电子商务第四讲.ppt

电子商务原理 学院 文传学院教师 黄志申 联系方式 2823499 在线支付的安全模式 支付系统无安全措施的模式 电话 传真 Internet等 合法性检验 用户 商家 银行 用户 商家 购物帐户 经纪人 银行 开立帐户 支付确认 支付确认 信用卡信息 帐户 案例 快钱 通过第三方代理人支付的模式 在线支付的安全模式 基于SSL协议的简单加密模式 用户 商家 业务服务器 商家服务器 商家银行 信用卡认证 发卡行 开户 认证信息 解密信息 加密信息 认证信息 交易 信用卡加密信息 交易情况 在线支付的安全模式 安全电子交易SET模式 1995年 信用卡国际组织 资讯业者及网络安全专业团体等开始组成策略联盟 共同研究开发电子商务的安全交易 1997年6月 由IBM MasterCardInternational VisaInternational Microsoft Netscape GTE Verisign SAIC Terisa共同制定的标准SET正式发布 SET涵盖了银行卡在开放网络环境中的交易协定 信息保密 资料完整以及数字认证 数字签名等多方面内容 这一标准被公认为全球网际网络的标准 其交易形态也成为事实上的电子商务规范 第三方支付的发展情况 市场份额 市场份额 快钱的申请与使用 登录快钱网站并按要求注册 收取快钱系统邮件并激活帐号 利用网上银行给自己的帐号充值 使用快钱帐号进行网上付款 支付宝 支付宝 怎样使网店具有支付功能 怎样使网店具有支付功能 第三方支付发展问题 1 竞争比较激烈2 不能统一3 银行 依赖银行 与政府监管可能导致的风险4 信息安全 第三方支付的创新模式 根据中国银联的数据 在2008年1月到9月期间 通过拉卡啦便利支付网点网络 共完成338万笔交易 交易金额达33亿元 这就意味着 拉卡啦至少为所在地的银行减少了300多万人的银行排队要求 网点分布 思考 拉卡啦的创新价值主要体现在哪些地方 防范网络金融风险 登录密码与交易密码最好设置为不同的密码 另外 网上银行密码不要使用自己的电子邮件密码 或在其他网站的登录密码 密码应避免与个人资料有关系 不要选用诸如身份证号码 出生日期或电话号码等作为密码 可选用字母 数字混合的方式 以提高密码破解难度 管好数字证书 网上银行用户还应避免在公用的计算机上使用网上银行 以防数字证书等机密资料落入他人之手 做好交易记录 对网上银行办理的转账和支付等业务做好记录 定期查看 历史交易明细 定期打印网上银行业务对账单 发现异常 立即与银行联系 对异常动态提高警惕 银行网站大都运行稳定 一般不会出现 系统维护 的提示 若遇重大事件 会提前公告客户 客户在陌生的网址上输入了银行卡号和密码 并遇到类似 系统维护 之类的提示 应立即拨打银行客服热线确认 万一资料被盗 应立即修改相关密码或挂失 每周定期使用WindowsUpdate 安装必要的防毒软件与防火墙程序 防止个人账户信息遭到黑客窃取 警惕 网络钓鱼 网络钓鱼 主要通过仿冒现有的合法网页 专门骗取个人财务数据 信用卡号 财务帐号和口令等 如宣称 某某网站最近进行系统升级 请重新输入卡号 用户名 和密码进行验证 等等 因为邮件页面与仿冒网站的页面非常接近 所以常常导致人们上当 网络钓鱼的防范方法不轻信电子邮件和链接 对要求提供个人信息的不予理睬 对仿冒的邮件或金融机构网站 可电话咨询或键入网址登录 不轻易登录不明网址或下载软件 或确认无毒再安装 对于夹带附件的邮件尤其要加以注意一旦登录了不明网站 应进行全面的病毒清除 新浪科技讯2005年4月 金山反病毒中心对外公布了 电子商务与网络安全分析报告 目前对网络安全 电子商务除了电脑病毒造成的破坏之外 危害最大的是网络钓鱼式攻击 由于网络仿冒诈骗 2003年全球经济损失超过了322亿美元 中国已经成为仅次于美国 世界上第二大拥有仿冒域名及网站的国家 占全球域名仿冒总份额的12 一点通 E付通 银行卡小额支付 小额支付 拉卡啦的创新价值主要体现在哪些地方 防范欺诈性电子邮件 网上购物的一些问题 尽量选择知名度高 已形成规模优势的网站购物 或是身边好友推荐 网络状况好的时候购物 初次购物 不宜进行大款额的购物 