(wù)協(xié)會給出的電子商務(wù)定義聯(lián)合國經(jīng)濟(jì)合作和發(fā)展組織（聯(lián)合國經(jīng)濟(jì)合作和發(fā)展組織（OECD）電子商務(wù)的）電子商務(wù)的定義定義中國企業(yè)家們的電子商務(wù)的定義中國企業(yè)家們的電子商務(wù)的定義國際商會世界電子商務(wù)會議電子商務(wù)定義國際商會世界電子商務(wù)會議電子商務(wù)定義5軟軟件件學(xué)學(xué)院院電子商

3、務(wù)的發(fā)展歷史電子商務(wù)的發(fā)展歷史始于始于20世紀(jì)世紀(jì)80年代中期的年代中期的EDI電子商務(wù)電子商務(wù)20世紀(jì)世紀(jì)90年代初期后的年代初期后的Internet電子商務(wù)電子商務(wù)6軟軟件件學(xué)學(xué)院院電子商務(wù)的分類電子商務(wù)的分類從采用的技術(shù)標(biāo)準(zhǔn)和支付角度來分從采用的技術(shù)標(biāo)準(zhǔn)和支付角度來分從服務(wù)類型來分從服務(wù)類型來分從商務(wù)形式來分從商務(wù)形式來分7軟軟件件學(xué)學(xué)院院電子商務(wù)的應(yīng)用領(lǐng)域電子商務(wù)的應(yīng)用領(lǐng)域電信電信媒體及娛樂業(yè)媒體及娛樂業(yè)金融服務(wù)業(yè)金融服務(wù)業(yè)醫(yī)療醫(yī)療8軟軟件件學(xué)學(xué)院院電子商務(wù)的應(yīng)用電子商務(wù)的應(yīng)用虛擬銀行虛擬銀行(網(wǎng)絡(luò)銀行網(wǎng)絡(luò)銀行)網(wǎng)上購物網(wǎng)上購物網(wǎng)絡(luò)廣告網(wǎng)絡(luò)廣告好處：企業(yè)使用電子商務(wù)總體說來可以獲得好處

4、：企業(yè)使用電子商務(wù)總體說來可以獲得3個方面?zhèn)€方面的好處：戰(zhàn)略優(yōu)勢、收入增長和開銷降低的好處：戰(zhàn)略優(yōu)勢、收入增長和開銷降低9軟軟件件學(xué)學(xué)院院電子商務(wù)的發(fā)展趨勢電子商務(wù)的發(fā)展趨勢電子商務(wù)會飛速發(fā)展電子商務(wù)會飛速發(fā)展利用網(wǎng)絡(luò)開展電子商務(wù)的企業(yè)很多利用網(wǎng)絡(luò)開展電子商務(wù)的企業(yè)很多電子商務(wù)還改變了人們消費的方式電子商務(wù)還改變了人們消費的方式10軟軟件件學(xué)學(xué)院院電子商務(wù)主要的安全要素電子商務(wù)主要的安全要素有效性有效性機(jī)密性機(jī)密性完整性完整性可靠性可靠性/不可抵賴性不可抵賴性/鑒別鑒別審查能力審查能力11軟軟件件學(xué)學(xué)院院電子商務(wù)安全電子商務(wù)安全電子商務(wù)安全問題電子商務(wù)安全問題電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)C

5、A認(rèn)證認(rèn)證安全電子商務(wù)發(fā)展安全電子商務(wù)發(fā)展網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析電子證券電子證券12軟軟件件學(xué)學(xué)院院數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密模型數(shù)據(jù)加密算法13軟軟件件學(xué)學(xué)院院數(shù)據(jù)加密模型明文（明文（plaintext） 密文（密文（ciphertext） 加密（加密（encryption） 解密（解密（decryption） 加密算法加密算法 解密算法解密算法 密鑰（密鑰（key） 14軟軟件件學(xué)學(xué)院院數(shù)據(jù)加密算法簡單代替密碼就是將明文字母表簡單代替密碼就是將明文字母表M中的每個字母用中的每個字母用密文字母表密文字母表C中的相應(yīng)字母來代替中的相應(yīng)字母來代替 在常規(guī)密碼中，收信方和

