电子商务课件PPT4.ppt

第四章 电子商务安全,本章的主要内容：第一节 电子商务安全概述 第二节 加密技术 第三节 认证技术 第四节 电子商务安全交易协议,本章要点,1.电子商务的安全威胁2.电子商务的安全需求3.电子商务安全保障体系4.加密技术5.认证技术6.数字签名原理7.电子商务安全交易协议,第一节 电子商务安全概述,一、电子商务的安全威胁 二、电子商务的安全性需求 三、电子商务安全的保障体系,一、电子商务的安全威胁,1.信息传输风险 信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而导致网上交易的不必要损失。（1）冒名偷窃（2）篡改数据（3）信息丢失（4）信息传递过程中的破坏（5）虚假信息,一、电子商务的安全威胁,2信用风险 信用风险主要来自三个方面：第一，来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团来说，存在拖延货款的可能，卖方需要为此承担风险。第二，来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团签订的购买合同，造成买方的风险。第三，买卖双方都存在抵赖的情况。,一、电子商务的安全威胁,3管理方面的风险 首先，在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上都存在大量的管理风险。其次，人员管理常常是网上交易安全管理上的最薄弱的环节，计算机犯罪大都呈现内部犯罪。第三，网络交易技术管理的漏洞也带来较大的交易风险。如一些匿名的FTP，允许telnet登陆无口令用户的系统。,一、电子商务的安全威胁,4.法律方面的风险 在目前的法律条文上找不到现成的条文保护网络交易中的交易方式，因此还存在房率方面的风险。一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益造成的风险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险。,二、电子商务的安全性需求,1信息的保密性2信息的完整性3交易者身份确定性4不可否认性5电子商务交易的有效性6系统的可靠性,三、电子商务安全的保障体系,1电子商务安全保障的正确理念 首先，电子商务安全是系统性问题，要综合考虑人、技术、管理、法规、制度等多项要素。其次，电子商务安全是整体性问题，指望几项离散的安全产品或技术手段解决所有安全问题是不现实的。第三，安全保障是动态发展的过程，安全保障建设不会是一劳永逸的。第四，安全是相对性的，安全保障建设投资是可度量的。,三、电子商务安全的保障体系,2管理上的安全措施 首先，在高层管理要引起对电子商务安全的足够重视，促成管理人员同相关的技术人员一起制定企业内部、外部网络安全规划和标准。在规划中应该指出企业信息安全在近期和未来一段时间内要达到什么级别和标准，预备投入的资源等。其次，在规划和标准的指导下要制定详细的安全行为规范。最后，要特别注意安全条例的执行保障，即有了规定就一定要按照规定去执行。,三、电子商务安全的保障体系,3法律上的安全保障 在法律上，电子商务不同于传统商务在纸面上完成交易、有据可查的特点，电子交易如何认证、电子欺诈如何避免和惩治不仅是技术问题，同时也要涉及法律领域。在电子商务这个虚拟世界里，更需要完善的法律体系来维持秩序。安全的电子商务仅靠单一的技术手段来保证是不会奏效的，必须依靠法律手段、行政手段和技术手段的完美结合来最终保护参与电子商务各方的利益。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。,三、电子商务安全的保障体系,4技术上的安全保障 在技术上，电子商务中涉及的安全技术很多，其中有一些已经获得了广泛的应用和认可。对于维护企业内部网安全的技术包括用户密码和权限管理技术、防火墙技术、虚拟专用网技术和网络杀毒技术等；维护交易数据在互联网上安全传输的技术包括数据加密和数字签名等，其中为了识别用户在现实世界中的真实身份还要涉及认证中心；另外，为了维护电子交易中最为关键的资金流动，特别是信用卡支付的安全，还要涉及两个应用广泛的协议：SSL和SET协议。,第二节 加密技术,1加密的相关概念 一般情况下，把信息的原始形式称为明文，明文经过变换加密后的形式称为密文。由明文变成密文的过程称为加密，由密文变成明文的过程称为解密。计算机解决问题的方法和步骤，就是计算机的算法。密钥是一个数值，它和加密算法一起生成特别的密文。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密。,第二节 加密技术,2加密技术方法（1）对称式加密技术,第二节 加密技术,（2）非对称式加密技术,第二节 加密技术,（3）混合加密技术 混合加密技术不是一种单一的加密技术，而是一个结合体，是上述两种数据加密技术相互结合的产物。通信双方的通信过程分为两个部分，双方先利用非对称加密技术传送本次通信所用的对称密钥，然后再用对称加密技术加密传送文件。混合加密技术是用户在实际应用中总结出来的，它可以弥补对称加密技术和非对称加密技术的弱点，使二者优势互补，同时达到方便用户的目的。,第二节 加密技术,3加密技术在电子商务中的应用（1）加密技术在商务信息保密中的应用 加密技术是人们防止信息失密而常采取的安全技术手段，在电子商务中实现数据加密既可以采用DES算法，也可以采用RSA算法。