電子商務(wù)課件PPT4資料.ppt

1、第四章電子商務(wù)安全，本章主要內(nèi)容：第一節(jié)電子商務(wù)安全概述第二節(jié)加密技術(shù)第三節(jié)認證技術(shù)第四節(jié)電子商務(wù)安全交易協(xié)議，本章要點1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。加密技術(shù)。認證技術(shù)。數(shù)字簽名原則7。電子商務(wù)安全交易協(xié)議，第1節(jié)：電子商務(wù)安全概述，1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。電子商務(wù)安全威脅。信息傳遞風險信息傳遞風險是指在線交易過程中，因傳遞信息失真或信息被非法竊取、篡改和丟失而造成的不必要的在線交易損失。(1)假冒和盜竊(2)數(shù)據(jù)篡改(3)信息丟失(4)信息傳輸過程中的破壞(5)虛假信息，一是電子商務(wù)的安全威脅，二是信用風險信用風險主要

2、來自三個方面：一是買方的信用風險。對于個人消費者，他們在網(wǎng)上使用信用卡支付時可能會惡意透支，或者使用假信用卡騙取賣家的商品；對于集團來說，有可能延遲付款，賣方需要為此承擔風險。第二，賣方的信用風險。賣方不能按質(zhì)量、數(shù)量和時間交付消費者購買的貨物，或不能完全履行與集團簽訂的采購合同，造成買方的風險。第三，買賣雙方都有否認權(quán)。首先，在網(wǎng)上商品中介交易過程中，客戶進入交易中心，買賣雙方簽訂合同。交易中心不僅要監(jiān)督買方按時付款，還要監(jiān)督賣方按時提供符合合同要求的貨物。這些環(huán)節(jié)存在很多管理風險。其次，人事管理往往是網(wǎng)上交易安全管理中最薄弱的環(huán)節(jié)，而計算機犯罪大多是內(nèi)部犯罪。第三，網(wǎng)上交易技術(shù)管理上的漏洞

3、也帶來了更大的交易風險。例如，一些匿名的文件傳輸協(xié)議允許遠程登錄系統(tǒng)而無需密碼用戶。1.電子商務(wù)的安全威脅；4.法律風險在目前的法律規(guī)定中沒有現(xiàn)成的條款來保護網(wǎng)上交易中的交易方式，所以房價仍然存在風險。一方面，網(wǎng)上交易可能承擔法律滯后和無法保障合法交易權(quán)益所帶來的風險。另一方面，網(wǎng)上交易也可能承擔后來法律完善帶來的風險。電子商務(wù)安全要求，1信息的保密性，2信息的完整性，3交易者身份的確定性，4不可否認性，5電子商務(wù)交易的有效性，6系統(tǒng)的可靠性，3電子商務(wù)安全保障體系，1正確的電子商務(wù)安全理念。首先，電子商務(wù)安全是一個系統(tǒng)問題，需要綜合考慮人、技術(shù)、管理、法律法規(guī)等諸多因素。其次，電子商務(wù)安全是

4、一個整體問題，指望幾個獨立的安全產(chǎn)品或技術(shù)手段來解決所有的安全問題是不現(xiàn)實的。第三，安全是一個動態(tài)的發(fā)展過程，安全建設(shè)不會一勞永逸。第四，安全是相對的，對安全建設(shè)的投資是可以衡量的。3.電子商務(wù)安全保障體系。管理安全措施首先，高層管理人員應(yīng)該對電子商務(wù)安全給予足夠的重視，并督促管理者與相關(guān)技術(shù)人員共同制定內(nèi)外網(wǎng)安全計劃和標準。在規(guī)劃中，應(yīng)指出企業(yè)信息安全在近期和未來應(yīng)達到的水平和標準，以及需要投入的資源。其次，在規(guī)劃和標準的指導下，制定詳細的安全行為規(guī)范。最后，要特別注意安全法規(guī)的執(zhí)行保障，即如果有法規(guī)，就必須按法規(guī)執(zhí)行。3.電子商務(wù)安全保障體系。法律安全保證在法律上，電子商務(wù)不同于傳統(tǒng)商務(wù)，

