电子商务交易安全培训课程

电子商务交易安全电子商务概论第3版书名：电子商务概论第3版书号：978-7-111-54248-3作者：王忠诚出版社：机械工业出版社课程单元网络安全1．物理安全：主机硬件、物理线路2．网络安全：网络层面安全3．系统安全：软件、资料（操作系统安全、数据库安全、网络软件安全、应用软件安全）4．人员安全5.安全立法5.1安全概述信息传输安全网络上传输的信息没有被故意或偶然地非法泄露、更改、破坏，或是被非法系统辨识、控制四种攻击类型截取窃听篡改伪造正常信息传输截取信息从信息源结点传输出来，中途被攻击者通过互联网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式非法截取，或通过对信息流量和流向、通信频度和长度等参数的分析，推断出有用的信息，从而使信息目的结点没有接收到应该接收的信息，从而造成信息在传输途中的丢失

窃听信息从信息源结点传输到信息目的结点，但中途被攻击者非法窃听。尽管信息目的结点仍收到了信息，信息表面看来并没有丢失篡改1）改变信息流的次序，更改信息的内容。比如，购买商品的出货地址；2）删除某个消息或消息的某些部分；3）在消息中插入一些消息，让接收者看不懂接收的信息。伪造①伪造为管理者发布命令或调阅文件；②伪造网络控制程序套取或修改使用权限、密钥等，越权使用网络设备和资源；③接管合法用户欺骗系统，占用合法拥护资源等。