6、發(fā)信方使用相同的密鑰，在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的，美國的即加密密鑰和解密密鑰是相同或等價的，美國的DES ，歐洲的，歐洲的IDEA等等在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰 ，RSA等等 15軟軟件件學(xué)學(xué)院院認(rèn)證技術(shù)認(rèn)證技術(shù)數(shù)字簽名與數(shù)字信封數(shù)字簽名與數(shù)字信封數(shù)字證書數(shù)字證書認(rèn)證中心（認(rèn)證中心（Certification Authority，CA）PKI技術(shù)技術(shù)幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)范幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)

7、范16軟軟件件學(xué)學(xué)院院數(shù)字簽名與數(shù)字信封數(shù)字簽名與數(shù)字信封數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。摘要進(jìn)行加密所得的數(shù)據(jù)。數(shù)字信封采用密碼技術(shù)保證只有規(guī)定的接收人才能數(shù)字信封采用密碼技術(shù)保證只有規(guī)定的接收人才能閱讀信息的內(nèi)容閱讀信息的內(nèi)容數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制17軟軟件件學(xué)學(xué)院院數(shù)字證書數(shù)字證書數(shù)字證書是各類實體（持卡人數(shù)字證書是各類實體（持卡人/個人、商戶個人、商戶/企業(yè)、網(wǎng)企業(yè)、網(wǎng)關(guān)關(guān)/銀行等）在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身銀行等）在網(wǎng)上進(jìn)行信息交流及商務(wù)

8、活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方證書的有效性，從而解決相互間的信需驗證對方證書的有效性，從而解決相互間的信任問題任問題傳送過程傳送過程18軟軟件件學(xué)學(xué)院院CA為了解決電子商務(wù)活動中交易參與各方身份為了解決電子商務(wù)活動中交易參與各方身份認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)(CA)扮演者一個買賣雙方簽約、履約的監(jiān)扮演者一個買賣雙方簽約、履約的監(jiān)督管理的角色，買賣雙方有義務(wù)接受認(rèn)證中心的督管理的角色，買賣雙方有義務(wù)接受認(rèn)證中心的監(jiān)督管理監(jiān)督管理電子商務(wù)認(rèn)證機(jī)構(gòu)對登記的客戶證書履行證書的驗電子商務(wù)認(rèn)證機(jī)構(gòu)對登記的客戶證書履行證書的驗證請求證請求19軟軟

9、件件學(xué)學(xué)院院PKI技術(shù)技術(shù)PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)認(rèn)認(rèn)證中心證中心CA(Certificate Authority)，把用戶的公鑰和用戶的，把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、其他標(biāo)識信息（如名稱、e-mail、身份證號等）捆綁在一起，、身份證號等）捆綁在一起，在在Internet網(wǎng)上驗證用戶的身份網(wǎng)上驗證用戶的身份由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)）和關(guān)于公開密鑰的安全策略等基本成分共同組成的于公開密鑰的安全策略等基本成分共同組成的PKI的核心的技術(shù)基礎(chǔ)

10、是給予公鑰密碼學(xué)的的核心的技術(shù)基礎(chǔ)是給予公鑰密碼學(xué)的加密加密和和簽名簽名技技術(shù)術(shù)20軟軟件件學(xué)學(xué)院院幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)范幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)范密鑰管理技術(shù)密鑰管理技術(shù)Internet電子郵件的安全協(xié)議電子郵件的安全協(xié)議UN/EDIFACT的安全的安全安全電子交易規(guī)范安全電子交易規(guī)范(SET)21軟軟件件學(xué)學(xué)院院電子商務(wù)安全電子商務(wù)安全電子商務(wù)安全問題電子商務(wù)安全問題電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)CA認(rèn)證認(rèn)證安全電子商務(wù)發(fā)展安全電子商務(wù)發(fā)展網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析電子證券電子證券22軟軟件件學(xué)學(xué)院院CA認(rèn)證認(rèn)證數(shù)字證書認(rèn)證中心機(jī)構(gòu)（數(shù)字證書認(rèn)證中心機(jī)構(gòu)（CA）CA

