第六章电子商务安全

第6章电子商务安全2学时第六章电子商务安全网上交易你的交易方是谁:是店主么？信息在传输过程中是否被篡改:价格对么？信息是否会被别人看到:我的报价别人能看到么？网上支付后，对方是否会赖帐:他说我没付钱所以拒绝付货。在没有信誉的世界中怎样提供有信誉的服务？第六章电子商务安全引：什么是电子商务(了解)（ELECTRONICCOMMERCE）1.世界电子商务会议关于电子商务的定义电子商务是指对整个贸易活动实现电子化。2.政府部门对电子商务的定义电子商务是通过电子方式进行的商务活动。3.权威学者对电子商务的定义广义地讲，电子商务是一种现代商业方法。第六章电子商务安全4.IT（信息技术）行业对电子商务的定义

IBM公司关于电子商务的描述，可以用一个公式来概括，即电子商务＝Web＋IT。它强调的是在网络计算环境下的商业化应用，是把买方、卖方、厂商及其合作伙伴在互联网（Internet）、企业内部网（Intranet）和企业外部网（Extranet）结合起来的应用。第六章电子商务安全

广义电子商务和狭义电子商务第六章电子商务安全一、电子商务介绍电子商务系统构建开发一个内容站点，处理离线购买交易。开发一个在线目录，并处理离线交易。开发一个在线目录，并处理在线交易。第六章电子商务安全2.电子商务模式B2B商务，如EDI（电子数据交换）C2B商务，如Web上的在线购物C2C商务，如电子钱包间的价值交换B2G商务，商家到公共管理机构（政府）的商务，如电子退税C2G商务，用户到公共管理机构的商务（政府），如电子退税第六章电子商务安全3.贸易过程信息获取：浏览、评估——货比三家协商：交易方式——讨价还价执行阶段：支付、交货——钱货两清售后阶段：退换货、维修——三包服务第六章电子商务安全4.支付系统的参与者支付者payer：客户、购买者、买家收款者payee：商家、零售商、销售者颁发者issuer：支付卡的发行银行获取者acquirer：接收银行支付网关：CA：第六章电子商务安全协议：取款、支付和存款。两个前提：支付者和商家在支付服务供应商处注册支付者和商家在在参与的银行中有帐户。第六章电子商务安全发行银行接受银行支付网关支付者商家取款注册存款注册、授权银行间结算网Internet第六章电子商务安全二、电子商务安全电子商务的安全问题电子商务的安全需求电子商务的安全措施电子商务的安全体系

第六章电子商务安全1）卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据2）买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务1电子商务的安全问题3）信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4）信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况第六章电子商务安全2、安全需求支付认证：买卖双方都必须证明自己的身份。支付完整性：支付交易数据不可受到非授权的参与方的更改。支付授权：确保未经用户授权之前不能从该用户的帐户提取现金。支付机密性：信息在传输或存储中不被他人窃取。支付不可否认性第六章电子商务安全完整性不可否认性交易者身份的真实性系统的可靠性1、存储的时候防止非法篡改和破坏。2、传输的时候发送和接收的应该一致。电子商务的安全需求信息的发送方不能否认自己发送的信息；信息的接收方也不能够否认自己接收的信息。交易双方确实存在,而不是假冒的.防止计算机系统出现失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或者失效。第六章电子商务安全技术保障法律控制社会道德规范完善的管理政策、制度3.电子商务的安全体系第六章电子商务安全技术体系第六章电子商务安全4.电子商务的安全措施1．保密制度绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握机密级：只限公司中层管理人员以上使用秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入2．网络系统的日常维护制度（1）硬件的日常管理和维护（2）软件的日常维护和管理（3）数据备份制度。（4）用户管理第六章电子商务安全3．病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱4．应急措施（1）硬件恢复（2）数据恢复瞬时复制技术远程磁盘镜像技术数据库恢复技术

电子商务的安全措施5．浏览器安全设置（1）管理Cookie的技巧（2）禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件（3）调整自动完成功能的设置第六章电子商务安全三.安全交易协议第六章电子商务安全1.SSLSSL是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。SSL是一种利用公共密钥技术的工业标准，广泛用于Internet。目前大多数浏览器都支持SSL，很多Web服务器也支持SSL。第六章电子商务安全SSL安全套接层协议适用于点对点之间的信息传输通过在浏览器软件和WWW服务器建立一条安全通道

