电子商务与管理PPT课件.ppt

第5章电子商务安全 电子商务概论 第6章电子商务安全措施 0 2019 12 29 可编辑 1 学习内容 引例1号店网店标错价4000元裸钻卖1000元5 1电子商务安全概述5 2加密技术5 3认证技术5 4电子商务安全交易协议 2019 12 29 可编辑 2 学习要点 电子商务安全风险的类型 电子商务安全要求及保障体系加密技术认证技术数字签名原理电子商务安全交易协议如果错过互联网 与你擦肩而过的不仅是机会 而是整整一个时代 王俊涛 2019 12 29 可编辑 3 5 1电子商务安全概述 5 1 1电子商务安全风险的类型1 信息传输风险 1 冒名偷窃 2 篡改数据 3 信息丢失 4 信息传递过程中的破坏 5 虚假信息 2019 12 29 可编辑 4 5 1电子商务安全概述 2 信用风险第一 来自买方的信用风险 第二 来自卖方的信用风险 第三 买卖双方都存在抵赖的情况 3 管理风险首先 交易流程管理风险 其次 人员管理风险 最后 网络交易技术管理的漏洞也带来较大的交易风险 2019 12 29 可编辑 5 5 1电子商务安全概述 4 法律风险一方面 在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险 另一方面 在网上交易可能承担由于法律的事后完善所带来的风险 即在原来法律条文没有明确规定下进行的网上交易 在后来颁布新的法律条文下属于违法经营所造成的损失 2019 12 29 可编辑 6 5 1电子商务安全概述 5 1 2电子商务安全需求1 有效性2 保密性3 完整性4 认证性5 不可抵赖性6 即需性 2019 12 29 可编辑 7 5 1电子商务安全概述 5 1 3电子商务安全的保障体系1 电子商务安全保障的特殊性除了具有一般信息安全的含义外 电子商务安全保障还具有金融业安全和商业信息安全的特征 电子商务系统的复杂性以及风险 威胁来源多样性带来安全保障的复杂性 而且电子商务中涉及的信息资产的价值和敏感性较高 涉及对象众多导致管理难度十分大 因此逐步完善电子商务安全的保障体系是一个随电子商务交易的变化而相应提高电子商务系统安全性的过程 2019 12 29 可编辑 8 5 1电子商务安全概述 2 电子商务安全保障的正确理念首先 电子商务安全是系统性问题 要综合考虑人 技术 管理 法规 制度等多项要素 其次 电子商务安全是整体性问题 指望几项离散的安全产品或技术手段解决所有安全问题是不现实的 再次 安全保障是动态发展的过程 安全保障建设不会是一劳永逸的 最后 安全是相对性的 安全保障建设投资是可度量的 2019 12 29 可编辑 9 5 1电子商务安全概述 3 管理上的安全措施首先 高层管理者要对电子商务安全有足够的重视其次 在规划和标准的指导下要制定详细的安全行为规范 最后 要特别注意安全条例的执行保障 即有了规定就一定要按照规定去执行 2019 12 29 可编辑 10 5 1电子商务安全概述 4 法律上的安全保障目前多个国家和地区已经开始制定电子商务法律法规 1 有关电子商务交易各方合法身份认证的法律 2 有关保护交易者个人及交易数据的法律 3 有关电子商务中电子合同合法性及如何进行认证的法律 4 有关网络知识产权保护的法律 2019 12 29 可编辑 11 5 1电子商务安全概述 5 技术上的安全保障电子商务中涉及的安全技术很多 对于维护企业内部网安全的技术包括用户密码和权限管理技术 防火墙技术 虚拟私人网 VPN 技术和网络杀毒技术等 维护交易数据在互联网上安全传输的技术包括数据加密和数字签名等 其中为了识别用户在现实世界中的真实身份还要涉及认证中心 另外 为了维护电子交易中最为关键的资金流动 特别是信用卡支付的安全 还要涉及两个应用广泛的协议 SSL和SET协议 2019 12 29 可编辑 12 5 2加密技术 5 2 1加密的定义加密是指对原来为明文 未经过加密的原文件 的文件或数据按某种算法进行处理 使其成为不可读的一段代码 通常称为 密文 使其只能在输入相应的密钥之后才能显示出本来内容的过程 