电子商务概论：05第5章 电子商务安全交易

第5章

电子商务交易安全电子商务安全概述

电子商务的安全问题

1．卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据2．买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务第5章

电子商务安全交易电子商务安全概述

电子商务的安全问题

3．信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4．信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况第5章

电子商务安全交易电子商务安全概述

电子商务的安全体系

1．电子商务系统硬件安全2．电子商务系统软件安全3．电子商务系统运行安全4．电子商务安全立法根据市场调研机构Gartner的数据，2004年，全球因计算机病毒造成的直接损失高达1690亿美元。未来两年，全球在安全方面的花费将以两倍于IT产业自身的速度增长。到2007年，80％以上的安全产品将基于硬件，而不再以反病毒和防火墙等软件为基础。国际数据公司IDC的一项研究结果显示，到2007年，全球70％的PC将使用安全芯片。在中国市场，到2009年，也将至少有500万台PC需要装上安全芯片。

第5章

电子商务安全交易电子商务安全概述

电子商务的安全控制要求

信息传输的保密性

信息的保密性是指信息在传输

过程或存储中不被他人窃取

交易文件的完整性

防止非法窜改和破坏网站上的信息

收到的信息与发送的信息完全一样

信息的不可否认性

发送方不能否认已发送的信息

接收方不能否认已收到的信息

交易者身份的真实性

交易者身份的真实性是指交易

双方确实是存在的不是假冒的

第5章

电子商务安全交易电子商务安全概述

电子商务的安全管理

1．保密制度绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握机密级：只限公司中层管理人员以上使用秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入2．网络系统的日常维护制度（1）硬件的日常管理和维护（2）软件的日常维护和管理（3）数据备份制度。（4）用户管理第5章

电子商务安全交易电子商务安全概述

电子商务的安全管理

3．病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱3．病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱第5章

电子商务安全交易电子商务安全概述

电子商务的安全管理

5．浏览器安全设置（1）管理Cookie的技巧（2）禁用或限制使用Java、Java小程序脚本ActiveX控件和插件（3）调整自动完成功能的设置第5章

电子商务安全交易电子商务安全技术

数据加密技术

加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)加密和解密密码系统的构成

第5章

电子商务安全交易电子商务安全技术

数据加密技术

通用密钥密码体制

通用密钥密码体制就是加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”

恺撒密码

对称密钥密码技术的代表是数据加密标准DES(DataEncrypuonStandard)。这是美国国家标准局于1977年公布的由IBM公司提出的一种加密算法，1979年美国银行协会批准使用DES,1980年它又成为美国标准化协会(ANSl)的标准，逐步成为商用保密通信和计算机通信的最常用加密算法。DES算法的基本思想来自于分组密码，即将明文划分成固定的n比特的数据组，然后以组为单位，在密钥的控制下进行一系列的线性或非线性的变化变换而得到密文，这就是分组密码(BlockCipher)体制。分组密码一次变换一组数据，当给定一个密钥后，分组变换成同样长度的一个密文分组。若明文分组相同，那么密文分组也相同。第5章

电子商务安全交易电子商务安全技术

数据加密技术

公开密钥密码体制

公开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥而加密密钥完全公开，称为公共密钥现在公钥密码体系用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。它最重要的特点是加密和解密使用不同的密钥，每个用户保存着两个密钥：一个公开密钥(PublicKey)，简称公钥，一个私人密钥(IndividualKey)，简称私钥。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间！！！。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，就像现在个人的姓名、地址、E-mail地址一样，可以放在网页上供人下载，也可公开传送给需要通信的人。而私钥需由用户自己严密保管。通信时，发送方用接收者的公钥对明文加密后发送，接收方用自己的私钥进行解密，别人即使截取了也无法解开，这样既解决了信息保密问题，又克服了对称加密中密钥管理与分发传递的问题。第5章

电子商务安全交易电子商务安全技术

数字摘要

安全Hash编码法(SHA)数字指纹SHA编码法采用单向Hash函数将需

加密的明文“摘要”成一串128bit的密文数字签名

数字签名技术

第5章

电子商务安全交易电子商务安全技术

数字签名技术

数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：一是需加时间戳的文件的摘要；二是DTS收到文件的日期和时间三是DTS的数字签名。

数字时间戳第5章

电子商务安全交易电子商务安全技术

数字证书

数字证书又称为数字凭证，数字标识是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件

证书的版本信息；证书的序列号；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。X.509数字证书包含

第5章

电子商务安全交易电子商务安全技术

数字证书

（1）个人身份证书（2）个人Email证书（3）单位证书（4）单位Email证书（5）应用服务器证书（6）代码签名证书数字证书的类型（1）证书的颁发（2）证书的更新（3）证书的查询（4）证书的作废（5）证书的归档认证中心的作用第5章

电子商务安全交易电子商务安全技术

信息加密与数字认证的综合应用

SSL协议

SSL安全套接层协议适用于点对点之间的信息传输

通过在浏览器软件和WWW服务器建立一条安全通道SSL协议

基本结构

SSL记录协议用来封装高层的协议。SSL握手协议能够通过特定的加密算法相互鉴别第5章

电子商务安全交易电子商务安全技术

安全交易协议

SSL协议SET协议

SET协议提供对消费者、商家和收单行的认证

确保交易数据的安全性、完整性和交易的不可否认性SET协议

设计思想

保证信息的加密性

、验证交易各方

保证支付的完整性和一致性

、保证互操作性

收单行

商家

用户

购物信息

支付信息

转移存款SET保证商家看不到卡号，数字签名商家的信息用商家公钥加密

银行的信息用银行的公钥加密

用户的信息用自己的私钥加密

第5章

电子商务安全交易电子商务安全技术

安全交易协议

SET协议SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买