第五章风险控制--电子商务安全.pptx

《第五章风险控制--电子商务安全.pptx》由会员分享，可在线阅读，更多相关《第五章风险控制--电子商务安全.pptx（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子商务的安全问题电子商务的安全问题 1卖方面临的问题(1)系统数据被篡改。(2)服务器被克隆。(3)买方不诚信。2买方面临的问题(1)卖方不诚信。(2)恶意攻击。第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子商务的安全问题电子商务的安全问题 3信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子

2、商务的安全体系电子商务的安全体系 1电子商务系统硬件安全2电子商务系统软件安全3电子商务系统运行安全4电子商务安全立法第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子商务的安全控制要求电子商务的安全控制要求 信息传输信息传输的保密性的保密性 信息的保密性是指信息在传输信息的保密性是指信息在传输 过程或存储中不被他人窃取过程或存储中不被他人窃取 交易文件交易文件的完整性的完整性 防止非法窜改和破坏网站上的信息防止非法窜改和破坏网站上的信息 收到的信息与发送的信息完全一样收到的信息与发送的信息完全一样 信息的不信息的不可否认性可否认性 发送方不能否认已发送的信息发送方不能

3、否认已发送的信息 接收方不能否认已收到的信息接收方不能否认已收到的信息 交易者身份交易者身份的真实性的真实性 交易者身份的真实性是指交易交易者身份的真实性是指交易 双方确实是存在的不是假冒的双方确实是存在的不是假冒的 SSL协议o安全套接层协议:适用于点对点之间的信息传输。保证信息的真实性、完整性和保密性。但无法保证不可否认性。SET协议o安全电子交易（SET）：采用公钥密码体制和X.509数字证书标准。o分三个阶段进行：第一阶段是在购买请求阶段第二阶段是在支付的认定阶段第三阶段是在受款阶段指导思想：在网络边界安全被攻破时，即使传输的数据被劫取，也无法识别和篡改。第第5章章 电子商务安全电子商

4、务安全电子商务安全概述电子商务安全概述 电子商务的安全管理电子商务的安全管理 1保密制度绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握机密级：只限公司中层管理人员以上使用秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入2网络系统的日常维护制度（1）硬件的日常管理和维护（2）软件的日常维护和管理（3）数据备份制度。（4）用户管理第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子商务的安全管理电子商务的安全管理 3病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱4应急措施（1）

5、瞬时复制技术（2）远程磁盘镜像技术（3）数据库恢复技术第第5章章 电子商务安全电子商务安全电子商务安全概述电子商务安全概述 电子商务的安全管理电子商务的安全管理 5浏览器安全设置（实验课练习）（1）管理Cookie的技巧（2）禁用或限制使用Java、Java小程序脚本 ActiveX控件和插件（3）调整自动完成功能的设置EC体验5-1:选择网络支持方式操作流程安全性评价金额限制使用平台支持网站范围其他第三方支付银行卡网络支付收集支付第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，

6、使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)加密和解密密码系统的构成 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 在加密和解密的过程中，都要涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这三项内容。密钥是用于加解密的一些特殊信息，它是控制明文与密文之间变换的关键，它可以是数字、词汇或语句。密钥分为加密密钥和解密密钥，完成加密和解密的算法称为密码体制，传统的密码体制所用的加密密钥和解密密钥相同，形成了对称式密钥加密技术即通用密钥密码体制。在一些新体制中，加密密

7、钥和解密密钥不同，形成非对称式密码加密技术，即公开密钥加密技术。加密和解密第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 通用密钥密码体制 通用密钥密码体制就是加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”恺撒密码恺撒密码 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 通用密钥密码体制 多表式密码，正是为了克服上述缺点而开发的密码技术。本例中，密钥多表式密码，正是为了克服上述缺点而开发的密码技术。本例中，密钥使用字符串使用字符串ENGLANDE

8、NENGLANDEN，明文置换为密文的间隔是依次变化的。而且，明文置换为密文的间隔是依次变化的。而且，密钥宇串越长，明文中字符的频率分布特性在密文中越不明显，根据频密钥宇串越长，明文中字符的频率分布特性在密文中越不明显，根据频率分布破解密码的可能性越小。率分布破解密码的可能性越小。多表密码多表密码 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 通用密钥密码体制 目前得到广泛应用的，通用密钥密码体制的典型代表是DES算法。DES是由“转置”方式和“换字”方式合成的通用密钥算法，先将明文(或密文)按64位分组，再逐组将64位的明文(或密文)，用56

