电子商务经典教材03.ppt

电子商务 ElectronicBusiness 2007 2008学年第二学期 wt 2 企业电子商务 7 3 DesignedByWand 第三章 引言 第三章 电子商务安全 3 1电子商务安全问题 3 2电子商务系统安全常用技术 3 3电子商务安全交易标准 3 4电子商务安全管理制度 3 DesignedByWand 3 1电子商务安全问题 一 电子商务安全问题的提出 3 DesignedByWand 3 1电子商务安全问题 一 电子商务安全问题的提出 3 DesignedByWand 3 1电子商务安全问题 一 电子商务安全问题的提出 3 DesignedByWand 3 1电子商务安全问题 二 电子商务存在的安全隐患1 系统中断与瘫痪 稳定性隐患 2 信息被窃取 机密性隐患 3 信息被篡改 完整性隐患 4 信息被伪造 有效性隐患 5 对交易行为进行抵赖 3 DesignedByWand 3 1电子商务安全问题 三 电子商务的安全要素1 真实有效性 对信息的真伪 实体的有效性进行鉴别 2 机密性 保证信息不被泄露给非授权的第三方 3 数据的完整性 保证数据一致性 防止数据被非授权建立 修改和破坏 4 可靠性 不可否认性和可控性 3 DesignedByWand 3 1电子商务安全问题 四 电子商务安全涉及的范围1 信息的安全 2 信息传递的安全 3 信用的安全 4 设备的安全 五 电子商务安全的保障1 社会的法律政策与法律保障 2 信息技术方面的措施 3 信息安全管理制度的保障 3 DesignedByWand 3 2电子商务安全常用技术 一 防火墙 Firewall 1 定义 所谓防火墙就是设置在被保护网络和外部网络之间的一道屏障 以防止发生不可预测的 潜在破坏性的侵入 3 DesignedByWand 3 2电子商务安全常用技术 一 防火墙 Firewall 2 防火墙图示 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术所谓加密 即指用基于数学方法的程序和保密的密钥对信息进行编码 把计算机数据变成一堆杂乱无章难以理解的字符串 加密的实质是由加密过程和解密过程组成的 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术加密的两个要素 1 加密算法 是加密程序的逻辑算法 2 密钥 指加密算法中的可变参数例如 Y X k思考其中的算法和密钥 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术1 对称加密 私有密钥加密 SecretKeyCryptography数据发送方和接收方使用同一把私有密钥 把明文加密成密文和把密文解密成明文用的是同一把私有密钥 一把钥匙开一把锁 3 DesignedByWand 3 2电子商务安全常用技术 明文 3 DesignedByWand 3 2电子商务安全常用技术 乙银行 有一笔 元资金转账至贵行abcde账号上 甲银行 网络传输 乙银行 有一笔 元资金转账至贵行abcde账号上 甲银行 加密 解密 信息明文 信息密文 信息密文 信息明文 相同的私有密钥A 甲银行 乙银行 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术1 对称加密 私有密钥加密 SecretKeyCryptography私有密钥加密的常用算法 数据加密标准DES DataEncryptionStandard 国际数据加密算法IDEA InternationalDataEncryptionAlgorithm 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术2 非对称加密 公开密钥加密 PublicKeyCryptography公开密钥主要用于对发送的消息进行加密 可以把公开密钥发给希望与公开密钥持有者进行安全通信的任何人 私有密钥主要用于对收到的信息进行解密 3 DesignedByWand 3 2电子商务安全常用技术 乙银行 将200元资金从本账号转移至贵行XYZ账号上 客户甲 网络传输 乙银行 将200元资金从本账号转移至贵行XYZ账号上 客户甲 加密 解密 通知明文 通知密文 通知密文 通知明文 私有密钥A 客户甲 乙银行 公开密钥B 3 DesignedByWand 3 2电子商务安全常用技术 客户甲 本行已将200元资金从你账号转移至XYZ账号上 银行乙 网络传输 客户甲 本行已将200元资金从你账号转移至XYZ账号上 银行乙 加密 解密 确认明文 确认密文 确认密文 确认明文 私有密钥A 客户甲 乙银行 公开密钥B 3 DesignedByWand 3 2电子商务安全常用技术 二 加密技术2 非对称加密 公开密钥加密 PublicKeyCryptography公开密钥加密的常用算法 一般基于复杂的数学难题 RSA算法 大整数因子分解系统 ECC算法 椭圆曲线离散对数系统 DSA算法 离散对数系统 