等熟悉网上购物过程与网站 个人诚信度之后 再购买高价消费品 如果是在易趣或是淘宝这样的CTOC个人交易网站购物 应尽量选择同城交易 可能情况下 尽量通过 支付宝 安付通 进行交易 在商品没有及时收到时 要及时和购物网站的服务部门进行联系 写明情况 如果是个人交易 要及时与卖家联系或投诉 在可能的情况下 还是尽量开通网上支付 这样可以减少很多麻烦和汇款费用 另外 据同学们经验 大件物品有的比地面物品便宜 但也不能不管质量 如果实在想便宜 又肯花时间 可以到个人交易网站去 淘宝 实训作业 注册并练习使用 支付宝 发生在浙江的EC安全故事 中新网5月31日电据光明日报报道 不久前 浙江省金华市几百家网吧的数万台电脑 几乎同时染上一种奇怪的病毒 许多玩网络游戏 传奇 的人 一时之间 竟然打不开自己的游戏帐号和密码 接着发现自己大量的游戏 武器装备 被盗 金华市公安局经过4个多月的艰苦侦查 终于摧毁了全国首个利用病毒程序盗取大量 传奇 帐号 密码及 装备 的特大网络黑客团伙 兰溪远东娱乐城网吧业主诸葛明 是损失较多的一个 他自己玩 传奇 游戏已经4年了 一年前 花了2万元从网上买了一把 屠龙刀 8000元买了一只 麻痹戒指 前后花了10多万元买了各种各样的 武器装备 对这些装备诸葛明还设置了双重密码 但是今年初 诸葛明正在玩电脑游戏时 不知什么原因被强行中断 过了10来分钟 有人竟然盗走了他的 屠龙刀 麻痹戒指 等 装备 并在网上公开高价叫卖 据统计 自去年11月以来 金华市先后有30 的网吧被这种病毒感染 最严重的一次 兰溪市几乎所有网吧的电脑一夜之间全部被感染 在这些网吧上网玩游戏 传奇 的玩家们 网上帐号和密码全部被盗 这个晴天霹雳 让玩家们非常气愤 纷纷报案 金华网络监察支队接到报案后 于是立即调集网络监察支队10余名民警组成专案组着手开展调查 并确定此次行动代号为 净网一号 通过专案组技术侦查 最后锁定了病毒的传播者是金华人陈某 据陈某交待 他平时做些医药生意 对计算机技术还算有点内行 于是花了2000元购买了一个病毒生成器 通过这个病毒生成器又生成了许多病毒 并以120元至240元不等的价格在网上出售 但是光靠卖病毒还不能赚大钱 于是陈某挖空心思寻找盗取游戏 装备 的 金钥匙 去年夏天 陈某在技术论坛上认识了一个网名叫 网络狩猎者 的江苏扬州人 这人真名叫祁建 经过多日的努力 祁建成功制成了可以破解 传奇 游戏帐号和密码的病毒程序 之后他们又伙同他人 用这个病毒盗取游戏玩家们的 装备 获取非法收益 到今年的4月中旬 警方共抓获犯罪嫌疑人14人 缴获电脑21台 用于作案的汽车一辆 至此 这起特大网络黑客案全面告破 据介绍 其中仅仅一个犯罪分子所使用的一台电脑中就拥有6万多个 传奇 帐号 密码和 装备 也就是说起码有6万多个玩家分别中了木马病毒 导致他们的 装备 被盗 侦查员通过检查涉案人员银行帐户内的来往资金发现 这个团伙通过卖盗取来的 传奇 装备 至少非法获利上百万元 EC的安全威胁来自何方 与技术相关的安全威胁 系统被恶意入侵 数据被窃取 破坏 信息传输泄漏 信息的机密性 信息被篡改 信息的完整性 身份是否真实 交易者身份的确定性 发送信息的不可否认性 EC的安全威胁来自何方 与人文相关的安全威胁 网络交易环境的虚拟性 服务的质量 诚信问题 法律法规的相对滞后 怎样保障网上交易的安全 网上交易的安全框架 交易安全技术安全应用协议 set ssl 安全认证手段 数字证书 CA 基本加密算法 对称和非对称密钥算法 网络安全技术病毒防范身份识别技术防火墙技术分组过滤和代理服务 法律法规 政策与社会人文环境 安全管理框架 怎样保障网上交易的安全 防火墙干什么 firewall 定义是指由软件或和硬件设备组合而成 处于企业Intranet与Internet之间的一道屏障 用于限制外界用户对内部网络访问及管理内部用户访问外界网络的权限 目前主要采用两种结构 代理服务与分组过滤 WindowsXP防火墙应用 阻止不明确的网络连接 WindowsXP防火墙应用 添加允许连接的例外程序 企业防火墙的主要作用 对网络访问进行限制 保证内部数据安全 限制内部网对外部网的访问 QQ 外部网 内部网 数据库服务器 WEB服务器 