通过这样的途径来达到保护数据不被非法人窃取 阅读的目的 该过程的逆过程为解密 即将该编码信息转化为其原来数据的过程 2019 12 29 可编辑 13 5 2加密技术 5 2 2加密技术方法1 对称加密技术对称加密技术就是加密密钥能够从解密密钥中推算出来 同时解密密钥也可以从加密密钥中推算出来 而在大多数的对称算法中 加密密钥和解密密钥是相同的 2019 12 29 可编辑 14 5 2加密技术 2 非对称式加密技术非对称加密技术 其采用的加密密钥和解密密钥是不同的 也不可以相互推算 至少在合理假定的长时间内 加密密钥叫做公开密钥 而解密密钥叫做私有密钥 2019 12 29 可编辑 15 5 2加密技术 3 混合加密技术混合加密技术不是一种单一的加密技术 而是一个结合体 是上述两种数据加密技术相互结合的产物 通信双方的通信过程分为两个部分 双方先利用非对称加密技术传送本次通信所用的对称密钥 然后再用对称加密技术加密传送文件 2019 12 29 可编辑 16 5 2加密技术 5 2 3加密技术在电子商务中的应用1 加密技术在商务信息保密中的应用加密技术是人们防止信息失密而常采取的安全技术手段 在电子商务中实现数据加密既可以采用DES算法 也可以采用RSA算法 2 加密技术在身份认证及信息内容真实性中的应用在网络环境下开展商务活动的前提是交易双方身份的识别 数字签名技术是确定交易信息内容的真实性 信息确实来源于期望的发送方 的主要鉴别手段 2019 12 29 可编辑 17 5 3认证技术 5 3 1数字签名技术1 数字签名简介日常生活中 通常通过对某一文档进行签名来保证文档的真实有效性 可以对签字方进行约束 防止其抵赖行为 并把文档与签名同时发送以作为日后查证的依据 在网络环境中 可以用数字签名代替手写签名或印章 从而为电子商务提供不可否认服务 数字签名中很常用的是散列 Hash 函数 也称哈希函数或杂凑函数等 2019 12 29 可编辑 18 5 3认证技术 2 数字签名形成及检验流程数字签名是由数字签字软件在计算机上自动完成的 其形成和检验步骤如下 2019 12 29 可编辑 19 5 3认证技术 3 数字签名功能数字签名可以解决否认 伪造 篡改及冒充等问题 具体要求 发送者事后不能否认发送的报文签名 接收者能够核实发送者发送的报文签名 接收者不能伪造发送者的报文签名 接收者不能对发送者的报文进行部分篡改 网络中的某一用户不能冒充另一用户作为发送者或接收者 4 数字签名的实施实现数字签名有很多方法 目前采用较多的是非对称加密技术和对称加密技术 2019 12 29 20 2019 12 29 可编辑 21 5 3认证技术 5 3 2认证中心1 CA的定义所谓认证中心 也称数字证书认证中心 英文为CertificationAuthority 简称CA 是基于互联网平台建立的一个公正的 有权威性的 独立的 第三方的 和广受信赖的组织机构 主要负责数字证书的发行 管理以及认证服务 以保证网上业务安全可靠地进行 2019 12 29 可编辑 22 2019 12 29 可编辑 23 5 3认证技术 2 CA的功能 1 生成密钥对及数字证书 2 验证申请人身份 3 颁发数字证书 4 证书以及持有者身份认证查询 5 证书管理及更新 6 吊销证书 7 制定相关政策 8 有能力保护数字证书服务器的安全 2019 12 29 可编辑 24 5 3认证技术 3 CA的组成框架证书的发放过程实际上由两大部分组成 一部分是证书的申请 制作 发放 另一部分是用户的身份认证 由CA完成接收证书请求及发证的工作 而由RA完成身份认定工作 CA与RA之间一般通过专线连接 2019 12 29 可编辑 25 5 3认证技术 5 3 3数字证书1 数字证书的定义所谓数字证书 DigitalCertification 是指利用电子信息技术手段 确认 鉴定 认证互联网上信息交流参与者的身份或服务器的身份 是一个担保个人 计算机系统或者组织 企业或政府部门 的身份 并且发布加密算法类别 公开密钥及其所有权的电子文档 2019 12 29 可编辑 26 5 3认证技术 2 数字证书的内容 