SSL记录协议用来封装高层的协议。定义传输格式。

SSL握手协议能够通过特定的加密算法相互鉴别。握手协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。SSL协议SSL协议分为两部分：握手协议记录协议第六章电子商务安全SSL(SecureSocketLayer)是netscape公司设计的主要用于web的安全传输协议。在WEB上获得了广泛的应用。IETF将SSL作了标准化，即RFC2246,并将其称为TLS（TransportLayerSecurity），从技术上讲，TLS1.0与SSL3.0的差别非常微小。在WAP的环境下，由于手机及手持设备的处理和存储能力有限，wap论坛在TLS的基础上做了简化，提出了WTLS协议，以适应无线的特殊环境。第六章电子商务安全如果利用SSL协议来访问网页，其步骤如下：

用户：在浏览器的地址栏里输入https://

HTTP层：将用户需求翻译成HTTP请求，如

GET/index.htmHTTP/1.1

Hosthttp://SSL层:借助下层协议的的信道安全的协商出一份加密密钥，并用此密钥来加密HTTP请求。

TCP层：与webserver的443端口建立连接，传递SSL处理后的数据。接收端与此过程相反。SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。第六章电子商务安全SSL连接5步骤（参见书9.3.1）SSL客户端（也是TCP的客户端）在TCP链接建立之后，发出一个Clienthello来发起握手，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息；SSL的服务器端会回应一个Serverhello，这里面确定了这次通信所需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）；最后发完成消息Client在收到这个消息后会生成一个秘密消息，包含私钥和证书，用SSL服务器的公钥加密后传过去；SSL服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。安全通道建立。第六章电子商务安全SSL/TLS安全限制只能防范拦截攻击，机密性收威胁；保护传输数据完整性，无法防范内部攻击篡改；服务器鉴别依靠证书，存在假冒风险；只鉴别服务器，客户鉴别方案带来严重威胁；安全通信而非长期的交易证据。第六章电子商务安全SET协议是信用卡在互联网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范。目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。SET的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准，也促进了信用卡在互联网上作为支付工具的应用。2.安全电子交易规范SET第六章电子商务安全

SET协议提供对消费者、商家和收单行的认证确保交易数据的安全性、完整性和交易的不可否认性

设计思想：保证信息的加密性、验证交易各方保证支付的完整性和一致性、保证互操作性

收单行

商家

用户

购物信息

支付信息

转移存款SET保证商家看不到卡号，数字签名商家的信息用商家公钥加密

银行的信息用银行的公钥加密

用户的信息用自己的私钥加密

SET协议安全交易协议第六章电子商务安全SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏；未提供抗抵赖服务安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密；提供抗抵赖服务SSL协议与SET比较安全交易协议第六章电子商务安全set协议中的角色持卡人：在电子商务环境中，消费者和团体购买者通过计算机与商家交流，持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡)进行结算。在持卡人和商家的会话中，set可以保证持卡人的个人帐号信息不被泄漏。发卡机构：它是一个金融机构，为每一个建立了帐户的顾客颁发付款卡，发卡机构根据不同品牌卡的规定和政策，保证对每一笔认证交易的付款。商家：提供商品或服务，使用set，就可以保证持卡人个人信息的安全。接受卡支付的商家必须和银行有关系。银行：在线交易的商家在银行开立帐号，并且处理支付卡的认证和支付。支付网关：是由银行操作的，将internet上的传输数据转换为金融机构内部数据的设备，或由指派的第三方处理商家支付信息和顾客的支付指令。第六章电子商务安全SET组成元素第六章电子商务安全第六章电子商务安全持卡人商家支付网关PInitReqPInitResPReqPRes（可在Preq后任何位置）AuthReqAuthResInqReqInqResCapReqCapRes交易流程第六章电子商务安全SET交易流程初始化：PInitReq包括信用卡品牌、证书、局部交易号和挑战；PInitRes包括交易号、日期和挑战等，并对这些数据进行签名，还附上一些必要的证书。支付：持卡人把订单信息OI、支付指令PI放在Preq中发给商家；商家返回Pres，用以指示交易结果。第六章电子商务安全PurchaseRequest–Customer第六章电子商务安全PurchaseRequest–Merchant第六章电子商务安全3.授权：商家查询持卡人是否有能力支付。4.捕获：商家请求以前已授权的支付转到他的帐户上（可批处理）。此前若未返回Pres，此时就可返回。5.持卡人查询：持卡人可对交易进行查询。第六章电子商务安全安全策略1