11、中心的概念中心的概念CA的工作原理的工作原理CA中心所發(fā)放的證書的種類中心所發(fā)放的證書的種類國外的認(rèn)證中心機(jī)構(gòu)介紹國外的認(rèn)證中心機(jī)構(gòu)介紹國內(nèi)的國內(nèi)的CA認(rèn)證認(rèn)證與電子商務(wù)安全有關(guān)的其他技術(shù)與電子商務(wù)安全有關(guān)的其他技術(shù)23軟軟件件學(xué)學(xué)院院CA技術(shù)技術(shù)CA中心的核心職能是發(fā)放和管理用戶的數(shù)字安全證中心的核心職能是發(fā)放和管理用戶的數(shù)字安全證書書整個信任鏈的起點整個信任鏈的起點公開密鑰技術(shù)公開密鑰技術(shù)數(shù)字簽名數(shù)字簽名CA中心發(fā)放的證書分為兩類：中心發(fā)放的證書分為兩類：SSL證書和證書和SET證書證書24軟軟件件學(xué)學(xué)院院國外的認(rèn)證中心機(jī)構(gòu)介紹國外的認(rèn)證中心機(jī)構(gòu)介紹VeriSign認(rèn)證中心，軟件行業(yè)第一家

12、具有商業(yè)性質(zhì)的認(rèn)證中心，軟件行業(yè)第一家具有商業(yè)性質(zhì)的證書授權(quán)機(jī)構(gòu)，世界著名的證書授權(quán)機(jī)構(gòu)，世界著名的Micorsoft和和Netscape（網(wǎng)景）公司的數(shù)字標(biāo)識均在該中心注冊的（網(wǎng)景）公司的數(shù)字標(biāo)識均在該中心注冊的BankGate認(rèn)證中心認(rèn)證中心25軟軟件件學(xué)學(xué)院院國內(nèi)的國內(nèi)的CA認(rèn)證認(rèn)證行業(yè)行業(yè)CA ：中國人民銀行認(rèn)證中心（：中國人民銀行認(rèn)證中心（CFCA），中國郵政認(rèn)證），中國郵政認(rèn)證中心，外經(jīng)貿(mào)部認(rèn)證中心等中心，外經(jīng)貿(mào)部認(rèn)證中心等地域地域CA，如上海，如上海CA認(rèn)證中心、廣東認(rèn)證中心、廣東CA認(rèn)證中心等認(rèn)證中心等主要的應(yīng)用主要的應(yīng)用CA證書主要是證書主要是CTCA（中國電信（中國電信CA

13、安全認(rèn)證中安全認(rèn)證中心）、心）、CFCA（中國金融認(rèn)證中心）和（中國金融認(rèn)證中心）和SHECA（中國協(xié)卡（中國協(xié)卡認(rèn)證體系）認(rèn)證體系）電子商務(wù)電子商務(wù)CA技術(shù)的發(fā)展勢必會改變傳統(tǒng)國際貿(mào)易的運行模式技術(shù)的發(fā)展勢必會改變傳統(tǒng)國際貿(mào)易的運行模式 26軟軟件件學(xué)學(xué)院院與電子商務(wù)安全有關(guān)的其他技術(shù)與電子商務(wù)安全有關(guān)的其他技術(shù)訪問控制訪問控制防火墻技術(shù)防火墻技術(shù)數(shù)字時間戳數(shù)字時間戳27軟軟件件學(xué)學(xué)院院電子商務(wù)安全電子商務(wù)安全電子商務(wù)安全問題電子商務(wù)安全問題電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)CA認(rèn)證認(rèn)證安全電子商務(wù)發(fā)展安全電子商務(wù)發(fā)展網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析電子證券電子證券28軟軟件件學(xué)學(xué)院院