5、因為它在紙面上完成交易，并具有文件充分的特點。如何對電子交易進行認證，如何避免和懲治電子欺詐，不僅是技術(shù)問題，也涉及到法律領(lǐng)域。在電子商務(wù)的虛擬世界中，需要一個完善的法律體系來維持秩序。安全的電子商務(wù)不能靠單一的技術(shù)手段來保證，但必須依靠法律手段、行政手段和技術(shù)手段的完美結(jié)合來保護電子商務(wù)各方的利益。因此，有必要明確企業(yè)之間、政府與企業(yè)之間、企業(yè)與消費者之間以及政府之間的法律義務(wù)和責任。3.電子商務(wù)安全系統(tǒng)4。技術(shù)安全在技術(shù)方面，電子商務(wù)中涉及到很多安全技術(shù)，其中一些已經(jīng)得到了廣泛的應(yīng)用和認可。維護內(nèi)網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)等。維護互聯(lián)

6、網(wǎng)上交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密和數(shù)字簽名，其中涉及認證中心，以識別真實世界中用戶的真實身份。此外，為了維持電子交易中最關(guān)鍵的資本流動，特別是信用卡支付的安全性，還涉及到兩個廣泛使用的協(xié)議，SSL和SET。一般來說，信息的原始形式稱為明文，經(jīng)過轉(zhuǎn)換和加密的明文形式稱為密文。從明文到密文的過程稱為加密，從密文到明文的過程稱為解密。用計算機解決問題的方法和步驟是計算機的算法。密鑰是一個數(shù)值，它與加密算法一起生成特殊的密文。數(shù)據(jù)加密的基本過程是按照一定的算法對原始明文文件或數(shù)據(jù)進行處理，使其成為一個不可讀的代碼，這通常稱為“密文”，這樣只有輸入相應(yīng)的密鑰后才能顯示原始內(nèi)容。這樣，就可以達到保護

7、數(shù)據(jù)不被非法人員竊取和讀取的目的。這個過程的逆過程是解密。加密技術(shù)在第2節(jié)，加密技術(shù)方法(1)對稱加密技術(shù)，加密技術(shù)在第2節(jié)，非對稱加密技術(shù)，加密技術(shù)在第2節(jié)，混合加密技術(shù)?；旌霞用芗夹g(shù)不是單一的加密技術(shù)，而是兩者的結(jié)合，是以上兩種數(shù)據(jù)加密技術(shù)結(jié)合的產(chǎn)物。雙方的溝通過程分為兩部分。雙方首先使用非對稱加密技術(shù)來傳輸此通信中使用的對稱密鑰，然后使用對稱加密技術(shù)來加密和傳輸文件。混合加密技術(shù)是用戶在實際應(yīng)用中總結(jié)出來的，它可以彌補對稱加密技術(shù)和非對稱加密技術(shù)的不足，使它們優(yōu)勢互補，同時達到方便用戶的目的。第二節(jié)加密技術(shù)，第三節(jié)加密技術(shù)在電子商務(wù)中的應(yīng)用(1)加密技術(shù)在商業(yè)信息保密中的應(yīng)用加密技術(shù)是人

8、們?yōu)榉乐剐畔⑿孤抖捎玫囊环N常用的安全技術(shù)。在電子商務(wù)中，可以使用DES算法或RSA算法來實現(xiàn)數(shù)據(jù)加密。(2)加密技術(shù)在身份認證中的應(yīng)用數(shù)字簽名技術(shù)是確定交易信息真實性的主要認證方法，其基礎(chǔ)是數(shù)據(jù)加密中的公鑰加密技術(shù)。第三節(jié)認證技術(shù)：1 .數(shù)字證書2。數(shù)字簽名技術(shù)。數(shù)字信封技術(shù)4。數(shù)字時間戳5。認證中心1。數(shù)字證書1。數(shù)字證書的定義數(shù)字證書是一系列標識網(wǎng)絡(luò)通信各方身份信息的數(shù)據(jù)，其功能類似于現(xiàn)實生活中的身份證。數(shù)字證書是由證書頒發(fā)機構(gòu)數(shù)字簽名的文件，其中包含公鑰所有者信息和公鑰。最簡單的證書包含公鑰、用戶名和證書頒發(fā)機構(gòu)的數(shù)字簽名。一般來說，證書還包括密鑰的有效時間、頒發(fā)機構(gòu)(證書頒發(fā)機構(gòu))的