支付交易数据的机密性为了保护信用卡号码等数据不被窃听者或不诚实的商家窃取，SET采用了双重签名。此外，双重签名还可保护订单信息对于支付网关的机密性。第六章电子商务安全订单里有两种信息一部分是订货信息，包括商品名称和价格；另一部分是提交银行的支付信息，包括金额和支付账号。买方对这两种信息进行“双重数字签名”，分别用商场和银行的证书公钥加密上述信息。当商场收到这些交易信息后，留下订货单信息，而将支付信息转发给银行。商场只能用自己专有的私钥解开订货单信息并验证签名。同理，银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后，通知起中介作用的电子交易市场、物流中心和买方，并进行商品配送。第六章电子商务安全SET中的双重签名

PI支付信息

OI订单信息

h(PI)h(OI)

DShhSig(h())第六章电子商务安全安全策略2

支付交易消息的不可否认性包括发送方、接收方、支付和商品交付的不可否认性。SET采用数字签名来实现不可否认性。所有各方都有得到可信机构认证的数字证书。第六章电子商务安全买方卖方支付网关买方的支付授权买方的支付授权卖方的支付授权接收银行的卖方授权接收银行的支付授权接收银行的卖方授权接收银行的支付授权卖方的支付收据第六章电子商务安全卖方需要不可抵赖的证据证明买方同意支付一定数目的金额。此证据在“买方的支付授权”消息中，该消息被买方签名，确保买方的支付授权不可抵赖性。银行也需要此证据进行转帐。接收银行和发行银行需要不可抵赖的证据证明卖方要求将金额存入其帐户，这就是“卖方的支付授权”的目的所在。第六章电子商务安全卖方需要接收银行的“接收银行的支付授权”消息，作为接收银行已获得支付交易的许可的证据。买方也需要它。“接收银行的卖方授权”消息证明卖方经过授权可以领取支付。最后，若一切顺利，卖方就会向买方发出收到支付的收据。第六章电子商务安全安全策略3

支付交易消息的新鲜性为了防止重放攻击（即防止窃听者或不诚实的参与方重复使用支付交易中交换的消息）和字典攻击，通常使用随机数和时间戳来保证消息的新鲜性。在一次SET交易中，采用的随机数和时间戳包括交易标识TransID、交易的日期和时间Date、随机数ODSalt等。第六章电子商务安全三.电子支付离开电子支付的电子商务是不完整的电子商务。电子支付系统是传统支付系统的电子对应物，是数字化货币在网络上的传输和周转。电子支付的应用可以大大减少银行的投入成本，提高服务的效率，实现真正的网上贸易。

第六章电子商务安全电子支付（electronicpayment）就是电子交易的当事人（包括消费者、厂商和金融机构）通过安全电子信息化的手段实现交易中的价值与使用价值的交换过程。

第六章电子商务安全支付分类（1）借记与信用基于信用：计费先存入支付者的帐户中，支付者以后支付累积的费用，如信用卡。基于借记：当交易得到处理时，支付者的帐户立即被借记。第六章电子商务安全（2）宏与微大额支付：大额支付所涉及交易的金额较大，因此安全性要求较高。小额支付：交易的货币金额相对大额支付较小。要求每笔交易的安全费用较小。•微支付：交易的金额非常小，如几分甚至更少。要求交易成本最低化，但应能防止大规模的攻击。对于系统的设计和安全策略的确定起重要作用。对于微支付系统，无须过于昂贵的安全协议，应防止大规模攻击。第六章电子商务安全（3）支付手段电子信用卡电子现金电子支票第六章电子商务安全信用卡系统信用卡是目前电子商务网上交易中首选的也是最流行的支付方式。

SET就是一种应用于开放网络环境下，以信用卡为基础的安全电子支付系统的协议，它给出了一套电子交易的过程规范。

第六章电子商务安全电子支票电子支票是银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息，就是电子支票。

第六章电子商务安全电子现金系统

电子现金是电子商务中一种崭