课程单单元电子商商务安安全电子商务的安全问题1．卖方方面临临的问问题(1)中央系系统安安全性性被破破坏(2)竞争对对手检检索商商品递递送状状况(3)被他人人假冒冒而损损害公公司的的信誉誉(4)买方提提交订订单后后不付付款(5)获取他他人的的机密密数据据2．买方方面临临的问问题(1)付款后后不能能收到到商品品(2)机密性性丧失失(3)拒绝服服务5.1电子商商务安安全概概述3．信息息传输输问题题(1)冒名偷偷窃(2)篡改数数据(3)信息丢丢失(4)信息传传递过过程中中的破破坏(5)虚假信信息4．信用用问题题(1)来自买买方的的信用用问题题(2)来自卖卖方的的信用用风险险(3)买卖双双方都都存在在抵赖赖的情情况电子商务的安全问题5.1电子商商务安安全概概述电子商务的安全控制要求信息传传输的保密密性信息的的保密密性是是指信信息在在传输输过程或或存储储中不不被他他人窃窃取交易文文件的完整整性防止非非法窜窜改和和破坏坏网站站上的的信息息收到的的信息息与发发送的的信息息完全全一样样信息的的不可否认认性发送方方不能能否认认已发发送的的信息息接收方方不能能否认认已收收到的的信息息交易者者身份份的真实实性交易者者身份份的真真实性性是指指交易易双方确确实是是存在在的不不是假假冒的的5.1电子子商商务务安安全全概概述述电子商务的安全管理1．保保密密制制度度绝密密级级：：网网址址、、密密码码不不在在因因特特网网上上公公开开，，只只限限高高层层管管理理人人员员掌掌握握。。机密级：：密码不在在因特网网上公开开，只限公司司中层管管理人员员以上使使用。秘密级：：在因特特网上公公开，供供消费者者浏览，，但必须须防止黑黑客侵入入。5.1电子商务务安全概概述电子商务的安全管理2．网络系系统的日日常维护护制度（1）硬件的的日常管管理和维维护（2）软件的的日常维维护和管管理（3）数据备备份制度度。（4）用户管管理5.1电子商务务安全概概述3．病毒防防范制度度（1）给电脑脑安装防防病毒软软件（2）不打开开陌生电电子邮件件（3）认真执执行病毒毒定期清清理制度度（4）控制权权限（5）高度警警惕网络络陷阱电子商务的安全管理5.1电子商务务安全概概述4．浏览器器安全设设置（1）管理Cookie的技巧（2）禁用或或限制使使用Java、Java小程序脚脚本ActiveX控件和插插件（3）调整自自动完成成功能的的设置电子商务的安全管理5.1电子商务务安全概概述电子商务务安全交交易体系系课程单元元加密技术术数据加密技术加密技术术：就是是采用数数学方法法对原始始信息(通常称为为“明文文”)进行再组组织，使使得加密密后在网网络上公公开传输输的内容容对于非非法接收收者来说说成为无无意义的的文字(加密后的的信息通通常称为为“密文文”)。加密和解密5.2电子商务务安全技技术数据加密技术密码系统的构成5.2电子商务务安全技技术对称加密体制对称加密密体制就就是加密密密钥Ke和解密密密钥Kd是相同的的，即发发送方和和接收方方使用同同样密钥钥的密码码体制，，也称之之为“传传统密码码体制””。数据加密技术5.2电子商务务安全技技术对称加密体制数据加密技术代替密码码5.2电子商务务安全技技术明文：ABCDEFGHIJKLEFGHIJKLMNOP密文：密钥：n=4………………对称加密体制数据加密技术一次性便便笺5.2电子商务务安全技技术消息：LESSWATER字母对应应数字：：一次性便便笺：6940116273明文和OTP相加密文：RNWSXQVLU非对称加密体制公开密钥钥密码体体制：加加密密钥钥Ke与解密密密钥Kd不同，只只有解密密密钥是是保密的的，称为为私人密密钥而加加密密钥钥完全公公开，称称为公共共密钥。。数据加密技术5.2电子商务务安全技技术公开密钥密码体制数据加密技术5.2电子商务务安全技技术通用密钥密码体制比较优点：1）算法简简单，实实现容易易，目前前最广泛泛的对称称加密算算法DES。2）速度快快，效率率高。缺点：1）密钥数数量多，，管理难难度大。。2）安全性性差。优点：1）安全性性好。2）密钥少少，便于于管理。。缺点：1）速度慢慢，效率率低。由于两种种加密算算法各有有利弊，，所以一一般实际际应用都都是将通通用密钥钥密码体体制与公公开密钥钥密码体体制相结结合来使使用。课程单元元数字签名名技术数字签名技术5.2电子商务务安全技技术加密方法法的一种种，一般般指一种种数学函函数，也也称哈希希函数，，有时也也叫散列列函数或或HF函数。特点：经过哈希函数运算算的信息息，结果果就好像像是人的的指纹一一样，具具有唯一一性。且且不能做做逆运算算。数字签签名：：将要发发送的的明文文输入入哈希函数，，运算算得出出结果果，一一般称称数字字摘要要。再再将数数字摘摘要用用发送送方的的私有有密钥钥加密密所得得到的的密文文即为为数字字签名名。散列编码数字签签名功功能接收者者能够够核实实发送送者对对报文文的签签名发送者者事后后不得得否认认对报报文的的签名名接收者者不可可伪造造对报报文的的签名名数字签名保证数字签名技术5.2电子商商务安安全技技术数字签名技术数字签名信息摘要数字签名数字签名摘要信息摘要信息被被确认认SHA加密私有密密钥加密发送方方发送公开密密钥解密SHA加密比较二者若一致致接收方方课程单单元数字时时间戳戳数字时时间戳戳是一一个经经加密密后形形成的的凭证证文档档，它它包括括三个个部分分：一是需需加时时间戳戳的文文件的的摘要要；二是DTS收到文文件的的日期期和时时间；；三是DTS的数字字签名名。数字时间戳数字签名技术5.2电子商商务安安全技技术课程单单元数字证证书数字证书数字证证书又又称为为数字字凭证证，是是一个个经证证书授授权中中心数数字签签名的的、包包含公公开密密钥拥拥有者者信息息以及及公开开密钥钥的文文件。。证书的的版本本信息息；证书的的序列列号；；证书所所使用用的签签名算算法；；证书的的发行行机构构名称称；证书的的有效效期；；证书所所有人人的名名称；；证书所所有人人的公公开密密钥；；证书发发行者者对证证书的的签名名。X.509数字证证书包包含5.2电子商商务安安全技技术（1）个人人身份份证书书（2）个人人Email证书（3）单位位证书书（4）单位位Email证书（5）应用用服务务器证证书（6）代码码签名名证书书数字证书的类型（1）证书书的颁颁发（2）证书书的更更新（3）证书书的查查询（4）证书书的作作废（5）证书书的归归档认证中心的作用数字证书5.2电子商商务安安全技技术信息加密与数字认证的综合应用5.2电子商商务安安全技技术信息加加密与与数字字认证证的综综合应应用5.2电子商商务安安全技技术A方明文明文信息摘摘要数字签名+数字签名+A数字证书B数字证书密文数字信信封用发送送方A的对称称密钥钥加密密B方密文用B的私有有密钥钥解密密数字签名信息摘摘要HF加密加密用发送送方A的私有有密钥钥加密密加密用接收收方B的公开开密钥钥加密密解密明文+数字签名+A数字证书用对称称密钥钥解密密解密用A的公开开密钥钥解密密解密数字信信封课程单单元安全协协议SSL协议SSL协议基本结结构SSL记录协协议用用来封封装高高层的的协议议。SSL握手协协议能能够通通过特特定的的加密密算法法相互互鉴别别SSL协议5.3电子子商商务务安安全全交交易易协协议议SET协议议SET协议议提提供供对对消消费费者者、、商商家家和和收收单单行行的的认认证证确保保交交易易数数据据的的安安全全性性、、完完整整性性和和交交易易的的不不可可否否认认性性SET协议议设计计思思想想保证证信信息息的的加加密密性性、、验验证证交交易易各各方方保证证支支付付的的完完整整性性和和一一致致性性、、保保证证互互操操作作性性收单单行行商家家用户户购物物信信息息支付付信信息息转移移存存款款SET保证证商商家家看看不不到到卡卡号号，，数数字字签签名名商家家的的信信息息用用商商家家公公钥钥加加密密银行行的的信信息息用用银银行行的的公公钥钥加加密密用户户的的信信息息用用自自己己的的私私钥钥加加密密SET协议5.3电子子商商务务安安全全交交易易协协议议SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心SSL协议与SET比较课程程单单元元防火火墙墙防火墙5.2电子子商商务务安安全全技技术术防火火墙墙就就是是介介于于内内部部网网络络和和不不可可信信任任的的外外部部网网络络之之间间的的一一系系列列部部件件的的组组合合，，它它是是不不同同网网络络或或网网络络安安全全域域之之间间信信息息的的唯唯一一出出入入口口，，根根据据企企业业的的总总体体安安全全策策略略控控制制（（如如允允许许、、拒拒绝绝））出出入入内内部部可可信信任任网网络络的的信信息息流流，，而而且且防防火火墙墙本本身身具具备备很很强强的的抗抗攻攻击击能能力力，，是是提