电子商务概论34978

1、电子商务概论,主编:赵燕平 国家教育部十一五规划教材,4.1 节,激光美容网,参加编写的编委,第1章 赵燕平，刘科成（英国Reading大学） 第2章 陈翔，刘军丽，赵燕平 第3章 赵燕平，商建云 第4章 陈翔，刘军丽（中国劳动关系学院） 第5章 刘瑞红 第6章 陈翔，刘军丽 第7章 商建云(7.1)左秀峰(7.2,7.3)邢郁丽(7.4) 第8章 赵燕平，张薇 以及感谢北京理工大学管理与经济学院 08110501，08110502班刘海军等同学 购买图书：高等教育出版社，2008,激光美容网,本章内容概览,激光美容网,掌握电子商务中面临的危险，电子商务的安全要素，以及各种电子商务安全技术；了

2、解相关的密码与加密技术，掌握公开密钥体系，数字信封、数字签名和数字水印技术等与电子商务认证和安全保障有关的技术支撑点，和互联网知识产权的保护问题；进一步了解电子商务认证中心（CA）与数字证书，数字时间戳、,本章学习目标与知识点：,基于生物特征的电子商务身份认证、安全电子邮件及免费数字证书的获取等相关安全保障体系，以便在进行电子商务时有效地防范各种可能引发风险的安全问题。,激光美容网,第4章 电子商务的安全机制,下一页,上一页,第4章 电子商务的安全机制,4.2 加密和密码体系,4.3 电子商务鉴别与认证技术,4.1 电子商务安全,4.4 电子商务安全认证体系及示例,激光美容网,第4章 电子商务

3、的安全机制,下一页,上一页,4.1 电子商务安全,4.1.2 电子商务的安全要素,4.1.3 电子商务安全技术,4.1.1 电子商务中面临的危险,激光美容网,第4章 电子商务的安全机制,4.2 加密和密码体系,4.2.2 公开密钥密码体系,4.2.3 其他加密技术,4.2.1 单钥密码体系,4.2.4“数字信封”技术,4.2.5 数字水印技术及知识产权保护,下一页,上一页,激光美容网,第4章 电子商务的安全机制,4.3 电子商务鉴别与认证技术,4.3.2 数字时间戳,4.3.3 身份鉴别与认证技术,4.3.1 数字签名技术,下一页,上一页,激光美容网,第4章 电子商务的安全机制,4.4 电子商

4、务安全认证体系及示例,4.4.2 数字证书,4.4.3 电子商务认证中心（CA）,4.4.1 公钥基础设施PKI,4.4.4 安全电子邮件及免费数字证书获取的示例,下一页,上一页,激光美容网,第4章 电子商务的安全机制,激光美容网,4.1 电子商务安全,尽管电子商务的发展前景非常诱人，但如何建立一个安全可靠的应用环境，已成为商家必须考虑的问题。客观地说，没有任何一个网络能够完全免受安全的困扰，依据美国金融时报曾做过的统计，平均每20秒钟就有一个网络遭到入侵。信息的安全、资金的安全、直接影响着个人、企业乃至国家的经济利益。如何建立一个安全、便捷的电子商务应用环境对信息提供足够的保护，已经成为影响

5、到电子商务健康发展的关键性课题。,激光美容网,4.1.1 电子商务中面临的危险,1电子商务的交易安全问题 （1）信息窃取 通过的网关和路由器上截获数据，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等 在网上购物或接受信息反馈的邮件时，一些被称为“网络钓鱼”欺诈案件也经常发生 “网络钓鱼”者还会利用一些网络技术四处传播木马病毒，窃取电脑机密，或者搭建虚假电子商务网站、伪造成你曾经购物的著名电子商务网站实施欺诈行为，诱骗你将账号输入到他们提供的另一个看上去和著名网站一样的网站上去，骗取你的账号和密码，并盗走你的资金,激光美容网,（2）信息篡改,当攻击者熟悉了网络信息格式以后，通过各种技

6、术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面 ： 篡改改变信息流的次序，更改信息的内容，如购买商品的出货地址； 删除删除某个消息或消息的某些部分； 插入在消息中插入一些信息让收方读不到或接收错误的信息。,上一页,下一页,激光美容网,（3）信息假冒,当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户主要通过两种方式。 一是伪造电子邮件，虚开网站和商店，给用户发电子邮件，收订货单；伪造用户，窃取商家的商品信息和用户信用等信息。 另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费

