电子商务课件 第3讲.ppt

第三讲电子商务的安全问题,1、电子商务安全威胁概述2、电子商务常用安全技术,主要内容：,电子商务安全问题,卖方面临问题买方面临问题信息传输问题信用问题,保密性（防止被窃取）认证性（身份真实性）完整性（报文完整及防止被篡改）不可否认性（不可抵赖性）,网络安全的基本要求（目标）,电子商务常用安全技术,明文：被隐蔽的信息的原来可读的形式。,密文：密码将明文变换成另一种隐蔽的不可理解的形式。,数据加密,基本概念一,加密和解密的规则(过程）称为加密算法。,这一过程中需要一串数字，这串数字称为密钥。,例：加密过程,密钥=17,18,19,20,明文,密文,20,08,09,19,27,09,19,27,01,19,05,05,03,18,20,37,25,26,36,44,26,36,44,18,36,22,22,20,35,37,27,44,密钥,网络,被动攻击非法窃听,主动攻击非法接入,加密系统运作示意图,密钥,数据加密技术,对称密钥加密体制,非对称密钥加密体制,基本概念二,密钥K1,密钥K2,对称密码加密体制,K2=K1=K,密钥K1,密钥K2,非对称密码加密体制,K2不同于K1,基本概念三,计算机算法,DES算法（数据加密标准）用于对称密码加密体制中,RSA算法用于非对称密码加密体制中,DSA算法是公开密钥算法，不能用作加密,对称密钥加密方式,安全认证技术,数字信封,数字摘要,数字签名,数字时间戳,数字证书,认证中心（CA）,“数字信封”技术结合了对称加密和非对称加密的优点，使用两个层次的加密来获得非对称加密的灵活性和对称加密的高效性。,数字信封,对称密钥,解密,用户B,用户B的私钥,对称密钥,“数字摘要”:主要用于验证通过网络传输收到的文件是否是原始的、未被篡改的文件原文。它利用Hash函数也称为数字指纹(FingerPrint).特性：任意大小的信息经Hash函数变换后都能形成固定的长度的“摘要”，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。同时不可能通过数字摘要经过逆运算生成源数据。,单向HASH函数,单向HASH函数,“数字签名”与书面文件签名有相同之处，作用如下：,其一，信息是由签名者发送的；,其二，信息自签发后到收到为止未曾作过任何修改。,Hash加密,RSA加密,发送,RSA解密,Hash加密,数字签名应用过程,数字时间戳DTS（DigitalTime-StampService）,它是一个经加密后形成的证书文件，由专门机构提供。,它包括,1、相联系文件的摘要,2、DTS机构收到文件的日期和时间,3、DTS机构的数字签名,数字时间戳的应用过程,证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证,数字证书格式（X.509）,X.509证书,CA的签名保证证书的真实性,证书以一种可信方式将密钥“捆绑”到唯一命名,持有人:ZhangMin,公开密钥:9f0a34.,序列号:123465,有效期:2/9/1997-1/9/1998,发布人:CA-名,签名:CA数字签名,证书可能存放到文件、软盘、智能卡、数据库,认证中心的作用,颁发证书更新证书证书的作废证书的管理,完整的数据加密及身份认证流程,明文,密文,用户B,安全协议：,安全套接层协议（SecureSocketsLayer），主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议。,（1）安全套接层协议SSL,SSL好比在开放的Internet世界中使消费者和商家之间建立了一个秘密通道,SSL安全套接层协议,SSL的体系结构,OSI参考模型,安全子层,物理层,数据链路层,网络层,应用层,物理层,数据链路层,IP,TCP,SSl,（2）SET（SecureElectronicTransferprotocol）安全数据交换协议,不仅对客户信用卡认证，还对商家身份认证。,安全协议：,发卡行,商家银行,商家,用户,开户,认证,SET协议,SET协议,认证,信用卡认证,认证机构（CA）,订单、支付指令（数字签名、加密）,SET交易流程,马来西亚1997年制定了数字签名法意大利，1997年，数字签名法德国，1997，数字签名法、数字签名条例新加坡，1998，电子交易法；1999，新加坡认证机构安全方针、新加坡电子交易（认证机构）规则加拿大，1999，统一电子商务法韩国，1999，电子商务基本法澳大利亚，1999，电子交易法欧盟，1999，欧盟电子签名统一框架指令,电子商务立法现状,西班牙，2000，电子签名与认证服务法日本，2000，数字化日本发展行动纲领印度，2000，电子签名和电子交易法香港，2000，电子交易条例德国，2001，电子签名法波兰，2001，电子签名法荷兰，2003，电子签章法中国大陆，2004年通过电子签名法，2005年4月1日实施,电子商务立法现状,电子商务对合同法电子合同的法律承认问题EDI合同电子合同的生效时间、地点及撤回问题电子错误对合同效力的影响,电子商务对传统法律的挑战,被告景荣实业有限公司利用已注册的邮箱给原告衡阳木制品加工厂在1999年3月5日商务发出要求购买其厂生产的办公家具的电子邮件一份，电子邮件中明确了相关交易条件。当天下午3：35，衡阳木制品加工场也以电邮回复，表示对其全部要求认可。为对景荣公司负责起见，3月6号衡阳木制厂还专门派人到景荣公司作了确认，但双方没签暑任何书面文件。3月11日，衡阳木制厂将货物送至景荣公司。但由于景荣公司已于此前购买了该商品，便以双方没签定书面合同为由拒收货物。,CASE,法院审理：4月15日法院判定，衡阳木制场和景荣公司购销合同法律关系成立。只要衡阳木制厂交付的货物没有质量问题就完全履行了自己的合同义务，不存在违约。仅就没有签定书面合同而拒收货物属于违约行为。,电子商务对金融法交易各方的权利义务问题电子货币的法律性质问题：发行权、监管及风险控制网银的市场准入及交易的相关法律问题：参与者之间关系、计算