（2）加密技术在身份认证中的应用 数字签名技术是确定交易信息内容的真实性的主要鉴别手段，其基础是数据加密中的公开密钥加密技术。,第三节 认证技术,一、数字证书 二、数字签名技术 三、数字信封技术 四、数字时间戳 五、认证中心,一、数字证书,1数字证书的定义 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生话中的身份证。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、用户名以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循X.509国际标准。,一、数字证书,一、数字证书,2数字证书的原理 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。,一、数字证书,3数字证书的应用 数字证书可以应用于互联网上的电子商务活动和电子政务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。,二、数字签名技术,1数字签名的概念 所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证。其验证的准确度是一般手工签名和图章验证无法比拟的。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。,二、数字签名技术,2数字签名的原理及步骤 数字签名是由数字签字软件在计算机上自动完成的，数字签字软件在产生数字签名时是分为两个步骤来完成的：第一步是数字签字软件根据特定的算法（哈希函数）将被签文件转换成一个比原来文件短得多的杂散码，这个杂散码对该文件是唯一的，当被签文件的任何地方被更改时，相应的杂散码也随之改变。第二步是由发送者用个人所独有的私人密钥将得到的杂散码进行加密，形成数字签名。发送方将原文和数字签名同时传给接收方。,二、数字签名技术,3数字签名的功能 数字签名可以解决否认、伪造、篡改及冒充等问题。具体功能有：发送者事后不能否认发送的报文签名；接收者能够核实发送者发送的报文签名；接收者不能伪造发送者的报文签名；接收者不能对发送者的报文进行部分篡改；网络中的某一用户不能冒充另一用户作为发送者或接收者。数字签名的应用范围十分广泛，在保障电子数据交换（EDI）的安全性上是一个突破性的进展，凡是需要对用户的身份进行判断的情况都可以使用数字签名。,三、数字信封技术,数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在一些重要的电子商务交易中密钥必须经常更换，为了解决每次更换密钥的问题，结合对称加密技术和公开密钥技术的优点，它克服了秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题，使用两个层次的加密来获得公开密钥技术的灵活性和秘密密钥技术高效性。,三、数字信封技术,四、数字时间戳,1数字时间戳的概念与用途 数字时间戳是由第三方提供的一种可信时间标记服务，通过该服务获得的数字时间戳数据可以用来证明在某一时刻数据已经存在。与寄信用的邮戳一样，数字时间戳服务也是用来证明消息的收发时间的。数字时间戳在如下几个方面有广泛的应用：第一，数字签名；第二，电子商务活动中某些时间底线的提交；第三，数字产品专利和版权保护。,四、数字时间戳,2数字时间戳的产生过程 数字时间戳的产生过程如图4-7（下页）所示。用户首先将需要加时间戳的文件用哈希编码加密形成摘要，然后将该摘要发送到DTS。DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。注意：书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由DTS认证单位来加的，并以DTS收到文件的时间为依据。,四、数字时间戳,图 4-7 数字时间戳的产生过程,四、数字时间戳,3数字时间戳的特点（1）数据文件加盖的时间戳与存储数据的物理媒体无关。（2）对已加盖时间戳的文件不能做丝毫改动。（3）要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。,五、认证中心,1什么是CA认证 所谓CA（Certificate Authority）认证中心，对于任何一个国家来说，要实现B2B、B2C交易方式，建设CA（认证中心或称认证体系）和支付网关是必不可少的，其中CA尤其重要。其作用主要体现在事先验证或识别参与网上交易活动的各个主体的身份，并用相应的电子（数字）证书代表他们在网上的身份，而这些电子证书就是由权威认证机构（即CA）来颁发的。CA中心在整个电子商务环境中处于至关重要的位置。它是整个信任链的起点，CA中心是开展电子商务的基础。如果CA中心不安全或发放的证书不具权威性，那么网上电子交易就根本无从谈起。,五、认证中心,2CA功能和组成部分 认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。认证中心为了实现其功能，主要由以下三部分组成：注册服务器：通过Web Server建立的站点，可为客户提供每日24小时的服务。