9、位(另有8位奇偶校验位，共64位)的密钥，经过各种复杂的计算和变换，生成64位的密文(或明文)，该算法属于分组密码算法。DES算法可以由一块集成电路实现加密和解密功能。该算法是对二进制二进制数字化信息加密及解密的算法，是通常数据通信中，用计算机对通信数据加密保护时使用的算法。DES算法在1977年作为数字化信息的加密标准，由美国商业部国家标准局制定标准，称为“数据加密标准”。并以“联邦信息处理标准公告”的名称，于1977年1月15日正式公布。使用该标准，可以简单地生成DES密码。第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 公开密钥密码体制 公

10、开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥而加密密钥完全公开，称为公共密钥第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数据加密技术数据加密技术 公开密钥密码体制 数字签名:接收方Y想在通信文上署名时，可以用自己的私人密钥Kdy生成署名文V=D(KdY，M)，然后，将V和自己的姓名Ny一起传输给对方。接送方从姓名NY检索出Y的公共密钥Key，计算M=E(Key，V)，如果复原的M文是有意义的信息，则可确认Y是合法的授信者，并确认通信途中未发生篡改信息的事件。第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数字

11、摘要数字摘要 安全安全Hash编码法编码法(SHA)数字指纹数字指纹 SHA编码法采用单向编码法采用单向Hash函数将需函数将需 加密的明文加密的明文“摘要摘要”成一串成一串128bit的密文的密文数字签名数字签名 数字签名技术数字签名技术 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数字签名技术数字签名技术 数字时间戳(Digital Time Stamp Service,DTS)是一个经加密后形成的凭证文档，它包括三个部分：一是需加时间戳的文件的摘要；二是DTS收到文件的日期和时间三是DTS的数字签名。数字时间戳第第5章章 电子商务安全电子商务安全电子商务安全技术

12、电子商务安全技术 数字证书数字证书 数字证书又称为数字凭证，数字标识是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件 证书的版本信息；证书的序列号；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。X.509数字证书包含 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 数字证书数字证书（1）个人身份证书（2）个人Email证书（3）单位证书（4）单位Email证书（5）应用服务器证书（6）代码签名证书数字证书的类型（1）证书的颁发（2）证书的更新（3）证书的查询（4）证书的作废（5

13、）证书的归档认证中心的作用第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 信息加密与数字认证的综合应用信息加密与数字认证的综合应用(1)处理的前提条件 由A用户往B用户发送信息；认证中心CA的公共密钥，A用户和B用户均已掌握。(2)A用户获取B用户的公共密钥 A用户从认证中心接收到B用户的数字证书，其中包括：B用户的公共密钥和认证中心的数字签名；A用户使用Hash函数对数字证书做出摘要，数字证书中使用的数字签名同样使用的是Hash函数；A用户用认证中心的公共密钥，对数字证书解密得到摘要，对这个摘要与中计算出的摘要是否致进行比较；A用户如果认为上述比较的结果是一致的，则可确

14、认数字证书上的B用户的公共密钥是合法的；（3）A用户做出数字签名 A用户用SHA加密方法做出信息文的摘要，此时使用被指定的Hash函数；A用户使用自己的私人密钥对摘要加密，得到的就是A用户的数字签名；（4）A用户信息的加密 A用户使用某个任意的通用密钥以DES方式对信息的明文加密，得到密文；（5）A用户通用密钥的加密 A用户将使用的通用密钥，用B用户的公共密钥以RSA方式加密；A用户把数字签名、密文，以及在加密的通用密钥发送给B用户。（6）B用户获取A用户的公共密钥 B用户从认证中心接收到A用户的数字证书，其中包括：A用户的公共密钥和认证中心的数字签名；B用户使用Hash函数由数字证书做出摘要