7、、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。,上一页,下一页,激光美容网,（4）交易抵赖,交易抵赖包括多个方面 如发信者事后否认曾经发送过某条信息或内容； 收信者事后后否认曾经收到过某条消息或内容； 购买者不承认订货单； 商家卖出的商品因价格差而不承认原有的交易。,上一页,下一页,激光美容网,2电子商务的计算机系统安全问题,（1）物理安全问题 物理安全包括主机硬件和物理线路的安全问题 如火灾及自然灾害、硬件故障、辐射、搭线窃听、盗用、偷窃、超负荷等等 他们使用各种高性能的协议分析仪和信道监测器通过

8、电磁辐射搭线窃听，对详细信息流进行分析，就可以得到口令、ID及账户等重要信息。 检查系统所处位置，对进入设备的人员或无关人员都进行如下限制和防范。,上一页,下一页,激光美容网,对物理安全需做如下防范,禁止外来人接近重要数据源； 阅读操作手册、登录指令、配置信息和系统信息； 拷贝和拿走磁带、可移动硬盘、光盘或软盘等存储介质； 攻击处理品；将笔记本电脑接入内部网络上；在工作站前面访问系统控制台； 阅读或拿走打印稿；观看和改变电话等设备，即攻击网络和电话线； 在铜缆、光缆、红外线或网络介质上接入网络传输系统等事情，特别要对未授权用户加以阻止。,上一页,下一页,激光美容网,（2）网络安全问题,非授权访

9、问尝试 假冒主机或用户 对信息完整性进行攻击 对服务的干扰 其他网络攻击,上一页,下一页,激光美容网,（3）主机系统安全问题,主机操作系统层面的安全，如系统目录设置、账号口令设置、安全管理设置问题等 防止未授权存取 防止越权使用 防止泄密 防止用户拒绝系统的管理 防止系统完整性的丢失,上一页,下一页,激光美容网,（4）应用安全问题,应用安全是指主机系统上应用软件层面的安全，如WWW服务器、代理服务器（Proxy）、数据库的安全问题等。 1)黑客利用WWW服务器软件和CGI程序中的Bug获得对系统中对其他程序的非授权访问，甚至控制整个计算机系统； 2)WWW服务器上的保密信息被散发到未经授权的用

10、户手中； 3)WWW服务器与WWW浏览器之间传递的保密信息被截取； 4)WWW浏览器软件中的Bug使得客户机上的保密信息被远程的WWW服务器获取； 5)由于标准技术和专利技术的原因，许多组织需要购买商业版WWW软件，这些商业软件又具有各自的安全漏洞。,上一页,下一页,激光美容网,（5）人员管理安全问题,所谓“三分技术，七分管理”，因此安全方案的实现，离不开管理。其中，人员是管理的核心。 人员管理问题就是如何防止内部人员的攻击问题，其较之于防止外部对网络的攻击，在某种程度上要更复杂更困难。 保证从事认证工作的人员都具有良好的素质、可靠的工作动机，不能有任何犯罪记录与不良嗜好。 而对认证中心的从业

11、人员，应有一套完整的管理措施,上一页,下一页,激光美容网,（6）黑客攻击问题,黑客入侵网络时，一般是首先利用网络协议的漏洞，获取系统的口令文件，然后对口令进行破译，接着通过破译得到的账号进入系统。如果进入的账号为普通用户账号，他们会利用系统现有的一些漏洞，使用许多工具获取特权，修改系统记录文件，擦掉自己的活动记录，使得安全机制对他们失去作用，从而任意胡作非为。,上一页,下一页,激光美容网,（7）计算机病毒的问题,计算机病毒作为一种具有破坏性的程序，往往想尽一切办法将自身隐藏起来，保护自己，但是病毒最根本的目的还是达到其破坏目的。在某些特定条件被满足的前提下，病毒就会发作，这也就是病毒的破坏性。

12、 有些病毒只是显示一些图片、放一段音乐或和你开个玩笑，这类病毒属于良性病毒； 而有些病毒则含有明确的目的性，像破坏数据、删除文件、格式化磁盘等，这类病毒属于恶性病毒。 计算机病毒的破坏行为体现了病毒的杀伤能力，病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。,上一页,下一页,激光美容网,案例4.1：信用卡安全危机,多年前美国作家西德尼谢而顿的小说假若明天来临风行全球。小说中有一段情节，讲的是主人公通过电脑网络，直接进入了银行计算机系统，把对手信用卡账户上的钱席卷一空。 这个虚构的情节在2005年却在美国真正发生了。当地时间6 月17日，美国万事达信用卡国际公司发生了客户资料