9、名稱、證書的序列號等信息，證書的格式遵循國際標準X.509數(shù)字證書的原則數(shù)字證書采用公鑰系統(tǒng)，即使用一對匹配的密鑰進行加密和解密。每個用戶設(shè)置一個只有他自己知道的專用密鑰(私鑰)，并使用它來解密和簽名；同時，一個公鑰(公鑰)由我自己設(shè)置并公開，并由一組用戶共享，用于加密和簽名驗證。發(fā)送機密文件時，發(fā)送方使用接收方的公鑰加密數(shù)據(jù)，而接收方使用自己的私鑰解密數(shù)據(jù)，這樣信息就可以安全無誤地到達目的地。通過數(shù)字手段保證加密過程是不可逆的過程，也就是說，只有私鑰可以用于解密。公鑰技術(shù)解決了密鑰分發(fā)的管理問題，商家可以公開自己的公鑰，保留自己的私鑰。數(shù)字證書的應(yīng)用數(shù)字證書可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動和

10、電子政務(wù)活動，其應(yīng)用范圍涉及需要身份認證和數(shù)據(jù)安全的各種行業(yè)，包括商業(yè)、制造和流通行業(yè)的傳統(tǒng)在線交易，以及公共事業(yè)、金融服務(wù)、工商稅務(wù)、海關(guān)、政府行政機關(guān)、教育和科研機構(gòu)、保險和醫(yī)療等在線工作系統(tǒng)。數(shù)字簽名的概念所謂“數(shù)字簽名”是指生成一系列符號和代碼，形成電子密碼進行簽名，而不是書寫簽名或印章，這種電子簽名也可以進行技術(shù)驗證。人工簽名和印章驗證無法比擬驗證的準確性?！皵?shù)字簽名”是電子商務(wù)和電子政務(wù)中應(yīng)用最廣泛、技術(shù)最成熟、可操作性最強的一種電子簽名方法。它采用標準化的程序和科學的方法來識別簽名者的身份并批準電子數(shù)據(jù)內(nèi)容。數(shù)字簽名的原理和步驟數(shù)字簽名是由計算機上的數(shù)字簽名軟件自動完成的。當數(shù)字

11、簽名軟件生成數(shù)字簽名時，它分為兩個步驟：第一步是數(shù)字簽名軟件根據(jù)文件特有的特定算法(散列函數(shù))將簽名文件轉(zhuǎn)換成比原始文件短得多的亂碼。當簽名文件的任何位置發(fā)生變化時，相應(yīng)的雜散代碼也會發(fā)生變化。在第二步中，發(fā)送者用個人獨有的私鑰加密該亂碼，形成數(shù)字簽名。發(fā)送方同時將原始文本和數(shù)字簽名發(fā)送給接收方。數(shù)字簽名技術(shù)數(shù)字簽名可以解決否認、偽造、篡改和假冒等問題。具體功能如下：發(fā)送方事后不能否認已發(fā)送消息的簽名；接收者可以驗證發(fā)送者發(fā)送的消息簽名；接收者不能偽造發(fā)送者的消息簽名；接收者不能部分篡改發(fā)送者的消息；網(wǎng)絡(luò)中的某個用戶不能冒充另一個用戶作為發(fā)送者或接收者。數(shù)字簽名被廣泛使用，它是保證電子數(shù)據(jù)交換

12、安全的一個突破。數(shù)字信封技術(shù)，數(shù)字信封是公鑰密碼技術(shù)在實踐中的一種應(yīng)用，它使用加密技術(shù)來保證只有指定的收件人才能閱讀通信內(nèi)容。在一些重要的電子商務(wù)交易中，密鑰必須經(jīng)常更換。為了解決每次換密鑰的問題，結(jié)合對稱加密技術(shù)和公鑰技術(shù)的優(yōu)點，克服了公鑰加密中密鑰分發(fā)困難和加密時間長的問題，采用兩級加密來獲得公鑰技術(shù)的靈活性和高效性。3.數(shù)字信封技術(shù)；4.數(shù)字時間戳；1.數(shù)字時間戳的概念和目的數(shù)字時間戳是由第三方提供的可信時間戳服務(wù)。通過該服務(wù)獲得的數(shù)字時間戳數(shù)據(jù)可以用來證明數(shù)據(jù)在某個時間已經(jīng)存在。像用來寄信的郵戳一樣，數(shù)字時間戳服務(wù)也用來證明信息的發(fā)送和接收時間。數(shù)字時間戳廣泛應(yīng)用于以下幾個方面：第一，

