第2章安全课件电子教案幻灯片.ppt

《第2章安全课件电子教案幻灯片.ppt》由会员分享，可在线阅读，更多相关《第2章安全课件电子教案幻灯片.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务实务（第二版）高等教育出版社全国高职高专教育“十二五”规划教材第二章 电子商务安全 2一、学习目标 了解常见的电子商务安全问题 了解电子商务安全加密技术 了解电子商务安全认证技术知识目标知识目标 了解电子商务安全认证体系 了解电子商务信用认证的作用 能根据业务需要选择合适的安全解决方案 掌握CA认证在电子商务交易过程中的使用能力目标能力目标 掌握信用认证在电子商务交易过程中的使用一、学习目标案案例标签例标签：扬州市地税局；数字证书；网上报税系统案例网址案例网址：http:/yz.jsds.gov. cn案例导案例导读读：1、扬州市地税局概况 扬州市地税局准备采用网上报税的方式，由纳税人

2、在互联网上完成申报和缴税。纳税人通过IE浏览器登录到税务局电子申报的WEB服务器上，输入网上报税系统为纳税人创建的用户名和密码（密码登录后可修改）进入系统进行报表填写。纳税人再将报表填写完后进行申报（系统将纳税人提交的数据写到税务局的数据库中）和网上银行缴税，完成整个申报过程。二、案例导入扬州市地税局使用数字证书来解决网上报税的安全问题扬州市地税局使用数字证书来解决网上报税的安全问题天威诚信天威诚信2、网上报税系统 天威诚信根据扬州市地税局网上报税系统的应用需求，采用天威诚信的安证通（OnSite）产品和服务，采用基于服务的建设模式，为扬州地税建设一套CA认证系统，CA系统的核心CA中心托管建

3、设在天威诚信安全数据中心，在扬州市本地建设CA系统提供给纳税人申请和管理证书的前台RA中心，并在扬州市本地建设对整个CA系统进行全权管理的前台CA管理（模块），由它们共同为扬州地税纳税人提供证书认证服务。建设的扬州地税CA认证系统采用扬州地税自有的证书信任体系，颁发企业证书。天威诚信为扬州地税网上报税系统提供了解决方案，并协助开发商对应用系统进行了集成，增加数字证书应用的安全功能。二、案例导入通过建设的CA认证系统，纳税人将采用如下流程进行网上申报：（1）纳税人首先到税务局进行网上申报的申请；（2）税务局审核通过后，通知纳税人进行网上申报的培训；（3）培训同时将发给纳税人一个信封，里边写有纳税

4、人的用户名和密码及要登录的网站地址和纳税人的证书；（4）纳税人回去后，在自己的计算机上安装自己的证书； （5）纳税人登录税务局Web申报网站，提交纳税人的证书和Web申报网站建立SSL链接，Web申报网站验证纳税人提交的数字证书来认证纳税人的身份，通过SSL链接来保证数据传输的机密性；（6）纳税人输入用户名和密码完成网上申报流程。扬州市地税局CA系统及网上报税系统安全集成已经完成，如图2-1所示。目前已经正式使用，到现在为止，扬州地税CA系统已经发放了大约1,000张证书，整个系统运行稳定，并且发放的数字证书已经被纳税人在网上报税系统中应用，进行安全的网上报税。二、案例导入 二、案例导入图2-

5、1扬州市地税局网上报税系统1、电、电子商务安全概述子商务安全概述 （1 1）电子商务安全的重）电子商务安全的重要性要性 电子商务安全是电子商务的生存保障。它是市场游戏规则顺利实施的前提，因为市场竞争规则强调的是公平、公正和公开，如果无法保证市场交易的安全，可能导致非法交易或者损害合法交易的利益。它是保证电子虚拟市场交易顺利发展的前提，因为网上交易虽然可以降低交易费用，但如果网上交易安全性无法得到保证，造成合法交易双方利益的损失，可能导致交易双方为规避风险选择传统的、更安全的交易方式。电子商务涉及国家经济安全，作为国家基本经济活动的商务活动如果受到破坏、攻击，产生混乱，社会生活就不得安宁。三、知