14、安全電子商務(wù)的發(fā)展安全電子商務(wù)的發(fā)展生物認(rèn)證生物認(rèn)證安全電子商務(wù)模型安全電子商務(wù)模型29軟軟件件學(xué)學(xué)院院生物認(rèn)證生物認(rèn)證以人自身的物理特征作為身份認(rèn)證依據(jù)的技術(shù)以人自身的物理特征作為身份認(rèn)證依據(jù)的技術(shù)虹膜識別技術(shù)虹膜識別技術(shù)視網(wǎng)膜識別技術(shù)視網(wǎng)膜識別技術(shù)面部識別技術(shù)面部識別技術(shù)簽名識別簽名識別聲音識別技術(shù)聲音識別技術(shù)指紋識別技術(shù)指紋識別技術(shù)30軟軟件件學(xué)學(xué)院院安全電子商務(wù)模型安全電子商務(wù)模型安全電子商務(wù)系統(tǒng)的功能體系結(jié)構(gòu)安全電子商務(wù)系統(tǒng)的功能體系結(jié)構(gòu)電子商務(wù)系統(tǒng)的功能模塊電子商務(wù)系統(tǒng)的功能模塊電子柜員機(jī)電子柜員機(jī)用戶端電子錢包用戶端電子錢包31軟軟件件學(xué)學(xué)院院安全電子商務(wù)系統(tǒng)的功能體系結(jié)構(gòu)安全電

15、子商務(wù)系統(tǒng)的功能體系結(jié)構(gòu)功能體系結(jié)構(gòu)可以分為三層功能體系結(jié)構(gòu)可以分為三層安全基礎(chǔ)結(jié)構(gòu)包括安全基礎(chǔ)結(jié)構(gòu)包括CA安全安全認(rèn)證體系（包括安全安全認(rèn)證體系（包括SET CA體系和通用體系）和基本的安全技術(shù)體系和通用體系）和基本的安全技術(shù)支付體系只與電子商務(wù)業(yè)務(wù)中的支付型業(yè)務(wù)有關(guān)支付體系只與電子商務(wù)業(yè)務(wù)中的支付型業(yè)務(wù)有關(guān)電子商務(wù)業(yè)務(wù)包括支付型業(yè)務(wù)和非支付型業(yè)務(wù)電子商務(wù)業(yè)務(wù)包括支付型業(yè)務(wù)和非支付型業(yè)務(wù)32軟軟件件學(xué)學(xué)院院電子商務(wù)系統(tǒng)的功能模塊電子商務(wù)系統(tǒng)的功能模塊CA體系：為用戶的公鑰簽發(fā)證書，以實現(xiàn)公鑰的分體系：為用戶的公鑰簽發(fā)證書，以實現(xiàn)公鑰的分發(fā)并證明其有效性。該證書證明了該用戶擁有證發(fā)并證明其有效

16、性。該證書證明了該用戶擁有證書中列出的公開密鑰書中列出的公開密鑰 支付網(wǎng)關(guān)：支付網(wǎng)關(guān)與支付型電子商務(wù)業(yè)務(wù)相關(guān)，支付網(wǎng)關(guān)：支付網(wǎng)關(guān)與支付型電子商務(wù)業(yè)務(wù)相關(guān)，位于公眾網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間位于公眾網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間33軟軟件件學(xué)學(xué)院院電子柜員機(jī)電子柜員機(jī)支付型電子商務(wù)業(yè)務(wù)通過電子柜員機(jī)接入公眾網(wǎng)，是電子商務(wù)支付型電子商務(wù)業(yè)務(wù)通過電子柜員機(jī)接入公眾網(wǎng)，是電子商務(wù)系統(tǒng)中提供支付型電子商務(wù)服務(wù)的服務(wù)者的支付服務(wù)器，它系統(tǒng)中提供支付型電子商務(wù)服務(wù)的服務(wù)者的支付服務(wù)器，它必須能夠處理用戶的申請并和銀行（通過支付網(wǎng)關(guān)）進(jìn)行通必須能夠處理用戶的申請并和銀行（通過支付網(wǎng)關(guān)）進(jìn)行通信，發(fā)送和接收加密信息，存儲簽