13、數(shù)字簽名；第二，在電子商務(wù)活動中提交一定的時間底線；第三，數(shù)字產(chǎn)品專利和版權(quán)保護。4.數(shù)字時間戳，2。數(shù)字時間戳的生成過程數(shù)字時間戳的生成過程如圖4-7所示(下一頁)。用戶首先對文件進行加密，用哈希碼給文件打上時間戳，形成摘要，然后將摘要發(fā)送給DTS。DTS在添加接收文件摘要的日期和時間信息后對文件(數(shù)字簽名)進行加密，然后將其發(fā)送回用戶。注意：簽署書面文件的時間是由簽署人自己寫的，但數(shù)字時間戳不是。它由DTS認證單位添加，并基于DTS收到文件的時間。4.數(shù)字時間戳，圖4-7。數(shù)字時間戳的生成過程。4.數(shù)字時間戳，3。數(shù)字時間戳的特點(1)數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理介質(zhì)無關(guān)。(2)時

14、間戳文件不能更改。(3)不可能用不同于當前日期和時間的時間戳來標記文件。5.認證中心1什么是認證中心？對于任何國家來說，都有必要建立一個認證中心(或認證系統(tǒng))和支付網(wǎng)關(guān)來實現(xiàn)B2B和B2C交易，其中認證中心尤為重要。其功能主要體現(xiàn)在預先驗證或識別參與網(wǎng)上交易活動的主體的身份，并用權(quán)威認證機構(gòu)頒發(fā)的相應(yīng)電子(數(shù)字)證書表示其網(wǎng)上身份。認證中心在整個電子商務(wù)環(huán)境中處于至關(guān)重要的地位。它是整個信任鏈的起點，認證中心是發(fā)展電子商務(wù)的基礎(chǔ)。如果認證中心不安全或者頒發(fā)的證書不具有權(quán)威性，那么就沒有辦法談?wù)撛诰€電子交易。五、認證中心，2CA功能和組件認證中心(CA)的功能是：證書頒發(fā)、證書續(xù)訂、證書吊銷和證

15、書驗證。證書頒發(fā)機構(gòu)的核心功能是頒發(fā)和管理數(shù)字證書。為了實現(xiàn)其功能，認證中心主要由以下三部分組成：注冊服務(wù)器：通過網(wǎng)絡(luò)服務(wù)器建立的網(wǎng)站，可以為客戶提供每天24小時的服務(wù)。證書申請受理和審查機構(gòu)：其主要功能是受理和審查客戶的證書申請。認證中心服務(wù)器：是數(shù)字證書生成和發(fā)布的操作實體，提供證書發(fā)布管理、證書撤銷列表(CRL)生成和處理等服務(wù)。一般來說，認證中心分為以下幾類：(1)根認證中心是國家認證中心，它制定政策并授權(quán)下屬認證中心，提供數(shù)字信封等服務(wù)。(2)品牌認證機構(gòu)是由根認證機構(gòu)授權(quán)頒發(fā)證書的組織。它提供私鑰和公鑰系統(tǒng)(目前中國銀行的CA理論上實際上屬于這一類)，并允許使用不同品牌的支付工具，

16、如商業(yè)銀行發(fā)行的各種信用卡。(3)區(qū)域認證機構(gòu)，直接附屬于品牌認證機構(gòu)，只是在這一層面上才真正開始運作客戶的要求。認證中心，認證中心，4CA認證在電子商務(wù)中的應(yīng)用(1)安全登錄(2)安全虛擬專用網(wǎng)(3)安全電子交易(SET) (4)無線網(wǎng)絡(luò)應(yīng)用，第4節(jié)電子商務(wù)安全交易協(xié)議，1。SSL協(xié)議2。設(shè)置協(xié)議3。SSL協(xié)議與SET協(xié)議的比較。1 SSL協(xié)議(SSL，Security Socket Layer)的概念是由網(wǎng)景公司提出的基于網(wǎng)絡(luò)應(yīng)用的安全協(xié)議，包括：服務(wù)器認證、客戶認證(可選)、數(shù)據(jù)完整性和SSL鏈路上的保密性。SSL主要使用公鑰系統(tǒng)和X.509數(shù)字證書技術(shù)來保護信息傳輸?shù)谋Ｃ苄院屯暾?。它不能保證信息的不可否認性，主要適用于點對點的信息傳輸，通常用作網(wǎng)絡(luò)服務(wù)器。1。SSL協(xié)議，2。SSL安全協(xié)議的操作步驟(1)連接階段。客戶通過網(wǎng)絡(luò)問候服務(wù)提供商，服務(wù)提供商做出回應(yīng)。(2)密碼交換階段。在客戶和服務(wù)提供商之間交換批準的密碼。一般選擇RSA密碼算法。(3)會議密碼階段。客戶和服務(wù)提供商之間的對話密碼。(4)檢驗階段。檢驗服務(wù)提供商