6、识学习（2 2）电子商务的安全要素）电子商务的安全要素有效性。保密性。完整性。可靠性、不可抵赖性和可鉴别性。三、知识学习（3 3）电）电子商务中的安全问题子商务中的安全问题商商家（商品或服务的提供者）面临的安全威胁家（商品或服务的提供者）面临的安全威胁（1）中央系统的安全性受到破坏。（2）竞争者检索商品的销售情况。（3）客户的资料被竞争者获取，为其所用。（4）被他人假冒而损害公司的信誉，这种安全威胁主要有三种方式。（5）消费者提交订单后不付款。（6）虚假订单。三、知识学习客客户（商品或服务的购买者）所面临的安全威胁户（商品或服务的购买者）所面临的安全威胁（1）虚假订单。（2）信用的威胁。（3）

7、机密性丧失。（4）拒绝服务。三、知识学习（4 4）电）电子商务安全中的加密子商务安全中的加密技术技术 数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密保障安全性。加密技术能避免各种存储介质上的或通过Internet传送的敏感数据被侵袭者窃取，也适用于检查信息的真实性与完整性。这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。三、知识学习图2-2 数据加密的一般模型 三、知识学习2 2、电、电子商务子商务认证认证（1 1）电子商务中的认证技术）电子商务中的认证技术 数字签名数字签名 数字签名是公开密钥加密技术的一类应用。数字签名的加密解密过程和一

8、般秘密密钥的加密解密过程虽然都使用公开密钥系统，但实现的过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而一般秘密密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有拥有接收方私有密钥的人才能对信息解密。 三、知识学习数字摘要技术数字摘要技术 一般的对称或非对称加密算法用于防止信息被篡改。数字摘要技术用于证明信息的完整性和准确性，主要用于防止原文被篡改。数字摘要是采用单向

9、Hash(分散排列) 函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方。接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改。 而数字签名一般来说是用来处理短消息的，处理较长消息则有些吃力。当然，可以将长的消息分成若干小段，然后再分别签名。不过这样做非常麻烦，而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。三、知识学习 数字时间戳数字时间戳 在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内

10、容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文件，包括三个部分：需加时间戳的文件摘要；DTS收到文件的日期和时间；DTS的数字签名。时间戳产生的过程为，用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后在对该文件加密，然后送回用户。三、知识学习 身份认证技术身份认证技术 身份认证是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜

11、和声音等生理特征。身份认证可分为两类：用户与主机间的认证和主机与主机之间的认证。用户与主机之间的认证可以基于如下一个或几个因素: 用户所知道的东西,例如口令,密码等；用户拥有的东西,例如印章,智能卡(如信用卡等)；用户所具有的生物特征,例如指纹,声音,视网膜,签字,笔迹等。下面对这些方法的优劣进行比较。三、知识学习报文认证技术报文认证技术 报文是网络中交换与传输的数据单元，报文的认证方式有传统加密方式的认证、没有报方加密的报文认证、使用密钥额报文认证码方式、使用单项散列函数的认证。信息完整性信息完整性 信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，数据具有一致性。保证信息完整

12、性需要防止数据的丢失、重复及保证传送秩序的一致。保证各种数据的完整性是电子商务应用的基础，数据的完整性被破坏可能导致贸易双方信息的差异，将影响交易的交易顺利完成，甚至造成纠纷。三、知识学习（2 2）电子商务安全认证体系电子商务安全认证体系 数字证书数字证书 数字证书也称公开密钥证书，是在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它主要包含用户身份信息、用户公钥信息以及身份验证机构数字签名等数据。三、知识学习（2 2）电子商务安全认证体系电子商务安全认证体系 CACA认证中心认证中心 认证中心是检验密钥是否真实性的第三方，它是一个权威机构，专门验证交易双方的身份

13、。验证的方法是接受个人、商家、银行等涉及交易的实体申请数字证书，核实情况，批准或拒绝申请，颁发数字证书。认证中心除了检验外，还具有管理、搜索和验证证书等职能。三、知识学习图2-3 典型CA系统三、知识学习（2 2）电子商务安全认证体系电子商务安全认证体系 PKIPKI安全体系安全体系 简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。 三、知识学习（2 2）电子商务安全认证体系电子商务安全认证体系 SSLSSL安全体系安全体系 安全套接层（Secure sockets Layer，SSL）是一种传输层