13、重大泄密事件。 不过，与小说中不同的是，这次被攻击的信用卡账户多达4000万个，而不仅仅是一个。发生了这样触目惊心的事件后，一时间使人们的视线再次聚焦到信用卡的安全问题之上。,上一页,下一页,激光美容网,客户数据被窃案,随后的一段时间，美国出现了一连串的客户数据被窃案。一个专门监测网络数据安全漏洞的组织称，在这次泄密事件之前，全美仅2005年6月以来已有1000万用户因此类事件面临潜在风险。 美洲银行、ChoicePoint 、LexisNexis都曾经遭遇客户数据被窃问题。2005年6月6日，美国花旗集团宣布，由于美国快递业三大巨头之一的联合包裹运送服务公司（UPS）的失误，该公司丢失了一批

14、记录着390万客户账户及个人信息的电脑记录数据带。 此外，美国银行、瓦霍维亚信托银行、商业银行公司和PNC金融服务集团的70万名客户记录也被人窃取。美国警方已于当年5月份逮捕了几名犯罪嫌疑人，进行了案件的审理。 一家名为ChoicePoint的公司2月份宣布，一个犯罪团伙从该公司窃取了14.5万人的个人信息，并利用窃取的用户身份注册了50家虚假公司。另一家LexisNexis公司的数据库3月也被黑客入侵，31万人的个人信息可能遭窃。,上一页,下一页,激光美容网,信用卡失窃事件,美国近来发生的信用卡失窃事件起因无不是网络黑客通过植入木马等间谍程序所为。2004年的万事达事件就是一名电脑“黑客”攻

15、入美国一个专门为商店和银行处理信用卡交易的服务器系统窃取了资料，2005年万事达卡遭遇攻击同样是一名未经授权的人在一家第三方支付卡处理系统（Card Systems）的网络中植入了可以抓取信用卡信息的恶意程序所致。我国近年来发生的网上银行失密案也并不鲜见，其手段如出一辙，江民反病毒研究中心2004年接连截获的“网银大盗”系列病毒，就是专偷银行账号和密码的木马程序，而且已经给银行用户带来了经济损失，宁波一网上银行用户的9万元被盗。 网络间谍软件的存在是全球整个网络世界的通病，是困扰当前网络安全的首要因素。2005年德国调查人员在对100万台个人电脑的检查中，共查出2900万个间谍软件，也就是说平

16、均每台个人电脑中潜伏着大约30个间谍软件，虽然这些间谍软件大部分仅是收集和记录用户在互联网常去的地址和用户简单的基本信息，没有更大危害，但是间谍软件数目如此惊人，无疑还是为网络信息安全敲响了警钟。,上一页,下一页,激光美容网,4.1.2 电子商务的安全要素,信息保密性（Confidentiality） 交易者身份的确定性（Authentication） 不可否认性（Non-repudiation） 完整性和不可修改性（Integrity） 有效性（Validity）,上一页,下一页,激光美容网,4.1.3 电子商务安全技术,电子商务的安全防范分为 商务交易安全技术 计算机系统安全技术 商务交易

17、安全就是对交易中涉及到的各种数据的可靠性、完整性和可用性进行保护。 计算机系统安全则是指由计算机和网络连结起来的电子商务整体系统的安全。,上一页,下一页,激光美容网,1计算机系统安全技术,电子商务系统的安全是一项系统工程，需要全方位防范。不仅需要被动防范，还需要主动防御。这样才可能避免有意或无意的攻击，避免由于合法用户的误操作造成的数据丢失或泄露，从而保护整个系统的安全。 （1）防火墙技术 防火墙是访问控制技术的代表，防火墙产品是目前全球用得最多的网络安全产品之一 。 它维护一个记录各种模式的数据库，并使用一个监测程序时刻运行在网络中进行监控，当一旦发现网络中存在与数据库中的某个模式相匹配时，

18、就能推断出可能出现了网络攻击，从而立即报警或切断相关连接。,上一页,下一页,激光美容网,（2） VPN技术,虚拟专用网（VPN，Virtual Private Network）技术是一种在公用互联网络上构造企业专用网络的技术，它可以在两个系统之间建立安全的信道（或隧道）。 它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术只要通信的双方默认即可。 用户就好像使用一条专用线路一样在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。,上一页,下一页,激光美容网,（3）黑客防范技术,黑客防范技术