1 版本信息 Version 2 证书序列号 SerialNumber 3 CA使用的签名算法 AlgorithmIdentifier 4 证书颁发者信息 IssuerUniqueIdentifier 5 有效使用期限 PeriodofValidity 6 证书主题或使用者 Subject 7 公钥信息 PublicKeyInformation 8 其他额外的特别扩展信息 2019 12 29 可编辑 27 5 3认证技术 3 数字证书的种类在电子商务环境中 所涉及的数字证书主要有以下几种 1 持卡者证书 2 商家证书 3 支付网关证书 4 收单行证书 5 发卡行证书 2019 12 29 可编辑 28 5 3认证技术 4 数字证书的申请流程 1 用户携带相关证明到证书业务受理中心RS申请证书 2 用户在线填写证书申请表格和证书申请协议书 3 RS业务人员取得用户申请数据后 与RA中心联系 要求用户身份认证 4 RA下属的业务受理点审核员通过离线方式 面对面 审核申请者的身份 能力和信誉等 5 审核通过后 RA中心向CA中心转发证书的申请请求 6 CA中心响应RA中心的证书请求 为该用户制作 签发证书 并且交给RS 7 当用户再次上网要求获取证书时 RS将制作好的证书传送给用户 如果证书介质是IC卡方式 则RS业务人员打印好相关密码信封传递给用户 通知用户到相关业务受理点领取 8 用户根据收到的用户应用指南 使用相关的证书业务 2019 12 29 可编辑 29 5 4电子商务安全交易协议 5 4 1SSL协议1 SSL协议提供的安全服务 1 用户和服务器的合法性认证 2 加密数据以隐藏被传送的数据 3 保护数据的完整性 2019 12 29 可编辑 30 5 4电子商务安全交易协议 2 SSL协议的运行步骤 1 接通阶段 2 密钥交换阶段 3 协商密钥阶段 4 检验阶段 5 客户认证阶段 6 结束阶段 2019 12 29 可编辑 31 5 4电子商务安全交易协议 3 SSL协议的体系结构SSL协议不是单个协议 而是两层协议 包含套接层SSL记录协议和应用层SSL更改密文规范协议 SSL警告协议和SSL握手协议 1 SSL记录协议 2 更改密文规范协议 3 告警协议 4 SSL握手协议 2019 12 29 可编辑 32 5 4电子商务安全交易协议 4 SSL协议的安全措施 1 加密算法和会话密钥 2 认证算法 服务器的认证 客户的认证 2019 12 29 可编辑 33 5 4电子商务安全交易协议 5 4 2SET协议1 SET协议提供的安全服务 1 SET协议的主要安全目标 信息在互联网上安全传输 保证网上传输的数据不被黑客窃取 订单信息和个人账号信息的隔离 当包含持卡人账号信息的订单送到商家时 商家只能看到订货信息 而看不到持卡人的账户信息 持卡人和商家相互认证 以确定通信双方的身份 一般由第三方机构负责为在线通信双方提供信用担保 要求软件遵循相同协议和报文格式 使不同厂家开发的软件具有兼容和互操作功能 并且可以运行在不同的硬件和操作系统平台上 2019 12 29 可编辑 34 5 4电子商务安全交易协议 2 SET协议提供的安全服务 确保在支付系统中支付信息和订购信息的安全性 确保数据在传输过程中的完整性 即确保数据在传输过程中不被破坏 对持卡者身份的合法性进行检查 对支付接收方的身份 商家的身份 的合法性进行检查 提供最优的安全系统 以保护在电子贸易中的合法用户 确保该标准不依赖于传输安全技术 也不限定任何安全技术的使用 使通过网络和相应的软件所进行的交互作业简便易行 2019 12 29 可编辑 35 5 4电子商务安全交易协议 2 SET协议的运行步骤 2019 12 29 可编辑 36 5 4电子商务安全交易协议 3 SET协议的体系结构SET主要由三个文件组成 分别是SET业务描述 SET程序员指南和SET协议描述 SET支付系统的主要参与方有 1 持卡人 即消费者 2 商家 3 发卡人 4 收款银行 5 支付网关SET支付系统还涉及认证机构 CA 2019 12 29 可编辑 37 5 4电子商务安全交易