14、技术，由网景通讯公司开发，可以实现浏览器和服务器（通常是Web服务器）之间的安全通信。三、知识学习 SSLSSL工作过程工作过程： 三、知识学习AB（1）要求进行身份认证（2）同意进行认证（3）互相确认身份（4）核查身份 确认无误（2 2）电子商务安全认证体系电子商务安全认证体系SETSET安全体系安全体系 1996年，有重大实用价值和深远影响的安全电子交易SET（Secure Electronic Transaction）安全体系产生了。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是事关重大的。由于设计合理，SET协议得到了IBM、Micros

15、oft等许多大公司的支持，已成为事实上的工业标准。三、知识学习SETSET安全体系安全体系 SET安全协议要达到的目标主要有五个： 信息传输的安全性。 信息的相互隔离。 多方认证的解决。 效仿EDI贸易形式。 交易的实时性。 三、知识学习SETSET的交易成员的交易成员持卡人消费者网上商家收单银行支付网关发卡银行电子货币发行公司或兼有电子货币发行的银行认证中心CA可信赖、公正的组织三、知识学习SET软件系统的组成三、知识学习三、知识学习SETSET的认证过程的认证过程 注册登记 动态认证 商业机构处理三、知识学习SETSET协议的安全技术协议的安全技术将所有消息文本用双钥密码体制加密；将上述密

16、钥的公钥和私钥的字长增加到512B2048B；采用联机动态的授权（Authority和认证检查（Certificate），以确保交易过程的安全可靠。（3 3） 信用认证信用认证 我国电子商务的信用模式主要采取四种典型的信用模式： 中介人模式。 担保人模式。 网站经营模式。 委托授权经营模式。三、知识学习四、实践训练情景与数据情景与数据 近年来，电子商务因其便捷性、低成本性被各界看好而迅速发展，与此同时，电子商务安全隐患却在网络交易的过程中也不断凸显，如购物网站被黑、用户密码被盗、账户消失、网站被攻击等。这导致用户网购日益谨慎，网络销售受到很大影响。光明商城就曾有黑客的光临，给商城造成了不小的损

17、失。为此光明服装股份有限公司为加强光明商城销售平台的安全运作，一方面加强了公司内部软硬件安全的防范，另一方面主动到天信电子商务认证中心平台申请通过了CA认证和信用认证，并在签订合同时使用了电子签章技术。 光明商城申请CA认证，并在全搜咨询公司的平台上建立企业的信用认证档案，同时，两家公司在签订合同时都使用电子签章技术，以保证合同的安全性，这一系列活动在电子商务活动中称为电子商务安全。四、实践训练任务实践任务实践完成上述学习情景，包括以下三项任务：CA证书申请与安装；企业信用认证申请；电子签章。情景分析情景分析 在电子商务安全中共涉及光明商城股份有限公司和全搜咨询有限公司两个角色，需要经过以下几

18、个环节：光明商城股份有限公司申请CA证书并安装；光明商城股份有限公司申请企业信用认证；光明商城股份有限公司和全搜咨询有限公司签订合同，并使用电子签章技术。五、学习小结六、同步测试一、选择题一、选择题1、电子商务的安全性不包括（ ）。A、 保密性 B、及时性 C、完整性 D、不可否认性和匿名性2、（ ）用于证明信息的完整性和准确性，主要用于防止原文被篡改。A、数字签名 B、数字摘要技术 C、数字时间戳 D、身份认证技术3、（ ）是最安全的身份认证技术。A、基于口令 B、基于密码 C、基于智能卡 D、基于生物特征4、下列哪种我国电子商务的信用模式不属于典型的信用模式。（ ）A、中介人模式 B、担保

19、人模式 C、网站经营模式 D、自主经营模式5、（ ）是网络中最基本的安全技术。A、数据加密技术 B、认证技术 C、防火墙 D、VPN六、同步测试二、分析题二、分析题 1、CA认证中心有什么作用？试分析它在电子商务交易中的重要性。2、在日常生活中，我们常用到哪些信息安全措施，举例说明。七、能力训练 南京奥派在CA认证平台中，申请了3个CA证书。服务商（CA证书颁发机构）颁发了其中的2个，吊销了其中的1个。分别以南京奥派和服务商的身份完成上述操作。八、案例阅读 拓展案例：拓展案例：案例标题案例标题：权威公正的第三方安全认证机构中国金融认证中心案例标签案例标签：安全认证；CFCA；证书案例网站案例网站：http:/