第5章电子商务交易安全例文分析.ppt

1、2009年4月24日，瑞星公司营销总监马刚在接受采访时说，木马已经成为互联网最大的威胁。虽然公司的扼杀计划取得了初步成功，但木马问题不能在短时间内解决。瑞星公司最近发布的一份安全报告从数量上说明了这个行业的巨大规模。据报道，从2009年1月到3月，互联网上出现了超过1.9亿个“挂马”网页，平均每天有589万网民访问这些网页，共有8亿网民受到木马攻击。根据金山网络安全中心的测试数据，2008年，中国新增计算机病毒和木马数量呈爆炸式增长，总数已超过1000万。公司标志、公司标志、公司标志、病毒制造者的“逐利”并没有改变，网页挂掉和漏洞攻击已经成为黑客获利的主要渠道。据美联社报道，为了应对每天数百万

2、的网络攻击和欺诈，美国联邦政府正在积极寻找黑客。这一次，不是为了逮捕他们，而是为了保护国家网络的公司标志。(2009年4月20日)，公司徽标，网络安全企业，公司徽标，5.1电子商务安全概述，即电子商务安全问题，网民中网络安全问题的发生率，公司徽标，2007年下半年网民中网络安全问题的频率，公司徽标，网民窃取其帐户或密码的地点，公司徽标，电子商务安全风险和防范措施，问题，非法截取、读取或修改数据，假冒和拒绝， 一个网络的用户未经授权访问另一个网络，计算机病毒，恶意黑客攻击，黑客攻击防范措施，公司标志，电子商务安全不仅仅是一个技术问题，公司标志，例如，赖，一个27岁，使用“木马”程序，窃取超过60

3、00元从其他人的网上银行帐户在一个月内。 他被判处一年零六个月监禁，缓刑两年，罚款12000元。公司标志，安全成本，公司标志，2。电子商务安全系统、公司标志、(1)计算机网络系统安全、1。物理实体安全(硬件安全)设备故障、电源故障、电磁泄漏引起的信息泄露、窃听、公司标志、2。自然灾害的威胁各种自然灾害、风暴、泥石流、建筑损坏、火灾、洪水、空气污染等。对计算机网络系统构成巨大威胁。黑客的恶意攻击所谓的黑客现在通常指的是非法入侵计算机信息系统的人。主动攻击：它以各种方式有选择地破坏信息的有效性和完整性；被动攻击：在不影响网络正常运行的情况下，截获、窃取和破译重要的机密信息。公司徽标，4，软件漏洞和

4、“后门”，5，网络协议安全漏洞，6，计算机病毒攻击，公司徽标，(2)计算机网络系统安全管理系统1，保密系统最高机密级别：不在互联网上公开，仅供高级管理人员使用；机密级：只供中层以上管理人员使用。秘密级别：在互联网上开放供消费者浏览，但必须有保护程序来防止黑客入侵；公司标志，2。网络系统的日常维护硬件软件的日常管理和维护数据备份系统的日常管理和维护用户管理，公司徽标，3防病毒系统安装防病毒软件不要打开奇怪的电子邮件，认真执行定期病毒清除系统控制权限，高度警惕网络陷阱，公司徽标，(3)电子商务交易安全问题， 1卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手搜索货物交付状态(3)他人伪造损害

5、公司声誉(4)买方在提交订单后不付款(5)有人恶意从卖方获得他人的机密数据，公司徽标，2)买方面临的问题(1)付款后未能收到货物(2)失去保密性(3)拒绝服务， 公司徽标，3信息传输问题(1)假冒盗窃(2)篡改数据(3)信息丢失(4)信息传输过程中的损坏(5)虚假信息，公司徽标，4信用问题(1)买方的信用问题(2)卖方的信用风险(3)买方和卖方之间的否认，公司徽标，(4)电子商务交易的安全控制要求，(1)交易者身份的认证(数字签名和数字证书)在双方进行交易之前，他们必须首先能够确认对方的身份，要求双方的身份不能伪造或伪装。 公司标志、电子商务系统应该为交易双方提供一种自我识别的机制。一般来说，

6、用户身份的认证可以通过数字签名和数字证书的结合来实现，并确认交易双方都是他们所声称的人。信息保密(加密)敏感和重要的业务信息或个人信息应加密。即使有人截获或窃取数据，也无法确定信息的真实内容，因此很难泄露商业秘密或有价值的个人信息。公司徽标，3，信息完整性(数字签名)，传输：接收方收到的信息与发送方发送的信息完全一致。储存：防止非法篡改和破坏。公司标志，4。信息的不可否认性(数字签名)在电子交易通信过程的每一个环节都必须是不可否认的，也就是说，一旦交易完成，发送方不能否认他发送的信息，接收方也不能否认他收到的信息。这在交易系统中非常重要。公司徽标，5.2电子商务安全技术，数字信息安全要求，身份

7、认证，信息保密性(存储和传输)，信息完整性，交易的不可否认性，公司徽标，1。数据加密技术，1。加密和解密加密：发送方使用数学方法将原始信息(明文)重新组织并转换成只有授权用户才能解释的密码形式(密文)。解密：接收者将密文还原为明文。公司徽标，明文和密文，加密密钥解密密钥，加密算法解密算法，公司徽标，密码系统的组成，公司徽标，(2)密码系统的分类，1。通用密码系统(对称密码系统)的定义：在数据加密过程中使用相同密钥进行加密和解密的密码系统。公司徽标，通用密码系统的加密过程，明文消息，密钥a的加密，密钥a的解密，通用密码系统的示例(1)，凯撒密码，公司徽标，密钥=4，示例：如果明文(标记为m)是“