3 DesignedByWand 3 2电子商务安全常用技术 3 两种加密方法的结合 发送方 接收方 3 DesignedByWand 3 2电子商务安全常用技术 三 数字摘要 DigitalDigest 定义 数字摘要是发送者对被传送的一个信息报文 根据某种数学算法计算出一个此信息报文的摘要值 并将此摘要值与原始信息报文一起通过网络传送给接收者 接受者应用此摘要值来检验信息报文在网络传送过程中有没有发生改变来判断信息报文的真实与否 另称为 数字指纹FingerPrint数字手印DigitalThumbprint 3 DesignedByWand 3 2电子商务安全常用技术 三 数字摘要 DigitalDigest 产生示例 乙银行 将200元资金从本账号转移至贵行XYZ账号上 客户甲 AdsEW3298woei 数字摘要 网络传输 Hash算法 客户甲 乙银行 乙银行 客户甲 数字摘要 AdsEW3298woei 数字摘要 Hash算法 比对 3 DesignedByWand 3 2电子商务安全常用技术 四 数字签名 DigitalSignature 3 DesignedByWand 3 2电子商务安全常用技术 五 数字时间戳 DTS DigitalTime stampService 对电子商务中交易数据的日期和时间信息采取安全措施 提供电子信息在时间上的安全保护 数字时间戳一般由大家均信任的第三方机构提供 是一个经加密后形成的凭证文档 包括需要加时间戳的信息摘要 时间戳服务机构收到该信息的时间日期 数字时间戳服务机构的数字签名 3 DesignedByWand 3 2电子商务安全常用技术 数字信封使用加密技术来保证只有规定的特定收信人才能阅读信的内容 在数字信封中 信息发送方采用对称密钥来加密信息 然后将此对称密钥用接受方的公开密钥来加密 这部分称为数字信封 之后 将它和信息一起发送给接受方 接受方先用相应的私有密钥打开数字信封 得到对称密钥 然后使用对称密钥解开信息 六 数字信封 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 1 简介数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限 证书就是一份文档 记录了用户的公开密钥和其他身份信息 数字证书是由CA认证中心 CertificateAuthorities 颁发的 包含公开密钥持有者信息 公开密钥的文件 以及CA证认中心的数字签名 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 2 数字证书类型 1 个人数字证书 2 服务器证书 3 开发者证书3 CA认证中心又称认证权威 认证中心 证书授权机构 是承担网上认证服务 能签发数字证书并能确认用户身份的第三方机构 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 2电子商务安全常用技术 七 数字证书 DigitalCertificates 3 DesignedByWand 3 3电子商务安全交易标准 常用电子商务安全协议 1 安全多用途互联网邮件扩充协议S MIME 2 安全超文本传输协议S HTTP 3 安全套接层协议SSL SecureSocketLayer4 安全电子交易协议SET SecureElectronicTransaction 3 DesignedByWand 3 3电子商务安全交易标准 3 DesignedByWand 3 3电子商务安全交易标准 3 DesignedByWand 3 3电子商务安全交易标准 3 DesignedByWand 3 3电子商务安全交易标准 3 DesignedByWand 3 3电子商务安全交易标准 3 DesignedByWand 3 4电子商务安全管理制度 一 人员管理制度1 工作责任制 双人负责 任期有限 最小权限2 普通用户安全要求 上网行为 账户安全 信息处理3 系统管理员的安全职责 对外界访问的关注 检查安全漏洞4 随时进行病毒检查 3 DesignedByWand 3 4电子商务安全管理制度 二 保密制度三 跟踪 审计 稽核制度跟踪制度要求建立网交易系统日志 审计制度指对系统日志的检查审核 稽核是相关部门对交易安全及合法性的检验四 网络交易系统日常维护制度五 病毒防范制度 3 DesignedByWand 本章小结 1 电子商务的安全要求来自 交易方自身的网络安全 电子交易数据的传输安全 电子商务的支付安全 2 维护电子商务交易者内部网络的安全 可采用防火墙技术和杀毒技术 3 DesignedByWand 本章小结 3 电子商务中的大量交易数据需要在Internet上传输 采用数据加密技术保护电子商务交易数据传输的保密性 采用数字签名技术保证电子商务交易数据传输的完整性 4 CA认证中心作为电子商务交易中受信任的第三方 承担证书管理和公钥合法性检验责任 3 DesignedByWand 本章小结 5 保障电子商务的安全并非单纯的技术问题