证书申请受理和审核机构：它的主要功能是接受客户证书申请并进行审核。认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。,五、认证中心,3CA分级系统 一般说来，CA分为以下几种类型：（1）根CA（Root CA）属国家级认证中心，它制定政策并对下级CA授权，并提供数字信封等服务。（2）品牌CA（Brand CA），是经根CA授权并核发凭证的机构，它提供私钥和公钥系统（中国银行目前的CA从理论上其实就属于此类），并允许使用不同品牌的支付工具，如各商业银行发行的各种信用卡等。（3）区域CA（Region CA），直接隶属于品牌CA，到这一层面才开始真正对客户的请求进行运作。,五、认证中心,五、认证中心,4CA认证在电子商务中的应用（1）安全登录（2）安全VPN（3）安全电子交易（SET）（4）无线网络的应用,第四节 电子商务安全交易协议,一、SSL协议 二、SET协议 三、SSL协议与SET协议的比较,一、SSL协议,1SSL协议的概念 安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和保密性。SSL主要使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。,一、SSL协议,2SSL安全协议的运行步骤（1）接通阶段。客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段。客户与服务商之间交换认可的密码。一般选用RSA密码算法。（3）会谈密码阶段。客户与服务商间产生彼此交谈的会谈密码。（4）检验阶段。检验服务商取得的密码。（5）客户认证阶段。验证客户的可信度。（6）结束阶段。客户与服务商之间的相互交换结束的信息。,一、SSL协议,3SSL安全协议的应用（1）SSL安全协议在电子商务中的应用 在电子商务的开始阶段，商家担心客户购买后不付款，因而希望银行给予认证。SSL安全协议正是在这种背景下应用于电子商务的。SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，现在被许多网上商店和网上银行所使用。（2）SSL安全协议在WEB服务器中的应用 当具有SSL功能的浏览器与Web服务器通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。,二、SET协议,1SET协议的概念 SET协议是由VISA和Master Card两大信用卡公司联合推出的规范。为了克服SSL安全协议的缺点，Visa和Master Card，联合开发了SET电子商务交易安全协议。这是一个为了在互联网上进行在线交易而设立的一个开放的以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。由于设计合理，SET协议已成为事实上的工业标准。目前，它已获得了IETF标准的认可。SET协议用以支持B-C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。,二、SET协议,2SET的特点（1）信息的保密性（2）数据的完整性（3）持卡人帐号的鉴别（4）商家的鉴别,二、SET协议,3SET系统的构成（1）持卡人、（2）商家（3）发卡银行（Issuer）（4）收单银行（Acquirer）（5）支付网关（6）认证中心（CA）,二、SET协议,4SET协议的工作流程（1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输人订货单。（2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数，交货方式等信息是否准确，是否有变化。（3）消费者选择付款方式，确认订单签发付款指令，此时SET开始介入工作。（4）在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息。,二、SET协议,（5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。（6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。（7）在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结算一天的帐。,二、SET协议,三、SSL协议与SET协议的比较,SSL协议和SET协议的差别主要表现在以下几个方面：1用户方面 2速度方面 3认证方面 4安全性方面 5采用比特率方面,本章小结,电子商务安全是电子商务健康发展的保证。电子商务的安全需求主要有：对信息的保密性需求，信息的完整性需求，对交易者身份认证的需求，对交易信息不可否认的需求，对交易信息的有效性需求，对系统可靠性的需求。电子商务活动中出现了许多安全技术和措施，包括用户密码和权限管理技术、防火墙技术、虚拟私人网技术和网络杀毒技术、数据加密和数字签名、数字信封技术、认证中心；另外，信用卡支付的安全还涉及两个应用广泛的协议：SSL和SET协议。,课后习题,1电子商务的安全性威胁有哪些?2简述电子商务的安全保障体系的特殊性?3什么是数字信封?4什么是数字时间戳?5什么是数字证书?6简述数字签名的含义及其生成原理。,