8、导入”公司徽标，通用密码系统的示例(2)，简单多表密码加密，公司徽标，要求：1)在首次通信之前，双方必须通过除网络之外的其他渠道传递统一的密钥。2)当通信对象较多时，密码用户应保留所有通信对象的密钥。，公司徽标，3)对称加密基于共同保密。在密钥管理和分发过程中，任何一方的泄露都会导致密钥失效，存在潜在的危险和复杂的管理困难。公司徽标、优缺点、加密/解密速度快；适用于大数据量加密；公司徽标，2，公钥系统(非对称密码系统)定义：它需要使用一对密钥分别完成加密和解密操作，其中一个公开发布，称为公钥，用于加密；另一个由用户秘密保存，称为私钥，用于解密。公司标识，公钥密码系统的加密过程，明文消息，公钥加

9、密，加密消息，明文消息，私钥解密，公司标识，公钥系统的功能，老张和小李的公钥，老张和小李的密文。老张的公钥、密文、认证和保密性，只有老发送此信息，只有小解锁此信息，公司徽标、优缺点，系统灵活；密钥管理很简单，公司徽标，对称和非对称加密系统之间的比较，公司徽标，2。数字签名技术，(1)数字摘要确保交易文件、信息摘要流程、公司徽标的完整性，(2)数字签名(确保交易的不可否认性和完整性)1。功能：确认信息由签名者发送；该信息自发布以来一直没有修改，直到收到为止。公司标志，2。数字签名原理、数字签名原理示意图、互联网、公司徽标，(3)数字时间戳电子文件发布时间的安全保护1。数字时间戳服务(DTS)是一

10、个由专门机构提供的在线安全服务项目。数字时间戳是一个加密的凭证文档，它包括三个部分：一是要时间戳的文档的摘要；第二个是DTS收到文件的日期和时间；第三，数字地面系统的数字签名。公司标志、SHA加密、摘要、发送者、摘要、DTS、加入日期和时间、带有数字时间戳的摘要、数字签名、互联网、数字时间戳的生成过程、公司标志、第三、数字认证技术、第一、数字证书原理、第二、数字证书它是证明在线交易者真实身份的有效手段。数字证书是由证书颁发机构颁发和管理的电子文档，其中包含证书持有人的个人信息、公钥、证书序列号、有效期和颁发单位的电子签名。公司标志，3。数字证书采用公钥和私钥密码体制，每个用户都有一个自己掌握的

11、私钥，用于信息解密和数字签名；同时，它有一个公钥，可以公开用于信息加密和签名验证。公司标志，4。数字证书可用于发送安全电子邮件、在线支付费用、访问安全网站、在线证券交易、在线采购投标、在线办公、在线保险、在线税务、在线签名和在线银行业务等。公司徽标，(2)数字证书类型1，个人身份证书2，个人电子邮件证书3，公司证书4，公司电子邮件证书5，应用服务器证书(安全认证服务器)6，代码签名证书(软件开发商或企业)，公司徽标，(3)认证中心角色1。颁发证书。证书的更新。证书查询(证书申请查询和用户证书查询)4。取消证书(私钥泄露或过期)5。证书归档(无效证书和无效私钥的管理)，认证中心(CA):一个服务

12、机构，它承担在线安全电子交易认证服务，发布数字证书并确认用户身份，它必须是权威和权威的公司徽标，(4)中国数字认证网()，数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。北京数字证书认证中心()为网上电子政务和电子商务活动提供数字证书服务。公司标志，(5)数字证书申请1。下载并安装根证书2。申请证书3。将个人身份信息和证书序列号一起邮寄到中国数字认证网、公司徽标、公司徽标、公司徽标、电子商务安全交易协议：1。安全套接层协议；2.安全电子交易协议。协议是指两个或两个以上的实体为开展某种活动而经过谈判达成的共识。协议总是指协议的某一层。当实体在相同的层之间通信时，通信规则和约定的集

13、合就是层协议。公司标志，1。SSL协议，1。协议简介，1。SSL协议(Security Socket Layer)是网景公司提出的一种基于网络应用的安全协议，是为在互联网上传输机密文件而开发的。该协议为基于TCP/IP的C/S应用提供了安全措施，如客户端和服务器之间的认证、信息完整性和保密性。公司徽标，2，SSL采用对称加密和公钥加密的结合，并提供以下三种基本安全服务：机密性。通过加密算法和密钥的协商，在SSL客户端和服务器之间建立了一个安全通道。将来在安全通道中传输的所有信息都是加密的。公司标志，完整性。SSL利用加密算法和哈希函数提取传输信息的特征值，保证信息的完整性。真实性。使用证书技术

14、和可信的第三方证书颁发机构，客户端和服务器可以识别彼此的身份。(SSL协议的关键是解决以下问题：服务器的客户身份确认：允许客户浏览，使用标准的公钥加密技术和一些可信的证书来确认服务器的合法性。服务器确认客户的身份：它允许客户服务器的软件通过公钥技术和可靠的证书来确认客户的身份。公司徽标，在服务器和客户端之间建立安全的数据通道：要求客户端和服务器之间的所有发送数据都由发送端加密，所有接收数据都由接收端解密。同时，SSL协议将检查数据在传输过程中是否被修改。公司徽标，(3)缺点，因为SSL不对应用层消息进行数字签名，所以它不能提供交易的不可否认性。公司标志，2。SET协议，(1)协议介绍1。SET协议(安全电子交易协议)是1997年5月由维萨和万事达卡联合推出的标准。其实质是基于信用卡的电子支付系统的标准，应用于互联网，其目的是保证网上交易的安全性。公司Logo，2，SET协议采用公钥密码系统和X.509数字证书标准，提供消费者、