19、是在有效地掌握的黑客技术的基础上，如黑客入侵常使用的一些技术，包括缓冲区溢出攻击、特洛伊木马、端口扫描、IP欺骗、网络监听、口令攻击、拒绝服务（Dos）攻击等。在了解黑客技术的基础上，提出相应有效的反黑客技术。 黑客防范技术主要包括网络安全评估技术、防火墙技术、入侵检测技术等。,上一页,下一页,激光美容网,（4）防病毒技术,计算机病毒具有不可估量的威胁性和破坏力 因此计算机病毒的防范是网络安全性建设中重要的一环 反病毒技术主要包括三种技术： 预防病毒技术 检测病毒技术 消毒技术,上一页,下一页,激光美容网,（5）IP安全和加密传输,IP数据包的安全加密传输可以保证数据的机密性、完整性和不可否认

20、性 保证信息不被非授权泄露 保证信息不被破坏，防止信息在存储和传递过程中被非授权、恶意和无意改变 建立责任机制，使任何实体为其对信息所进行的任何操作承担责任,上一页,下一页,激光美容网,（6）加强防范意识,标签机制：是安全性的细化，表明安全对象的敏感程度或保护级 事件探测机制：探测与安全性有关的事件，既要探测安全性破坏事件，也要探测正常事件。 安全审核机制：独立地对安全系统的记录和活动进行检查，测试系统控制信息是否在安全机制的指导下，进行有效的安全管理、控制和检查,上一页,下一页,激光美容网,安全审核机制的执行方式,网络服务器安全控制 可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要

21、信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。还可控制用户对服务器上的目录、文件、设备的访问，对用户指定在不同目录下的子目录或文件的权限； 使用安全扫描工具 经常使用网络安全监测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节，当网络或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理； 使用有效的监控手段 经常使用网络监控工具对网络和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理，如跟踪分析、反攻击等； 经常备份系统 如被攻击可及时修复。此安全环节与系统管理员的

22、工作密切相关，系统管理员应定期备份文件系统，以便在非常情况（系统瘫痪或黑客攻击破坏时）下能及时恢复系统，将损失减少带最少。 各种安全策略必须相互配合才能真正起到保护作用 各种方法的综合运用，才可以有效地防御网上的攻击。,上一页,下一页,激光美容网,2. 商务交易安全技术,商务交易安全技术主要是通过对交易信息处理来达到交易过程的安全，主要技术包括： （1）加密技术 加密技术是电子商务采取的主要安全技术手段。采用加密技术可以满足信息保密性的安全需求，避免敏感信息泄露的威胁。通常信息加密的途径是通过密码体系实现的。 密码体系 密码体系是保护信息的保密性、完整性、可用性的有力手段。 密码体系可以有效地

23、用于报文认证、数字签名等，以防止种种电子欺骗。 密码体系包括密码设计、密码分析、密钥管理、验证技术等内容。,上一页,下一页,激光美容网,密码学的有关信息,密码的出现可以追溯到远古时代，密码学也和其他学科一样随着社会的发展而发展，先后经历了 手工阶段 机械阶段 电子阶段 计算机和网络阶段 目前，密码学已发展成一门系统的技术科学，是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。 根据不同的标准，密码体系的分类方法很多，其中常用的主要有 对称密码体系（也叫做单钥密码体系、秘密密钥密码体系、对称密钥密码体系） 非对称密码体系（也叫做双钥密码体系、公开密钥密码体系、非对称密钥密码体系）等 我

24、们将在第2节中详述其中的内容。,上一页,下一页,激光美容网,（2）认证技术,认证技术是满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求的技术。 认证技术可以较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁 认证技术主要涉及 身份认证：用于鉴别用户身份 报文认证：用于保证通信双方的不可抵赖性和信息的完整性 在某些情况下，认证显得比信息保密更为重要。,上一页,下一页,激光美容网,身份认证,身份认证是信息认证技术中十分重要的内容。它一般又涉及两个方面的内容： 一个是识别 一个是验证 所谓识别就是指要明确用户是谁，这就要求对每个合法的用户都有识别能力。为了保证识别的有效性，就需要保证任意两个不同的用户都具有不同的识别符。所谓验证就是指在用户声称自己的身份后，认