15、，数字证书中的数字签名同样使用的是Hash函数；B用户用认证中心的公共密钥，对数字证书解密得到摘要，对这个摘要与中计算出的摘要是否一致进行比较；B用户如果认为上述比较的结果是一致的，则可确认数字凭证上的A用户的公共密钥是合法的；（7）B用户通用密钥的解密 B用户用自己的私人密钥以RSA方式对加密的通用密钥解密；（8）B用户信息的解密 B用户用在解密的通用密钥，以DES(通用密钥)方式对信息的密文解密，得到明文；（9）确认数字签名 B用户做出信息的明文的摘要，此处使用指定的Hash函数；B用户用A用户的公共密钥将数字签名解密，得到摘要；比较在和计算出的摘要是不是同样的字符串，如果二者一致，则A用

16、户发送过来的信息是正确的；若不一致，则有两种可能：一是A用户的私人密钥不正确(与公共密钥不配对)，二是可能在什么地方信息文被篡改过。经过公共密钥加密的通用密钥称为“电子信封电子信封”。EC体验5-2:网上支付的安全性首次使用需安装的软件安全技术网上支付的确认方式用户信息变更的操作安全性评估其他第三方支付银行卡网络支付手机支付 SSL协议协议 SSL协议协议 基本结构基本结构 SSL记录协议用来封装高层的协议。SSL握手协议能够通过特定的加密算法相互鉴别第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 安全交易协议 SSL协议SSL 协议o是建立两台计算机之间的安全连接通道的

17、属会话层的协议。o在该通道上可透明加载任何高层应用协议（如FTP、TELNET等）以保证应用层数据传输的安全性。o认证用户和服务器，它们能够确信数据将被发送到正确的客户机和服务器上。o加密数据以隐藏被传送的数据。o维护数据的完整性，确保数据在传输过程中不被改变。o要求服务器端安装数字证书，客户端可选。o在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系；oSSL协议有利于商家而不利于客户，适合B2B；SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保它不能保证信息的不可抵赖性证信

18、息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。SET协议协议 SET协议提供对消费者、商家和收单行的认证协议提供对消费者、商家和收单行的认证 确保交易数据的安全性、完整性和确保交易数据的安全性、完整性和交易的不可否认性交易的不可否认性SET协议协议 设计思想设计思想 保证信息的加密性保证信息的加密性、验证交易各方、验证交易各方 保证支付的完整性和一致性保证支付的完整性和一致性、保证互操作性、保证互操作性 收单行收单行 商家商家 用户用户 购物信息购物信息 支付信息支付信息 转移存款转移存款SET保证商家看不到保证商家看不到卡号，数字签名卡号，数字签名商家的信息用

19、商家公钥加密商家的信息用商家公钥加密 银行的信息用银行的公钥加密银行的信息用银行的公钥加密 用户的信息用自己的私钥加密用户的信息用自己的私钥加密 第第5章章 电子商务安全电子商务安全电子商务安全技术电子商务安全技术 安全交易协议 SET协议SET协议oSET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。o用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术；o消费者、在线商店、支付网关都通过CA来验证通信主体的身份。o对购物信息和支付信息采用双重签名，保证商户看不到信用卡信息，银行看不到购物信息；o速度偏慢，但是进行电子商务的最佳协议标准，主要适用于B2

20、C模式；SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，

21、因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心SSL协议与SET比较第第5章章 电子商务安全电子商务安全电子商务电子商务风险防范风险防范 诚信体系第第5章章 电子商务安全电子商务安全电子商务电子商务风险防范风险防范 阿里巴巴诚信体系诚信通的五个方面o企业身份认证o证书及荣誉o阿里巴巴活动记录o会

22、员评价o资信参考人诚信通档案信用积分规则http:/ 电子商务安全电子商务安全电子商务电子商务风险防范风险防范 商业防骗o实名认证（企业法人认证，个人认证）oCA认证 中国金融认证中民主（CFCA）工行的U盾第第5章章 电子商务安全电子商务安全电子商务电子商务风险防范风险防范 身份识别树立风险意识，养成良好习惯o及时升级浏览器和操作系统o安装正版杀毒软件、防火墙，并及时更新o不浏览不明网页，不使用不明软件o不在公共场合进行支付o登录帐户后要选择安全退出o设置安全的密码EC体验5-3:防范钓鱼网站症状后果处理方法法律措施防范技术其他木马钓鱼网站其他能力训练1保密性完整性不可否认性真实性数据加密数字签名数字证书简评能力训练2SSL协议SET协议提供的服务缺点认证要求安全性网络层协议位置应用领域