电子邮件服务器 客户机 防火墙 保护易受攻击的服务 过滤不安全服务 控制对特殊站点访问 集中化的安全管理 对网络访问进行记录和统计 密码系统的简单组成 密码系统的四个基本组成部分一 明文 即可以阅读的原始数据二 密文 经加密后不能阅读的数据信息三 加密算法 将未加密文本通过编码变成加密文本 并将加密文本解密为明文的数学公式 四 密钥 用于加密和解密的安全数字 相同的算法中 使用不同的密钥将产生不同的加密文本 简单的加密 解密实例将字母a b c d w x y z的自然顺序保持不变 使之分别与F G H I A B C D E相对应 即相差5个字母 那么 相差5个字母这条规则 就是 算法 而 5 就是 密钥 比如 RVIGDPIDQZMNDOT 就是 wanliuniversity 不知道算法与密钥的人 是没有办法猜出这几个字母的明文的 课堂实践 练习题如果加密算法和密钥如下 对原始信息中的每个英文字母增加相同的字母数为9 请回答下列问题 1 密钥是多少 2 如果原始信息是beijing 则密文是什么 3 如果原始信息是university 密文是什么 4 若增加的字母数改为5 上述问题的答案是什么 对称密钥加密 对称密钥加密是发送方和接受方使用相同的密钥进行加密和解密的运算 目前常用的加密方法有两种 对称密钥加密技术与非对称密钥加密技术 对称密钥加密过程 明文订单 密文 互联网 密文 明文订单 使用相同的密钥进行加密 解密 对称密钥算法与不足 对称密钥加密存在的问题一 贸易双方安全交换密钥的问题 二 当某一贸易方与众多的用户产生贸易关系时 密钥的管理与保密非常变得非常的繁琐与危险 三 无法鉴别贸易双方身份 四 利用穷举搜索法可以破译DES 对称密钥的算法有很多种 目前使用最广泛的算法是DES 对称密钥的优点主要是加密与解密速度比较快 非对称密钥加密 非对称密钥加密加密和解密使用不同的密钥 每个用户拥有一对密钥 公开密钥与私人密钥 公钥向其他人公开 可用于向私钥拥有者发送加密信息 私钥不公开 可用于对公钥加密进行解密 由公钥无法推出私钥 非对称密钥加密过程 明文订单 密文 互联网 密文 明文订单 用接受方公开密钥加密 用接受方私人密钥解密 身份识别技术 最精确 最可靠 最持久的识别技术 但不适合网络使用 对被识别对象配合的要求低 方便 识别技术复杂 被认为是最不可靠的识别技术 非接触识别 被认为是精确性很高的识别技术 可能会损害使用者的健康 黑眼睛不易被识别 设备昂贵 非接触 人脸识别 DNA识别 视网膜识别 被认为是精确性很高的识别技术 可能会损害使用者的健康 黑眼睛不易被识别 设备昂贵 非接触 声音变化范围大 不易用于精确的匹配 设备昂贵 非接触 签名会改变 不易作准确识别 很难应用到网络上 语音识别 虹膜识别 签名识别 血管图纹极难伪造盗用 手指血管识别的可信度更高 非接触 方便 精确度高 可靠性好 留下指纹印痕存在被复制的可能 非接触 指纹识别 手指血管图纹识别 身份标识码ID加密方法 信息认证 最精确 最可靠 最持久的识别技术 但不适合网络使用 对被识别对象配合的要求低 方便 识别技术复杂 被认为是最不可靠的识别技术 非接触识别 被认为是精确性很高的识别技术 可能会损害使用者的健康 黑眼睛不易被识别 设备昂贵 非接触 人脸识别 DNA识别 视网膜识别 数字证书内容功能 数字证书是用电子手段来证实一个用户的身份及用户对网络资源的访问权限 一般分个人证书 企业证书与服务器证书 代码签名证书 安全电子邮件证书 数字证书的主要内容 证书拥有者的姓名 证书拥有者的公钥 公钥的有效期 颁发数字证书的单位名称 颁发数字证书单位的数字签名 数字证书的序号 证书拥有者的数字签名 证书的版本号 数字证书类型 数字签名原理 数字签名原理 原文加密 数字证书的主要功能发送安全电子邮件 访问安全站点 网上证券交易 网上保险 网上税务 网上签约与网上银行等安全电子事务处理与安全电子交易活动 DES加密 DES解密 CA认证 CA认证电子商务授权机构 CA 也称为电子商务认证中心 CertificateAuthority CA认证中心是一个具有权威性与公正性的第三方认证机构 是一个承担网上安全电子交易认证服务