17、名鑰匙和交換鑰匙，申請信，發(fā)送和接收加密信息，存儲簽名鑰匙和交換鑰匙，申請和接受認(rèn)證，與數(shù)據(jù)庫進(jìn)行通信以便存儲和填寫訂單及保留和接受認(rèn)證，與數(shù)據(jù)庫進(jìn)行通信以便存儲和填寫訂單及保留和處理記錄。和處理記錄。CN POS和和SET電子柜員機(jī)電子柜員機(jī)34軟軟件件學(xué)學(xué)院院用戶端電子錢包用戶端電子錢包用戶端軟件稱為電子錢包用戶端軟件稱為電子錢包CN Wallet和和SET Wallet電子商務(wù)模式有以下幾個特點：多樣化電子商務(wù)模式有以下幾個特點：多樣化 ，CA，多種，多種支付平臺，服務(wù)于廣大客戶，多種終端支付平臺，服務(wù)于廣大客戶，多種終端35軟軟件件學(xué)學(xué)院院電子商務(wù)安全電子商務(wù)安全電子商務(wù)安全問題電子商

18、務(wù)安全問題電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)CA認(rèn)證認(rèn)證安全電子商務(wù)發(fā)展安全電子商務(wù)發(fā)展網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析電子證券電子證券36軟軟件件學(xué)學(xué)院院網(wǎng)上銀行的安全性分析網(wǎng)上銀行的安全性分析網(wǎng)絡(luò)銀行的風(fēng)險類型：網(wǎng)絡(luò)銀行的風(fēng)險類型：電子扒手電子扒手網(wǎng)上詐騙網(wǎng)上詐騙電腦黑客電腦黑客計算機(jī)病毒計算機(jī)病毒信息污染信息污染37軟軟件件學(xué)學(xué)院院銀行交易系統(tǒng)的安全性銀行交易系統(tǒng)的安全性建立網(wǎng)絡(luò)安全防護(hù)體系建立網(wǎng)絡(luò)安全防護(hù)體系加快發(fā)展網(wǎng)絡(luò)加密技術(shù)發(fā)展數(shù)據(jù)庫技術(shù)，建立大型加快發(fā)展網(wǎng)絡(luò)加密技術(shù)發(fā)展數(shù)據(jù)庫技術(shù)，建立大型網(wǎng)絡(luò)銀行數(shù)據(jù)庫網(wǎng)絡(luò)銀行數(shù)據(jù)庫加速金融工程學(xué)科在我國的研究、開發(fā)和利用加速金融工程學(xué)科在我國的研究、開發(fā)和利用加快電子商務(wù)和網(wǎng)絡(luò)銀行的立法進(jìn)程加入加快電子商務(wù)和網(wǎng)絡(luò)銀行的立法進(jìn)程加入WTO后后我國銀行金融業(yè)面臨的問題我國銀行金融業(yè)面臨的問題38軟軟件件學(xué)學(xué)院院網(wǎng)上銀行的技術(shù)措施網(wǎng)上銀行的技術(shù)措施設(shè)立防火墻，隔離相關(guān)網(wǎng)絡(luò)設(shè)立防火墻，隔離相關(guān)網(wǎng)絡(luò)高安全級的高安全級的Web應(yīng)用服務(wù)器應(yīng)用服務(wù)器24小時實時安全監(jiān)控小時實時安全監(jiān)控身份識別和身份識別和CA認(rèn)證認(rèn)證網(wǎng)絡(luò)通訊的安全性網(wǎng)絡(luò)通訊的安全性客戶的安全意識客戶的安全意識 39